Início > Certificado Digital, IIS, Segurança, Windows Server 2012 R2 > Configurando o Centralized Certificate Store no IIS 8.5 do Windows Server 2012 R2

Configurando o Centralized Certificate Store no IIS 8.5 do Windows Server 2012 R2

Saudações,

Hoje quero falar sobre um tema que acho muito importante para quem administra o IIS com aplicações protegidas por certificado digital. Inclusive este foi um dos temas que falei nas minhas palestras sobre Segurança em Redes Microsoft para o projeto Quintas da TI, na série de webcasts dos MTAC´s e no MVP  ShowCast.

Em se falando de proteção SSL, o administrador de um webserver IIS tem que lidar com uma série de procedimentos para configurar uma aplicação com certificado. Vamos tentar entender todos os passos (ou parte deles):

1. Gerar a CSR no IIS e enviar para validação em uma CA externa ou interna (no caso de validação interna, para sites que serão acessados somente pelos usuários da corporação).

2. Após validação, aplicar este certificado através da conclusão da solicitação da CSR no próprio WEB Server

Pouco né?

Mas, imagine que vc tem diversos webserver´s em sua estrutura, sendo que, em muitos casos o mesmo certificado pode ser usado em N servidores da mesma farm ou de farm´s diferentes. Além disso uma série de aplicações podem requerer seu próprio certificado, gerando a necessidade de importar muitos certificados em muitos servidores.

Vc teria que exportar o certificado para um arquivo PFX de forma a importar nos servidores da farm, usando o Snap-in Certificates via MMC, para que o tráfego SSL ocorra sem problemas.

Para os casos de empresas que fazem host de aplicações WEB, entre outras, esse processo pode ser automatizado através da aplicação de políticas que irão replicar estes certificados a um determinado grupo de servidores.

Agora, a partir do Windows Server 2012, este processo ocorre de uma forma mais eficaz, em se tratando de grandes estruturas de web farms.

O IIS, a partir da versão 8, traz a funcionalidade “Centralized Certificate Store”. Com ele vc pode armazenar seus certificados em um file share, sem a necessidade de importar o mesmo para a conta Computer no Sna-In Certificates da máquina. Para que o CCS seja instalado com a role do IIS, é preciso seleciona-lo no momento da instalação.

Dessa forma, a aplicação vai buscar o certificado neste file share, sendo que você só precisa que toda a farm de webserver´s tenha acesso a esta pasta.

Vamos ver o passo a passo dessa configuração:

Para escrever este post, eu montei um laboratório com 1 servidor contendo o AD-DS e o AD-CS (Root CA), outro com o IIS e ainda mais dois servidores com AD-RMS e AD-FS que estão servindo para estudo e aprofundamento nessas tecnologias, além de serem fonte para muitos outros artigos a serem postados aqui.

O domínio responde pelo nome de uilson.net. A aplicação que iremos usar para o CCS (Centralized Certificate Store) responde pela URL www.uilson.net e nada mais é que a página default do IIS (iisstart).

Após criar o website no seu webserver e requisitar o seu certificado, ele deverá ser validado em um CA Externa ou na sua própria CA Interna (para o caso de aplicações internas que não serão compartilhadas com parceiros ou usuários externos) – Estou assumindo que o leitor deste post já sabe como fazê-lo.

A partir do certificado gerado e validado, exporte-o para um arquivo pfx e o copie para um compartilhamento no seu file server que será o repositório de certificados do IIS para sua estrutura.

OBS: o nome do arquivo PFX deverá ser o mesmo do common name do seu certificado, no exemplo que veremos aqui, o common name do meu certificado é www.uilson.net. Neste caso o nome do arquivo deverá ser www.uilson.net.pfx – qualquer coisa diferente disso, o acesso não funciona.

Para criar o PFX a partir do certificado válido, siga os passos abaixo:

Duplo clique no certificado, clicar na aba “Details” e clicar em “Copy to File”

image

O wizard abrirá e você deverá clicar em “Next”. Em seguida você será perguntado sobre exportar ou não a Private Key. No meu caso, vou exportar para este PFX. Após este passo, clique “Next”:

image

Na tela abaixo, selecione a última opção “Export all extended properties” e clique em “Next”:

image

Na tela abaixo defina uma senha para o arquivo PFX. No meu caso a senha nada mais é que 123456 (é apenas um lab ok?). Em seguida clique “Next”:

image

Na tela abaixo clique em “Browse”:

image 

Agora defina a pasta (compartilhamento) onde o arquivo deverá ser gravado. Obviamente, respeitando o que disse acima sobre o nome do arquivo. Feito isso, clique em “Save”:

image

Na tela abaixo, clique “Next”:

image

Na tela abaixo clique em “Finish”:

image

Você irá receber um aviso dizendo que o export ocorreu com sucesso. Clique em “OK” para fechar o aviso e OK para fechar as propriedades do certificado.

Agora que o certificado está validado, o PFX criado e copiado na pasta correta, vamos configurar o IIS. Entretanto, antes de configurar a aplicação WEB, vc precisa habilitar o serviço do Centralized Certificate Store.

Na imagem abaixo clique no array name (nome do servidor IIS) e no painel a direita de um duplo clique em “Centralized Certificates”:

image

Na tela abaixo vc irá visualizar todos os certificados que estiverem na pasta, ou file share, que foi previamente criado. Para que isso aconteça, clique em “Edit Feature Settings” no lado superior direito:

image

Na tela abaixo, habilitar o checkbox “Enable Centralized Certificates”, configure o caminho UNC do share ou pasta que irá servir de repositório dos seus certificados e defina uma conta que tenha acesso completo a esta pasta para que todos os servidores da sua farm possa ler o conteúdo. Depois você deverá inserir a senha que vc definiu para o arquivo PFX(no nosso exemplo aqui foi 123456). Feito isto, clicar  em “OK”:

image

Com as configurações acima feitas de forma correta, você visualizará o conteúdo do PFX que está no file share ou pasta e agora você já tem o seu primeiro certificado no repositório. Vide imgagem abaixo:

image

Agora que o repositório está configurado, vamos configurar a aplicação WEB para que use o certificado armazenado na CCS.

Clique com o botão direito do mouse no web site e escolha a opção “Edit Bindings…

image

Na tela abaixo clique em “ADD” e a tela “Add Site Biding” irá abrir. No campo “Type” escolha a opção “https” e em “hostname” você poderá inserir o endereço do seu web site. Para que a aplicação WEB use o repositório do Centralized Certificate Store, você deverá selecionar o checkbox “Use Centralized Certificate Store” e clique em OK:

image

Você também tem a opção de habilitar o SNI através do checkbox “Require Server Name Indication”. O SNI é uma extensão TLS usada para identificar o domínio virtual ou o hostname do end point da conexão durante a negociação SSL. Para  habilitar essa opção você precisa ter certeza de que os browsers da sua empresa ou aqueles que vão acessar externamente sejam compatíveis com esta funcionalidade.

As últimas versões do IE têm suporte a este mecanismo, porém, as versões desenvolvidas para o Windows XP não. Portanto, pense nisso antes de habilitar esta opção.

Para ter uma visão detalhada do SNI clique em http://blogs.msdn.com/b/kaushal/archive/2012/09/04/server-name-indication-sni-in-iis-8-windows-server-2012.aspx

Na tela abaixo podemos ver que o site www.uilson.net está pronto para ser acessado via SSL. Clique em “Close”:

image

Ao acessar o site pelo IE, vemos o resultado abaixo:

image

Esta é uma funcionalidade que eu realmente gosto e espero que o conteúdo deste post possa ajudar a você que lida diariamente com uma grande quantidade de servidores WEB IIS.

Abraços

Uilson

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: