Entidad de Emisora de Certificado.

Si no te implica comprar ninguna nueva licencia, con Microsoft ISA Server
2006 puedes publicar los distintos sitios por el mismo puerto aplicando
reglas de dominio de entrada.

Saludos,


David C.
Microsoft Certified Trainer
http://www.heroescertificados.com

"Martin" escribió en el mensaje de
noticias:us%
Hola, Javier.
Te comento y consulto dos cosas.

He armado un laboratorio con dos w03 y e probado lo que publicaste en el
link de abajo, me encuentro con lo siguiente:
1-En un IIS cree 4 sitios, pero solo me deja tener iniciados dos sitios con
SSL, cuando quiero iniciar un tercero me dice que no puede aver otro purto
asociado a la misma ip, ahora detengo uno de los que estaba activo y inicio
otro y inicio bien el tema es que mas de dos no me deja que esten iniciado.

2-por otro lado vos publicas en el tutorial:

cscript.exe adsutil.vbs set /w3svc/1630906790/SecureBindings
":443:desarrollo.imsi.com"
El nro 1630906790 a que se referencia, yo le puse el nro 1 y funciono pero
no se porque, a mi me quedo asi:
cscript.exe adsutil.vbs set /w3svc/1/SecureBindings ":443:t2.contoso.com"

Si podes espero tu ayuda, ya que debo implementar SSL a 5 sitios en un ISS y
estoy medio perdido.
Saludos y Gracias.-

"Javier Terán González" escribió en el mensaje
news:
Buenas noches.

En determinadas condiciones si se puede tener varios sitios web seguros en
un mismo Servidor Web IIS.
En este artículo se puede ver como. Ya llevaba tiempo pensando escribirlo y
ahora que lo preguntan pues ...

http://informatica.javiteran.com/20...tps-y.html

Espero que sirva

Un saludo.

"Javier Inglés [MS MVP]" escribió en el mensaje de
noticias:
El otro sitio HTTPs lo tienes configurada en la misma IP/puerto??

Si es así, es imposible y el sitio estará caído, ya que sólo un sitio puede
estar asociado a una IP y puerto como tal a la vez

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Martin" escribió en el mensaje
news:

Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de mi
empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya existente
y funciona el sitio como https, pero al querer hacer lo mismo en otro
sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema, si
alguien me puedo ayudar, desde ya muchas gracias



Martin

Gracias.
Ahora como hago para colocar SSL a 5 sitios en el mismo IIS?
He probado lo que me dijo Javier Terán González, pero solo me funciona con
2 sitios.



Para que quede en orden lo vuelvo a enviar lo que escribí,



Hola,

Te comento y consulto dos cosas.



He armado un laboratorio con dos w03 y e probado lo que publicaste en el
link de abajo, me encuentro con lo siguiente:

1-En un IIS cree 4 sitios, pero solo me deja tener iniciados dos sitios con
SSL, cuando quiero iniciar un tercero me dice que no puede haber otro purto
asociado a la misma ip, ahora detengo uno de los que estaba activo y inicio
otro y inicio bien el tema es que mas de dos no me deja que estén iniciado.



2-por otro lado vos publicas en el tutorías:



cscript.exe adsutil.vbs set /w3svc/1630906790/SecureBindings
":443:desarrollo.imsi.com"
El nro 1630906790 a que se referencia, yo le puse el nro 1 y funciono pero
no se porque, a mi me quedo asi:

cscript.exe adsutil.vbs set /w3svc/1/SecureBindings ":443:t2.contoso.com"



Si podes espero tu ayuda, ya que debo implementar SSL a 5 sitios en un ISS y
estoy medio perdido.

Saludos y Gracias.-





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje news:

Está lejos de ser ideal la estructura planteada orignalmente :-)

De todas formas, la autoridad certificadora en la red interna es mejor.
La obtención del certificado es una única vez, y luego sólo en las
renovaciones generalmente anuales.

Pones la regla en el FW, obtienes el certificado y luego ya la puedes
deshabilitar o sacar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Martin" wrote in message
news:

Ante todo gracias a todos por su colaboración.

Por lo tanto el escenario ideal seria el siguiente?



La autoridad certificadora la ubico en la LAN y creo una regla en el
Firewall para que el IIS que esta en la DMZ pueda acceder a la autoridad
certificadora de la LAN.

Permitiendo el Puerto: 80 para que el IIS puede descargar el certificado
de la autoridad certificadora alcanza o necesita algún otro puerto.

Gracias,

Martín



"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:OeB$

Martín hay varias consideraciones a tener en cuenta. Nombro algunas:

- Si a los sitios seguros van a acceder desde equipos que no pertencen a
tu red, es necesario que adquieras certificados de una autoridad
certificadora comercial, porque de otra forma a los externos les
aparecerá una advertencia sobre que el certificado no es confiable. Esta
autoridad certificadora debe estar reconocida en el programa de
Microsoft.

- NUNCA pongas una autoridad certificadora en una DMZ. La autoridad
certificadora es una de los elementos que más debes proteger, y por lo
tanto no puede estar en la DMZ

- Para los sitios web, el certificado debe estar a nombre del sitio
(www.tudominio.sufijo)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Martin" wrote in message
news:

Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de
mi empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de
Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya
existente y funciona el sitio como https, pero al querer hacer lo mismo
en otro sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema,
si alguien me puedo ayudar, desde ya muchas gracias



Martin

Hola David,
Lamentablemente por el momento no desean adquirir nuevas licencias
Saludos y Gracias.

"David Carrasco" escribió en el mensaje
news:

Si no te implica comprar ninguna nueva licencia, con Microsoft ISA Server
2006 puedes publicar los distintos sitios por el mismo puerto aplicando
reglas de dominio de entrada.

Saludos,


David C.
Microsoft Certified Trainer
http://www.heroescertificados.com

"Martin" escribió en el mensaje de
noticias:us%
Hola, Javier.
Te comento y consulto dos cosas.

He armado un laboratorio con dos w03 y e probado lo que publicaste en el
link de abajo, me encuentro con lo siguiente:
1-En un IIS cree 4 sitios, pero solo me deja tener iniciados dos sitios
con SSL, cuando quiero iniciar un tercero me dice que no puede aver otro
purto asociado a la misma ip, ahora detengo uno de los que estaba activo y
inicio otro y inicio bien el tema es que mas de dos no me deja que esten
iniciado.

2-por otro lado vos publicas en el tutorial:

cscript.exe adsutil.vbs set /w3svc/1630906790/SecureBindings
":443:desarrollo.imsi.com"
El nro 1630906790 a que se referencia, yo le puse el nro 1 y funciono pero
no se porque, a mi me quedo asi:
cscript.exe adsutil.vbs set /w3svc/1/SecureBindings ":443:t2.contoso.com"

Si podes espero tu ayuda, ya que debo implementar SSL a 5 sitios en un ISS
y estoy medio perdido.
Saludos y Gracias.-

"Javier Terán González" escribió en el
mensaje news:
Buenas noches.

En determinadas condiciones si se puede tener varios sitios web seguros en
un mismo Servidor Web IIS.
En este artículo se puede ver como. Ya llevaba tiempo pensando escribirlo
y ahora que lo preguntan pues ...

http://informatica.javiteran.com/20...tps-y.html

Espero que sirva

Un saludo.

"Javier Inglés [MS MVP]" escribió en el mensaje
de noticias:
El otro sitio HTTPs lo tienes configurada en la misma IP/puerto??

Si es así, es imposible y el sitio estará caído, ya que sólo un sitio
puede
estar asociado a una IP y puerto como tal a la vez

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Martin" escribió en el mensaje
news:

Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS de
mi
empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le instale
Windows 2003 y le agregue el Servicio: Entidad de Emisora de Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya
existente
y funciona el sitio como https, pero al querer hacer lo mismo en otro
sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema, si
alguien me puedo ayudar, desde ya muchas gracias



Martin

No me meto con ese tema ya que no lo conozco como para aconsejarte :-(


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Martin" wrote in message
news:

Gracias.
Ahora como hago para colocar SSL a 5 sitios en el mismo IIS?
He probado lo que me dijo Javier Terán González, pero solo me funciona con
2 sitios.



Para que quede en orden lo vuelvo a enviar lo que escribí,



Hola,

Te comento y consulto dos cosas.



He armado un laboratorio con dos w03 y e probado lo que publicaste en el
link de abajo, me encuentro con lo siguiente:

1-En un IIS cree 4 sitios, pero solo me deja tener iniciados dos sitios
con SSL, cuando quiero iniciar un tercero me dice que no puede haber otro
purto asociado a la misma ip, ahora detengo uno de los que estaba activo y
inicio otro y inicio bien el tema es que mas de dos no me deja que estén
iniciado.



2-por otro lado vos publicas en el tutorías:



cscript.exe adsutil.vbs set /w3svc/1630906790/SecureBindings
":443:desarrollo.imsi.com"
El nro 1630906790 a que se referencia, yo le puse el nro 1 y funciono pero
no se porque, a mi me quedo asi:

cscript.exe adsutil.vbs set /w3svc/1/SecureBindings ":443:t2.contoso.com"



Si podes espero tu ayuda, ya que debo implementar SSL a 5 sitios en un ISS
y estoy medio perdido.

Saludos y Gracias.-





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Está lejos de ser ideal la estructura planteada orignalmente :-)

De todas formas, la autoridad certificadora en la red interna es mejor.
La obtención del certificado es una única vez, y luego sólo en las
renovaciones generalmente anuales.

Pones la regla en el FW, obtienes el certificado y luego ya la puedes
deshabilitar o sacar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Martin" wrote in message
news:

Ante todo gracias a todos por su colaboración.

Por lo tanto el escenario ideal seria el siguiente?



La autoridad certificadora la ubico en la LAN y creo una regla en el
Firewall para que el IIS que esta en la DMZ pueda acceder a la autoridad
certificadora de la LAN.

Permitiendo el Puerto: 80 para que el IIS puede descargar el certificado
de la autoridad certificadora alcanza o necesita algún otro puerto.

Gracias,

Martín



"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:OeB$

Martín hay varias consideraciones a tener en cuenta. Nombro algunas:

- Si a los sitios seguros van a acceder desde equipos que no pertencen
a tu red, es necesario que adquieras certificados de una autoridad
certificadora comercial, porque de otra forma a los externos les
aparecerá una advertencia sobre que el certificado no es confiable.
Esta autoridad certificadora debe estar reconocida en el programa de
Microsoft.

- NUNCA pongas una autoridad certificadora en una DMZ. La autoridad
certificadora es una de los elementos que más debes proteger, y por lo
tanto no puede estar en la DMZ

- Para los sitios web, el certificado debe estar a nombre del sitio
(www.tudominio.sufijo)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Martin" wrote in message
news:

Buenas Tardes.

Escenario:

Un equipo con Windows 2003 en la DMZ (llamado A), donde tengo el IIS
de mi empresa, el cual se accede desde la LAN e Internet



Lo que quiero hacer es que ciertos sitios (precisamente 5) sean htts
(SSL).



Por lo tanto agregué un equipo a la DMZ (llamado B), al cual le
instale Windows 2003 y le agregue el Servicio: Entidad de Emisora de
Certificado.



Luego desde el equipo donde esta el IIS (A), entro via web
http://B/Certsrv y me descargo un certificado certnew.cer, el mismo lo
instalo en el equipo.



Luego configuro un sitio y le digo que utilice un certificado ya
existente y funciona el sitio como https, pero al querer hacer lo
mismo en otro sitio no me anda.



La verdad que conceptualmente no tengo bien en claro como es el tema,
si alguien me puedo ayudar, desde ya muchas gracias



Martin