Habitualmente, los certificados se expiden para un nombre (subject o CN) específico, como podría ser www.MIDOMINIO.es. En consecuencia, si deseamos tener múltiples servicios Web, deberíamos solicitar o comprar múltiples certificados (ej: correoweb.MIDOMINIO.es, extranet.MIDOMINIO.es, download.MIDOMINIO.es, etc.). Sin embargo, es posible solicitar un único Certificado para utilizarlo en múltiples Sitios Web, gracias a los Certificados Wildcard, pudiendo especificar un comodín en el subject o CN del certificado (ej: *.MIDOMINIO.es).
Importante destacar algo de estos certificados Wildcard que no me gusta mucho. No funcionan cuando utilizamos únicamente la raíz del dominio, por ejemplo “MIDOMINIO.com” sin nada por delante.
Solicitar un Certificado Wildcard
Accedemos al manager de nuestro servidor IIS. En el menú izquierdo nos colocamos en la raíz de nuestro servidor y accedemos a la opción “IIS > Certificados de servidor”.
En el menú de la derecha disponemos de la opción “Crear solicitud de certificado”.
En las propiedades de la solicitud es necesario completar los siguientes campos:
- Nombre común: El nombre del dominio para el que vayamos a solicitar el certificado. Para solicitar un certificado multidominio seria por ejemplo: *.midominio.com
- Organización: El nombre de su empresa u organización
- Unidad organizativa: Su departamento
- Ciudad, Provincia y País.
En el apartado de Proveedor de Servicios Criptográficos deje los campos que aparecen por defecto. Debe seleccionar una longitud de clave mayor o igual a 2048 bits.
En la siguiente pantalla especifique la ubicación y nombre de fichero donde se va a almacenar la solicitud y completamos el asistente.
Editamos el fichero de la petición que deberá tener un contenido parecido al de la imagen. Seleccionamos y copiamos el contenido completo del fichero incluyendo las líneas de los encabezados BEGIN y END.
Tramitar un Certificado Wildcard a través de una CA
Habitualmente, tramitaremos las solicitudes de certificados a través de Entidades Certificadoras (Certificacion Autority ó CA) externas o de confianza, al menos, para aquellos servicios públicos que necesitemos ofrecer. Las Entidades Certificadoras privadas, son más propias para entornos privados, esto es, para servicios disponibles sólo para los empleados, o empleados y terceros asociados a nuestra empresa, ya que una CA privada no viene de serie como CA en los navegadores convencionales (ej: Internet Explorer o FireFox), y por defecto, no suelen considerarse de confianza.
Para el caso de este artículo, he utilizado una Entidad Certificadora de pruebas.
Como usuarios que somos, vamos a enviar la petición de certificado a nuestra CA. En el caso de una CA basada en Windows Server, se dispone de una Aplicación Web en dicha CA a través del directorio virtual CertSrv, que expone la aplicación que utilizaremos para enviar la solicitud de nuestro certificado Wildcard. Para ello, a través de un navegador (ej: Internet Explorer), accederemos a esta URL, en nuestro caso:
http://localhost/CertSrv
o tambien
http://servidor.dominio.local/CertSrv
o cualquier otra nos venga en gana
Seleccionamso las siguientes opciones en el asistente web:
- Solicitar un certificado
- Solicitud avanzada de certificado
- Enviar una solicitud de certificado con un archivo codificado en base64 CMC o PKCS #10 o una solicitud de renovación con un archivo codificado en base64 PKCS #7.
Solo nos queda pegar en el cuadro de texto el
Descargamos el certificado generado y los guardamos en nuestro equipo dándole un nombre de fichero descriptivo que nos interese.
Si accedemos con el manager de nuestra entidad de certificación podremos ver en el apartado “Certificados emitidos” el certificado que acabamos de generar.
Instalar el certificado multidominio en IIS
Volvemos de nuevo al manager de nuestro servidor IIS en Certificados de servidor, pero esta vez en el menú de la derecha seleccionaremos la opción “Completar solicitud de certificado”.
- Nombre del archivo: Seleccionamos el archivo de certificado que acabamos de generar.
- Nombre descriptivo: Este nombre no es importante, se utiliza únicamente para poder facilitar la administración si tenemos varios certificados y queremos diferenciarlos con alguna descripción.
- Almacén: Hospedaje de sitios web
Después de aceptar nuestro certificado debe estar disponible en la lista de certificados de nuestro IIS listo para ser utilizado en los sitios web del servidor.
Utilizar el certificado multidominio en nuestros sitios Web
Una vez instalado, deberá asignar el certificado al sitio web correcto. Para ello seleccione en la zona izquierda de la pantalla en la rama “Sitios” seleccionamos el sitio en el que vamos a utilizar el certificado de servidor instalado anteriormente. En la parte derecha (Acciones), seleccione “Enlaces”.
En el asistente de enlaces, seleccionaremos modificar o agregar si no está ya creado, el tipo de conexión mediante https vinculando a la misma nuestro certificado.
- Tipo:
- https
- Puerto:
- 443 puerto estándar para las conexiones seguras con certificado.
- Nombre de host:
- En este caso lo podemos dejar en blanco para que atienda todas las solicitudes.
- Certificado SSL:
- En este desplegable debe seleccionar el certificado utilizar. Selecciona el nombre que asignó en el último paso de la instalación.
Utilizar certificado multidominio en nuestro navegador Web
Cuando accedemos a nuestro sitio web mediante conexión segura https nos indica problemas de certificado porque no se puede comprobar el certificado en una entidad de certificación de confianza.
Para solucionar este problema es necesario que nuestra entidad emisora de certificados sea de confianza y de esta forma nuestro navegador acepte los certificados emitidos desde esta entidad certificadora. Tal como hicimos anteriormente accedemos mediante el navegador a nuestra entidad certificadora CA con la siguiente URL o alguna otra.
En esta ocasión seleccionaremos la opción “Descargar un certificado de CA, cadena de certificados o lista de revocación”.
En la siguiente ventana del asistente seleccionaremos “Descargar certificado de CA”.
Descargamos el fichero con nuestro certificado *.cer y ya disponemos de nuestro certificado para le entidad certificadora de raíz CA.
El siguiente paso es instalar el certificad de la raíz CA en nuestro equipo. Para ello simplemente hacemos doble click en el certificado para abrirlo y pinchamos en el botón que pone “Instalar certificado…”.
Una de las pantallas del asistente nos pregunta en que almacén de certificados deseamos almacenar el nuevo certificado. Deberemos seleccionar “Entidades de certificación raíz de confianza”
Siguiendo con los pasos debería decirnos que el certificado se ha instalado con éxito.
Ahora al acceder con el navegador a nuestra web mediante https considerara que el certificado de nuestro sitio web es de confianza y no nos mostrara ninguna advertencia.