Instalación de una entidad emisora de certificados

Para esto necesitamos tener instalador el IIS en Windows 2008 server (En inicio/administrador del servidor/funciones/agregar funciones). En la pantalla donde hemos instalado el IIS, también seleccionamos servidor de Certicate Server de Active Directory.

Le damos a siguiente hasta que nos aparezca la siguiente ventana en la que marcaremos las dos opciones.

Realizado por: David San José

Hacemos clic en siguiente hasta que nos deje elegir estas dos opciones. Escogeremos la que viene por defecto, CA raíz para instalar una única entidad de certificación de clave pública.

Aquí nos dejará elegir entra una nueva clave privada o si tenemos una existente. Como no tenemos ninguna seleccionamos la primera opción.

Aquí podemos elegir el tipo de algoritmo, la longitud de caracteres de la clave y el proveedor de servicios de cifrado. Podemos seleccionar md2 por ejemplo y dejar lo demás por defecto.

Aquí simplemente cambiamos el nombre de la entidad de certificación, por ejemplo si vemos un certificado nos mostrará, si lo cambiamos, el nombre de nuestro equipo.

Hacemos clic en siguiente.

Esta ventana nos permite elegir cuando caduca nuestro certificado. Una vez que caduca tendremos que renovarlo ya que dejará de ser válido.

Este paso es muy importante, ya que nos dirá donde ubicará la base de datos del certificado. Algunas veces Windows no creará el directorio por error, y tendremos que hacerlo de forma manual.

Los siguientes pasos podremos dar a siguiente directamente dejando la configuración por defecto.

Una vez instalado, para asegurarnos que todo funcione correctamente pararemos el servicio y lo levantaremos, así evitaremos reiniciar la máquina en caso de error. En administrador del servidor/funciones/Servicios de Certificate Server a la derecha, podremos detener el servicio y levantarlo posteriormente

Para una mejor experiencia instalaremos el navegador Firefox. En el navegador escribimos en la URL localhost/certsrv. Nos mostrará menú del servidor de certificados. Escogeremos la primera opción “solicitar un certificado”.

Luego en la siguiente pantalla podemos elegir si queremos un certificado para el correo o para el navegador. Nuestro opción será para un correo electrónico.

Aquí tendremos que rellenar nuestros datos como el nombre, el correo, compañía etc. También podremos escoger la severidad de la clave entre grado alto o medio.

Una vez hecho esto, nos mostrará una información confirmando que todo se ha realizado correctamente, y que pasados unos dos días, tenemos que acceder con el mismo navegador para obtener el certificado.

En la pantalla principal si seleccionamos la segunda opción de ver el estado de una solicitud de certificado pendiente. Nos mostrará todos los certificados que hemos creado y están pendientes.

Pasado los dos días naturales escribimos en el navegador localhost/certsrv. Seleccionamos la tercera opción, descargar un certificado CA, cadenas de certificados o certificado de revocación.

Nos mostrará los certificados que tenemos listos. Nos permitirá cuatro opciones: Instalar el certificado de CA, Descargar certificado CA,Descargar cadena de certificados de CA, Descargar CRL base más reciente. Vamos a instalar el certificado en el navegador para comprobar si funciona y luego también descargarlo, para utilizarlo en un cliente de correo electrónico.

Podemos ver le certificado con el nombre del equipo:

Mandar un correo haciendo uso del certificado digital creado con Thunderbird

Thunderbird es un cliente de correo libre tanto para Windows como para Linux. En las distribuciones de Ubuntu 11.04 en adelante viene incluido por defecto pero en las anteriores hay que instalarlo con el gestor de paquetes Sypnatic.

Para abrir el programa, vamos Aplicaciones/internet/Thunderbird. Cuando lo arrancamos la primera vez nos mostrará el asistente para sincronizar nuestro correo. Escribimos nuestro nombre, e-mail y contraseña y le damos a continue.

De forma automática nos pondrá los puertos según el protocolo que utilice el servidor del correo electrónico, en nuestro caso pop3 para el correo de entrada y SMTP para el de salida.

Para instalar el certificado nos vamos a edit/preferences/Avanced/certificates/your Certficates/import. Buscamos el certificado y le damos a aceptar.

Si el proceso se realiza correctamente nos mostrará un mensaje de confirmación.

Cuando escribimos un correo. Si hacemos clic en “security” y luego en “encrypt this message”podemos encriptar el mensaje y también firmarlo con nuestro certificado. Eso sí, si la persona que la recibe no tiene un cliente de correo como este o el Outlook y un certificado, no podrá ver el mensaje. Para esto necesitamos la clave pública de la otra persona.

Desde otra máquina virtual con Windows Server 2008, se crea otro certificado. Vamos a exportar la clave pública con Thunderbird.

Vamos a la opciones/avanzado/certificados/ver certificados/sus certificados damos al botón ver y en detalles exportar.

Enviaremos un mensaje firmado. Para firmarlo tan solo haremos clic en seguridad y luego en firmar digitalmente este mensaje.

No podremos cifrar el mensaje ya que no es un certificado oficial.

Cuando recibamos el mensaje veremos que el correo tiene un sobre que significa que el correo está firmado.