Certificat per a servidor amb noms alternatius

25 Setembre 2018
Josep Ma Solanes 0

Últimament us haureu donat compte que els navegadors d’Internet moderns han començat a marcar webs com insegures tot i disposar d’un certificat. Això és deu principalment a sistemes de xifrat vulnerables, però també a la manca dels noms alternatius.

Veiem un exemple de certificat creat amb els mètodes tradicionals d’un entorn Microsoft Windows Server, demanant una plantilla estàndard des del Internet Information Server. A l’accedir a la web, si que s’indica que el protocol utilitzat és el HTTPS, però la web no és segura.

Obrint les eines de desenvolupador del navegador, en el cas del Google Chrome prement la tecla F12, seleccionant la pestanya Seguretat, indica quin és el problema amb el certificat:

  • No hi ha un nom alternatiu.
  • El nom comú no és vàlid.

A aquests errors també s’hi pot afegir el d’un xifrat fluix si no s’ha actualitzat l‘entitat certificadora perquè utilitzi algoritmes de xifrat més elevats.

En aquesta entrada s’explica com crear un nou certificat pel servidor mitjançant l’entitat certificadora de Microsoft Windows Server que actualitzi el nivell de xifrat i inclogui les caracterísitques de noms alternatius necessàries en els dies que corren.

Els passos a seguir:

Crear una plantilla nova de certificat per a servidors web

Per assegurar que els nous certificats utilitzen els mètodes de xifrat que actualment es poden considerar segurs, procedim a crear una nova plantilla personalitzada.

Des de l’administrador de l’entitat certificadora, localitzar la carpeta Plantilles de certificat, on es fan les següents operacions:

  • Es crearà una nova plantilla amb la configuració desitjada.
  • S’activarà aquesta plantilla a l’entitat certificadora.

Comencem creant una plantilla nova amb la configuració desitjada. Botó dret damunt la carpeta Plantilles de certificat i seleccionar Administrar.

S’obre una nova finestra on es visualitzen les plantilles de certificat que disposa l’entitat certificadora. Per crear una nova plantilla es fa a partir de les existents de l’entitat, duplicant-la i modificant els paràmetres que es necessiten.

En el cas que ens ocupa, per la creació d’un certificat de servidor, cal localitzar la plantilla Servidor Web. Observar que és una versió 4.1, molt inicial. Botó dret damunt de la plantilla Servidor Web i clicar a Duplicar plantilla.

El número de versió representa el nivell de compatibilitat de la plantilla amb els servidors i entitat de Microsoft Windows Server, d’un cop d’ull al llistat es pot descartar qui està actualitzat i qui no. Com més baix és el número, més compatible és amb sistemes antics i, per tant, mètodes de xifrat inferiors.

La nova plantilla que es crea, en la pestanya de compatibilitat, hi ha seleccionats els mètodes de compatibilitat amb l’entorn Windows Server 2003 que provenen de la configuració de la plantilla base que s’ha utilitzat.

La primera modificació a fer a la nova plantilla per servidor web és canviar el nivell de compatibilitat, tant de l’entitat certificadora com del servidor al què va destinat. Aquest canvi suposa ampliar les característiques i/o atributs del propi certificat.

L’entorn al què van dirigits els nous certificats és un entorn natiu Microsoft Windows Server 2016, pel què es seleccionarà aquest nivell de compatibilitat.

Entitat Certificadora: Windows Server 2016

S’adverteix dels canvis de compatibilitat de la plantilla. Simplement acceptem clicant el botó OK.

Repetir el procés pel certificat de servidor a emetre.

Ull, que ha de coincidir com a mínim amb la versió del servidor on s’ha d’instal·lar. És a dir, si el certificat el vull emetre per un servidor Windows Server 2016, puc escollir qualsevol versió. Ara bé, si el servidor és un Windows Server 2012 R2, no es podrà instal·lar un certificat generat per un Windows Server 2016.

Com que el certificat és per un servidor Windows Server 2016, seleccionar aquesta versió.

Un altre cop, advertències de compatibilitat, clicar el botó OK per acceptar-les i poder continuar.

Amb el nivell de compatibilitat correcte pels nous certificats definit es continua amb la personalització del mateix.

Seleccionar la pestanya General. On s’indica el nom descriptiu per la plantilla de certificat. Per exemple: Servidor Web 2016. El període de validesa del certificat: 2 anys i la finestra de temps per poder renovar el certificat abans de que caduqui: 6 setmanes. Indicar segons les vostres preferències.

No em poseu que el certificat tindrà una duració de 99 anys, que amb aquests períodes els ordinadors hauran superat la potència de càlcul perquè sigui vulnerable i, per tant, no tindrà cap utilitat.

Com què el certificat del tipus servidor ens pot interessar distribuir a altres servidors (en el cas de granges de servidors, instal·lació en dispositius externs o balancejadors), a l’apartat de Request handling, cal marcar el piscu que ens permet exportar el certificat amb la clau privada.

Configurar els algoritmes de xifrat a utilitzar. Clicar a la pestanya Criptografia. El primer que cal canviar amb urgència és el Proveïdor de xifrat. Recordar que la majoria de navegadors ja s’han actualitzat i els motors de xifrat antics, com els de defecte de Microsoft Windows Server 2003, es consideren invàlids.

Com a categoria del proveïdor, seleccionar Key Storage Provider.

L’algoritme també canvia segons el proveïdor seleccionat. Es pot deixar RSA. Pujar la mida de la clau a 4096 i també canviar el hash de la petició a SH512.

Amb el certificat configurat a nivell de compatibilitat i xifrat només queda assignar els permisos de qui pot demanar aquest tipus de certificat. Seleccionar la pestanya de Seguretat i clicar el botó Afegir.

Clicar el botó Tipus d’Objecte per canviar el valor a fi que es puguin seleccionar equips.

Desmarcar les opcions que hi ha i marcar Equips.

Indicar el nom del servidor que ha de tenir permisos per demanar aquest tipus de certificat.

Assignar els permisos de enroll i lectura.

Amb totes les modificacions realitzades a la plantilla és hora de guardar els canvis. Clicar el botó OK.

En el llistat de plantilles de certificat, assegurar que apareix la nova plantilla per autenticació de servidor. Tancar la consola de plantilles.

De nou a la consola d’administració de l’entitat certificadora, seleccionar la carpeta plantilles de certificat, on es visualitzen les plantilles disponibles per emetre certificats. Naturalment, la plantilla que s’ha creat anteriorment no apareix, perquè només s’ha creat com a plantilla.

Perquè l’entitat certificadora pugui emetre certificats amb la nova plantilla, cal habilitar-la. Botó dret damunt la carpeta de Plantilles de certificat, seleccionar Nou i Plantilla de certificat a emetre.

Seleccionar la plantilla de certificats que s’ha de poder emetre en l’entitat certificadora. En el llistat d’opcions ha d’aparèixer la nova plantilla de certificat que s’ha creat. Seleccionar-la i clicar el botó OK.

Ara sí ja hi ha la nova plantilla per autenticació de servidor per a Windows Server 2016 disponible per emetre certificats.

 

Demanar un certificat per servidor

Per demanar un certificat de servidor amb les noves característiques sento dir-vos que ja no es pot utilitzar la consola automàtica del Internet Information Server dels Microsoft Windows Server. En el seu lloc, s’ha d’accedir directament per la consola d’administració de certificats de l’equip amb permisos.

Des de l’escriptori, prèmer la combinació de tecles Windows + R o accedir a l’opció d’executar clicant amb el botó dret damunt el menú de Windows. Escriure mmc i clicar el botó OK per iniciar una nova consola d’administració buida.

S’inicia una consola d’administració buida a la que es carrega el Snap-In de certificats. Accedir al menú Fitxer i clicar a Afegir/treure snap-in.

Del llistat de complements Snap-In, seleccionar Certificats i clicar el botó Afegir.

Seleccionar el magatzem que ha de gestionar l’snap-in de certificats. Com que es vol crear un certificat pel servidor, seleccionar el compte d’equip i clicar el botó Següent.

El magatzem de certificats serà el del propi ordinador. Deixar seleccionat equip local i clicar el botó Finalitzar.

Amb la consola oberta pel magatzem de certificats de l’equip local, localitzar la carpeta personal. Botó dret damunt d’aquesta, clicar a totes les tasques i seleccionar Nova petició de certificat.

S’inicia l’assistent per demanar un nou certificat. Clicar el botó Següent per continuar.

Indicar la política de petició del certificat, deixar seleccionat Active Directory i clicar el botó Següent per continuar.

Seleccionar la plantilla de certificat que s’ha de demanar, la que correspongui que s’ha creat en el pas anterior, en l’exemple Servidor Web 2016.

Si aquesta no apareix en el llistat, alguna cosa s’ha fet malament a l’entitat certificadora:

  • La plantilla del certificat no està correctament publicada dins l’entitat certificadora.
  • L’equip des de la què es demana no té permisos per demanar-la.
  • La versió del sistema operatiu des d’on es demana el certificat és inferior al seleccionat pel certificat.

Veureu que hi ha un símbol d’advertència a la plantilla, això indica que cal completar dades MANUALMENT per poder emetre el certificat. Clicar damunt de la línia d’advertència per accedir a l’apartat de dades a completar.

A la pestanya Subject omplir els dos apartats: Subject name i Alternative name.

Començant pel Subject Name, anar seleccionant el tipus de valor, assignar-li el valor i clicar al botó afegir.

Per exemple, pel common name (nom comú que identifica el servidor amb el de la URL de connexió a l’equip), seleccionar Common name i a valor introduir: www.jmsolanes.net Clicar el botó Afegir per guardar aquest valor.

Repetir el procés per la resta d’atributs:

  • Organization: Nom del propietari que apareix al certificat.
  • Unitat organitzativa
  • Locality
  • State
  • Country: ES (recordar que correspon al valor ISO del país).

Noms alternatius, necessari perquè els navegadors ens validin correctament el certificat. De la llista d’opcions, seleccionar el tipus DNS.

Afegir el valor, encara que sembli repetit, del common name.

Si el certificat és per una web que també es resolt pel nom del domini, afegir el valor corresponent al propi domini, o els equips dels què s’hagi de servir (seria el cas d’un servidor de Microsoft Exchange).

Amb els atributs definits, des de la pestanya General, indicar el nom identificatiu que apareixerà en el magatzem de certificats de l’equip o al llistat de certificats de l’entitat certificadora. No té efectes pròpiament, només és per la seva identificació.

Donar una ullada a la pestanya de Clau privada per comprovar que el proveïdor de criptografia és el Key Storage Provider, que la mida de la clau de xifrat serà la definida a la plantilla de 4096 i la clau pública es podrà exportar a un altre equip.

Amb aquestes dades ja es pot demanar el certificat a l’entitat certificadora. Clicar el botó OK.

Tornant al llistat ha desaparegut l’advertència de la plantilla. Clicar el botó Enroll per fer la solicitud i inscripció automàtica.

Perfecte, ja s’ha creat el certificat demanat. Clicar el botó Finish per tancar l’assistent.

Tornant a la consola principal d’administració de certificats, desplegant la carpeta Personal > Certificat es visualitza el nou certificat instal·lat a l’equip.

Comprovant els detalls clicant dos cops damunt d’ell i accedint a la pestanya Detalls. En el llistat d’atributs localitzar el Subject Alternative Names on s’han de visualitzar els diferents noms alternatius que s’han assignat.

Altres valors a comprovar són que la clau privada sigui de 4096 bits i l’algoritme de hash sigui l’indicat.

Assignar un certificat al servidor web Microsoft Internet Information Server (IIS)

Des de l’administrador del Internet Information Server, accedir al lloc on es vol assignar.

Clicar amb el botó dret damunt del lloc i seleccionar Editar enllaços.

Clicar el botó Afegir per activar el protocol HTTPS.

Seleccionar el protocol https i associar el certificat que s’acaba de crear en el pas anterior.

Tancar els quadres de diàleg clicant el botó OK i tancar.

 

Comprovar el certificat de servidor amb un navegador

Simplement accedint a la web de forma segura amb un navegador web, aquest tanca correctament la connexió, identificant el lloc web com a segur. Si no ho fa, assegureu-vos que confieu amb l’entitat certificadora que ha emés el certificat.

Obrint la consola de desenvolupament, amb Google Chrome prement la tecla F12, seleccionar la pestanya Seguretat, es pot comprovar que el certificat del servidor ara passa tots els tests del navegador.

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada