Segunda parte de la CA. En esta parte vamos a instalar nuestro servidor web de inscripcion de certificados y de comprobacion de CRL en un segundo servidor que solo tendra dicho rol. Desde mi controlador de dominio y CA voy a administrar e instalar la inscripción web de certificados. Para ello añado el servidor miembro que va a funciona de Inscripcion web a mi dominio y luego desde Server Manager en mi servidor de Entidad selecciono Add other servers to manage.
Añado mi servidor
Pulso en Añadir Roles y Características
Selecciono el segundo servidor añadido anteriormente
Selecciono el rol de Servicios de Certificado
No selecciono ninguna caracteristica
Dentro de los servicios de rol escojo Inscripción web de entidad de certificación y desmarco Entidad de certificación
Ahora me saca un warning diciendo que necesita configuracion, lo selecciono y pulso Configurar Active Directory Certificate Services
Introduzco las credenciales para acceder a mi Entidad Certificadora y Next
Selecciono el servicio de rol a configurar
S
Selecciono mi Entidad Certificadora
Lisa la configuración, ahora debo de modificar las propiedades de mi Entidad Certificadora para que las CRL y la informacion de entidad sean accesibles por http. Para ello voy a la consola de Entidad Certificadora y sobre la entidad, boton derecho Propiedades
Pestaña Extensiones, Selecciono CDP
Boton Añadir y Añado la URL igual que el ejemplo pero con el servidor que funciona como inscripcion web, es decir
http://FQDNServidorInscripcionWeb/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
Selecciono la URL que he añadido
Marco las casillas (2 primeras)
Selecciono AIA en el desplegable
Añadir y añado la URL
http://FQDNServidorInscripcionWeb/CertEnroll/<ServerDNSName>_<CAName><CertificateName>.crt
Seleccionamos la opcion para incluirla en los certificados
Reiniciamos el servicio
Estas dos configuraciones de las CRL y CRT se podrian haber sustituido por los cmdlets:
certutil -setreg CA\CRLPublicationURLs «1:%WINDIR%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n2:http://FQDNServidorInscripcionWeb/certenroll/%%3%%8%%9.crl\n3:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=PublicKey Services,CN=Services,%%6%%10″
certutil -setreg CA\CACertPublicationURLs «1:%WINDIR%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2:http://FQDNServidorInscripcionWeb/certenroll/%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=PublicKey Services,CN=Services,%%6%%11″
Ahora vamos a pasar las CRL y CRT de mi entidad a su nueva ubicación en el Servidor que va a funcionar como inscripción Web. Para ello en el servidor que funciona como entidad voy a C:\Windows\System32\CertSrv\CertEnroll y copio el contenido al mismo directorio del servidor que funciona como Inscripción Web
Arranco PowerShell para verificar la ruta de publicación de las CRL
Comando: certutil -getregCA\CRLPublicationURLs , compruebo que en el punto 4 me da la URL correcta
Ejecuto MMC para sacar la consola de Infraestructura PKI
Añado el complemento
y compruebo que todo esta OK
Continuaremos con la parte3 ….