Cómo agregar un certificado de autoridad de certificación de confianza a Internet Explorer o Microsoft Edge
Los navegadores web utilizan Secure Sockets Layer (SSL) para cifrar el tráfico entre los sistemas cliente y las computadoras del servidor para proteger los datos confidenciales, como la información del seguro social, los detalles de la tarjeta de crédito y más.
Para que un certificado SSL funcione correctamente, el navegador web también debe confiar en la entidad que emitió el certificado (también llamada autoridad de certificación o CA), lo que implica instalar el certificado del emisor para que el navegador sepa que el emisor es válido y confiable.
La mayoría de los navegadores confían automáticamente en las autoridades de certificación de uso común, como Verisign, DigiCert, Entrust, Comodo u otros nombres importantes. Sin embargo, si utiliza una autoridad de certificación interna que no es de confianza para generar certificados SSL para recursos internos, su navegador lo molestará cuando intente conectarse.
El navegador web Internet Explorer 11 será Figura A.
Figura A
Para continuar, debe hacer clic en Continuar a este sitio (no recomendado).
El navegador Microsoft Edge mostrará lo siguiente Figura B.
Figura B
Al hacer clic en Detalles y luego en Ir a la página web (no recomendado), se permitirá el acceso.
Sin embargo, aunque estas indicaciones para ambos navegadores lo dirigirán al sitio, debe hacer esto para cada sitio para el cual su CA interna emita un certificado SSL.
Además, podría ser una mala señal para los administradores de sistemas que instan a los usuarios a leer y seguir las advertencias de seguridad del navegador. Se verán estúpidos y, paradójicamente, le dirán al usuario que «ignore la advertencia y continúe con el sitio».
Consulte: Guía del líder de TI para la seguridad de Big Data (Tech Pro Research)
Afortunadamente, hay una mejor manera. Al instalar el certificado SSL de su sistema como una autoridad de certificación raíz confiable, puede configurar su sistema para que confíe en todos los certificados de una autoridad de certificación. De esta manera, el navegador nunca más le pedirá que visite ningún sitio con un certificado de esa CA, y sus usuarios pueden tomar en serio las indicaciones de seguridad.
notas: Este artículo se centra en los navegadores Internet Explorer 11 y Edge de Microsoft; anteriormente he cubierto cómo hacer esto en Firefox y Chrome. Los pasos de este tutorial son precisos al momento de escribir, pero las versiones futuras de estos navegadores pueden incluir diferentes opciones de menú.
Cómo obtener su certificado CA
Primero, debe obtener una copia del certificado SSL en formato DER de la CA. Si su CA ejecuta Windows, siga estos pasos. De lo contrario, investigue los detalles de su sistema operativo específico.
Vaya al panel de control en la máquina CA.
Abra la carpeta Herramientas administrativas.
Haga doble clic en la autoridad de certificación (Figura C).
Figura C
Haga clic derecho en el servidor y seleccione Propiedades (Figura D).
Figura D
Click para ver el certificado (Figura E).
Figura E
Haga clic en la pestaña Detalles (Figura F).
Figura F
Haga clic en Copiar a archivo.
Haga clic en Siguiente (Figura G).
Figura G
Marque DER X.509 binario codificado (.CER) y haga clic en Siguiente.
Especifique un nombre de archivo (por ejemplo, c:\CA_certificate.cer) y haga clic en Siguiente.
Haga clic en Finalizar.
El certificado se guardará en la ubicación que especifique.
Cómo agregar un certificado de CA como autoridad raíz de confianza a Internet Explorer/Microsoft Edge
Si está utilizando Active Directory, su mejor opción es utilizar la Política de grupo para que todos los sistemas de su organización confíen en los certificados de una autoridad de certificación, lo que también se aplica a Internet Explorer o Microsoft Edge.
Configure los sistemas Windows para que confíen en su CA con la política de grupo
Copie el certificado en su controlador de dominio.
Vaya al Panel de control.
Abra Herramientas administrativas.
Gestión abierta de políticas de grupo (Figura H).
Figura H
Haga clic derecho en su dominio y seleccione Crear GPO en este dominio y vincúlelo aquí.Proporcione un nombre para el Objeto de política de grupo, como Certificado de CA, y haga clic en Aceptar (Foto 1).
Figura 1
Haga clic con el botón derecho en el nuevo GPO y haga clic en Editar.
Ampliar política.
Expanda Configuración de Windows.
Expanda Configuración de seguridad.
Expanda Política de clave pública.
Haga clic con el botón derecho en Autoridades de certificación raíz de confianza y seleccione Importar (Figura J).
Figura J
Haga clic en Siguiente.
Haga clic en Examinar, luego busque y seleccione el certificado de CA que copió en esta computadora.
Haga clic en Siguiente.
Haga clic en Finalizar y luego en Aceptar.
A continuación, debería ver el certificado que se muestra en el campo de la derecha. (Figura K).
Figura K
Los equipos cliente deben comenzar a confiar en la autoridad de certificación de inmediato.
Cómo configurar manualmente un sistema Windows para confiar en su CA
Si Active Directory no se ejecuta en su organización, no puede aprovechar la directiva de grupo, pero puede agregar manualmente el certificado de CA como una autoridad de certificación raíz de confianza en los hosts de Windows para que los certificados SSL asociados sean de confianza. Esto funciona con Internet Explorer o Microsoft Edge.
Primero, copie su certificado de CA al host que desea usar.
Abra un símbolo del sistema y ejecute el administrador de certificados con el siguiente comando (Figura L).
CertificateManager.msc
Figura L
En el marco izquierdo, expanda Certificados raíz de confianza, luego haga clic con el botón derecho en Certificados y seleccione Todas las tareas->Importar (Figura M).
Figura M
Haga clic en Siguiente en el Asistente de importación de certificados (Figura N).
Figura N
Haga clic en Siguiente, luego en Examinar, luego busque y seleccione el certificado de CA que copió en esta computadora.
Para Poner todos los certificados en el siguiente almacén, elija Autoridades de certificación raíz de confianza.
Haga clic en Siguiente (Figura O).
Figura O
Haga clic en Finalizar.
Haga clic en Sí en cualquier mensaje final.
Cómo agregar manualmente un certificado de CA en Internet Explorer
¿Qué sucede si solo desea agregar la CA raíz en Internet Explorer o Edge? Bueno, desafortunadamente, no puede ver esto a través de Edge; aparentemente, es una característica de seguridad diseñada para evitar la manipulación de certificados directamente a través del navegador, pero con Internet Explorer, puede hacerlo. Siga los pasos a continuación.
Copie el certificado de CA en el host con el que desea trabajar.
Abra Internet Explorer y haga clic en el ícono de ajustes en la esquina superior derecha (Imagen P).
Figura P
Haga clic en Opciones de Internet (Figura Q).
Figura Q
Seleccione la pestaña de contenido (Figura R).
Figura R
Haga clic en Certificado (número).
número
Haga clic en la pestaña Autoridades de certificación raíz de confianza (Figura T).
Figura T
Haga clic para importar (Figura U).
Figura U
Haga clic en Siguiente (Figura 5).
Figura 5
Busque la ubicación de su certificado CA guardado localmente y haga doble clic en él (Imagen W).
Figura W
Asegúrese de colocar todos los certificados en el siguiente campo de almacenamiento configurado como Autoridades de certificación raíz de confianza y haga clic en Siguiente (Figura 10).
Figura 10
Haga clic en Finalizar (Figura Y).
Figura Y
Responda Sí al mensaje de confirmación.
Internet Explorer ahora debería confiar en la autoridad de certificación y dejar de dar advertencias de seguridad.
