viernes, 27 de mayo de 2011

Mini "Howto" TLS-SSL en Windows

Hola amigos como parte de una tarea me pidieron que hiciera el mismo Howto que hicimos de fedora pero en Windows, esta bien yo dije bueno lo haré es solo unos pasos faciles hasmosle !!! :D
  • Vamos a agregarle una dirección estática a nuestro servidor  dns para que no caduque y no te salga una advertencia para ahorrar tiempo.



 Vamos a "Inicio-Administrador de servidor-funciones.Agregar funciones".
  • Agregamos la funciones que necesitamos en este caso son "DNS,WEB,Servicio de Certificate Server de Active Directory"


  •  Luego en el asistente nos sale todo lo que vamos a instalar,damos siguiente hasta llegar a las funciones de la CA y seleccionamos lo que están en la gráfica.


Entidad de Certificación: La CA al cual estamos creando.
Inscripción web de entidad de certificación: Interfaz gráfica donde podemos trabajar via web  con nuestros certificados.
Servicio de respuesta en linea: Hace que lo datos tanto de revocación como re petición sean de fácil acceso a los clientes.
  • Damos siguiente y decimos que va a crear un CA independiente.
  • Decimos que instale una CA raíz por ser esta nuestra primera instalación de infraestructura de llave publica. 
  • Creamos la clave privada de nosotros.
  • Dando siguiente le diremos que la criptografía se sha1 y dejamos la longitud de 2048 caracteres. 
  • En el otro paso debemos copiar quien va manejar en este caso el root que es el administrador del servicio.



  • Luego decimos el tiempo de validez que tendrá nuestro certificado generado por la CA.
  • Damos siguiente, agregamos todas la funciones al web y al final se encuentra las funciones ftp.
  • Por ultimo nos muestra todo lo que vamos a instalar, damos click en instalar.
 ##########Configuramos el DNS##########################


Me imagino que se estarán preguntando pero para que rayos es el dns en este manual necesitamos el dns para que haga una resolución de nombres a ip y viceversa en los windows es muy fácil de configurar el dns es solo estos sencillos pasos.
  • Vamos a "inicio-Herramientas administrativas-DNS",  debe salir un asistente de configuracion de dns, dando clic  derecho- Zonas de busqueda directa-Nuevo, empezaremos a crear las zonas para este caso la directa. 
  • Damos siguiente, luego en zona principal por que es un dns maestro-Siguiente.
  • Copiamos nuestro FQDN o nombre de dominio.
  •  Damos siguiente y nos muestra como van a quedar las zonas, damos siguiente y le decimos no permitir actualizaciones dinamicas y listo nuestra zona directa esta lista.
  • Ahora entremos a la zona y creemos el registro dando click derecho encontramos los registros en la cual le podemos agregar a esta zona para este caso agregemos primero el registro tipo A.


 Estos son los registros que necesitamos:


- Tipo A: Resolución de ip a nombre.
- Tipo CNAME: Alias de dominio.
Este puede ser un buen ejemplo:




  • Listo nuestra zona directa esta lista, para hacer la inversa hacemos lo mismo hasta que copias la ip en la cual hará su resolución inversa.
  • Agregamos damos siguiente hasta el final, agregamos el registro PTR y listo probamos y todo se encuentra bien.





#########Configuración de la pagina web y sitio Web###############



Bueno si todavía no entienden lo que estoy haciendo estoy haciendo tls-ssl para una pagina web que estoy montando y el ftp es para almacenar mi certificado, bueno sigamos para hacer los sitios tanto web como ftp son tambien muy faciles, NOTA: Ojo no coloco casi Imagenes solo las que creo necesarias por que es un mini "Howto" debo ser lo mas breve posible.


  • Si vamos a inicio-herramientas administrativas, encontraremos a a servicios de "internet formation services-6.0", en estas dos podemos configurar los sitios para nuestra pagina utilizaremos "internet formation services".
  • Desplegamos las opciones y damos a nuevo sitio como muestra esta imagen.


  • Colocamos el nombre y el directorio donde estara alojado


 
  •  La iniciamos y listo.
  •  Para el ftp utilizamos el mismo "internet formation services 6.0", desplegamos las opciones y dando "click derecho-nuevo-sitio ftp", empezamosa hacer nuestro ftp.
  •   Debe salir un asistente del ftp,damos siguiente y la descripcion que tu quieras.
  • Le decimos que trabaje por el puerto correspondiente y la ip del servidor.
  • Le damos otra ves siguiente, es un poco molesto tanto siguiente, damos en aislar usuarios por que vamos a utilizar ftp enjaulado.
ftp enjaulado es utilizar un usuario en especial para que administre un directorio en especial.
  • Indicamos el directorio donde va estar alojado nuestro ftp.
                   


NOTA:Debes crear un usuario LocalUser/Usuario que quieras y también debes crear la cuenta en el sistema.


  • Le damos permisos de lectura y escritura.
  • Creamos el directorio donde les indique la imagen.
  •  En el browser copiamos ftp://ftp.wared-red.com, es mi usuario alias ojo con confundirse coloca tu alias como lo hayas configurado.
  • Debe salir el login y password, que son lo que creaste cuando hiciste la cuenta en el sistema.




  •  Listo :D




#################Certificado################################
  • En "inicio-herramientas administrativas-internet formation services empezamos a configurar lo que necesitamos.
  • En el sitio web donde creamos nuestra pagina vemos un boton que dice "Certficados del Servidor,dando click en Crear una solicitud de certificado".
  • Llenamos los requerimientos como nos indica esta imagen.



  • Especificamos la ruta donde se va a ubicar el certificado.
  • Luego vamos a "inicio-herramientas administrativas-Certificate Authority" para emitir la peticion.
  • Si damos click en "enviar solicitud nueva", y  buscamos la peticion para que nuestra ca la pueda firmar.
  • Si vemos es certificados pendientes vemos la petición.
  • Damos click derecho-emitir este llevara la petición a la carpeta de certificados de emitidos.
  • Abrimos el certificado, damos click en la pestaña detalles.click en copiar archivo.
  • Debe salir un asistente de exportación del archivo,le decimos que el formato que tendrá nuestro certificado es este caso X.509.
  • Damos la ruta del archivo para exportarlo.Don tu tengas tu certificado.

  • Vamos a la ruta donde lo guardaste yo en mi aso lo guarde el documenteos, para que no se me perdiera.


  • Vamos otra vez donde se encuentra los sitios web y buscamos el botón certificados del servidor.
  •  Buscamos los botones "completar solicitud de certificado", damos clik.
  • Le indicamos la ruta donde se encuentra el certificado y una palabra clave descriptiva.
  • Si desplegamos las opciones de la pagina ya se deben encontrar las pestañas tales como "CertEnroll y Certsrv".
  • Buscamos el botón enlaces.
  • Añadimos el enlace de la pagina segura algo mas o menos como muestra la grafica.


    • En el Browser mas exactamente internet explorer, buscamos opciones de internet-contenidos-certificados-Entidades de certificacion raiz.
    • Ahí importamos el certificado que debe encontrase en "Documentos", siendo mi caso.
    • Borramos historial y escribimos la url "https://wared-red.com y debe se salir de forma segura.
    • Para el cliente probarlo es solo que nuestro equipos se vean, pero como si?, tal vez puedes comprobar que se ven escribiendo en la consola el comando ping y si el resultado es bueno esto quiere decir que el cliente ya ve al servidor, por ultimo vamos al navegador del cliente y escribimos la misma url de la pagina segura y nos debe arojar el mismo resultado que en el servidor.

    En conclusión este es un método de seguridad, para mi concepto el mas utilizado pero cabe recordar que los métodos de seguridad de la información son muchos y es un tema muy extenso y complicado para unos pero si te empeñas aprenderás muchos.

    Espero les haya servido para algo aclaro que no coloco muchas imagenes por que es un mini "how to" o para mejor decir un pequeño manual, si tienen alguna duda,comentario, sugerencia o felicitación bienvenido sea.














    Publicar un comentario