Y siguiendo con esta serie de notas, en esta veremos las configuraciones adicionales que debemos hacer en la Autoridad Certificadora, para que los que soliciten un certificado digital lo puedan hacer a través de la interfaz web con un explorador
Cualquier duda sobre cómo está la configuración actual, pueden consultar: "Autoridad Certificadora para Laboratorio y Pruebas – Instalación y Configuración de la Autoridad Certificadora"
Esto que parece a primera vista tan sencillo, no lo es
Para solicitar un certificado a través de “Web Enrollment” la conexión debe hacerse por HTTPS, pero la Autoridad Certificadora no se otorga un certificado automáticamente a sí misma para HTTPS
Seguimos siempre trabajando en el mismo equipo que en la notas anteriores: server.isp.com
Lo primero es solicitar el certificado de máquina, para validar el acceso web. Esto que parece sencillo y que muchos hemos hecho tantas veces en ambiente de Dominio Active Directory, no lo es tanto en ambiente de grupo de trabajo
Ya tenemos la consola de certificados de máquina creada de la nota anterior, así que con botón derecho sobre “Personal\Certificates” comenzamos el asistente para solicitar el certificado. Pero cuidado, debemos ejecutar un “Custom request”
Acá viene la parte a configurar. Debemos abrir “Details” y entrar por el botón “Properties”
Por facilidad a futuro le daré un nombre
Y en la ficha “Subject” debemos hacer la siguiente configuración. Usando las listas desplegables y el botón “Add” debemos seleccionar:
- En “Subject name”
“Common name” = server.isp.com - En “Alternative name”
”DNS” = server.isp.com
Debe quedar como muestra la figura. Y por supuesto botón “Ok”
Seguimos entonces con el asistente de pedido del certificado
Solicitará guardar el pedido en un archivo. Recomiendo usar un nombre descriptivo, de qué máquina es, y que es una solicitud
Ahora abrimos la consola de administración “Certification Authority”, y con botón derecho seleccionamos “Submit new request …”
Seleccionamos el archivo del pedido de certificado que guardamos en los pasos anteriores
Que nos quedará en Pendientes (“Pending Requests”), y sobre el cual con botón derecho elegiremos “All Tasks \ Issue” para otorgarlo
Al otorgarlo, el certificado quedará en “Issued Certificates”
Ya está otorgado, pero falta instalarlo en la máquina. Abriendo el certificado con doble click, ficha “Details”, botón “Copy to file …” lo copiaremos a un archivo para poder luego importarlo
Otro asistente …
No hace falta cambiar el formato por omisión
Elejimos un nombre que nos sea claro que se trata del certificado de server.isp.com
Y finalizamos para que se guarde
Esperen que aparezca el siguiente cuadro, que suele demorar
Ya lo exportamos desde la Autoridad Certificadora; ahora debemos importarlo en la máquina
Usamos la consola que tenemos creada para la administración de los certificados. Con botón derecho sobre “Personal \ Certificates” seleccionamos “Import”, y seguimos el asistente
Seleccionamos el archivo exportado anteriormente correspondiente al certificado otorgado
Confirmamos que se instalará en el contenedor correcto (“Personal”)
Y finalizamos
Deberá quedar como muestra la siguiente captura
Teniendo el certificado de máquina ya importado, debemos configurar IIS para que utilice dicho certificado digital
Así que abrimos la consola de IIS y con foco en el “Defaul Web Site”, elegimos “Bindings”
Seleccionamos el botón “Add”
De la primera lista desplegable elegimos HTTPS, y con “Select …” el certificado de máquina. No confundir con el de la Autoridad Certificadora
Sólo nos queda “Close” (Cerrar)
Antes de seguir, probemos que todo está correcto. Para eso ingresemos a HTTPS://server.isp.com y debemos encontrarnos con la página por omisión de IIS
Y si ingresamos a la página web de la autoridad certificadora con HTTPS://server.isp.com/CertSrv nos debe mostrar
Continuaremos en la próxima nota Autoridad Certificadora para Laboratorio y Pruebas – Configuración del Cliente para “Web Enrollment”
