z Instalacin de IIS z Lista de comprobacin de software z Microsoft Manager Console (MMC)

Revisado los puntos anteriores, veamos los puntos y conceptos ms relevantes en la configuracin de IIS. Los puntos anteriores estn tratados en www.emans.com, en la opcin de men "esta Web"

Una vez que tengamos instalado IIS, para ejecutar el administrador de Servicios de Internet Information Server, lo podemos hacer de varias formas:
z MMC (Microsoft Management Console) z Herramientas administrativas : Servicios de Internet Information Server. z Ejecutando InetMGR.exe : lo podemos encontrar en %systemroot%/system32/inetsrv.

En cualquiera de los casos y dependiendo de la versin del Windows que estemos utilizando, tendramos que tener una pantalla similar a la siguiente; [ IMAGEN 1 ]

Antes proceder a explorar las opciones de configuracin disponibles bajo IIS, debemos entender unos cuantos conceptos, incluyendo la jerarqua de las siguientes unidades configurables de IIS: El servidor Web, los sitios Web, los directorios iniciales, los directorios virtuales y las aplicaciones. El servidor Web: Es el nivel superior de nuestra jerarqua, y puede potencialmente contener mltiples sitios Web en un solo ordenador, lo podemos ver representado en la imagen superior. Nota : Si trabajamos con Windows 2000 Server o superior, tendremos la posibilidad de crear ms de un sitio Web, en la versin profesional solamente se puede administrar (crear) un sitio Web. Sitios Web: Cuando realizamos la instalacin de IIS, se crea automticamente dos sitios Web en el ordenador: el sitio predeterminado y el sitio de Web de administracin. La mayor parte de las solicitudes HTTP se manejan en el sitio predeterminado. El sitio de administracin est en escucha para aceptar conexiones de exploradores pero en un puerto TCP no estndar (Protocolo de Control de Transmisin), es decir uno distinto al 80. El nico propsito del sitio de administracin es proporcionar capacidades de administracin remotas sobre el protocolo HTTP.

Volviendo a la jerarqua, nuestro nivel superior decamos que es el Servidor Web, que a su vez puede contener sitios Web en un solo ordenador, esta configuracin tendramos que hacerlo escuchando diferentes puertos y/o direcciones IP distintas, es lo haramos con ms de una tarjeta de red. A su vez cada sitio Web puede contener muchos directorios y aplicaciones virtuales. Cada sitio individual puede tener sus propias propiedades distintas, como estructuras de directorios, documentos predeterminados, guiones, etc. El directorio Inicial: Cada sitio Web en un ordenador debe tener uno y solamente un directorio inicial. El directorio inicial es la ubicacin predeterminada del sitio en el servidor y contiene la pgina predeterminada cuando se accede al servidor, sin preguntar por una pgina especifica. El origen del recurso (directorio inicial) podemos asignarlo de distintas formas:
z Un directorio del equipo.

z Recurso compartido de otro equipo.

z Redireccin a una direccin URL.

El directorio Virtual: Como es lgico, el servidor Web de IIS no pone a disposicin cualquier directorio para los exploradores clientes, ya que sino tendramos serias preocupaciones en cuestiones de seguridad. En principio se puede navegar a partir de la estructura que pueda existir del directorio inicial, si necesitamos aadir algn directorio que estuviera fuera de nuestra estructura lo haramos por medio de un directorio virtual. Tambin los nombres de los directorios virtuales no tienen porque ser los mismos que los nombre de los directorios fsicos que se publican. Una vez que se ha creado un directorio virtual, se puede acceder por medio de una URL http://ordenador//MiDirectorioVirtual Un directorio virtual puede contener ficheros y subdirectorios, que tienen propiedades comunes que se aplican a los ficheros que residen dentro del mismo. Sin embargo, es posible anular los ajustes comunes para los ficheros individuales desde la ventana de propiedades de un fichero. Tambin podemos realizar configuraciones comunes para subdirectorios dentro de una ubicacin fsica y anular las opciones del directorio virtual. Todas estas anulaciones se realizan utilizando ajustes de propiedades para el fichero especfico o directorio. De este modo IIS proporciona un abanico amplio de posibilidades para las opciones de configuracin en trminos de herencia y granularidad. Aplicacin: Los directorios virtuales son lugares comunes para almacenar ficheros, como lo hacen los directorio fsicos en nuestro disco duro. Sin embargo el servidor Web necesita tener otro componente para describir aplicaciones que no tengan una ubicacin de fichero comn. IIS utiliza otra unidad lgica llamada aplicacin. Y una aplicacin es una unidad lgica que potencialmente tiene varios directorio virtuales diferentes que contienen o puedan contener guiones, imgenes, ficheros html, etc. Todos los ficheros y directorios dentro de una aplicacin se conectan lgicamente entre s, se consideran todos parte de la misma aplicacin. Tcnicamente es un concepto importante porque todos los guiones y las extensiones ISAPI de una aplicacin comparten el mismo espacio de memoria. Esto quiere decir, que es posible pasar un puntero a una ubicacin de memoria local de un componente de una aplicacin a otra, compartiendo, por tanto datos entre ellos.

Veremos las opciones de configuracin por medio de MMC [imagen 1], tambin puedes utilizar el explorador para realizar las configuraciones, esto se realizara por el sitio Web de administracin (esto se usa fundamentalmente para hacerlo remotamente) Si desea hacerlo por este medio, en el explorador deberas teclear lo siguiente: http://localhost:puerto/iisadmin.asp o iis.asp debes tener iniciado el sitio Web de administrador (el puerto solamente si tienes configurado para acceder por un puerto distinto), y vers una pantalla similar a la siguiente:

[ IMAGEN 2 ]

Para acceder a las propiedades, pulsa el botn derecho del ratn sobre el Sitio Web (si te has creado un sitio nuevo, pulsa sobre tu nuevo sitio, si estas trabajando con Windows profesional, utilizaremos el sitio Web predeterminado) y selecciona la opcin propiedades.

Esta opcin nos servir para identificar nuestro sitio Web y las dems propiedades como se pueden ver en la imagen 3, iremos explicando cada una de ellas. En el botn de avanzado podremos colocar el Host Header Name (nombre del sitio Web) o lo que es lo mismo poner la URL, en esta opcin tambin nos permitir poner mltiples nombres de dominio.

[ IMAGEN 3 ]

Descripcin: Descripcin de nuestro sitio Web. Aqu establecemos la direccin IP que tenemos en el ordenador, esta es la direccin IP de nuestro servidor Web interno, si tenemos un dispositivo con una IP Pblica (ej:Router) deberamos redireccionar la IP Pblica a nuestra IP Privada (IP de nuestro servidor Web, Direccin IP: dentro de nuestra Intranet) Si no asignamos un una direccin IP especfica el sitio responder a todas las direcciones IP asignadas a ordenador y no asignadas a otros sitios, lo que lo convertira en el sitio Web predeterminado. Indicamos el puerto de escucha (es decir este ser el puerto en el que se este ejecutando Puerto TCP: el servicio), por defecto y lo normal es dejar en el puerto 80, si cambiamos el puerto cuando se haga referencia al sitio Web se deber indicar el puerto. Este puerto lo usamos para el cifrado Capa de Sockets Seguros (SSL) (solamente si estamos usando SSL), en este caso sera igual que el anterior puerto TCP, lo podemos Puerto SSL: cambiar, pero tambin se tendra que hacer referencia especifica al puerto, para poder conectar con el servidor. Conexiones: Establecemos el mximo de conexiones simultneas en el sitio Web, si tenemos la Windows Profesional esta limitado a 10 conexiones.

Aqu debemos especificar el tiempo en segundos que debe transcurrir antes de que el Tiempo de espera de servidor desconecte a un usuario inactivo. Con esto nos aseguramos que todas las conexin: conexiones se cierren, si el protocolo HTTP no puede cerrar una conexin. Con esta opcin permitimos a un cliente mantener una conexin abierta con el servidor,

en lugar de volver a abrir la conexin del cliente en cada nueva peticin. Habilitar Debemos tener cuidado si deshabilitamos esta opcin, ya que podemos bajar el mantenimiento... : rendimiento del servidor. El registro de un sitio Web o FTP se realiza por mdulos que funcionan independientemente de las dems actividades del servidor. Podemos elegir el formato de los registros para cada sitio Web o FTP individual. Si est habilitado el registro en un sitio, podemos habilitarlo o deshabilitarlo individualmente para cada uno de sus directorios. Los registros creados por IIS se pueden leer en un editor de textos, pero normalmente, se cargan en una herramienta de software para la generacin de informes. El registro ODBC tiene una sesin abierta en una base de datos y sta se puede utilizar para generar informes. Los registros de informacin acerca de procesos se escriben entremezclados con registros W3C extendido normales para cada sitio Web. Cada formato de registro utiliza una zona horaria diferente como base para las horas mostradas en los registros. El formato extendido W3C utiliza el Horario universal coordinado (UTC), anteriormente llamado hora del meridiano de Greenwich. Los otros formatos utilizan la hora local. Las horas mostradas en los ficheros de registro reflejan la hora que el servidor utiliza para procesar las peticiones y las respuestas. Estas horas no reflejan el tiempo transcurrido en la red hasta llegar al cliente ni el tiempo de proceso del cliente. El formato de Microsoft IIS es un formato ASCII fijo (no personalizable). Registra ms datos que el formato comn NCSA. El formato de Microsoft IIS incluye elementos bsicos como la direccin IP del usuario, el nombre de usuario, la fecha y la hora de peticin, el cdigo de estado HTTP y el Archivo del registro IIS de nmero de bytes recibidos. Adems, incluye elementos Microsoft : detallados como el tiempo transcurrido, el nmero de bytes enviados, la accin (por ejemplo, una descarga realizada con un comando GET) y el fichero de destino. Los elementos se separan con comas, por lo que resulta ms sencillo leer el formato que con los dems formatos ASCII, que utilizan espacios como separadores. La hora de registro es la local. Habilitar el registro : El formato extendido W3C es un formato ASCII personalizable con diversos campos diferentes. Podemos incluir campos que consideremos importantes y limitar al mismo tiempo el tamao del registro al omitir los campos Archivo del registro W3C : que no deseamos. Los campos estn separados por espacios. La hora se registra como UTC (hora del meridiano de Greenwich).Para obtener ms informacin acerca de la especificacin del formato extendido W3C, consultar el sitio de W3C, http://www.w3.org/. El formato comn NCSA (Centro Nacional para Aplicaciones de Supercomputacin) es un formato ASCII fijo (no personalizable), disponible para sitios Web, pero no para sitios FTP. Registra informacin bsica acerca de Archivo del registro comn las peticiones de usuario, como el nombre de host NCSA : remoto, el nombre de usuario, la fecha, la hora, el tipo de peticin, el cdigo de estado HTTP y el nmero de bytes recibidos por el servidor. Los elementos estn separados con espacios en blanco y la hora de registro es la local. El formato registro ODBC es un un conjunto fijo de campos de datos en una base de datos compatible con ODBC, como Microsoft SQL Server | Visual FoxPro | Access. IIS incluye un fichero de plantilla de SQL que se puede ejecutar en una base de datos SQL para crear una tabla que acepte entradas de registro desde IIS. El fichero se llama Logtemp.sql y est disponible en el directorio \IISRoot o en %systemroot/system32/inetsrv. El cdigo para la creacin sera algo como esto:
create ta ble inetlog ( ClientHost varchar(255),

username varchar(255), LogTime datetime, service varchar( 255), machine varchar( 255), serverip varchar( 50), processingtime int, bytesrecvd int, bytessent int, servicestatus int, win32status int, operation varchar( 255), target varchar(255), parameters varchar(255) )

Estructura de los campos para la base de datos: ClientHost Username Registro ODBC (solo disponible en W2000 Server o superior) : LogTime Service Machine ServerIP ProcessingTime BytesRecvd BytesSent ServiceStatus Win32Status Operation Target Parameters varchar(255) varchar(255) datetime varchar(255) varchar(255) varchar(255) int int int int int varchar(255) varchar(255) varchar(255)

Luego debemos crearnos el DSN para asignar la base de datos creada con la estructura mencionada, y poder realizar la correspondiente asignacin dentro de dicha opcin de registro por medio de ODBC.

Aqu especificamos las cuentas de usuarios de Windows que tienen privilegios de operador para el sitio Web. La administracin se puede realizar a travs de MMC, de HTML Internet Services Manage o de las interfaces de programacin de administracin, ya comentados brevemente anteriormente. Esta pgina simplemente presenta a los usuarios y grupos que tiene privilegios de operador para escribir cambios en el MetaBase, donde se almacena la informacin de configuracin. En IIS tanto en la versin 4.0 y superiores utilizan seguridad del Sistema Operativo Windows NT para el IIS 4.0 y Windows 2000 Server o Advanced Server para IIS 5.0 y IIS 6.0 a partir del Windows 2003

Metabase: Es el espacio de almacenaje especial utilizado por IIS para guardar los ajustes de configuracin.

[ IMAGEN 4 ]

 En ajuste de rendimiento, es donde procedemos a ajustar el nmero de conexiones previsibles al sitio Web, debemos de tener en cuenta que establecer un nmero excesivo fuera de la realidad lo nico que nos har es consumir ms memoria del Servidor, ya que IIS intentar ajustarse, aunque siempre es importante establecer un nmero de conexiones ligeramente superior al previsto, con esto obtendremos mayor rapidez en las conexiones y tendremos un aumento de rendimiento en el servidor. Habilitar el lmite de ancho de banda, es donde podemos establecer algn lmite en el ancho de banda del sitio Web. Debemos tener en cuenta que el valor del ancho de banda especificado sustituye al definido para el ordenador, incluso aunque ste sea inferior. Habilitar el lmite de proceso, con esta opcin podemos limitar el porcentaje de procesamiento de la CPU que el sitio Web puede usar para las aplicaciones fuera de proceso.

[ IMAGEN 5 ]

ISAPI (Internet Server Application Programming Interface) En esta opcin nos permite especificar filtros ISAPI, los filtros ISAPI son programas DLL especiales que se cargan en el Servidor y se encargan de notificar en puntos particulares para cada solicitud recibida en el sitio. Es decir, el filtro ISAPI es un programa que responde a sucesos durante el procesamiento de un peticin HTTP. Interfaz de programacin de aplicacin del servidor de Internet: Las limitaciones de CGI (Interfaz de pasarela comn), ha contribuido a nuevas arquitecturas para las aplicaciones en Internet, la meta del nuevo modelo de aplicacin era minimizar cualquier sobrecarga de procesamiento de solicitud innecesaria, la lgica indicaba que sera cargar el cdigo que procesa la solicitud una vez y a posteriormente volverlo a utilizar en solicitudes posteriores. Microsoft y Process Software desarrollaron conjuntamente las especificaciones que gobierna como se puede escribir una DLL para procesar las solicitudes de clientes Web: La interfaz de Programacin de Aplicacin de Servidor de Internet (ISAPI) Algunas consideraciones si queremos cargar una DLL de extensin ISAPI Con ISAPI, se pueden crear DLL dinmicas que determinen las tareas que se deben llevar a cabo al enviar una solicitud al Servidor Web. Las DLL ISAPI pueden ser de dos tipos: filtros y extensiones. Los filtros permiten escribir cdigo que pueda recibir notificaciones del servidor Web durante el procesamiento de una solicitud. Tambin podemos usar los filtros en tareas de compresin y codificacin de los datos enviados o para autentificar a un usuario. Por otra parte las extensiones ISAPI aceptan solicitudes de usuario y realizan tareas de recuperacin de datos de una base de datos y de generacin de pginas HTML as como del envo de respuestas al cliente. Para que IIS pueda cargar una DLL de extensin ISAPI, debemos de exportar dos funciones obligatorias:

GetExtensionVersion y HttpExtensionProc. IIS llama a la primera funcin una sola vez, que es cuando se carga por primera la DLL de extensin ISAPI. La segunda funcin es donde tiene lugar el procesamiento real de la solicitud, esta funcin se invoca cada vez que se recibe una solicitud. Recordemos tambin, que una DLL de extensin ISAPI, es una DLL por lo tanto disfruta de todos los beneficios de las DLL en Win32, incluyendo la habilidad para utilizar DLLMain. Cualquier DLL ser libre de exportar un punto de entrada DLLMain, y esta funcin se invoca por el sistema cuando se carga la DLL o se se descarga por el proceso y/o se crean nuevos hilos de procesos. Nota: Si busca informacin en la documentacin Win32 SDK, no encontrars DLLMain, sin embargo tendrs la funcin Win32 DLLEntryPoint. DLLMain es el nombre predeterminado para una funcin de entrada/salida de DLL utilizando Microsoft Link. Arquitectura de los filtros ISAPI La solicitud de un cliente lo podemos separar en varios pasos: IIS lee los datos en bruto de la solicitud. IIS procesa las cabeceras de solicitud HTTP. IIS mapea la URL, es decir http://servidor/miDocumento.html, a un camino c:\inetpub\wwwroot\miDocumento.html Si es la primera solicitud, IIS autentifica al usuario. Si se enva informacin POST con la solicitud, el servidor comienza a leer la informacin por partes. IIS y una aplicacin del servidor Web, pueden enviar las cabeceras HTTP al cliente. El servidor enva los datos de respuesta al cliente. El servidor enva procesamiento de la solicitud, podemos tener la sesin abierta. El servidor escribe informacin en el registro (depende del sistema de acceso) La sesin del servidor se cierra.

fsico

como

Nota: Si necesitamos saber los valores y estructuras referidas a filtros estn definidas en el fichero de cabecera HttpFilt.h, esto est incluido en Microsoft Platform SDK y en IIS SDK, adems incluido a partir de Windows NT 4 (Option Pack) (y superior), tambin a partir de la versin 4.2 y superiores de Microsoft Visual C++ se incluye este fichero de cabecera. ISAPI y HTTP en aplicaciones Web ASP.NET Aunque seguir comentando sobre ISAPI, se escapa del tema que estamos tratando (configuracin de IIS) y podramos dedicar todo un libro, permitirme hacer un comentario breve, de como trata este tema las aplicaciones Web con ASP.NET. En las aplicaciones Web ASP.NET, el control de bajo nivel de solicitudes clientes se consigue con ayuda del motor de ejecucin HTTP. Se basa en el lenguaje CLR de la estructura .NET ydefine un entorno para el procesamiento de solicitudes. De esta forma, el lenguaje CLR sustituye a ISAPI en IIS. El motor de ejecucin HTTP tiene distintas funciones, incluyendo la recepcin de solicitudes enviadas por un cliente, la resolucin de la direccin URL especificada y el envo de la solicitud a la correspondiente aplicacin para procesarla correctamente. El motor de ejecucin HTTP puede recibir varias solicitudes al mismo tiempo, dichas aplicaciones se estn ejecutando en espacios de direcciones totalmente independientes por lo que aumenta el grado de compatibilidad y con este sistema se evitan problemas con otras plataformas. Con esto podemos ver que si una aplicacin Web no funciona, el motor de ejecucin HTTP en su funcionamiento no se vera afectado. Antes veamos que con las extensiones y filtros ISAPI nos permite (a los programadores) controlar el procesamiento de solicitudes Web, lo mismo ocurre con el motor HTTP, pero la diferencia est en que con ISAPI nos exige disponer de conocimientos sobre C++, mientras que en el motor de ejecucin HTTP es un modelo mucho ms sencillo y nos permite utilizar cualquier lenguaje de programacin .NET Por esta razn, ASP.NET prefiere el motor CLR de la estructura .NET a la arquitectura ISAPI.

[ IMAGEN 6 ]

Desde esta opcin, es donde procedemos a indicar donde esta nuestro sitio Web, se pueden definir el origen de tres formas, que ya la hemos comentado anteriormente en (Directorio inicial) Si utilizamos la redireccin, debemos de tener en cuenta que IIS no solo esta limitado a una simple redireccin de un sitio a otro, la fuerza real viene el de poder manipular variables de servidor y comodines.

Variable $S $P $Q $V

Funcin Pasa el sufijo que concuerda de la URL original a la URL destinos Pasa los parmetros de la URL original. Igual que $P, pero con el signo de interrogacin. Borra el nombre del servidor de la solicitud original.

Permisos de accesos, este es un punto sencillo pero importante en la ejecucin de IIS, si estamos trabajando con un directorio local desde aqu podemos controlar los permisos de lectura y escritura para el directorio. Nota: No confundir esta opcin de permiso de escritura, con la que podamos tener para el mantenimiento de una base de datos por ejemplo en Visual FoxPro, salvo que por algn motivo especial desees escribir en el directorio y/o subDirectorios, no marques la opcin de escritura. A diferencia de la opcin de Lectura, que es explicativa por si misma. El permiso de escritura, es un poco ms complejo, a partir de la versin 1.1 de HTTP proporciona un mtodo PUT (es decir solamente sera vlido para exploradores con el protocolo HTTP 1.1 o superior) que permite a los ficheros como por ejemplos los documentos HTML que se carguen directamente en el servidor Web, al seleccionar el permiso de escritura permitiremos a los exploradores Web cargar documentos y ficheros en dichos directorios. Permisos de ejecucin;

 Ninguno :

Solo se puede tener acceso a ficheros estticos, como ficheros de imagen o HTML.

Con esto permitimos ejecutar secuencias de Solo secuencias de comandos : comandos como puede ser el caso de comandos ASP, HTML, y cdigo de scripting.

Con esto damos acceso y posibilidad a ejecutar Secuencias de comandos y cualquier tipo de fichero, es decir permitimos ejecutables : ejecutar cdigo scripting y programas.

Proteccin de la aplicacin, aqu establecemos como se ejecutan las aplicaciones relacionado con el espacio de los servicios Web, tenemos tres niveles, bajo, medio, alto.

Bajo:

Las aplicaciones se ejecutan en el mismo espacio de memoria que los servicios Web, si alguna aplicacin cae, cae todo el Servidor Web.

Procesos de aplicaciones agrupadas y aisladas de Servidor Web, es decir las Medio: aplicaciones se ejecutan en el mismo espacio, pero fuera del proceso de los servicios Web.

Procesos de aplicaciones aislados, separadas unos de otras y de cualquier proceso de servicios Web, es decir cada aplicacin corre en espacios Alto: separados de memoria y por supuesto tambin separado de los procesos de Servicios Web.

Debemos de tener en cuenta, que lo que estamos estableciendo con el nivel de proteccin, es el de establecer procesos en espacios de memoria distintos o no, si una aplicacin cae y estamos ejecutndola en el mismo espacio que IIS (es decir donde estn corriendo los servicios Web), lo nico que haramos es hacer caer el Servidor Web, aunque IIS tenga tcnicas de control para el manejo de excepciones, el riesgo es bastante alto. Cuando las aplicaciones corren en su propio espacio, se reduce el riesgo de inestabilidad de todo el sitio Web, aunque debemos tener en cuenta que dependiendo del nivel los recursos necesarios tambin sern ms altos.

[ IMAGEN 7 ]

Aqu establecemos los documentos que por defecto se servir cuando se acceda al sitio Web. El orden que se establezca en dicha ventana ser la que se utilice cuando se realice la peticin. Es decir si tenemos default.html y default.asp, cuando en el explorador pongamos http://servidor se ejecutar como si hubiramos tecleado http://servidor/default.html, en el caso que no existiera el fichero default.html se procedera a utilizar y/o buscar default.asp y as sucesivamente. Habilitar el pe de pgina del documento, si queremos anexar automticamente un pe de pgina con formato HTML en todos los documentos enviados por el servidor Web, utilizamos esta opcin, debemos tener en cuenta que no debe de ser un documento HTML completo, solamente debemos incluir las etiquetas necesarias para definir la apariencia.

[ IMAGEN 8 ]

Por medio de esta opcin establecemos el nivel de seguridad de acceso a nuestro sitio Web. Como podemos ver la imagen las opciones son varias; Mtodos de autentificacin: Acceso annimo, en esta opcin podemos indicar que los accesos son annimos para ellos se utiliza la cuenta IUSR_nombreDeOrdeandor Acceso autentificado; Autentificacin bsica (la contrasea se enva como texto no cifrado) La autenticacin bsica da como resultado la transmisin a travs de la red de contraseas no cifradas. Un intruso malintencionado, equipado con una herramienta para supervisar la red, podra interceptar nombres de usuarios y contraseas. Autentificacin implcita para servidores de dominio Windows. Autentificacin Windows integrada. Restricciones de nombre de dominio y direccin IP, con esta opcin podemos evitar el acceso a nuestro sitio Web, a determinados usuarios, equipos, grupos, dominios, etc. Comunicaciones Seguras, Secure Commnunications nos permite administrar Certificados seguros, IIS nos proporciona un asistente para generar este tipo de certificados, que lleva encriptacin de datos. No podremos usar las caractersticas de comunicaciones seguras del servidor hasta que hayamos instalado un certificado en el servidor.

 Que es un certificado, Un certificado es fichero de texto especial que esta compuesto por dos secciones; una seccin de texto plano y una seccin encriptada. La parte que corresponde a la seccin del texto plano (puede ser ledo por los usuarios) y contiene informacin sobre el propietario del certificado, en la segunda seccin (la encriptada - no puede ser ledo por los usuarios) y contiene la firma digital y una clave pblica de la autoridad del certificado. Para configurar la Capa de sockets seguros (SSL) del servidor Web, tenemos que considerar los siguiente: Requerir que el usuario establezca un vnculo seguro (cifrado) para conectarse al directorio o fichero. Configurar las caractersticas de autentificacin y asignacin de certificados del cliente en el servidor Web. Crear y configurar listas de confianza en certificados (CTL) Un documento de certificado tiene los siguientes campos de informacin: Campo Descripcin

Versin del certificado : La versin de especificacin del certificado que sigue el certificado.

Nmero de serie :

Un nmero nico para cada certificado firmado por la autoridad de certificado.

Firma :

Especifica el esquema de encriptacin de clave pblica de algoritmo de mezcla. La firma digital se agrega al final del certificado.

Nombre del emisor :

El nombre distinguido x.500 de la autoridad del certificado que firma el certificado.

Perodo de validez :

Las fechas de inicio, la especificacin hasta cuando se considera vlido.

El nombre distinguido x.500 del individuo cuya clave pblica est Nombre del sujeto : contenida en el certificado. Los nombres Distinguidos son universalmente nicos.

Clave pblica de sujeto :

La clave pblica verdadera del individuo especificado en el campo nombre de Sujeto. En la prctica este campo lleva dos claves pblicas; una para intercambios de clave de sesin y la otra para firmar digitalmente los documentos.

Entendiendo sobre los premisos de Windows (NT|2000|2003) e IIS: IIS (Servicios de Internet Information Server), es un servicio que se ejecuta sobre Windows, de ah que se apoye principalmente en las cuentas de usuario de Windows y en el sistema de archivos de Windows (NTFS) Cuentas de usuario: En Windows en su parte central de seguridad encontramos las cuentas de usuario y su extensin lgica, el grupo del usuario. Cuando instalamos IIS, se crean dos cuentas de usuario, donde se les asigna los derechos expecficos y los pone dentro del grupo de usuario especfico. Dichas cuentas son IUSR_NombreOrdenador e IWAN_NombreOrdenador. La cuenta IUSR_NombreOrdenador es usada por IIS para asegurar el acceso annimo a los recursos de la Web. La cuenta IWAN_NombreOrdenador es usada por el Servidor de transacciones de Microsoft (MTS-Microsoft Transaction Server) y varias entidades de IIS para proporcionar funciones programticas y transaccionales. Consideraciones; sobre la cuenta IUSR_NombreOrdeandor, dicha cuenta requiere tener acceso de inicio de sesin local y configurado correctamente, esto se debe fundamentalmente a que acta dentro de IIS, que a su vez es un servicio que acta localmente, tal como si fuera un usuario que fsicamente se conecta al servidor. Se deseamos usar cualquier otra cuenta que no sea IUSR_NombreOrdenador para accesos annimos, debemos de seleccionar con cuidado los derechos que le asignamos.

IIS tambin depende de las cuentas de usuarios al proporcionar autentificacin bsica y Windows. Con el fin de finalizar con xito la operacin, ambos mtodos requieren cuentas de usuarios vlidas (que estn asignadas). Esto porque es necesario; simple, porque IIS crea y configura la cuenta IUSR_NombreOrdenador para la autentificacin annimos, pero NO crea ninguna cuenta para autentificacin bsica. IIS asume que nosotros lo hemos creado o lo crearemos por medio del sistema de Windows (AD-Directorio Activo-Administracin de usuarios y grupos) para ser usadas con la autentificacin bsica y/o integrada. Resumiendo ni Windows ni IIS, crear estas cuentas por nosotros, sin dichas cuentas los mtodos de autenticacin no funcionarn. Permisos Web contra el sistema de archivos de Windows NT File System (NTFS): IIS tiene permisos de Web como lectura y escritura. NTFS tambin tiene sus propios permisos, como lectura y escritura. Para entender la diferencia entre ambos, sera: que los permisos Web controlan qu verbos HTTP pueden ser ejecutados por recursos de HTTP. Mientras que los permisos NTFS se encargan de controlar qu cuentas de usuarios tienen acceso a los recursos del disco duro. Consideraciones, cuales son los permisos y cundo se estn aplicando. Si habilitamos nicamente permisos para lectura en la Web, estamos habilitando permisos de solo lectura en NTFS?, la respuesta sera no y el porqu; esto se debe a que con los permisos de Web slo controlamos qu verbos HTTP pueden ser usados en solicitudes de HTTP. En el caso contrario, si habilitamos permisos de slo lectura en NTFS, estamos habilitando permisos de solo lectura en IIS?, la respuesta en este caso sera si. Aunque pusiramos los permisos de la Web para lectura y escritura, si en NTFS lo tenemos de solo lectura la solicitud de escritura en HTTP fallar. Los permisos Mantra : Si los permisos Web y NTFS no coinciden, el permiso ms restrictivo de los dos ser el que se aplique a la solicitud HTTP. Por ejemplo: supongamos que establecemos permisos Web de solo lectura y en NTFS establecemos permisos de lectura y escritura, el resultado ser que un usuario Web no podr escribir sobre el sitio Web, porque el sistema de permisos Web lo denegar. Sin embargo un cliente de nuestra red podr escribir fcilmente (copiar ficheros, etc.), porque en este caso a NTFS no le importa lo que diga IIS.

Es un documento estandarizado que incluye una clave pblica de Certificado : usuario y que est firmada digitalmente por una autoridad de certificado para probar su validez. Autoridad de certificado Es la autoridad central que verifica la identidad del propietario de una (CA) : clave pblica y, a continuacin, firma digitalmente el certificado utilizado para distribuir la clave. Es una familia de estndares publicados por la Organizacin de X.500 : Estndares Internacional (ISO) diseado para identificar nicamente un directorio. X.500 se cre para promocionar el desarrollo de un directorio de pgina muy parecido al DNS de Internet. Access Control List (ACL) : Es la lista de cuentas de usuarios y grupos de usuarios, con sus privilegios que estn asociados con un recurso en particular. Hashing : El proceso en el que una copia de un mensaje en texto plano es ejecutada a travs de una operacin matemtica que resulta en un valor hash que usualmente tiene 160 bits de largo.

Una parte de la identificacin digital para su servidor. Contiene informacin sobre el servidor y es "firmado" con una firma digital Certificado de servidor : desde la autoridad de certificacin que la emiti. Tambin contiene una clave usada para formar una conexin SSL. Debe tener un certificado de servidor enlazado a su servidor para poder usar SSL.

Un par de valores nicos que son usados para establecer una Par de claves : conexin SSl, encriptar informacin que est siendo transmitida, o ambos. En la criptografa de una clave pblica existen una clave privada y una clave pblica. Los mensajes que la clave privada encripta pueden slo

ser desencriptada con la clave pblica, y viceversa. Una clave encriptada creada durante el establecimiento de la conexin Claves de sesin : a SSL. Esta clave es conocida slo para el usuario y el servidor y es usada para encriptado simtrico.

Habilitar caducidad de contenido, esta casilla la podemos habilitar para incluir informacin relativa a la caducidad, incluir una fecha en los contenidos para que el tiempo sea un factor importante. El explorador compara la fecha actual con la de caducidad para determinar si debe mostrar la pgina almacenada en memoria cach o pedir un pgina actualizada al servidor. Encabezados personalizados, podemos personalizar un encabezado HTTP desde el Servidor Web al explorador cliente. Por ejemplo podramos utilizar un encabezado HTTP personalizado para permitir que el explorador cliente almacenar la pgina en memoria cach e impedir la misma operacin a los servidores proxy. Restriccin de contenido | Clasificacin de contenido, Con esta opcin podemos intentar identificar contenidos posiblemente desagradable en la Web, podemos pedir restricciones de contenido de un fichero, directorio, o sitio Web, aqu establecemos el tipo de clasificacin del sitio Web. Tipos MIME (Extensiones multipropsito de correo Internet), Estas asignaciones establecen los distintos tipos de archivos que el servicio Web devuelve a los exploradores. Siempre que un servidor enve informacin a un cliente, debe indicar qu tipo de informacin est enviando. La informacin sobre el tipo de contenido ayuda al explorador a determinar cmo manipularla, dicha informacin sobre el tipo de datos que se enva desde el servidor al cliente se ubica en una cabecera de Content-Type de HTTP. El servidor tiene una base de datos (que en realidad esta almacenada en el metabase) de asociaciones de extensiones de archivo y sus tipo MIME correspondientes. [ IMAGEN 9 ]

Normalmente IIS responde a la solicitud de un cliente con el cdigo de estado HTTP de (200 que es ok) y la informacin como texto HTML. Pero cuando aparece un error, el servidor enva el cdigo de estado HTTP correspondiente y el mensaje de error al explorador. IIS incluye un conjunto de pginas HTML preconfiguradas para muchos errores como puede ver en la imagen 10. [ IMAGEN 10 ]

Puedes encontrar esta informacin ms detallada en: En la Web de Microsoft, en la documentacin en lnea de IIS. En la Plataforma SDK IIS y en la Web: Platform SDK. Temas relacionados: Administracin de IIS Cdigos de ejemplos de IIS Diseando aplicaciones con IIS RSA Security.

Antonio Muoz de Burgos y Caravaca www.emans.com (Web realizada en MS Visual FoxPro) Sevilla - Espaa