Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS CloudHSM Descarga de SSL/TLS en Windows mediante IIS con KSP
Este tutorial proporciona step-by-step instrucciones para configurar SSL/TLS Offload with AWS CloudHSM en un servidor web de Windows.
**Topics**
+ [Descripción general de](#ssl-offload-windows-overview)
+ [Paso 1: configurar los requisitos previos](#ssl-offload-prerequisites-windows)
+ [Paso 2: crear una solicitud de firma de certificado (CSR) y un certificado](#ssl-offload-windows-create-csr-and-certificate)
+ [Paso 3: configurar el servidor web](#ssl-offload-configure-web-server-windows)
+ [Paso 4: habilitar el tráfico HTTPS y verificar el certificado](#ssl-offload-enable-traffic-and-verify-certificate-windows)
## Descripción general de
En Windows, la aplicación del servidor web [Internet Information Services (IIS) para Windows Server](https://www.iis.net/) admite HTTPS de forma nativa. El [proveedor de almacenamiento AWS CloudHSM clave (KSP) de la API de criptografía de Microsoft: Next Generation (CNG)](ksp-library.md) proporciona la interfaz que permite a IIS utilizar la información de su clúster para descargar HSMs datos criptográficos y almacenar claves. El AWS CloudHSM KSP es el puente que conecta el IIS con el clúster. AWS CloudHSM
Este tutorial le enseña a realizar las siguientes tareas:
+ Instalar el software del servidor web en una instancia de Amazon EC2.
+ Configurar el software del servidor web para que sea compatible con HTTPS mediante el uso de una clave privada almacenada en su clúster de AWS CloudHSM .
+ (Opcional) Uso de Amazon EC2 para crear una segunda instancia de servidor web y Elastic Load Balancing para crear un equilibrador de carga. El uso de un equilibrador de carga puede mejorar el desempeño al distribuir la carga entre varios servidores. También puede proporcionar redundancia y una mayor disponibilidad si uno o más servidores funcionan mal.
Cuando esté listo para empezar, vaya al [Paso 1: configurar los requisitos previos](#ssl-offload-prerequisites-windows).
## Paso 1: configurar los requisitos previos
Las diferentes plataformas requieren requisitos previos diferentes. Utilice la siguiente sección de requisitos previos que se ajuste a su plataforma.
**Topics**
+ [Requisitos previos para el SDK 5 de cliente](#ssl-offload-prerequisites-windows-sdk5)
+ [Requisitos previos para el SDK 3 de cliente](#ssl-offload-prerequisites-windows-sdk3)
### Requisitos previos para el SDK 5 de cliente
Para configurar la descarga de un servidor web con, necesita lo SSL/TLS siguiente: AWS CloudHSM
+ Un AWS CloudHSM clúster activo con al menos un HSM.
+ Una instancia de Amazon EC2 en la que se ejecuta un sistema operativo Windows y que tenga instalado el siguiente software:
+ El software de AWS CloudHSM cliente para Windows.
+ Internet Information Services (IIS) para Windows Server.
+ Un [usuario de criptografía](understanding-users.md#crypto-user-chsm-cli) (CU) que sea el propietario y administre la clave privada del servidor web en el HSM.
**nota**
En este tutorial se utiliza Microsoft Windows Server 2019. Microsoft Windows Server 2016 y 2022 también son compatibles.
**Para configurar una instancia de Windows Server y crear un CU en el HSM**
1. Realice los pasos que se indican en [Introducción](getting-started.md). Al lanzar el cliente de Amazon EC2, seleccione una AMI de Windows Server 2019. Cuando haya completado estos pasos, dispondrá de un clúster activo con al menos un HSM. También tiene una instancia de cliente Amazon EC2 que ejecuta Windows Server con el software de AWS CloudHSM cliente para Windows instalado.
1. (Opcional) Añada más HSMs al clúster. Para obtener más información, consulte [Añadir un HSM a un clúster AWS CloudHSM](add-hsm.md).
1. Conéctese al servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.
1. Utilice la CLI de CloudHSM para crear un usuario de criptografía (CU). Realice un seguimiento del nombre de usuario y la contraseña del CU. Los necesitará para completar el paso siguiente.
**nota**
Para obtener información sobre la creación de un usuario, consulte [Administrar usuarios de HSM con la CLI de CloudHSM](manage-hsm-users-chsm-cli.md).
1. [Establezca las credenciales de inicio de sesión del HSM](ksp-library-authentication.md), utilizando el nombre de usuario y la contraseña del CU que creó en el paso anterior.
1. En el paso 5, si utilizó el Administrador de credenciales de Windows para configurar las credenciales de HSM, descargue [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)from SysInternals para ejecutar el siguiente comando como *NT Authority\\ SYSTEM*:
```
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username {{}} --password {{}}
```
Sustituya {{}} y por {{}} las credenciales de HSM.
**Para instalar IIS en Windows Server**
1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.
1. En su servidor de Windows, inicie **Administrador del servidor**.
1. En el panel **Administrador del servidor**, elija **Agregar roles y características**.
1. Lea la información de **Antes de comenzar** y, a continuación, elija **Siguiente**.
1. En **Installation Type**, elija **Instalación basada en características o en roles**. A continuación, elija **Siguiente**.
1. En **Selección de servidor**, elija **Seleccionar un servidor del grupo de servidores**. A continuación, elija **Siguiente**.
1. En **Roles de servidor**, haga lo siguiente:
1. Seleccione **Servidor web (IIS)**.
1. En **Agregar características necesarias para Servidor web (IIS)**, elija **Agregar características**.
1. Elija **Siguiente** para finalizar la selección de roles de servidor.
1. En **Features (Características)**, acepte los valores predeterminados. A continuación, elija **Siguiente**.
1. Lea la información sobre el **Rol de servidor web (IIS)**. A continuación, elija **Siguiente**.
1. En **Seleccionar servicios de rol**, acepte los valores predeterminados o cambie la configuración como desee. A continuación, elija **Siguiente**.
1. En **Confirmation (Confirmación)**, lea la información de confirmación. Después, seleccione **Install (Instalar)**.
1. Cuando finalice la instalación, elija **Cerrar**.
Después de completar estos pasos, vaya a [Paso 2: crear una solicitud de firma de certificado (CSR) y un certificado](#ssl-offload-windows-create-csr-and-certificate).
### Requisitos previos para el SDK 3 de cliente
Para configurar la SSL/TLS descarga del servidor web con AWS CloudHSM, necesita lo siguiente:
+ Un AWS CloudHSM clúster activo con al menos un HSM.
+ Una instancia de Amazon EC2 en la que se ejecuta un sistema operativo Windows y que tenga instalado el siguiente software:
+ El software de AWS CloudHSM cliente para Windows.
+ Internet Information Services (IIS) para Windows Server.
+ Un [usuario de criptografía](understanding-users.md#crypto-user-chsm-cli) (CU) que sea el propietario y administre la clave privada del servidor web en el HSM.
**nota**
Este tutorial usa Microsoft Windows Server 2016. También es posible utilizar Microsoft Windows Server 2012, pero no Microsoft Windows Server 2012 R2.
**Para configurar una instancia de Windows Server y crear un CU en el HSM**
1. Realice los pasos que se indican en [Introducción](getting-started.md). Cuando lance el cliente de Amazon EC2, seleccione una AMI de Windows Server 2016 o de Windows Server 2012. Cuando haya completado estos pasos, dispondrá de un clúster activo con al menos un HSM. También tiene una instancia de cliente Amazon EC2 que ejecuta Windows Server con el software de AWS CloudHSM cliente para Windows instalado.
1. (Opcional) Añada más HSMs al clúster. Para obtener más información, consulte [Añadir un HSM a un clúster AWS CloudHSM](add-hsm.md).
1. Conéctese al servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.
1. Utilice la CLI de CloudHSM para crear un usuario de criptografía (CU). Realice un seguimiento del nombre de usuario y la contraseña del CU. Los necesitará para completar el paso siguiente.
**nota**
Para obtener información sobre la creación de un usuario, consulte [Administrar usuarios de HSM con la CLI de CloudHSM](manage-hsm-users-chsm-cli.md).
1. [Establezca las credenciales de inicio de sesión del HSM](ksp-library-prereq.md), utilizando el nombre de usuario y la contraseña del CU que creó en el paso anterior.
1. En el paso 5, si utilizó el Administrador de credenciales de Windows para configurar las credenciales de HSM, descargue [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)from SysInternals para ejecutar el siguiente comando como *NT Authority\\ SYSTEM*:
```
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username {{}} --password {{}}
```
Sustituya {{}} y por {{}} las credenciales de HSM.
**Para instalar IIS en Windows Server**
1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.
1. En su servidor de Windows, inicie **Administrador del servidor**.
1. En el panel **Administrador del servidor**, elija **Agregar roles y características**.
1. Lea la información de **Antes de comenzar** y, a continuación, elija **Siguiente**.
1. En **Installation Type**, elija **Instalación basada en características o en roles**. A continuación, elija **Siguiente**.
1. En **Selección de servidor**, elija **Seleccionar un servidor del grupo de servidores**. A continuación, elija **Siguiente**.
1. En **Roles de servidor**, haga lo siguiente:
1. Seleccione **Servidor web (IIS)**.
1. En **Agregar características necesarias para Servidor web (IIS)**, elija **Agregar características**.
1. Elija **Siguiente** para finalizar la selección de roles de servidor.
1. En **Features (Características)**, acepte los valores predeterminados. A continuación, elija **Siguiente**.
1. Lea la información sobre el **Rol de servidor web (IIS)**. A continuación, elija **Siguiente**.
1. En **Seleccionar servicios de rol**, acepte los valores predeterminados o cambie la configuración como desee. A continuación, elija **Siguiente**.
1. En **Confirmation (Confirmación)**, lea la información de confirmación. Después, seleccione **Install (Instalar)**.
1. Cuando finalice la instalación, elija **Cerrar**.
Después de completar estos pasos, vaya a [Paso 2: crear una solicitud de firma de certificado (CSR) y un certificado](#ssl-offload-windows-create-csr-and-certificate).
## Paso 2: crear una solicitud de firma de certificado (CSR) y un certificado
Para habilitar HTTPS, el servidor web necesita un SSL/TLS certificado y la clave privada correspondiente. Para usar SSL/TLS offload with AWS CloudHSM, debe almacenar la clave privada en el HSM de su clúster. AWS CloudHSM Para ello, utilice el [proveedor de almacenamiento de claves (KSP) de AWS CloudHSM para la API de criptografía de nueva generación (CNG) de Microsoft](ksp-v3-library.md) si desea crear una solicitud de firma de certificado (CSR). A continuación, debe proporcionar la CSR a una entidad de certificación (CA), para que firme la CSR y genere un certificado.
**Topics**
+ [Creación de una CSR con el SDK de cliente 5](#ssl-offload-windows-create-csr-new-version)
+ [Creación de una CSR con el SDK de cliente 3](#ssl-offload-windows-create-csr-old-version)
+ [Obtención e importación de un certificado firmado](#ssl-offload-windows-create-certificate)
### Creación de una CSR con el SDK de cliente 5
1. En Windows Server, utilice un editor de texto para crear un archivo de solicitud de certificado denominado `IISCertRequest.inf`. A continuación, se muestra el contenido de un archivo `IISCertRequest.inf` de ejemplo. Para obtener más información sobre las secciones, las claves y los valores que puede especificar en el archivo, consulte la [documentación de Microsoft](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1#BKMK_New). No cambie el valor de `ProviderName`.
```
[Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "CloudHSM Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
```
1. Use el comando [Windows **certreq** de Windows](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1) para crear una CSR a partir del archivo `IISCertRequest.inf` que creó en el paso anterior. En el siguiente ejemplo, se guarda la CSR en un archivo denominado `IISCertRequest.csr`. Si utilizó un nombre de archivo diferente para el archivo de solicitud de certificado, sustitúyalo por el nombre {{IISCertRequest.inf}} de archivo adecuado. Si lo desea, puede {{IISCertRequest.csr}} sustituirlo por un nombre de archivo diferente para el archivo de CSR.
```
C:\>certreq -new {{IISCertRequest.inf}} {{IISCertRequest.csr}}
CertReq: Request Created
```
El archivo `IISCertRequest.csr` contiene la CSR. Necesita esta CSR para obtener un certificado firmado.
### Creación de una CSR con el SDK de cliente 3
1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.
1. Utilice el siguiente comando para iniciar el daemon del AWS CloudHSM cliente.
------
#### [ Amazon Linux ]
```
$ sudo start cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Windows ]
+ Para la versión 1.1.2 y posteriores del cliente de Windows:
```
C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient
```
+ Para la versión 1.1.1 y anteriores de clientes de Windows:
```
C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
------
1. En Windows Server, utilice un editor de texto para crear un archivo de solicitud de certificado denominado `IISCertRequest.inf`. A continuación, se muestra el contenido de un archivo `IISCertRequest.inf` de ejemplo. Para obtener más información sobre las secciones, las claves y los valores que puede especificar en el archivo, consulte la [documentación de Microsoft](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1#BKMK_New). No cambie el valor de `ProviderName`.
```
[Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "Cavium Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
```
1. Use el comando [Windows **certreq** de Windows](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1) para crear una CSR a partir del archivo `IISCertRequest.inf` que creó en el paso anterior. En el siguiente ejemplo, se guarda la CSR en un archivo denominado `IISCertRequest.csr`. Si utilizó un nombre de archivo diferente para el archivo de solicitud de certificado, {{IISCertRequest.inf}} sustitúyalo por el nombre de archivo adecuado. Si lo desea, puede {{IISCertRequest.csr}} sustituirlo por un nombre de archivo diferente para el archivo de CSR.
```
C:\>certreq -new {{IISCertRequest.inf}} {{IISCertRequest.csr}}
SDK Version: 2.03
CertReq: Request Created
```
El archivo `IISCertRequest.csr` contiene la CSR. Necesita esta CSR para obtener un certificado firmado.
### Obtención e importación de un certificado firmado
En un entorno de producción, normalmente se usa una entidad de certificación (CA) para crear un certificado de una CSR. No es necesaria una CA para un entorno de prueba. Si utiliza una CA, envíele el archivo de CSR (`IISCertRequest.csr`) y utilice la CA para crear un certificado firmado SSL/TLS .
Como alternativa al uso de una CA, puede utilizar una herramienta como [OpenSSL](https://www.openssl.org/) para crear un certificado autofirmado.
**aviso**
Los navegadores no confían en certificados autofirmados y no deben utilizarse en entornos de producción. Se pueden usar en entornos de prueba.
Los siguientes procedimientos muestran cómo crear un certificado autofirmado y cómo utilizarlo para firmar la CSR del servidor web.
**Para crear un certificado autofirmado**
1. Utilice el siguiente comando de OpenSSL para crear una clave privada. Si lo desea, puede {{SelfSignedCA.key}} sustituirlo por el nombre del archivo para que contenga su clave privada.
```
openssl genrsa -aes256 -out {{SelfSignedCA.key}} 2048
Generating RSA private key, 2048 bit long modulus
......................................................................+++
.........................................+++
e is 65537 (0x10001)
Enter pass phrase for SelfSignedCA.key:
Verifying - Enter pass phrase for SelfSignedCA.key:
```
1. Utilice el siguiente comando de OpenSSL para crear un certificado autofirmado con la clave privada que ha creado en el paso anterior. Este es un comando interactivo. Lea las instrucciones que aparecen en pantalla y siga las indicaciones. {{SelfSignedCA.key}}Sustitúyalo por el nombre del archivo que contiene la clave privada (si es diferente). Si lo desea, puede {{SelfSignedCA.crt}} sustituirlo por el nombre del archivo para que contenga su certificado autofirmado.
```
openssl req -new -x509 -days 365 -key {{SelfSignedCA.key}} -out {{SelfSignedCA.crt}}
Enter pass phrase for SelfSignedCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
**Para utilizar el certificado autofirmado para firmar la CSR del servidor web**
+ Utilice el siguiente comando de OpenSSL para utilizar la clave privada y el certificado autofirmado para firmar la CSR. Sustituya los nombres de los archivos siguientes por los que contienen los datos correspondientes (si son distintos).
+ {{IISCertRequest.csr}}— El nombre del archivo que contiene la CSR de su servidor web
+ {{SelfSignedCA.crt}}— El nombre del archivo que contiene su certificado autofirmado
+ {{SelfSignedCA.key}}— El nombre del archivo que contiene la clave privada
+ {{IISCert.crt}}— El nombre del archivo que va a contener el certificado firmado de su servidor web
```
openssl x509 -req -days 365 -in {{IISCertRequest.csr}} \
-CA {{SelfSignedCA.crt}} \
-CAkey {{SelfSignedCA.key}} \
-CAcreateserial \
-out {{IISCert.crt}}
Signature ok
subject=/ST=IIS-HSM/L=IIS-HSM/OU=IIS-HSM/O=IIS-HSM/CN=IIS-HSM/C=IIS-HSM
Getting CA Private Key
Enter pass phrase for SelfSignedCA.key:
```
Una vez que haya completado el paso anterior, tendrá un certificado firmado para el servidor web (`IISCert.crt`) y un certificado autofirmado (`SelfSignedCA.crt`). Cuando tenga estos archivos, vaya al [Paso 3: configurar el servidor web](#ssl-offload-configure-web-server-windows).
## Paso 3: configurar el servidor web
Actualice la configuración del sitio web de IIS para que utilice el certificado HTTPS que creó al final del [paso anterior](#ssl-offload-windows-create-csr-and-certificate). Esto terminará de configurar el software de servidor web (IIS) SSL/TLS de Windows para descargarlo con él. AWS CloudHSM
Si utilizó un certificado autofirmado para firmar la CSR, primero debe importar el certificado autofirmado en las entidades de certificación raíz de confianza de Windows.
**Para importar el certificado autofirmado en las entidades de certificación raíz de confianza de Windows**
1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.
1. Copie el certificado autofirmado en el servidor de Windows.
1. En Windows Server, abra el **Panel de control**.
1. En **Buscar en el Panel de control**, escriba **certificates**. A continuación, elija **Administrar certificados de equipo**.
1. En la ventana **Certificados – Equipo local**, haga doble clic en **Autoridades de certificación raíz de confianza**.
1. Haga clic con el botón derecho en **Certificados** y, a continuación, elija **Todas las tareas**, **Importar**.
1. En el **Asistente para importar certificados**, elija **Siguiente**.
1. Elija **Examinar** y, a continuación, busque y seleccione el certificado autofirmado. Si creó el certificado autofirmado siguiendo las instrucciones del [paso anterior de este tutorial](#ssl-offload-windows-create-csr-and-certificate), el certificado autofirmado se llama `SelfSignedCA.crt`. Elija **Open**.
1. Elija **Siguiente**.
1. En **Almacén de certificados**, elija **Colocar todos los certificados en el siguiente almacén**. A continuación, asegúrese de que está seleccionada la opción **Entidades de certificación raíz de confianza** para **Almacén de certificados**.
1. Elija **Next** y, a continuación, elija **Finish**.
**Para actualizar la configuración del sitio web de IIS**
1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.
1. Inicie el daemon del AWS CloudHSM cliente.
1. Copie el certificado firmado del servidor web (el que creó al final del [paso anterior de este tutorial](#ssl-offload-windows-create-csr-and-certificate)) en el servidor de Windows.
1. En el servidor Windows, use el [comando **certreq** de Windows](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1) para aceptar el certificado firmado, como se muestra en el ejemplo siguiente. {{IISCert.crt}}Sustitúyalo por el nombre del archivo que contiene el certificado firmado del servidor web.
```
C:\>certreq -accept {{IISCert.crt}}
SDK Version: 2.03
```
1. En su servidor de Windows, inicie **Administrador del servidor**.
1. En el panel **Administrador del servidor**, en la esquina superior derecha, elija **Herramientas**, **Administrador de Internet Information Services (IIS)**.
1. En la ventana **Administrador de Internet Information Services (IIS)**, haga doble clic en el nombre del servidor. A continuación, haga doble clic en **Sitios**. Seleccione el sitio web.
1. Seleccione **Configuración de SSL**. A continuación, en el lado derecho de la ventana, elija **Enlaces**.
1. En la ventana **Enlaces de sitios**, elija **Agregar**.
1. En **Tipo**, elija **https**. En **Certificado SSL**, elija el certificado HTTPS que creó al final del [paso anterior de este tutorial](#ssl-offload-windows-create-csr-and-certificate).
**nota**
Si se produce un error durante la vinculación de este certificado, reinicie el servidor y vuelva a intentar este paso.
1. Seleccione **Aceptar**.
Después de actualizar la configuración del sitio web, vaya al [Paso 4: habilitar el tráfico HTTPS y verificar el certificado](#ssl-offload-enable-traffic-and-verify-certificate-windows).
## Paso 4: habilitar el tráfico HTTPS y verificar el certificado
Después de configurar el servidor web para SSL/TLS descargarlo AWS CloudHSM, añada su instancia de servidor web a un grupo de seguridad que permita el tráfico HTTPS entrante. Esto permite a los clientes, como, por ejemplo, navegadores web, establecer una conexión HTTPS con su servidor web. A continuación, establece una conexión HTTPS con tu servidor web y comprueba que utiliza el certificado con el que configuraste la descarga. SSL/TLS AWS CloudHSM
**Topics**
+ [Habilitación de las conexiones HTTPS entrantes](#ssl-offload-add-security-group-windows)
+ [Verificación del uso del certificado configurado por parte de HTTPS](#ssl-offload-verify-https-connection-windows)
### Habilitación de las conexiones HTTPS entrantes
Para conectarse a su servidor web desde un cliente (como, por ejemplo, un navegador web), cree un grupo de seguridad que permita conexiones HTTPS entrantes. En concreto, debería permitir conexiones TCP entrantes en el puerto 443. Asigne este grupo de seguridad a su servidor web.
**Para crear un grupo de seguridad para HTTPS y asignarlo a su servidor web**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Elija **Security Groups** en el panel de navegación.
1. Elija **Creación de grupo de seguridad**.
1. En **Create Security Group** (Crear grupo de seguridad), haga lo siguiente:
1. Para **Security group name** (Nombre del grupo de seguridad), escriba un nombre para el grupo de seguridad que está creando.
1. De manera opcional, escriba una descripción del grupo de seguridad que está creando.
1. Para **VPC**, elija la VPC que contiene la instancia de su servidor web Amazon EC2.
1. Seleccione **Add Rule (Añadir regla)**.
1. Para **tipo**, seleccione **HTTPS** en la ventana desplegable.
1. Para **Origen**, introduzca una ubicación de origen.
1. Elija **Creación de grupo de seguridad**.
1. En el panel de navegación, seleccione **Instances (Instancias)**.
1. Seleccione la casilla de verificación junto a la instancia del servidor web.
1. Seleccione las **Acciones** en el menú desplegable que se encuentra en la parte superior de la página. Seleccione **Seguridad**, a continuación, **Cambiar grupos de seguridad**.
1. Para **Grupos de seguridad asociados**, seleccione el cuadro de búsqueda y elija el grupo de seguridad que creó para HTTPS. A continuación, elija **Añadir grupos de seguridad**.
1. Seleccione **Guardar**.
### Verificación del uso del certificado configurado por parte de HTTPS
Tras añadir el servidor web a un grupo de seguridad, puede comprobar que la SSL/TLS descarga utiliza su certificado autofirmado. Puede hacerlo mediante un navegador web o con una herramienta como [OpenSSL s\_client](https://www.openssl.org/docs/manmaster/man1/s_client.html).
**Para verificar la SSL/TLS descarga con un navegador web**
1. Utilice un navegador web para conectarse a su servidor web mediante el nombre de DNS público o la dirección IP del servidor. Asegúrese de que la dirección URL en la barra de direcciones comienza con https://. Por ejemplo, **https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/**.
**sugerencia**
Puede usar un servicio de DNS como Amazon Route 53 para enrutar el nombre de dominio de su sitio web (por ejemplo, https://www.example.com/) a su servidor web. Para obtener más información, consulte [Direccionamiento del tráfico a una instancia de Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html) en la *Guía para desarrolladores de Amazon Route 53* o en la documentación para su servicio DNS.
1. Utilice el navegador web para ver el certificado del servidor web. Para obtener más información, consulte los siguientes temas:
+ Para Mozilla Firefox, consulte [View a Certificate](https://support.mozilla.org/en-US/kb/secure-website-certificate#w_view-a-certificate) en el sitio web de Soporte de Mozilla.
+ Para Google Chrome, consulte [Conocer los problemas de seguridad](https://developers.google.com/web/tools/chrome-devtools/security) en el sitio web para desarrolladores de Google.
Otros navegadores web pueden tener características similares que puede utilizar para ver el certificado del servidor web.
1. Asegúrese de que el SSL/TLS certificado sea el que configuró para usar su servidor web.
**Para comprobar la SSL/TLS descarga con OpenSSL s\_client**
1. Ejecute el siguiente comando OpenSSL para conectarse a su servidor web a través de HTTPS. {{}}Sustitúyalo por el nombre DNS público o la dirección IP de tu servidor web.
```
openssl s_client -connect {{}}:443
```
**sugerencia**
Puede usar un servicio de DNS como Amazon Route 53 para enrutar el nombre de dominio de su sitio web (por ejemplo, https://www.example.com/) a su servidor web. Para obtener más información, consulte [Direccionamiento del tráfico a una instancia de Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html) en la *Guía para desarrolladores de Amazon Route 53* o en la documentación para su servicio DNS.
1. Asegúrese de que el SSL/TLS certificado sea el que configuró para usar su servidor web.
Ahora tiene un sitio web que se protege con HTTPS. La clave privada del servidor web se almacena en un HSM de su AWS CloudHSM clúster.
Para agregar un equilibrador de carga, consulte [Agregue un balanceador de carga con Elastic Load Balancing para AWS CloudHSM(opcional)](third-offload-add-lb.md).