Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de Tipo Enterprise (Integrada con Active Directory)

Luego de la nota anterior (Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone) de donde hemos dejado preparada la infrestructura necesaria, en esta nota veremos la instalación y configuración de una Autoridad Certificadora Subordinada de Tipo Enterprise

El hecho de integrar la Autoridad Certificadora con Active Directory nos facilitará enormemente no sólo el otorgamiento de certificados, sino que además podremos personalizar las plantillas de los certificados, automatizar el otorgamiento, controlar la seguridad, recuperar claves perdidas, y mucho más

La infraestructura necesaria para esta demostración, es primero que nada una Autoridad Certificadora de tipo Raíz, como fue configurada en Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone, y dos equipos más:

  • Un Controlador de Dominio
  • Un Servidor miembro del Dominio

Usaré, como en todas las demostraciones a “dc1.root.guillermod.com.ar” y otro servidor “srv1.root.guillermod.com.ar”
No tienen ninguna configuración especial que no sea la normal

Comencemos con la instalación de la Autoridad Certificadora en SRV1 de la forma habitual y siguiendo el asistente

 

Como siempre agregamos los componentes necesarios adicionales

 

Atención con la advertencia …

 

En este caso y previendo futuras demostraciones incluiré dos componentes: “Certification Authority” y “Certificate Authority Web Enrollment”, este último implica la instalación del “Web Server”

 

No cambiaré ninguno de los componentes por omisión

 

Y comenzaremos con el asistente de configuración

 

Si como en mi caso, iniciaron sesión con un Enterprise Admin, no hace falta cambiar la cuenta

 

Marcamos los dos componentes que configuraremos

 

A diferencia de la nota anterior en este caso instalaremos una Autoridad Certificadora de tipo Enterprise

 

Que la subordinaremos a la Autoridad Certificadora Raíz creada en la nota anterior

 

Le asignamos el nombre que nos parezca apropiado

 

Observen que por omisión nos ofrece guardar el pedido de certificado a la Autoridad Certificadora superior en un archivo. Tomen nota de la ubicación y el nombre

 

Nos dará la advertencia que la configuración no está completa, lo cual es lógico pues debemos obtener el certificado desde la Autoridad Certificadora superior

 

¿Recuerda cuál era la solicitud del certificado? Debemos copiarlo a la máquina con la Autoridad Certificadora superior, en nuestro caso la Autoridad Certificadora Raíz

 

De todas formas, sigamos en SRV1, y copiemos en algún lugar que nos resulte cómodo los certificados y CRL de la Autoridad Certificadora superior que creamos en la nota anterior

 

Con botón derecho sobre el certificado de la Autoridad Certificadora elijamos “Install Certificate”

 

Recordar que lo debemos instalar en la máquina y no en el usuario

 

Y como es un certificado de una Autoridad Certificadora Raíz, lo debemos instalar en “Trusted Root Certification Authorities”

 

Esperar que aparezca el siguiente cartel

 

Ahora vamos a C:\inetpub\wwwroot y creamos la carpeta “CertData” (o como la hayamos llamado)

 

Dentro de la cual copiaremos los otros dos archivos que trajimos desde la Autoridad Certificadora Raíz

 

Llegamos a este punto vamos a la máquina con la Autoridad Certificadora Raíz, donde deberemos haber copiado la solicitud de certificado de la “sub” Autoridad Certificadora

 

Abrimos la consola de la Autoridad Certificadora e importamos la solicitud de certificado

 

Demorará unos segundos hasta aparecer en “Pending Requests”, donde con botón derecho lo otorgaremos (“Issue”)

 

Pasando entonces el mismo a “Issued Certificates”, desde donde lo abriremos para exportarlo

 

Este archivo lo deberemos copiar a la máquina con nuestra “sub” Autoridad Certificadora”, desde donde proseguimos la configuración

 

En la consola de “Certification Authority” procederemos a instalar el certificado otorgado

 

Se me traspapeló la captura de cuando busqué el certificado, pero entiendo que nadie tendrá dudas de cómo encontrarlo y pulsar “Ok” 😉

Quedará así, y observen que aunque lo importó, el servicio está detenido. Vean que hay un pequeño cuadrado negro (Stop) en la Autoridad Certificadora. Dejen pasar 15 o 20 segundos antes de tratar de arrancar el servicio como muestra la figura

 

Ya arrancó el servicio

 

Ya tenemos todo “casi” listo 🙂

Hay un tema que nos queda pendiente, que es informarle a los miembros del Dominio que el certificado de la Autoridad Certificadora Raíz, que no pueden ver directamente, es confiable

Para eso debemos instalar el certificado en “Trusted Root Certification Authorities” de todos los miembros del Dominio, y eso lo podemos hacer fácilmente a través de Directivas de Grupo (GPO)

Comencemos copiando el certificado de la Autoridad Certificadora Raíz a la máquina que es Controlador de Dominio (DC1)

 

Como lo queremos hacer a nivel de todo el Dominio, editemos la “Default Domain Policy” (no confundirse…)

 

Con botón derecho sobre Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certification Authorities, elegimos “Import …”

 

Y seguimos el asistente

 

Luego que cerramos la consola, debemos abrir la línea de comandos (CMD) como administrador, tanto en DC1 como en SRV1 y ejecutar:
GPUPDATE /FORCE
De esta forma nos aseguraremos que tomen los certificados como confiables

Como verificación de todo lo que hicimos anteriormente, aunque lo haremos en futuras notas, podemos ver algo interesante si dejamos pasar el tiempo suficiente.

Los Controladores de Dominio adquieren en forma automática cuando detectan una Autoridad Certificadora Enterprise un certificado de “Domain Controller”. De acuerdo a la documentación de Microsoft pueden pasar hasta 6 horas, pero en mi caso fue casi instantáneamente, quizás sea una mejora de W2012 🙂

Si observamos los certificados emitidos por nuestra “sub” Autoridad Certificadora

 

Y si en DC1 nos creamos una consola para ver los certificados de máquina, veremos

 

Y además, y para verificar que hemos hecho todo bien, podemos observar que considera confiable a la Autoridad Certificadora Raíz

 

Bueno, dejamos esto por acá, que ya es demasiado largo y complicado

Dependiendo de la aceptación que tengan estas notas veré de seguir avanzando con el tema de Clave Pública

Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *