Ir al contenido

Microsoft IIS

Información general

Esta guía de uso integrado con MS IIS (Microsoft Internet Information Services) se ha elaborado utilizando las versiones de software y firmware que se indican a continuación:

  • SO: Windows Server 2019 (español)
  • IIS: 10
  • Firmware HSM: 5.0.26.0 (o superior)
  • Cliente HSM: 4.7.30 (o superior)
  • Utilidad hsmutil: 4.7.30 (o superior)

Requisitos

  1. Conectividad con el HSM (puerto TCP 4433).
  2. Software cliente HSM instalado (consulte el tema de Windows).
  3. Descargada la utilidad hsmutil.exe (consultar aquí).
  4. Servicio HSM iniciado.
  5. Cuenta Windows con permisos de administración local.
  6. Credenciales de la partición HSM donde se creará o importará la clave privada.
  7. Es posible que tenga que reiniciar Windows (para cargar la configuración de la máquina local).

Clave generada en HSM

Clave y CSR generados en HSM a través de IIS Manager.

  1. Dinamo Cree unCrypto Provider de tipo RSA Channel (tipo 12) utilizando la siguiente entrada de registro.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Dinamo SChannel Cryptographic Provider]
"Image Path"="tacndcsp.dll"
"type"=dword:0000000c

  2. Configure los parámetros MS CAPI con las credenciales de la partición HSM en la consola GUI (Dinamocon).

    Configure la dirección IP, el nombre y la contraseña de una partición en el HSM; y active CNG. La clave privada se generará en esta partición.

    Nota

    Mantenga desmarcada la opción Configuración de máquina local.

    Configuración de MS CAPI
    Configuración de MS CAPI

  3. Abra la pantalladel Administrador de IIS

    Director del SIE
    Administrador de IIS

  4. En la pantalla de inicio del Administrador de IIS, abra la opción Certificados de servidor.

    _IIS Manager_, gestión de certificados
    Administrador de IIS, gestión de certificados

  5. Utilice la opción Crear solicitud de certificado... para generar una CSR(Certificate Signing Request).

    _IIS Manager_, creación de certificados
    Administrador de IIS, creación de certificados

  6. Rellene la información de los campos que compondrán el certificado.

    _IIS Manager_, campos de certificado
    Administrador de IIS, campos de certificado

  7. Dinamo Elija el Crypto Provider de y el tamaño de la clave privada

    _IIS Manager_, selección de proveedores Dinamo
    Administrador de IIS, selección de proveedores Dinamo

  8. Escriba la ruta y el nombre del archivo con el CSR generado.

    _IIS Manager_, ruta del archivo CSR
    Administrador de IIS, ruta del archivo CSR

    Archivo CSR
    -----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

    Se generará una clave privada RSA en la partición HSM. El nombre (id) de esta clave lo define el Administrador de IIS. Identifique y anote el nombre de la clave generada, se utilizará más adelante. Puede ser útil dejar que la consola CLI hsmcon.exe (línea de comandos) muestre la actividad del HSM en tiempo real (opción Logs/Follow) para identificar el nombre/id de la clave privada generada.

    Registro HSM
    2021/02/16 17:45:21 00003CE8 00039289 000A3309 session thread up [3]
2021/02/16 17:45:21 00003CE8 0003928A 678CC86D e-conn: 208.115.199.22|208.115.199.22 10.61.53.  60:443 -
2021/02/16 17:45:21 00003CE8 0003928B 000A3309 session thread down [2]|208.115.199.22 10.61.53. 60:443 -
2021/02/16 17:45:24 00003CE7 0003928C DCED7818 new key iispart/CSP0670045F, t: 6, a: 00000001,  c: 31|10.61.53.163 10.61.53.60:4433 iispart
2021/02/16 17:45:24 00003CE7 0003928D DCED7818 R_COOR trying to setup 12EAD6FB1E46ABCB 04|10.61.   53.163 10.61.53.60:4433 iispart
2021/02/16 17:45:24 00003CE7 0003928E DCED7818 R_COOR prepared 12EAD6FB1E46ABCB 04|10.61.53.163    10.61.53.60:4433 iispart
2021/02/16 17:45:24 00003CE7 0003928F DCED7818 iispart/CSP0670045F created|10.61.53.163 10.61.  53.60:4433 iispart
                                               ^^^^^^^ ^^^^^^^^^^^ ^^^^^^^ # (1)!
2021/02/16 17:45:24 00003CE7 00039290 DCED7818 pk iispart/CSP0670045F!F7md3iGOTL34+gRTEo/4okX   +CR719IPywZ2+yqVpegc=, c: 31|10.61.53.163 10.61.53.60:4433 iispart
    1. Generación de claves en HSM

  9. Lleve la CSR a una Autoridad de Certificación (CA) para que emita el certificado.

    Este paso es externo y depende completamente del procedimiento de la CA elegida. Anote la ruta y el nombre del certificado (archivo *.cer) recibido de la CA.

  10. En IIS Manager utilice la opción Complete Certificate Request....

    _IIS Manager_, complete el proceso de solicitud de certificado
    IIS Manager, complete el proceso de solicitud de certificado

  11. Informar al archivo del certificado emitido por la CA.

    _IIS Manager_, informe de la ruta del archivo de certificado recibido por la CA
    IIS Manager, informe de la ruta del archivo de certificado recibido por la CA

  12. Al final del proceso, el certificado debería aparecer en el Administrador de IIS para su uso en sitios gestionados por IIS.

    _IIS Manager_, lista de certificados SSL
    IIS Manager, lista de certificados SSL

    Nota

    El Administrador de IIS asociará la clave privada y el certificado con el Proveedor CSP en la cuenta del usuario. En el siguiente paso, esta asociación se volverá a realizar para el Proveedor CNG y en la cuenta de la máquinalocal.

  13. Dinamo (Re)asocie la clave con el certificado en el proveedor CNG en la cuenta de la máquina local utilizandohsmutil.exe. Esta reasociación es necesaria para que el Servicio de subsistema de autoridad de seguridad local de Windows pueda utilizar la clave generada en HSM.

    Executar o utilitário hsmutil.exe com os parâmetros abaixo. Os valores de <id da chave no HSM> e <hash/fingerprint do certificado> devem ser substituídos conforme explicado a seguir.

    hsmutil -j certassignkey -csp "Dinamo HSM Cryptographic Provider" -store local_machine -repo My    -container <id da chave no HSM> -keyspec cng -certhash <hash/fingerprint do certificado>

    O <id da chave no HSM> é nome da chave privada gerada no passo acima e identificada. Ele é mostrado também na lista de chaves da partição escolhida do HSM.

    Clave RSA en HSM
    Dinamo - Remote Management Console v. 4.7.29.0 2018 (c) Dinamo Networks

HSM 10.61.53.60 e - Engine 5.0.27.0 (DCD) - TCA0000000  - ID iispart
                                                                ^^^^^^^

Keys/Objects - List


Name                                      Type                 T E Label
================================================================================
CSP0670045F                               rsa2048              n y
^^^^^^^^^^^ # (1)!

Total of objects: 1

Press ENTER key to continue...
    1. Clave RSA en HSM

    O <hash/fingerprint do certificado> pode ser verificado diretamente no certificado emitido pela AC, usando o utilitário do Windows certutil (linha de comando) ou abrindo o arquivo do certificado no visualizador do Windows.

    Verificación del hash del certificado
    PS > certutil <arquivo do certificado> | Select-String 'Cert Hash\(sha1\):'

Cert Hash(sha1): fe8c1b7e672edbc7004a177bc4fad5244c91f4b9

    Hash o huella del certificado
    Hash o huella del certificado

    Ejemplo de utilización del comando de asociación
    hsmutil -j certassignkey -csp "Dinamo HSM Cryptographic Provider" -store local_computer -repo   My -container CSP0670045F -keyspec cng -certhash fe8c1b7e672edbc7004a177bc4fad5244c91f4b9

  14. Cambiar la configuración de MS CAPI para la cuenta de la máquina local.

    En la consola del cliente HSM (Dinamocon), active la opción de configuración Máquina local.

    Configuración de MS CAPI con configuración de cuenta de máquina local
    Configuración de MS CAPI con configuración de cuenta de máquina local

    Nota

    La prueba de conexión dejará de funcionar porque la configuración se transfiere de la cuenta del usuario conectado a la cuenta de la máquina local.

  15. En el Administrador de IIS vaya al sitio (en la rama Sitios) donde el protocolo HTTPS estará vinculado con el certificado. Por ejemplo, el Sitio Web Predeterminado.

    _Administrador de IIS_, _Sitio web predeterminado_, opción _Binding_.
    Administrador de IIS, Sitio Web predeterminado, Opción de enlace

  16. En la opción Vinculaciones..., haga clic en Añadir para crear una nueva vinculación

    _Administrador de IIS_, _Sitio web predeterminado_, _Enlaces_
    Administrador de IIS, sitio web predeterminado, enlaces

  17. En la pantalla Add Site Binding, en Type seleccione https y en SSL Certificate seleccione el certificado emitido por la CA e importado anteriormente.

    Administrador _IIS_, _Sitio Web predeterminado_, Detalles del nuevo _Enlace_.
    Administrador de IIS, Sitio Web predeterminado, Detalles del nuevo enlace

  18. Pruebe la configuración accediendo con el navegador a la dirección del sitio web configurado.

    Desde un navegador, compruebe que se puede acceder a la dirección del sitio web configurado a través del protocolo https. Compruebe que el certificado utilizado es el configurado anteriormente.

    Para esta comprobación, puede ser útil dejar la consola CLI hsmcon.exe (línea de comandos) mostrando la actividad del HSM en tiempo real (opción Logs/Follow) y comprobando que se está activando la clave privada para cerrar el túnel SSL.

    Registros en HSM
    2021/02/16 19:45:05 00003F80 00039C37 13D1B59C iispart auth init, c: 41|10.61.53.163 10.61.53.  60:4433 -
2021/02/16 19:45:05 00003F80 00039C38 13D1B59C iispart auth ok, 10.61.53.163, 6|10.61.53.163 10.   61.53.60:4433 -
                                               ^^^^^^^ # (1)!
2021/02/16 19:45:05 00003F80 00039C39 13D1B59C rsa CSP0670045F!F7md3iGOTL34+gRTEo/4okX +CR719IPywZ2+yqVpegc=, c: 41|10.61.53.163 10.61.53.60:4433 iispart
                                               ^^^ ^^^^^^^^^^^ # (2)!
2021/02/16 19:45:05 00003F80 00039C3A 13D1B59C e-conn: 10.61.53.163|10.61.53.163 10.61.53.   60:4433 iispart
2021/02/16 19:45:05 00003F80 00039C3B 000A3309 session thread down [5]|10.61.53.163 10.61.53.   60:4433 iispart
    1. Autenticación HSM
    2. Uso de la llave en el HSM

Clave generada fuera del HSM

  1. Configure los parámetros MS CAPI con las credenciales de la partición HSM en la consola GUI (Dinamocon).

    Configure la dirección IP, el nombre y la contraseña de una partición en el HSM; y active CNG. La clave privada se generará en esta partición.

    Nota

    Mantenga desmarcada la opción Configuración de máquina local.

    Configuración de MS CAPI
    Configuración de MS CAPI

  2. Importe el archivo .pfx a HSM con la consola hsmcon.exe (línea de comandos).

    Anote el nombre de la clave privada y el certificado importados en el HSM.

    Importación de un archivo .pfx a HSM
    Dinamo - Remote Management Console v. 4.7.30.0 2018 (c) Dinamo Networks

HSM 10.61.53.60 e - Engine 5.0.27.0 (DCD) - TCA0000000  - ID iispart

Keys/Objects - Import - Asymmetric Keys - PKCS#12

File (local) : iispart.pfx
Private key password : ********
Exportable (y/[n]):
Define an Usage Profile (y/[n]):
Private key name : sslkey
X.509 certificate name (HSM) : sslcert
Public key name (ENTER for none) :

File loaded successfully.

Press ENTER key to continue...

  3. Exporte el certificado HSM a un archivo (.cer) con la consola hsmcon.exe (línea de comandos).

    Exportar el certificado
    Dinamo - Remote Management Console v. 4.7.30.0 2018 (c) Dinamo Networks

HSM 10.61.53.60 e - Engine 5.0.27.0 (DCD) - TCA0000000  - ID iispart

Keys/Objects - Export - Certificate / PKCS#7 / File

Name (HSM) : sslcert
Output File (local) (ENTER to dump on screen) : ssliss.cer

File exported successfully.

Press ENTER key to continue...

  4. Importe el certificado (.cer) al repositorio del equipo local utilizando el complemento para certificados (equipo local) desde la Consola de administración de Microsoft (MMC) de Windows en el equipo local.

    Nota

    Importe el archivo .cer (certificado), no el archivo .pfx (clave privada).

    MMC, añada un Snap-in
    MMC, añada un Snap-in

    MMC, seleccione Certificate Snap-in
    MMC, seleccione Certificate Snap-in

    MMC, seleccione certificados de máquina local
    MMC, seleccione certificados de máquina local

    MMC, importar el certificado
    MMC, importar el certificado

    MMC, informe de la ruta del archivo de certificado
    MMC, informe de la ruta del archivo de certificado

    MMC, confirme la selección de Mi
    MMC, confirme la selección de Mi

    MMC, lista de certificados
    MMC, lista de certificados

    Nota

    El icono del certificado en la lista no muestra una clave, ya que sólo se ha importado el certificado.

  5. Dinamo (Re)asocie la clave con el certificado en el proveedor CNG en la cuenta de la máquina local utilizandohsmutil.exe. Esta reasociación es necesaria para que el Servicio de subsistema de autoridad de seguridad local de Windows pueda utilizar la clave generada en HSM.

    Ejecute la utilidad hsmutil.exe con los parámetros que se indican a continuación.

    hsmutil -j certassignkey -csp "Dinamo HSM Cryptographic Provider" -store local_computer -repo   My -container <id da chave no HSM> -keyspec cng -certhash <hash/fingerprint do certificado>

    O <id da chave no HSM> é nome da chave privada importada no passo acima e identificada.

    O <hash/fingerprint do certificado> pode ser verificado diretamente no certificado emitido pela AC, usando o utilitário do Windows certutil (linha de comando) ou abrindo o arquivo do certificado no visualizador do Windows.

    PS > certutil <arquivo do certificado> | Select-String 'Cert Hash\(sha1\):'

Cert Hash(sha1): fe8c1b7e672edbc7004a177bc4fad5244c91f4b9

    Hash o huella del certificado
    Hash o huella del certificado

    Ejemplo de utilización del comando de asociación: 

    hsmutil -j certassignkey -csp "Dinamo HSM Cryptographic Provider" -store local_computer -repo   My -container sslkey -keyspec cng -certhash fe8c1b7e672edbc7004a177bc4fad5244c91f4b9

    Una vez que el certificado y la clave privada se hayan asociado correctamente, el icono del certificado de la lista de la ventana gráfica MMC debería mostrar una clave.

    MMC, lista de certificados, con indicación de la clave asociada
    MMC, lista de certificados, con indicación de la clave asociada

  6. Cambiar la configuración de MS CAPI para la cuenta de la máquina local.

    En la consola del cliente HSM (Dinamocon), active la opción de configuración Máquina local.

    Configuración de MS CAPI con configuración de cuenta de máquina local
    Configuración de MS CAPI con configuración de cuenta de máquina local

    Nota

    La prueba de conexión dejará de funcionar porque la configuración se transfiere de la cuenta del usuario conectado a la cuenta de la máquina local.

  7. En el Administrador de IIS vaya al sitio (en la rama Sitios) donde el protocolo HTTPS estará vinculado con el certificado. Por ejemplo, el Sitio Web Predeterminado.

    _Administrador de IIS_, _Sitio web predeterminado_, opción _Binding_.
    Administrador de IIS, Sitio Web predeterminado, Opción de enlace

  8. En la opción Vinculaciones..., haga clic en Añadir para crear una nueva vinculación

    _Administrador de IIS_, _Sitio web predeterminado_, _Enlaces_
    Administrador de IIS, sitio web predeterminado, enlaces

  9. En la pantalla Add Site Binding, en Type seleccione https y en SSL Certificate seleccione el certificado emitido por la CA e importado anteriormente.

    Administrador _IIS_, _Sitio Web predeterminado_, Detalles del nuevo _Enlace_.
    Administrador de IIS, Sitio Web predeterminado, Detalles del nuevo enlace

  10. Pruebe la configuración accediendo con el navegador a la dirección del sitio web configurado.

    Desde un navegador, compruebe que se puede acceder a la dirección del sitio web configurado a través del protocolo https. Compruebe que el certificado utilizado es el configurado anteriormente.

    Para esta comprobación, puede ser útil dejar la consola CLI hsmcon.exe (línea de comandos) mostrando la actividad del HSM en tiempo real (opción Logs/Follow) y comprobando que se está activando la clave privada para cerrar el túnel SSL.

    Registros en HSN
    2021/02/16 19:45:05 00003F80 00039C37 13D1B59C iispart auth init, c: 41|10.61.53.163 10.61.53.  60:4433 -
2021/02/16 19:45:05 00003F80 00039C38 13D1B59C iispart auth ok, 10.61.53.163, 6|10.61.53.163 10.   61.53.60:4433 -
                                               ^^^^^^^ # (1)!
2021/02/16 19:45:05 00003F80 00039C39 13D1B59C rsa CSP0670045F!F7md3iGOTL34+gRTEo/4okX +CR719IPywZ2+yqVpegc=, c: 41|10.61.53.163 10.61.53.60:4433 iispart
                                               ^^^ ^^^^^^^^^^^ # (2)!
2021/02/16 19:45:05 00003F80 00039C3A 13D1B59C e-conn: 10.61.53.163|10.61.53.163 10.61.53.   60:4433 iispart
2021/02/16 19:45:05 00003F80 00039C3B 000A3309 session thread down [5]|10.61.53.163 10.61.53.   60:4433 iispart
    1. Autenticación HSM
    2. Uso de la llave en el HSM