Entidad de Emisora de Certificado.

19/01/2009 - 20:08 por Martin | Informe spam
Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de mi
empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts (SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web http://B/Certsrv
y me descargo un certificado certnew.cer, el mismo lo instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya existente y
funciona el sitio como https, pero al querer hacer lo mismo en otro sitio no
me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema, si
alguien me puedo ayudar, desde ya muchas gracias



Martin

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
19/01/2009 - 19:53 | Informe spam
El otro sitio HTTPs lo tienes configurada en la misma IP/puerto??

Si es así, es imposible y el sitio estará caído, ya que sólo un sitio puede
estar asociado a una IP y puerto como tal a la vez

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Martin" escribió en el mensaje
news:
Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de mi
empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya existente
y funciona el sitio como https, pero al querer hacer lo mismo en otro
sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema, si
alguien me puedo ayudar, desde ya muchas gracias



Martin


Respuesta Responder a este mensaje
#2 Javier Terán González
19/01/2009 - 21:48 | Informe spam
Éste es un mensaje de varias partes en formato MIME.
=_NextPart_000_0076_01C97A7F.A19DABF0

Buenas noches.

En determinadas condiciones si se puede tener varios sitios web seguros en un mismo Servidor Web IIS.
En este artículo se puede ver como. Ya llevaba tiempo pensando escribirlo y ahora que lo preguntan pues ...

http://informatica.javiteran.com/20...tps-y.html

Espero que sirva

Un saludo.

"Javier Inglés [MS MVP]" escribió en el mensaje de noticias:
El otro sitio HTTPs lo tienes configurada en la misma IP/puerto??

Si es así, es imposible y el sitio estará caído, ya que sólo un sitio puede
estar asociado a una IP y puerto como tal a la vez

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Martin" escribió en el mensaje
news:
Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de mi
empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya existente
y funciona el sitio como https, pero al querer hacer lo mismo en otro
sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema, si
alguien me puedo ayudar, desde ya muchas gracias



Martin






=_NextPart_000_0076_01C97A7F.A19DABF0

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content=text/html;charset=iso-8859-1>
<META content="MSHTML 6.00.6001.18183" name=GENERATOR></HEAD>
<BODY id=MailContainerBody
style="PADDING-RIGHT: 10px; PADDING-LEFT: 10px; PADDING-TOP: 15px" leftMargin=0
topMargin=0 CanvasTabStop="true" name="Compose message area">
<DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS">Buenas
noches.</FONT></DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS"></FONT>&nbsp;</DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS">En determinadas
condiciones si se puede tener varios sitios web seguros en un mismo Servidor Web
IIS.</FONT></DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS">En este artículo se
puede ver como. Ya llevaba tiempo pensando escribirlo y ahora que lo preguntan
pues ...</FONT></DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS"></FONT>&nbsp;</DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS"><A
title="http://informatica.javiteran.com/20...p;#10;CTRL + clic para seguir el vínculo"
href="wlmailhtml:{A337BDFE-DB73-47CF-91D5-BB772457C53C}mid://00000060/!x-usc:http://informatica.javiteran.com/20...t;>http://informatica.javiteran.com/2009/01/sitio-web-iis-con-sslhttps-y.html</A></FONT></DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS"></FONT>&nbsp;</DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS">Espero que
sirva</FONT></DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS"></FONT>&nbsp;</DIV>
<DIV style="FONT: 10pt Tahoma"><FONT face="Comic Sans MS">Un
saludo.</FONT></DIV></DIV>
<DIV><FONT face="Comic Sans MS" size=2></FONT>&nbsp;</DIV>
<BLOCKQUOTE
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
<DIV>"Javier Inglés [MS MVP]" &lt;<A
href="mailto:"></A>&gt; escribió
en el mensaje de noticias:</DIV>El
otro sitio HTTPs lo tienes configurada en la misma IP/puerto??<BR><BR>Si es
así, es imposible y el sitio estará caído, ya que sólo un sitio puede
<BR>estar asociado a una IP y puerto como tal a la vez<BR><BR>--
<BR>Salu2!!<BR>Javier Inglés<BR><A
href="https://mvp.support.microsoft.com/p...;>https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0</A><BR>MS
MVP, Windows Server-Directory Services<BR><BR><A
href="mailto:"></A><BR><BR>"Martin"
&lt;<A href="mailto:"></A>&gt; escribió en el mensaje
<BR><A
href="news:">news:</A>...<BR>&gt;
Buenas Tardes.<BR>&gt;<BR>&gt; Escenario:<BR>&gt;<BR>&gt; Un equipo con
Windows 2003 en la DMZ (llamado A), donde tengo el IIS de mi <BR>&gt; empresa,
el cual se accede desde la LAN e Internet<BR>&gt;<BR>&gt;<BR>&gt;<BR>&gt; Lo
que quiero hacer es que ciertos sitios (precisamente 5) sean htts <BR>&gt;
(SSL).<BR>&gt;<BR>&gt;<BR>&gt;<BR>&gt; Por lo tanto agregué un equipo a la DMZ
(llamado B), al cual le instale <BR>&gt; Windows 2003 y le agregue el
Servicio: Entidad de Emisora de Certificado.<BR>&gt;<BR>&gt;<BR>&gt;<BR>&gt;
Luego desde el equipo donde esta el IIS (A), entro via web <BR>&gt; <A
href="http://B/Certsrv">http://B/Certsrv</A> y me descargo un certificado
certnew.cer, el mismo lo <BR>&gt; instalo en el
equipo.<BR>&gt;<BR>&gt;<BR>&gt;<BR>&gt; Luego configuro un sitio y le digo que
utilice un certificado ya existente <BR>&gt; y funciona el sitio como https,
pero al querer hacer lo mismo en otro <BR>&gt; sitio no me
anda.<BR>&gt;<BR>&gt;<BR>&gt;<BR>&gt; La verdad que conceptualmente no tengo
bien en claro como es el tema, si <BR>&gt; alguien me puedo ayudar, desde ya
muchas gracias<BR>&gt;<BR>&gt;<BR>&gt;<BR>&gt; Martin<BR>&gt;<BR>&gt;
<BR><BR></BLOCKQUOTE></BODY></HTML>

=_NextPart_000_0076_01C97A7F.A19DABF0--
Respuesta Responder a este mensaje
#3 Guillermo Delprato [MS-MVP]
20/01/2009 - 10:50 | Informe spam
Martín hay varias consideraciones a tener en cuenta. Nombro algunas:

- Si a los sitios seguros van a acceder desde equipos que no pertencen a tu
red, es necesario que adquieras certificados de una autoridad certificadora
comercial, porque de otra forma a los externos les aparecerá una advertencia
sobre que el certificado no es confiable. Esta autoridad certificadora debe
estar reconocida en el programa de Microsoft.

- NUNCA pongas una autoridad certificadora en una DMZ. La autoridad
certificadora es una de los elementos que más debes proteger, y por lo tanto
no puede estar en la DMZ

- Para los sitios web, el certificado debe estar a nombre del sitio
(www.tudominio.sufijo)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Martin" wrote in message
news:
Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de mi
empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya existente
y funciona el sitio como https, pero al querer hacer lo mismo en otro
sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema, si
alguien me puedo ayudar, desde ya muchas gracias



Martin


Respuesta Responder a este mensaje
#4 Guillermo Delprato [MS-MVP]
20/01/2009 - 13:36 | Informe spam
Está lejos de ser ideal la estructura planteada orignalmente :-)

De todas formas, la autoridad certificadora en la red interna es mejor.
La obtención del certificado es una única vez, y luego sólo en las
renovaciones generalmente anuales.

Pones la regla en el FW, obtienes el certificado y luego ya la puedes
deshabilitar o sacar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Martin" wrote in message
news:
Ante todo gracias a todos por su colaboración.

Por lo tanto el escenario ideal seria el siguiente?



La autoridad certificadora la ubico en la LAN y creo una regla en el
Firewall para que el IIS que esta en la DMZ pueda acceder a la autoridad
certificadora de la LAN.

Permitiendo el Puerto: 80 para que el IIS puede descargar el certificado
de la autoridad certificadora alcanza o necesita algún otro puerto.

Gracias,

Martín



"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:OeB$
Martín hay varias consideraciones a tener en cuenta. Nombro algunas:

- Si a los sitios seguros van a acceder desde equipos que no pertencen a
tu red, es necesario que adquieras certificados de una autoridad
certificadora comercial, porque de otra forma a los externos les
aparecerá una advertencia sobre que el certificado no es confiable. Esta
autoridad certificadora debe estar reconocida en el programa de
Microsoft.

- NUNCA pongas una autoridad certificadora en una DMZ. La autoridad
certificadora es una de los elementos que más debes proteger, y por lo
tanto no puede estar en la DMZ

- Para los sitios web, el certificado debe estar a nombre del sitio
(www.tudominio.sufijo)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Martin" wrote in message
news:
Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de
mi empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de
Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya
existente y funciona el sitio como https, pero al querer hacer lo mismo
en otro sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema, si
alguien me puedo ayudar, desde ya muchas gracias



Martin









Respuesta Responder a este mensaje
#5 Martin
20/01/2009 - 14:08 | Informe spam
Ante todo gracias a todos por su colaboración.

Por lo tanto el escenario ideal seria el siguiente?



La autoridad certificadora la ubico en la LAN y creo una regla en el
Firewall para que el IIS que esta en la DMZ pueda acceder a la autoridad
certificadora de la LAN.

Permitiendo el Puerto: 80 para que el IIS puede descargar el certificado de
la autoridad certificadora alcanza o necesita algún otro puerto.

Gracias,

Martín



"Guillermo Delprato [MS-MVP]"
escribió en el mensaje news:OeB$
Martín hay varias consideraciones a tener en cuenta. Nombro algunas:

- Si a los sitios seguros van a acceder desde equipos que no pertencen a
tu red, es necesario que adquieras certificados de una autoridad
certificadora comercial, porque de otra forma a los externos les aparecerá
una advertencia sobre que el certificado no es confiable. Esta autoridad
certificadora debe estar reconocida en el programa de Microsoft.

- NUNCA pongas una autoridad certificadora en una DMZ. La autoridad
certificadora es una de los elementos que más debes proteger, y por lo
tanto no puede estar en la DMZ

- Para los sitios web, el certificado debe estar a nombre del sitio
(www.tudominio.sufijo)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Martin" wrote in message
news:
Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de
mi empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya
existente y funciona el sitio como https, pero al querer hacer lo mismo
en otro sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema, si
alguien me puedo ayudar, desde ya muchas gracias



Martin





Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida