Configurar autenticacion en iis7 con DNIe

Bueno, finalmente hemos tenido que lidiar con los DNIe en IIS.
Los pasos a seguir vienen “bastante” bien especificados en la página web del DNI-e:
https://zonatic.usatudnie.es/es/aprendizaje/aprende-sobre-el-dnie/58-desarrolla-con-el-dni-electronico/226-internet-information-services-iis.html?showall=1

Sin embargo hay algunos errores a destacar.

Una vez que tengas todo el montaje, es probable que cuando vayas a autenticar con tu DNIe, te encuentres con una situación en la que te diga que no se puede verificar la revocación de tu certificado cliente (error 403.7)
Esto se debe a que la CRL u OSP que tienen montada no funciona correctamente, de hecho en la web, en la parte final indican que es posible que “la validación de certificados cliente por parte del servidor IIS puede fallar”.

La teoría de la alternativa que ofrecen, que no es otra que no realizar la validación/verificación del certificado cliente, es buena. Sin embargo, los comandos que proporcionan son incorrectos.

En primer lugar lanzamos una consola, y ejecutamos el comando netsh, seguimos los siguientes pasos:

netsh> http
netsh http> show sslcert

Ahí veremos los certificados de las webs que tenemos. Copiaremos el certificado del sitio para el que estamos configurando la autenticación DNI-e a un notepad, puesto que posteriormente necesitaremos los datos de hash y appid.
Eliminamos el certificado dentro del contexto:
netsh http> delete sslcert ipport=0.0.0.0:443

Lo agregamos nuevamente pero deshabilitando la opción de verificación de revocación de certificado cliente:

netsh http>add sslcert ipport=0.0.0.0:443 certhash=3c7a212548dbf8941a3709b4a7bc3db4fe7297ba appid={4dc3e181-e14b-4247-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=disable

Como se ve esté último paso es diferente a lo que indican en el tutorial. Con ésto la parte de IIS estaría completada.

Bye!

This entry was posted in iis. Bookmark the permalink.

2 Responses to Configurar autenticacion en iis7 con DNIe

  1. Miguel says:

    Hola lo primero agradecerte el compartir conocimiento, 🙂

    El motivo de mi reply es por si me puedes echar una mano, ya que ando bastante desesperado, y veo que hay muy poca documentacion al respecto. Tras todas las pruebas que he realizado, lo que indicas en el tutorial, me sigue mostrando error 403.7, ¿Es posible que tenga mal instalados los CA raiz y intermedio? ¿de ser asi cuales tendria que usar?

    Un saludo y muchas gracias de antemano.

  2. Adrian Perez says:

    Hola Miguel,

    el error a priori que te aparece es el que indico en mi site.
    Has procedido a deshabilitar el checkeo del cert como indico??

    Ya me dirás si puedo ayudarte en algo más.

    Un saludo,

Leave a Reply

Your email address will not be published. Required fields are marked *