Guía de Renovación para Microsoft IIS

Microsoft IIS 5.0 o superior

Cuando renueve o reemplace su certificado bajo Microsoft IIS 5.0 o superior, deberá generar una nueva Solicitud de Firma de Certificado (Certificate Signing Request - CSR). Aunque en el Asistente de Internet Information Server (IIS) aparece la opción para renovar la CSR anterior, NO la utilice.

Va a necesitar una nueva solicitud cada vez, por que el servidor Microsoft IIS sólo permite la instalación de un certificado si hay una "Solicitud pendiente" (Pending request) a espera de ser procesada. No hay manera de instalar un certificado, si no hay un Pending Request.

Existen problemas conocidos al crear una renovación/reemplazo de clave en IIS:

  • Si IIS corre bajo un Windows 2000 SP 1, genera la CSR renovada con formato PKCS #7. VeriSign/CertiSur sólo usa CSR con formato PKCS #10.
    Por consiguiente, si utiliza la CSR con formato PKCS #7 obtendrá el error 112 en nuestra página de renovación.
  • Si IIS corre bajo un Windows 2000 SP 2, generará la nueva CSR combinando varios campos "Departamento" (Organizational Unit) que aparecen en el certificado dentro de un solo campo "Departamento" (Organizational Unit), haciendo que la CSR nueva difiera de la original. Esto no está permitido porque la información es diferente a la original, generando un error en la renovación.

Para evitar estos problemas, se requiere que genere una nueva CSR.

Sin embargo, sólo puede crear una nueva CSR en un sitio que aún no tenga asignado un certificado. Para solucionar estos posibles problemas, sin tener que mover el certificado original o interrumpir la seguridad de su sitio Web, siga los pasos descriptos a continuación:

  1. Inicie el Internet Information Services IIS.
  2. Expanda los directorios hasta encontrar su sitio web. Presione el botón derecho sobre "Default Web Site" y presione en "New>Site".
  3. Cree un sitio nuevo en un puerto distinto del 80, apuntando a c:\tmp. Puede otorgarle un nombre temporario. Este sitio es auxiliar y servirá unicamente para la tramitación de la solicitud del nuevo certificado. Asegurese que el nuevo sitio quede en estado Detenido.
  4. Presione con el botón derecho sobre este nuevo sitio y vaya a "Properties>Directory Security>Server certificate". Esto lanzará un Wizard
  5. De las opciones que aparecen, seleccione la primera "Create a new certificate request" y siga las instrucciones para crear una CSR nueva. Debe ingresar exactamente la misma información que la que contiene el certificado a renovar/reemplazar, inclusive mayúsculas y minúsculas.
  6. Renovación

    Vaya a http://www.certisur.com/serverid/renew para continuar con el proceso de renovación y use la CSR recién creada.
  7. Reemplazo

    Vaya a http://www.certisur.com/serverid/replace , busque su certificado y comience el proceso.
  8. Cuando reciba el nuevo certificado de parte de CertiSur, presione con el botón derecho sobre el sitio temporario y seleccione "Properties>Directory Security>Server certificate", seleccione la opción "Process a pending request" y siga las instrucciones para procesar la solicitud pendiente.
  9. Ahora vaya al sitio donde desea dejar el nuevo certificado instalado. Presione el botón derecho y elija "Properties>Directory Security>Server certificate". Elija la opción "Remove the current certificate."
  10. Ejecute nuevamente el Asistente. Ahora tendrá nuevamente tres opciones: Elija la segunda "Assign an existing certificate" y seleccione el certificado que recién instaló en el sitio auxiliar.
  11. Una vez comprobado que todo funciona correctamente, puede dar de baja el sitio web auxiliar

Por cualquier consulta u otra duda respecto de este tema, envíe un email a nuestro Depto de Soporte Técnico.


Microsoft IIS 4.0

Cuando renueve su Secure Site desde Windows NT 4, tiene dos opciones:

Generar un nuevo par de claves y por lo tanto una nueva Solicitud de Firma de Certificado (Certificate Signing Request - CSR), o
Puede volver a utilizar la CSR anterior. Revise las opciones y decida cuál de todas es la mejor para su situación:

No es necesario que genere una solicitud nueva en su servidor, si va a usar la CSR anterior. Su instalación requiere la contraseña original de la clave privada que usó al crear la CSR original.

Recomendamos crear una nueva CSR lo que permitirá utilizar una contraseña nueva para la clave privada y también usar un tamaño de clave diferente. Recomendamos usar una clave 1024 bits en lugar de una de 512.