Autoridad Certificadora – Distribuir un Certificado de Autoridad Certificadora en Ambiente de Dominio Active Directory

En las notas anteriores hemos instalado una Autoridad Certificadora de tipo Raíz que emula una entidad comercial, y que usaremos en nuestro laboratorio de pruebas

Como nuestra Autoridad Certificadora, por supuesto, no está incluida en las actualizaciones de Windows Update, debemos instalar el certificado de esta Autoridad Certificadora en todas las máquinas que que formen parte de nuestro laboratorio de pruebas

Esto lo podremos hacer fácilmente a través de Directivas de Grupo (GPOs)

A la infraestructura creada anteriormente con server.isp.com y ServerWWW.empresa.com ahora debemos agregar más máquinas, he agregado:

  • El Dominio Active Directory que usamos en todas las demostraciones con:
    • dc1.ad.guillermod.com.ar
    • cl1.ad.guillermod.com.ar
    • SRV1.ad.guillermod.com.ar la usaremos más adelante
    • Una máquina que hace NAT que interconecta la red interna, con “nuestra Internet”

La siguiente figura aclara la distribución de máquinas y sus conexiones

Si alguien tiene dudas cómo se configura NAT, puede usar la siguiente nota: Windows Server 2012: Compartir Conexión a Internet

El único cambio que hago en la red de Dominio, es solamente en el servicio de DNS que funciona en DC1, donde configuro como Reenviador (“Forwarders”) a 131.107.0.100 que es server.isp.com para que pueda resolver los nombres de “nuestra Internet”

Igual que hicimos anteriormente, no lo volveré a mostrar, es desde DC1 conectarse a server.isp.com/CertSrv y descargar el certificado de la Autoridad Certificadora, por ejemplo sobre el escritorio

Dijimos al principio que distribuiríamos el certificado de la Autoridad Certificadora de nuestra simulación a todos los equipos del Dominio Active Directory; esto lo podemos hacer fácilmente editando la “Default Domain Policy”

Por lo tanto en DC1, en “Group Policy Management” procederemos a editarla

Debemos ir a “Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certification Authorities” y proceder a importar el certificado de la Autoridad Certificadora

Y seguimos el asistente

Yo he renombrado el archivo como GuillermoD-RootCA.cer para evitar confusiones

En todas las máquinas del Dominio, si queremos probar ya, y no esperar la reaplicación automática de las GPOs deberemos ejecutar GPUPDATE.EXE

Como control observo en la consola de certificados que se ha instalado correctamente

Y si desde un cliente cualquiera del Dominio, y con un usuario normal cualquiera ingreso a https://www.empresa.com veo que reconoce perfectamente al certificado del servidor como válido

Habiendo hecho este paso ya hemos creado una Autoridad Certificadora de pruebas, que emula una de tipo comercial (pero gratis :-)), y que aunque no forma parte del programa de Microsoft, todas las máquinas la tomarán como confiable

Continuamos en la nota: Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise

By Guillermo Delprato, on 6 julio, 2014 at 15:52, under Active Directory - Directorio Activo, How To - Step-by-step - Paso a paso, Instalación, Seguridad, Servicios de Red, Windows Server, Windows Server 2012, Windows Server 2012 R2. Tags: , , , , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *