Actualizar-Generar certificado Web SSL en IIS 7

Marc Rubiño — Fri, 04 Jun 2010 11:00:00 GMT

Estos días me a tocado renovar nuestro certificado SSL con el proveedor thawte y como no existe mucha información he decidido crear un mini tutorial explicando los pasos necesarios para realizar este mantenimiento. Para versiones anteriores del IIS podéis acceder a http://support.microsoft.com/kb/295281/es .

Para empezar aclararemos que con IIS7 es mucho más fácil renovar o generar el certificado, pero si no estas familiarizado con el panel de control es posible que te cueste un poco encontrar las opciones.

Comencemos:

1º Generar el fichero CSR

Tanto para generar un nuevo certificado como para renovarlo es probable que nos pidan un fichero para la solicitud de firma (.CSR) “dependiendo del proveedor”. Para esto tendremos que ir al panel de control de nuestro IIS. Seleccionar el servidor y en el apartado de seguridad seleccionar los certificados existentes.

Obtendremos la lista de certificados instalados en el servidor. Y seleccionamos la opción que necesitemos, en mi caso crear solicitud de certificado para generar el fichero CSR.

Rellenamos todos los campos:

Nombre común: “Muy Importante” Nombre del dominio completo o URL. Por ejemplo, un certificado SSL emitido por "www.tuEmpresa.com" no será válido para "secure.tuEmpresa.com". Si la dirección Web que se utilizará para SSL es "secure.tuEmpresa.com," garantizar que el nombre común presentada en la RSE es "secure.tuEmpresa.com". Para todos los subdominios puedes utilizar el * por ejemplo, "*. tuEmpresa.com" o "www *. tuEmpresa.com”.
Organización: Nombre de la empresa.
Unidad Organizativa: Departamento encargado del soporte por ejemplo “Departamento web”.
Ciudad o Localidad: Ciudad de contacto de la empresa.
Estado o Provincia: provincia de contacto de la empresa.
País o región: País de contacto de la empresa.

Seleccionar el proveedor de servicios criptográficos RSA 1024 bits y guardar el fichero con extensión CSR.

Se generará un fichero de este tipo “alterado ;-)”, que es el que se tiene que enviar a nuestro proveedor para generar la firma del certificado.

2º Instalar el Certificado en el servidor

Una vez que nuestro proveedor haya aceptado nuestro certificado web SSL ya lo podemos instalar en nuestro servidor web.

Nos pueden enviar el fichero o el texto del certificado, si es así tan sólo tenemos que generar un fichero de texto pegar el contenido y modificar la extensión por .CER para tener preparado el certificado para su instalación.

Volvemos al panel de control del IIS –> certificados –> completar solicitud de certificado.

Buscamos el fichero y lo añadimos a la lista de certificados del servidor.

3º Configurar nuestro sitio web HTTPS

Si estamos configurando un nuevo sitio tenemos que habilitar el protocolo HTTPS y si ya lo teníamos configurado solo tenemos que modificar el certificado que utilizamos en el sitio web.

Seleccionamos el protocolo HTTPS para modificar la configuración.

Seleccionamos el nuevo certificado SSL que utilizará el sitio web.

Certificado renovado o instalado con éxito !!!

Nuestro sitio web ya está utilizando el nuevo certificado SSL correctamente y ya no nos tenemos que preocupar hasta el año que viene ;-)

Espero que este mini tutorial os sea de ayuda.

Consultar un recurso Https con error en el certificado

Marc Rubiño — Wed, 23 Sep 2009 22:09:00 GMT

Han habido varias consultas en el foro MSDN sobre como poder consultar un recurso web aunque el servidor que utiliza el protocolo https tenga el certificado caducado.

En esta entrada pondré un ejemplo muy simple que se puede utilizar para este menester.

Lo primero que he realizado es un proyecto web que utiliza una clase para enviar una petición xml, por ejemplo si quisiera consumir un servicio web XML en php que no dispone de una descripción pública del interfaz “WSD”

La clase se llama Conector y utiliza un método estático que utiliza la clase HttpWebResponse para hacer la petición Http y devuelve el resultado obtenido de la petición como un string.

EDITADO (25.09.2009):

Gracias al comentario de eccho me he dado cuenta que la clase CertificatePolicy está en desuso “eso pasa por sacar temas del baúl sin hacer el repaso necesario de las librerías”. hora se recomienda el uso de ServerCertificateValidationCallback, que obtiene o establece la devolución de la llamada para validar un certificado de servidor.

public static string PostXml(string url, string xml, string certificado, string user, string pass)
{
        string resultado = "";
        byte[] bytes = System.Text.Encoding.UTF8.GetBytes(xml);
        HttpWebRequest request = (HttpWebRequest)WebRequest.Create(url);

        if (!string.IsNullOrEmpty(user) && !string.IsNullOrEmpty(pass))
            request.Credentials = new NetworkCredential(user, pass);
        else
            request.Credentials = new NetworkCredential();

        if (!string.IsNullOrEmpty(certificado))
        {
            try
            {
                X509Certificate certificate = X509Certificate.CreateFromSignedFile(certificado);
                request.ClientCertificates.Add(certificate);

                System.Net.ServicePointManager.ServerCertificateValidationCallback 
+= new System.Net.Security.RemoteCertificateValidationCallback(customXertificateValidation);

            }
            catch (Exception)
            {
                throw new Exception("Error al generar el certificado de cliente. " + certificado);
            }

        }

        request.Method = "POST";
        request.ContentLength = bytes.Length;
        request.ContentType = "text/xml";
        using (System.IO.Stream requestStream = request.GetRequestStream())
        {
            requestStream.Write(bytes, 0, bytes.Length);
        }

        using (HttpWebResponse response = (HttpWebResponse)request.GetResponse())
        {
            if (response.StatusCode != HttpStatusCode.OK)
            {
                string message = String.Format("POST failed. Received HTTP {0}",
                response.StatusCode);
                throw new ApplicationException(message);
            }

            //Mostramos la respuesta de la Página
            using (System.IO.StreamReader sr = new System.IO.StreamReader(
                response.GetResponseStream(), System.Text.Encoding.Default))
            {
                resultado = sr.ReadToEnd();
            }
        }

        return resultado;

}

A este método se le pasan varios parámetros:

url –> url a donde haremos la petición-
xml –> texto XML que espera el servidor.
certificado –> ruta física donde tenemos guardado el fichero de certificación.
user –> usuario si necesitamos credenciales de red
pas –> contraseña del usuario de red.

Cabe destacar que para poder conectar con el servidor HTTPS necesitamos el certificado de cliente correcto. Para conseguirlo lo podemos descargar directamente de la web.

1. Accedemos al recurso https “puede que el certificado esté caducado y de un error” seleccionamos Vaya a este sitio web (no recomendado)

2. Seleccionamos ver el certificado

3. guardamos el certificado en el disco.

Una vez guardado el certificado ya podemos hacer la llamada al recurso web.

protected void Button1_Click(object sender, EventArgs e)
{
   string respuesta = Conector.PostXml("https://test2.com/",
      "<test><dato></dato></test>", 
      "c\\certificado.cer","winUser","PassUser");
        
}

Pero si el certificado no es correcto o está caducado no nos permite hacer la consulta !!!

Entonces lo que tenemos que hacer es personalizar la validación del certificado para que nos devuelva el valor que nos interese en cada caso.

Utilizaremos el delegado ServerCertificateValidationCallback para lanzar la validación personalizada del certificado y en nuestro caso devolver true.

ServicePointManager.ServerCertificateValidationCallback 
+= new System.Net.Security.RemoteCertificateValidationCallback(customXertificateValidation);

public static bool customXertificateValidation(object sender,
 System.Security.Cryptography.X509Certificates.X509Certificate cert, 
System.Security.Cryptography.X509Certificates.X509Chain chain, 

System.Net.Security.SslPolicyErrors error)
{
        //return false;
        return true;
}

Esta clase se podría personalizar más para que dependiendo del error devuelva verdadero o falso, gracias a la enumeración con los tipos de error.

public enum CertificateProblem : long
{
    CertEXPIRED = 0x800B0101,
    CertVALIDITYPERIODNESTING = 0x800B0102,
    CertROLE = 0x800B0103,
    CertPATHLENCONST = 0x800B0104,
    CertCRITICAL = 0x800B0105,
    CertPURPOSE = 0x800B0106,
    CertISSUERCHAINING = 0x800B0107,
    CertMALFORMED = 0x800B0108,
    CertUNTRUSTEDROOT = 0x800B0109,
    CertCHAINING = 0x800B010A,
    CertREVOKED = 0x800B010C,
    CertUNTRUSTEDTESTROOT = 0x800B010D,
    CertREVOCATION_FAILURE = 0x800B010E,
    CertCN_NO_MATCH = 0x800B010F,
    CertWRONG_USAGE = 0x800B0110,
    CertUNTRUSTEDCA = 0x800B0112
}

Con esto tenemos todo lo necesario para que nuestro ejemplo esté funcionando perfectamente.

Espero que sea de utilidad.