En esta ocasión vamos a ver el proceso de instalación de una Autoridad Certificadora que nos permitirá tanto a los usuarios como a los equipos obtener Certificados Digitales, necesarios para varias configuraciones de seguridad
Haré una instalación simple, que aunque no cumple con los requisitos recomendados de seguridad, nos servirá para nuestras prácticas y demostraciones, así como para que practiquemos su instalación y funcionamiento
Será simple, porque una de las prácticas recomendadas es tener por lo menos dos niveles: una Autoridad Certificadora Raíz mantenida “offline” (por seguridad) que le otorga un Certificado Digital a otra Autoridad Certificadora Subordinada, que es la que entrega los certificados a usuarios y máquinas.
También, por simplicidad la crearé de tipo Enterprise, esto es, integrada en Active Directory, lo que nos permite muchas más configuraciones, desde la personalización de las plantillas de certificados, hasta la automatización de la obtención de los mismos a través de Directivas de Grupo (GPO)
En primera instancia utilizaré esta instalación para la siguiente demostración que escribiré sobre VPN con NAP (Network Access Protection)
Partiré que tengo instalado una máquina Controlador de Dominio (DC1.root.guillermod.com.ar) donde haré la instalación, ya que la usaré para otras demostraciones, y no es conveniente tener “muchas máquinas” 🙂
Seguiremos el asistente de acuerdo a las siguientes capturas, comenzando como es habitual para agregar funcionalidades a un servidor
Agregamos los complementos necesarios
El asistente nos recuerda que una vez instalada la Autoridad Certificadora, no podremos cambiar el nombre de equipo, ni membresía en Dominio, así que estemos seguros antes de seguir
Para esta ocasión no necesitaremos ningún componente adicional, salvo la propia Autoridad Certificadora
Una vez instalada la funcionalidad debemos hacer la configuración de la misma
Asegurémosnos de estar con un usuario que sea Enterprise Admin para poder instalarla como tipo Enterprise
Sólo necesitaremos la funcionalidad de Autoridad Certificadora
Seleccionamos tipo Enterprise
Autoridad Certificadora Raíz, que se auto-firma sus propios Certificados Digitales
Como es obvio debemos generar nuevas claves, ya que la estamos instalando por primera vez
De acuerdo a nuestras necesidades podríamos configurar varios parámetros como son el algoritmo criptográfico, la longitud de claves, y la función de Hash para las firmas digitales
Podríamos cambiar, si deseamos, el nombre sugerido para la Autoridad Certificadora
Un parámetro muy importante a tener en cuenta, la duración del Certificado Digital de la Autoridad Certificadora, ya que la misma no podrá otorgar certificados más allá del vencimiento del propio
Si desde Server Manager, entramos al menú Tools y elegimos Certification Authority podremos comprobar su instalación
Llegados hasta acá, dejemos la configuración así. Más adelante la utilizaremos para otras demostraciones, en particular y siguiendo esta nota prepararé una sobre VPN (Virtual Private Networks) con NAP (Network Access Protection), que es un tema que he visto sin ninguna buena explicación, ni siguiera actualizado a Windows Server 2012
Comentario personal: Cuánto mal que ha hecho “copy/paste” y “search and replace” 🙂
