15 - Servidor Seguro para Intranet en 10 pasos - 11/09/2005
Autor: ASS Eduardo Francisconi
http://www.ejaf.com.ar/
El siguiente tutorial describe los pasos necesarios para innstalar un Servidor Seguro en IIS sobre Windows, para un Website interno (Intranet) en una organización.
Nota 1: Si bien el presente artículo está desarrollado sobre IIS 6.0 en Windows Server 2003, el mismo puede realizarse igualmente en IIS 5.0 sobre Window Server 2000.
Nota 2: Se asume que tiene un IIS instalado en su servidor y corriendo un Website.
Entonces, los 10 pasos necesarios son:
- Loguearse con privilegios administrativos en el servidor Windows donde deseamos tener uestro sitio seguro.
- Verificar que el Servicio de "Certificate Server de Microsoft" esté instalado.
Esto se puede verificar abriendo en "Herramientas Administrativas" la consola de "Entidad
emisora de certificados". Si no está instalado se nos informará al intentar ingresar.
En caso de estar instalado ir al paso 4 directamente.
- En el caso de no estar instalado, ir a "Agregar o quitar programas" e instalar el componente
de Windows llamado "Servicios de Certificate Server"
(Img_01).
En el próximo paso seleccionar "Entidad emisora raíz independiente"
(Img_02) ya que instalaremos un certificado
raíz de primer nivel (similar a uno de Verisign por ejemplo en el caso de Internet). En la pantalla
siguiente colocar el nombre de la entidad (Img_03).
El nombre que coloquemos aquí será el que figurará como emisor del certificado, es
representativo y no tiene ningún requisito en especial. En las dos pantallas siguientes pueden
seleccionarse los algoritmos criptográficos que estarán disponibles para los certificados
y su fortaleza. Estos pasos también pueden obviarse (dejando las opciones por defecto) y presionar
"Siguiente" hasta finalizar la instalación.
- Ya tenemos funcionando la entidad emisora de certificados en nuestro equipo por lo que ahora ya
podemos administrar las peticiones y entregas de certificados. Para ello, abrimos el IIS, en las
Propiedades del Website elegimos la solapa de "Seguridad de directorios", y en la sección
de "Comunicaciones Seguras" presionamos el botón de "Certificado de Servidor"
(Img_04). Luego elegimos "Crear
un certificado nuevo" (Img_05)
y se nos pide el nombre del certificado y la longitud de la clave de cifrado. Debemos recordar que el
tamaño de esta clave es directamente proporcional a su seguridad e inversamente proporcional a la
velocidad de encripción/desencripción. Es aquí donde debemos evaluar el costo de la
seguridad versus el costo de la información que protegemos. El asistente nos pedirá nombre
de nuestra Organización y de la Unidad organizativa que podremos llenar con los datos que
consideremos adecuados.
- Luego se nos solicita el nombre del sitio Web. Aquí es requisito fundamental colocar el nombre
de nuestro servidor web o la dirección IP del mismo
(Img_06). Con este
nombre luego se formará la URL de nuestro sitio seguro.
Por ejemplo si el servidor se llama "server" la URL será "https://server".
Luego completamos los datos de la región que son necesarios para solicitar un certificado a una
entidad certificadora internacional. En nuestro caso sólo serán datos que mostrará
el explorador al momento de pedir los datos del certificado. Para finalizar se nos solicita el nombre de
un archivo de texto que contendrá todos los datos para realizar la petición. Éste
será el archivo que enviaremos a nuetra entidad emisora, que en nuestro caso somos nosotros mismos.
- Ahora comenzaremos con el trámite de solicitud del certificado. Al momento de instalar en
nuestro equipo la entidad emisora de certificados se nos creó una aplicación web llamada
"CertSrv". Así que ingresamos a la dirección http://server/CertSrv con nuestro
explorador favorito y seleccionamos la tarea"Solicitar un certificado", luego seleccionamos
"Solicitud avanzada de certificado" y luego "Enviar una solicitud de certificados usando
un archivo cifrado de base64 CMC o PKCS #10 o una solicitud de renovación usando un archivo cifrado
de base64 PKCS #7". Esto nos permitirá enviar nuestro archivo de texto a la entidad emisora
que, como ya dijimos, en nuestro caso somos nosotros mismos.
- En la página web que estamos viendo
(Img_07) podemos
elegir nuestro archivo generado previamente, o bien podemos abrirlo con el Block de notas y pegar su
contenido en el cuadro de texto. Ahora ya tenemos nuestro solicitud de certificado ingresada y deberemos
aprobarla.
- En la consola de "Entidad emisora de certificados" en la sección de"Peticiones
pendientes" veremos nuestra petición
(Img_08).
Presionamos botón derecho sobre el certificado, "Todas la tareas" y "Emitir" y
ya tenemos nuestro certificado emitido. En la sección de "Certificados emitidos"
presionamos botón derecho sobre el certificado, "Todas las tareas" y "Exportar datos
binarios". Seleccionamos "Certificado Binario" y "Guardar datos binarios en un
archivo" (Img_09). Esto nos permitirá
tener disponible el certificado para importarlo desde IIS.
- Volvemos al IIS y en las Propiedades del Website elegimos la solapa de"Seguridad de
directorios", presionamos "Certificado de servidor". Luego elegimos "Procesar la
petición pendiente e instalar el certificado" y seleccionamos nuestro certificado (el archivo
binario recién guardado) e ingresamos el puerto por el cual vamos a crear nuestro canal seguro,
pudiendo dejar el puerto 443 que es el que se muestra por defecto.
- Felicidades ahora con solo tipear "https://server" en nuestro navegador y deberiamos acceder
a nuestro sitio seguro y ver la información de nuestro certificado
(Img_10). Esta
información también está disponible al hacer click en el candado que aparece en la
parte inferior del explorador en todo sitio seguro.
Paraná, Entre Ríos, 11 de septiembre de 2005