entidad certificadora enterprise

8/18/2019 Entidad Certificadora Enterprise

http://slidepdf.com/reader/full/entidad-certificadora-enterprise 1/36

Windows Server 2012: Instalando una AutoridadCertificadora Subordinada de Tipo Enterprise (Integrada con

Active Directory)

Luego de la nota anterior (Windows Server 2012: Instalando una AutoridadCertificadora Raíz (Root Certification Authority) de Tipo Standalone) de donde hemosdejado preparada la infrestructura necesaria, en esta nota veremos la instalación yconfiguración de una Autoridad Certificadora Subordinada de Tipo Enterprise

El hecho de integrar la Autoridad Certificadora con Active Directory nos facilitaráenormemente no sólo el otorgamiento de certificados, sino que además podremospersonalizar las plantillas de los certificados, automatizar el otorgamiento, controlar laseguridad, recuperar claves perdidas, y mucho más

La infraestructura necesaria para esta demostración, es primero que nada una Autoridad Certificadora de tipo Raíz, como fue configurada en Windows Server 2012:

Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de TipoStandalone, y dos equipos más:

• Un Controlador de Dominio• Un Servidor miembro del Dominio

Usaré, como en todas las demostraciones a “dc1.root.guillermod.com.ar” y otroservidor “srv1.root.guillermod.com.ar”No tienen ninguna configuración especial que no sea la normal

Comencemos con la instalación de la Autoridad Certificadora en SRV1 de la forma

habitual y siguiendo el asistente

https://windowserver.wordpress.com/2013/04/12/windows-server-2012-instalando-una-autoridad-certificadora-raz-root-certification-authority-de-tipo-standalone/
















Como siempre agregamos los componentes necesarios adicionales



Atención con la advertencia …



En este caso y previendo futuras demostraciones incluiré dos componentes:“Certification Authority” y “Certificate Authority Web Enrollment”, este último implica la

instalación del “Web Server”



No cambiaré ninguno de los componentes por omisión



Y comenzaremos con el asistente de configuración



Si como en mi caso, iniciaron sesión con un Enterprise Admin, no hace falta cambiar la

cuenta



Marcamos los dos componentes que configuraremos

A diferencia de la nota anterior en este caso instalaremos una Autoridad Certificadorade tipo Enterprise



Que la subordinaremos a la Autoridad Certificadora Raíz creada en la nota anterior



Le asignamos el nombre que nos parezca apropiado



Observen que por omisión nos ofrece guardar el pedido de certificado a la AutoridadCertificadora superior en un archivo. Tomen nota de la ubicación y el nombre



Nos dará la advertencia que la configuración no está completa, lo cual es lógico pues

debemos obtener el certificado desde la Autoridad Certificadora superior



¿Recuerda cuál era la solicitud del certificado? Debemos copiarlo a la máquina con la Autoridad Certificadora superior, en nuestro caso la Autoridad Certificadora Raíz



De todas formas, sigamos en SRV1, y copiemos en algún lugar que nos resultecómodo los certificados y CRL de la Autoridad Certificadora superior que creamos enla nota anterior

Con botón derecho sobre el certificado de la Autoridad Certificadora elijamos “InstallCertificate”



Recordar que lo debemos instalar en la máquina y no en el usuario



Y como es un certificado de una Autoridad Certificadora Raíz, lo debemos instalar en“Trusted Root Certification Authorities”



Esperar que aparezca el siguiente cartel

Ahora vamos a C:\inetpub\wwwroot y creamos la carpeta “CertData” (o como lahayamos llamado)



Dentro de la cual copiaremos los otros dos archivos que trajimos desde la AutoridadCertificadora Raíz



Llegamos a este punto vamos a la máquina con la Autoridad Certificadora Raíz, dondedeberemos haber copiado la solicitud de certificado de la “sub” Autoridad Certificadora

Abrimos la consola de la Autoridad Certificadora e importamos la solicitud decertificado



Demorará unos segundos hasta aparecer en “Pending Requests”, donde con botón

derecho lo otorgaremos (“Issue”)



Pasando entonces el mismo a “Issued Certificates”, desde donde lo abriremos paraexportarlo



Este archivo lo deberemos copiar a la máquina con nuestra “sub” AutoridadCertificadora”, desde donde proseguimos la configuración



En la consola de “Certification Authority” procederemos a instalar el certificadootorgado

Se me traspapeló la captura de cuando busqué el certificado, pero entiendo que nadietendrá dudas de cómo encontrarlo y pulsar “Ok” ;-)

Quedará así, y observen que aunque lo importó, el servicio está detenido. Vean quehay un pequeño cuadrado negro (Stop) en la Autoridad Certificadora. Dejen pasar 15 o20 segundos antes de tratar de arrancar el servicio como muestra la figura



Ya arrancó el servicio



Como lo queremos hacer a nivel de todo el Dominio, editemos la “Default DomainPolicy” (no confundirse…)



Con botón derecho sobre Computer Configuration \ Policies \ Windows Settings \Security Settings \ Public Key Policies \ Trusted Root Certification Authorities, elegimos“Import …”

Y seguimos el asistente



Luego que cerramos la consola, debemos abrir la línea de comandos (CMD) comoadministrador, tanto en DC1 como en SRV1 y ejecutar:

GPUPDATE /FORCEDe esta forma nos aseguraremos que tomen los certificados como confiables

Como verificación de todo lo que hicimos anteriormente, aunque lo haremos en futurasnotas, podemos ver algo interesante si dejamos pasar el tiempo suficiente.

Los Controladores de Dominio adquieren en forma automática cuando detectan una Autoridad Certificadora Enterprise un certificado de “Domain Controller”. De acuerdo ala documentación de Microsoft pueden pasar hasta 6 horas, pero en mi caso fue casiinstantáneamente, quizás sea una mejora de W2012 :-)

Si observamos los certificados emitidos por nuestra “sub” Autoridad Certificadora



Y si en DC1 nos creamos una consola para ver los certificados de máquina, veremos

entidad certificadora enterprise

Documents