Actualizar-Generar certificado Web SSL en IIS 7

Estos días me a tocado renovar nuestro certificado SSL con el proveedor thawte y como no existe mucha información he decidido crear un mini tutorial explicando los pasos necesarios para realizar este mantenimiento. Para versiones anteriores del IIS podéis acceder a http://support.microsoft.com/kb/295281/es .

Para empezar aclararemos que con IIS7 es mucho más fácil renovar o generar el certificado, pero si no estas familiarizado con el panel de control es posible que te cueste un poco encontrar las opciones.

Comencemos:

1º Generar el fichero CSR

Tanto para generar un nuevo certificado como para renovarlo es probable que nos pidan un fichero para la solicitud de firma (.CSR) “dependiendo del proveedor”. Para esto tendremos que ir al panel de control de nuestro IIS. Seleccionar el servidor y en el apartado de seguridad seleccionar los certificados existentes.

Obtendremos la lista de certificados instalados en el servidor. Y seleccionamos la opción que necesitemos, en mi caso crear solicitud de certificado para generar el fichero CSR.

Rellenamos todos los campos:

  • Nombre común: “Muy Importante” Nombre del dominio completo o URL. Por ejemplo, un certificado SSL emitido por “www.tuEmpresa.com” no será válido para “secure.tuEmpresa.com”. Si la dirección Web que se utilizará para SSL es “secure.tuEmpresa.com,” garantizar que el nombre común presentada en la RSE es “secure.tuEmpresa.com”.  Para todos los subdominios puedes utilizar el * por ejemplo, “*. tuEmpresa.com” o “www *. tuEmpresa.com”.
  • Organización: Nombre de la empresa.
  • Unidad Organizativa: Departamento encargado del soporte por ejemplo “Departamento web”.
  • Ciudad o Localidad: Ciudad de contacto de la empresa.
  • Estado o Provincia: provincia de contacto de la empresa.
  • País o región: País de contacto de la empresa.

Seleccionar el proveedor de servicios criptográficos RSA 1024 bits y guardar el fichero con extensión CSR.

Se generará un fichero de este tipo “alterado ;-)”, que es el que se tiene que enviar a nuestro proveedor para generar la firma del certificado.

2º Instalar el Certificado en el servidor

Una vez que nuestro proveedor haya aceptado nuestro certificado web SSL ya lo podemos instalar en nuestro servidor web.

Nos pueden enviar el fichero o el texto del certificado, si es así tan sólo tenemos que generar un fichero de texto pegar el contenido y modificar la extensión por .CER para tener preparado el certificado para su instalación.

Volvemos al panel de control del IIS –> certificados –> completar solicitud de certificado.

Buscamos el fichero y lo añadimos a la lista de certificados del servidor.

3º Configurar nuestro sitio web HTTPS

Si estamos configurando un nuevo sitio tenemos que habilitar el protocolo HTTPS y si ya lo teníamos configurado solo tenemos que modificar el certificado que utilizamos en el sitio web.

Seleccionamos el protocolo HTTPS para modificar la configuración.

Seleccionamos el nuevo certificado SSL que utilizará el sitio web.

Certificado renovado o instalado con éxito !!!

Nuestro sitio web ya está utilizando el nuevo certificado SSL correctamente y ya no nos tenemos que preocupar hasta el año que viene ;-)

Espero que este mini tutorial os sea de ayuda.

Anuncios

Ejemplo inyección XSS + Material

Toda una experiencia el paso por el CodeCamp y una de las sesiones fue mi introducción a las buenas prácticas para defenderse de los
ataques XSS.

Un tema como este es difícil concentrarlo en 60 minutos y se me quedaron muchos ejemplos en el tintero.

Para empezar podéis bajaros la presentación y la web de pruebas que realicé para poder probar las diferentes técnicas XSS en el siguiente link.

streaming Material streaming Video streaming PPT

Ahora terminaré uno de los ejemplos que me parece muy interesante y no pude realizar por falta del valioso tiempo.

Ejemplo de XSS indirecto para robar la información del usuario:

1.URL vulnerable al ataque:

A la url se le pasa el nombre de la revista y el la foto.

2. La página:

Muestra la información directamente sin validar los datos y es vulnerable a la inyección de código script y HTML.

3. Fichero JS:

Como el ataque que planteamos es bastante elaborado necesitaríamos introducir muchos texto en la url, y por ese motivo
utilizaremos un recurso externo como un fichero JS para realizar el ataque. Sigue leyendo

Iframe Cross Domain Cookie

Siguiendo con el infierno de los Iframes, hoy intentaremos utilizar el control Login de ASP.NET desde la página de un cliente que utiliza nuestra aplicación embebida.

Lo primero que podemos pensar, es en que medida nos puede llegar a afectar trabajar con un iframe con el sistema de login que utilizamos con ASP.NET, para eso tenemos que diferenciar los dos pasos esenciales en la seguridad de nuestras aplicaciones.

Autenticación

La autenticación es el proceso mediante el cual se obtienen credenciales de identificación tales como el nombre de usuario y la contraseña, al tiempo que se validan dichas credenciales ante alguna autoridad.

ASP.NET proporciona cuatro proveedores de autenticación:

Autenticación de formularios
Autenticación de Windows
Autenticación Passport
Autenticación predeterminada

Sigue leyendo

Iframe Access Denied Cross Domain

Iframe + AjaxControlToolkit v1 + IE = Access Denied Cross Domain

Siempre oí hablar del infierno de las DLL pero cuando hablamos de desarrollos web no nos podemos olvidar del infierno de los iFrames. Cabe decir que este problema lo han solucionado en la nueva versión de AjaxControlToolkit v3 pero para los que tenemos algún proyecto con la versión  anterior tenemos una solución para este problema de permisos.

Primero mostraremos gráficamente cual es el problema.

Hemos creado un simple TexBox con un CalendarExtender para seleccionar una fecha del calendario y esta página de ejemplo la llamamos desde un Iframe que se encuentra en otro dominio, como si la llamada fuera desde un cliente ;-). Sigue leyendo

Custom MembershipProvider Y RoleProvider

El modelo de Proveedores desde su aparición con ASP.NET 2.0 ha sido un tema muy recurrente y se han escrito ríos de tinta sobre sus beneficios, pero ya sea porque realmente nos encontraremos en muchas ocasiones que los proveedores por defecto no cubren todas nuestras necesidades o porque hemos migrado una aplicación donde ya tenemos todos los datos o simplemente porque no tengo tanta imaginación, en este artículo mostraré como poder crear nuestro propio proveedor.

ASP.NET 2.0 ofrece soporte para el modelo de proveedores para diferentes servicios:

  • Membership
    • System.Web.Security.SqlMembershipProvider
    • System.Web.Security.ActiveDirectoryMembershipProvider Sigue leyendo