Autoridad Certificadora para Laboratorio y Pruebas – Servicios Básicos

Muchas veces para las demostraciones o pruebas necesitamos poder emular una infraestructura como Internet pero que podamos administrar según la necesidad, e inclusive obtener certificados digitales que emulen a una Autoridad Certificadora (Certification Authority) de tipo comercial

El objetivo final de esta serie de notas va a ser la instalación y configuración de una Autoridad Certificadora comercial de tipo Raíz, emulada por supuesto, que nos servirá para otorgar certificados a las máquinas que necesitemos en pruebas de laboratorio, e inclusive a una Autoridad Certificadora interna

Pensé que era algo que se podía hacer en pocos minutos, pero lleva más tiempo del que uno cree, y hay que conocer algunos “trucos” ¿Le interesa conocerlos?

Lo que necesitaremos para desarrollar este paso a paso es solamente un servidor, y eventualmente otra máquina si queremos verificar cómo solicitar certificados digitales de máquina a la Autoridad Certificadora, y por supuesto, cómo instalarlos, que no es tan directo

Comenzamos entonces con el servidor, en mi caso un Windows Server 2012 R2. No vamos a ver cómo se instala, solamente decir que lo he configurado así:

  • Nombre: SERVER
  • Sufijo de Dominio: isp.com
    Simula un proveedor de Internet (Internet Service Provider)
    Configurado en el cuadro de Nombre/Dominio del servidor
  • Dirección IP: 131.107.0.100/16
  • Configuración de DNS: 131.107.0.100
  • Cortafuegos: bajo
    Para no complicar aún más la demostración

En esta primera nota veremos la instalación y configuración de dos servicios necesarios:

  • DNS: para emular un servidor DNS de Internet
  • DHCP: para asignación automática de dirección y parámetros adicionales que necesitemos a las máquinas que se conecten a “nuestra Internet”. No es estrictamente necesario pero simplificará el proceso

En la siguiente nota veremos la instalación y configuración de la Autoridad Certificadora propiamente dicha

La forma de instalación de ambos de ambos servicios es la misma de siempre, no voy a poner todas las capturas de pantalla de la instalación de los componentes, sólo nombrar que se pueden hacer simultáneaneamente

Comencemos entonces a configurar los servicios instalados. En mi caso inciaré la configuración del servicio DNS

Abrimos la consola DNS y sobre “Forward Lookup Zones” con botón derecho comenzamos el asistente de configuración. En esta demostración crearé una zona llamada “isp.com” para que los clientes que lo consulten puedan resolver el nombre de este servidor, ya que luego será Autoridad Certificadora

Debemos crear una zona de tipo primaria, porque es el primer y único servidor DNS. Además al no ser Controlador de Dominio, tampoco la podemos integrar en Active Directory

Ingresamos el nombre de la zona (isp.com)

Aceptamos el nombre por omisión del archivo de zona

Y como cualquier DNS de Internet, no permitiremos las actualizaciones dinámicas

Observamos que se ha creado la zona “isp.com”, y que se han creado automáticamente los registros SOA (“Start Of Authority”), NS (“Name Server”), y los correspondientes A (“Host”)

¿Cómo es esto que se ha creado además un registro AAAA (“IPv6 Host”)?

Esto es así, porque la interfaz tiene una dirección IPv4 pública, y por omisión en este caso se habilita automáticamente el protocolo “6TO4” para facilitar a futuro la interoperabilidad IPv4/IPv6
6TO4 permite encapsular IPv6 en IPv4
Y al no ser una dirección de tipo “Link-local” se registra en el DNS
Cuando alguien pida resolver “server.isp.com” el servicio DNS responderá con ambas direcciones IP, y es el solicitante el que elije cuál utilizará

Aunque no es estrictamente necesario, crearé también la zona inversa correspondiente a la red usada (131.107.0.0/16) para evitar ese “pseudo” error de “Unknown host” cuando se ejecuta NSLOOKP

En forma análoga a lo anterior seguiremos el asistente, sólo que esta vez lo iniciamos desde “Reverse Lookup Zones”

Lo haremos sólo para IPv4, que es el único que utilizaremos

Indicamos la red correspondiente

Como no hemos permitido las actualizaciones automáticas, deberé crear manualmente el registro PTR para la resolución inversa

Ya tenemos preparado el DNS

Ahora comencemos la configuración del servicio DHCP, que es muy sencilla, sólo deberemos configurar un rango de direcciones válidas a entregar a los clientes de DHCP, y como único parámetro adicional la dirección del servidor DNS que deberán utilizar (el propio servidor server.isp.com)

Pongan el nombre que más les guste

Ingresamos un rango de direcciones IP válidas, que estén en la misma red y no se superpongan con el servidor

Debemos seleccionar la opción para poder suministrar la dirección del servidor DNS

No configuraremos Puerta de Enlace (“Default Gateway”)

Revisemos que los parámetros de DNS sean los correctos

Por supuesto que WINS no se utiliza en Internet

Y lo activamos

Nos deberá quedar así

Llegamos hasta acá, que estas notas son muy largas, en la próxima seguiremos con la instalación y configuración de la Autoridad Certificadora

Continúa en : Autoridad Certificadora para Laboratorio y Pruebas – Instalación y Configuración de la Autoridad Certificadora

By Guillermo Delprato, on 6 junio, 2014 at 7:32, under Active Directory - Directorio Activo, How To - Step-by-step - Paso a paso, Seguridad, Tips, Windows Server, Windows Server 2012, Windows Server 2012 R2. Tags: , , , , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *