Utilizando el mismo certificado digital en múltiples sitios de IIS

-

Por Hector Bejarano - http://citicr.org

 

En un artículo anterior, se explicó como se pueden generar certificados digitales que tengan varios DNS, de manera que uno podría utilizar ese mismo certificado para varios sitios web, este artículo se enfoca en la configuración que se debe de realizar en IIS para poder utilizar esos certificados.

La primera pregunta que el lector se puede hacer es, ¿de que me sirve esto? pues bien, resulta que uno no puede tener varios certificados digitales en un mismo end point (combinación de IP/puerto) en una configuración normal de Windows, lo que significa que si usted tuviera un solo IP real y necesita publicar varios sitios web en el puerto de HTTPS (443), no podría hacerlo. De hecho, muchas personas optan por publicar los sitios en puertos diferentes, pero como sabemos, esto puede resultar molesto y tedioso para el usuario final.

Lo ideal sería poder publicar todos los sitios que yo quiera en el puerto 443 utilizando un mismo certificado, pero ¿Como se logra esto?

Lo primero a tomar en cuenta es que se debe poseer un servidor Windows 2003 SP1 o superior (El SP1 es requerido porque este escenario no es soportado en un Windows normal). Además, se debe tomar en cuenta también que no se puede utilizar la consola de IIS para salvar la configuración de los sitios ya que esta tampoco soporta el escenario descrito anteriormente, por lo que si después de haber seguido los pasos descritos en este artículo alguien viene y salva la configuración desde la consola de IIS, habrá que reconstruir la configuración de la metabase.

Vamos a imaginar que tenemos los siguientes sitios web en un mismo servidor:

Website
Host Header
Site Identifier
IP
Puerto
Puerto SSL

Principal
www.misitio.org
1
190.30.12.78
80
443

Correo
correo.misitio.org
2
190.30.12.78
80
443

Recursos Humanos
rh.misitio.org
3
190.30.12.78
80
443

En un servidor Windows normal, si usted crea esa configuración en IIS (tomando en cuenta que usted ya instaló el mismo certificado digital en los 3 sitios), notará varias cosas:

1. Siempre obtendrá el mismo sitio utilizando todos los diferentes DNS (host headers)
2. Solo un sitio estará corriendo en IIS, los otros dos sitios van a aparecer como detenidos.
3. Si intenta iniciar uno de los sitios que está detenido, IIS le indicará que no puede hacerlo porque otro sitio ya está utilizando el mismo IP y puerto.

Entonces, el procedimiento para hacer que todos estos sitios corran al mismo tiempo con la configuración anteriormente descrita es la siguiente:

1. Determine el número de site identifier para cada sitio: En la consola de IIS, se puede posicionar en el nodo "Web Sites" del árbol de la izquierda, una vez hecho esto aparecerá una lista con todos los sitios web, la segunda columna (llamada Identifier) muestra el número de identificación para cada sitio.
2. Ejecute los siguientes comandos desde una sesión de línea de comando (DOS):

Sintaxis:

C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set /w3svc/<site identifier>/SecureBindings ":443:<host header>"

Ejemplos:

C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set /w3svc/1/SecureBindings ":443:www.misitio.org"
C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set /w3svc/2/SecureBindings ":443:correo.misitio.org"
C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set /w3svc/3/SecureBindings ":443:hr.misitio.org"

3. Inicie los sites desde la consola de IIS

Comments

Unknown said…
Muchas gracias, me ha servido mucho, pero aclaro: no sin antes romperme un poco la cabeza.
Es que el comando lo escribiste mal.

cscript.exe se encuentra en c:\windows\system32 y recibe como parametro C:\Inetpub\AdminScripts\adsutil.vbs ... mas el resto, quedando algo asi como: c:\windows\system32\cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs set /w3svc/1/SecureBindings ":443:www.misitio.org"

Ahora, tengo una duda por si puedes responderla: que hay si quiero hacer lo mismo (compartir el 443 entre varios sitios) pero que tienen dieferentes certificados y que cada uno refleje el suyo? Lo intente pero entonces todos usan el utilizado por el ultimo de los sitios registrado con el comando en cuestion. Es decir si revisas el Certificado de cada sitio al solitarlo en un Navegador te muestra el mismo, a pesar que tienen uno diferente cada uno.

Gracias, una vez mas.
4:42 PM
Unknown said…
Hola de nuevo, disculpa en el anterior comentario los caminos. En realidad si ejecutas tu comando desde C:\Inetpub\AdminScripts directamente pues te funciona. Lo que sucede es que yo queria ejecutarlo desde cualquier lugar. Asi que si quieres lo modificas un poco antes de publicarlo, y me respondes la pregunta final.
4:48 PM
Post a Comment

Popular posts from this blog

Desempeño de SQL Server 2008 R2 y Max Worker Threads

-
Image
El parámetro max worker threads se utiliza para configurar la cantidad de worker threads disponibles para los procesos de SQL Server, esto ayuda a optimziar el desempaño cuando gran cantidad clientes están conectados al servidor. La opción max worker threads permite que SQL Server cree un pool de worker threads para atender a gran cantidad de peticiones, lo cual mejora el desempeño. La opción por omisión es 0 y permite que SQL Server configure automáticamente el número de worker threads al inicio del servicio. Algunas veces para mejorar el desempeño es mejor especificar un valor directamente, usted puede utilizar la siguiente tabla como referencia:   Cantidad de CPUs servidor 32-bit servidor 64-bit <= 4 procesadores 256 512 8 procesadores 288 576 16 procesadores 352 704 32 procesadores     Fuente: http://technet.microsoft.com/en-us/library/ms187024.aspx   Con base en el blog de Bob Duffy http://blogs.msdn.com/b/boduff/archive/2008/05/17/confi
Read more

Cómo identificar consultas más pesadas en SQL Server

-
Muchas veces nos encontramos en situaciones en las cuales tenemos un servidor SQL Server, y los usuarios reportan que el sistema está lento, por lo tanto, es crucial que podamos identificar cuál es la causa.  El primer paso puede ser identificar cuáles son las consultas TSQL que están consumiendo más recursos en el servidor, para poder identificarlas podemos recurir al siguiente script, el cual nos devuelve las consultas ordenadas por tiempo de ejecución, a partir de esta consulta podemos identicar el TSQL que consume más recursos e iniciar nuestras tareas de mejoras de desempeño. -- Consultas que afectan el desempeño SELECT TOP 10 SUBSTRING ( qt . TEXT , ( qs . statement_start_offset / 2 ) + 1 , ( ( CASE qs . statement_end_offset WHEN - 1 THEN DATALENGTH ( qt . TEXT ) ELSE qs . statement_end_offset END - qs . statement_start_offset ) / 2 ) + 1 ) AS consulta_TSQL , db . name AS [nombre_base_datos] , qs . total_elap
Read more

SQL Server La longitud de los datos LOB (2200100) que se van a replicar excede el máximo configurado 65536.

-
  Cuando se tiene configurada la replicación el tamaño por default para los campos binarios e images es de 65536 y genera el siguiente error durante la replicación: Error: 7139, Severity: 16, State: 1 La longitud de los datos LOB (2200100) que se van a replicar excede el máximo configurado 65536. Length of text, ntext, or image data (x) to be replicated exceeds configured maximum 65536 Para solucionarlo hay que cambiar el tamaño permitido para la replicación lo pueden hacer con los siguientes comandos:   print 'Tamano Anterior' exec sp_configure 'max text repl size' print ' Nuevo valor maximo de replicacion por ejemplo 300 mil bytes' exec sp_configure 'max text repl size' , 300000 print 'Forzar la reconfiguracion' RECONFIGURE WITH OVERRIDE print 'Verificar que se cambio el tamaño' exec sp_configure 'max text repl size'   Saludos, Eduardo Castro – Microsoft SQL Server MVP http://comunidadwindows.org Costa R
Read more