Y continuando nuestra prueba de laboratorio, en esta nota veremos la configuración de una máquina para que solicite y obtenga un certificado digital de máquina a través de la interfaz web (“Web Enrollment”)
Para esta demostración, además del servidor que venimos utilizando desde el principio y que es la Autoridad Certificadora, necesitaremos otra máquina para usar como solicitante
Esta última podría tener cualquier sistema operativo, pero me he decidido por un Windows 8.1, el último al día de hoy, porque cada nueva versión mejora la seguridad, y eso suele traer nuevos inconvenientes 🙂
Recuerdo que tenemos que tener configurada la Autoridad Certificadora adecuadamente para este procedimiento. Pueden verlo en Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment”
Si estuvieramos usando una Autoridad Certificadora comercial, que esté asociada al programa de Microsoft todo sería más sencillo, ya que el cliente se conectará a Internet y automáticamente descargará el certificado de la Autoridad Certificadora, pero no es nuestro caso
Nos quedan dos opciones para obtener el certificado de la Autoridad Certificadora, podríamos hacer por web (“Web Enrollment”), o exportando e importando
El primer caso lo pueden ver en la última captura de pantalla de la nota anterior (Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment”), es muy sencillo
Pero para mostrar la otra opción lo haré por el segúndo método: exportar el certificado desde la Autoridad Certificadora, copiarlo al cliente, e importarlo en el cliente
Entonces, comencemos en la máquina server.isp.com, en la consola de certificados exportando el certificado de la Autoridad Certificadora.
Nota: no sirve exportar el certificado del propio servidor, pues no está firmado por una autoridad confiable. Debemos disponer del certificado de la autoridad que firma los certificados
Abrimos el certificado, y desde la ficha “Details” usamos el botón “Copy to file …”
Seguimos con el asistente …
Es el certificado de la Autoridad Certificadora, así que no vayan a exportar la clave privada
Guardamos el certificado de la Autoridad Certificadora en un lugar que nos sea cómodo, y con un nombre adecuado
Este archivo que acabamos de crear lo debemos copiar manualmente a cada máquina antes de solicitar cualquier otro certificado, y por supuesto instalarlo en “Trusted Root Certification Authorities”
Es lo necesario para que el cliente confíe en los certificados otorgados por la Autoridad Certificadora
Ahora, ya necesitamos cambiarnos de máquina, vamos a la máquina que usaremos como cliente para solicitar un certificado de máquina. Recuerden que he elegido un Windows 8.1 para ver si presentaba alguna complejidad adicional a otros sistema operativos
A esta máquina cliente, que también está en grupo de trabajo, la conecté a la red, y el servicio DHCP que había instalado en la primera nota se encargó de darle la configuración IP necesaria (Dirección, Máscara de Subred y dirección de servidor DNS)
Lo primero que debemos hacer es copiar a esta máquina el certificado de la Autoridad Certificadora, yo lo he puesto sobre el escritorio (“Desktop”)
Luego, de la misma forma que hicimos anteriormente creamos una consola (MMC) con el complemento “Certificates” enfocado en la propia máquina
Si ingresamos a “Truste Root Certification Authorities” veremos que no está el certificado de nuestra Autoridad Certificadora
Así que debemos importarlo, por supuesto siguiendo el asistente como ya lo hemos hecho antes, y como muestro
Seleccionamos “Trusted Root Certification Authorities” de la parte de máquina que es la consola que estamos utilizando
Ya está, tenemos todo listo, vamos a pedir un certificado de máquina para esta máquina cliente. Recuerden que estoy utilizando Windows 8.1 pero sería totalmente igual para un sistema operativo servidor
Abro el explorador e ingreso a https://server.isp.com/CertSrv y solicito un certificado (“Request a certificate”)
Como es para máquina debo elegir la opción avanzada (“Advanced Certificate Request”)
Comienzan las advertencias de seguridad …
Faltó sólo un “¿Está seguro?” 😀
Completamos los datos solicitados. Es muy importante que el nombre sea exactamente igual al nombre de máquina que usarán para conectarse a la misma
Y abajo de todo en la pantalla tenemos el botón para enviar la solicitud “Submit”
Todos los pedidos de certificado enviados a una Autoridad Certificadora de tipo “Standalone” quedan pendientes de aprobación, así que debemos ir a la consola de la Autoridad Certificadora y otorgarlo
Volvemos al cliente, y nos conectamos nuevamente a https://server.isp.com/CertSrv y vemos si el certificado ya fue otorgado (por supuesto, lo hemos hecho)
Como ha sido otorgado, ya podemos instalarlo
Otra vez, advertencia de seguridad
Ya está, creo … 😉
¿¿¿Y dónde está??? Refresh, paciencia, refresh, más paciencia …
No va a funcionar lo anterior, hay más seguridad, no lo ha instalado en la parte de máquina, lo ha hecho en la parte de usuario
Así que en la consola MMC agregamos otra vez “Certificates” pero esta vez enfocado en la parte de usuario, y podremos verlo
Sólo nos falta llevar el certificado a la parte de máquina (¡vamos que falta poco!)
El proceso sólo es, otra vez más, un exportar e importar, como ya lo hemos hecho anteriormente
Ahora, con este certificado, si, exportamos la clave privada
Como estamos exportando la clave privada, nos pedirá protegerlo con un contraseña
Sólo falta importarlo, en la parte de máquina. Seguimos el asistente como se muestra
Ingresamos la misma contraseña que usamos antes, cuando lo exportamos
¡Al fin! 🙂
Resumiendo lo hecho hasta ahora, ya tenemos un certificado de máquina instalado, otorgado por una Autoridad Certificadora que es confiable, así que en la próxima nota veremos como crear un sitio web seguro (HTTPS): Autoridad Certificadora – Crear un Sitio Web Seguro (HTTPS)
