entidad certificadora enterprise
TRANSCRIPT
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 1/36
Windows Server 2012: Instalando una AutoridadCertificadora Subordinada de Tipo Enterprise (Integrada con
Active Directory)
Luego de la nota anterior (Windows Server 2012: Instalando una AutoridadCertificadora Raíz (Root Certification Authority) de Tipo Standalone) de donde hemosdejado preparada la infrestructura necesaria, en esta nota veremos la instalación yconfiguración de una Autoridad Certificadora Subordinada de Tipo Enterprise
El hecho de integrar la Autoridad Certificadora con Active Directory nos facilitaráenormemente no sólo el otorgamiento de certificados, sino que además podremospersonalizar las plantillas de los certificados, automatizar el otorgamiento, controlar laseguridad, recuperar claves perdidas, y mucho más
La infraestructura necesaria para esta demostración, es primero que nada una Autoridad Certificadora de tipo Raíz, como fue configurada en Windows Server 2012:
Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de TipoStandalone, y dos equipos más:
• Un Controlador de Dominio• Un Servidor miembro del Dominio
Usaré, como en todas las demostraciones a “dc1.root.guillermod.com.ar” y otroservidor “srv1.root.guillermod.com.ar”No tienen ninguna configuración especial que no sea la normal
Comencemos con la instalación de la Autoridad Certificadora en SRV1 de la forma
habitual y siguiendo el asistente
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 2/36
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 3/36
Como siempre agregamos los componentes necesarios adicionales
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 4/36
Atención con la advertencia …
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 5/36
En este caso y previendo futuras demostraciones incluiré dos componentes:“Certification Authority” y “Certificate Authority Web Enrollment”, este último implica la
instalación del “Web Server”
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 6/36
No cambiaré ninguno de los componentes por omisión
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 7/36
Y comenzaremos con el asistente de configuración
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 8/36
Si como en mi caso, iniciaron sesión con un Enterprise Admin, no hace falta cambiar la
cuenta
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 9/36
Marcamos los dos componentes que configuraremos
A diferencia de la nota anterior en este caso instalaremos una Autoridad Certificadorade tipo Enterprise
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 10/36
Que la subordinaremos a la Autoridad Certificadora Raíz creada en la nota anterior
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 11/36
Le asignamos el nombre que nos parezca apropiado
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 12/36
Observen que por omisión nos ofrece guardar el pedido de certificado a la AutoridadCertificadora superior en un archivo. Tomen nota de la ubicación y el nombre
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 13/36
Nos dará la advertencia que la configuración no está completa, lo cual es lógico pues
debemos obtener el certificado desde la Autoridad Certificadora superior
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 14/36
¿Recuerda cuál era la solicitud del certificado? Debemos copiarlo a la máquina con la Autoridad Certificadora superior, en nuestro caso la Autoridad Certificadora Raíz
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 15/36
De todas formas, sigamos en SRV1, y copiemos en algún lugar que nos resultecómodo los certificados y CRL de la Autoridad Certificadora superior que creamos enla nota anterior
Con botón derecho sobre el certificado de la Autoridad Certificadora elijamos “InstallCertificate”
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 16/36
Recordar que lo debemos instalar en la máquina y no en el usuario
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 17/36
Y como es un certificado de una Autoridad Certificadora Raíz, lo debemos instalar en“Trusted Root Certification Authorities”
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 18/36
Esperar que aparezca el siguiente cartel
Ahora vamos a C:\inetpub\wwwroot y creamos la carpeta “CertData” (o como lahayamos llamado)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 19/36
Dentro de la cual copiaremos los otros dos archivos que trajimos desde la AutoridadCertificadora Raíz
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 20/36
Llegamos a este punto vamos a la máquina con la Autoridad Certificadora Raíz, dondedeberemos haber copiado la solicitud de certificado de la “sub” Autoridad Certificadora
Abrimos la consola de la Autoridad Certificadora e importamos la solicitud decertificado
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 21/36
Demorará unos segundos hasta aparecer en “Pending Requests”, donde con botón
derecho lo otorgaremos (“Issue”)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 22/36
Pasando entonces el mismo a “Issued Certificates”, desde donde lo abriremos paraexportarlo
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 23/36
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 24/36
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 25/36
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 26/36
Este archivo lo deberemos copiar a la máquina con nuestra “sub” AutoridadCertificadora”, desde donde proseguimos la configuración
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 27/36
En la consola de “Certification Authority” procederemos a instalar el certificadootorgado
Se me traspapeló la captura de cuando busqué el certificado, pero entiendo que nadietendrá dudas de cómo encontrarlo y pulsar “Ok” ;-)
Quedará así, y observen que aunque lo importó, el servicio está detenido. Vean quehay un pequeño cuadrado negro (Stop) en la Autoridad Certificadora. Dejen pasar 15 o20 segundos antes de tratar de arrancar el servicio como muestra la figura
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 28/36
Ya arrancó el servicio
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 29/36
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 30/36
Como lo queremos hacer a nivel de todo el Dominio, editemos la “Default DomainPolicy” (no confundirse…)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 31/36
Con botón derecho sobre Computer Configuration \ Policies \ Windows Settings \Security Settings \ Public Key Policies \ Trusted Root Certification Authorities, elegimos“Import …”
Y seguimos el asistente
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 32/36
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 33/36
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 34/36
Luego que cerramos la consola, debemos abrir la línea de comandos (CMD) comoadministrador, tanto en DC1 como en SRV1 y ejecutar:
GPUPDATE /FORCEDe esta forma nos aseguraremos que tomen los certificados como confiables
Como verificación de todo lo que hicimos anteriormente, aunque lo haremos en futurasnotas, podemos ver algo interesante si dejamos pasar el tiempo suficiente.
Los Controladores de Dominio adquieren en forma automática cuando detectan una Autoridad Certificadora Enterprise un certificado de “Domain Controller”. De acuerdo ala documentación de Microsoft pueden pasar hasta 6 horas, pero en mi caso fue casiinstantáneamente, quizás sea una mejora de W2012 :-)
Si observamos los certificados emitidos por nuestra “sub” Autoridad Certificadora
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 35/36
Y si en DC1 nos creamos una consola para ver los certificados de máquina, veremos
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 36/36