Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise

Resumiendo lo que hemos hecho hasta ahora en esta serie de notas: hemos instalado una Autoridad Certificadora Raíz de tipo “Standalone” que emula una Autoridad Certificadora comercial. El certificado de esta Autoridad Certificadora lo hemos distribuido a todos los clientes del Dominio Active Directory, como si se tratara de una entidad comercial que participa del programa de Microsoft de Autoridades Certificadoras

En esta ocasión instalaremos una Autoridad Certificadora subordinada a la raíz, pero integrada en Active Directory (“Enterprise Subordinate CA”). Con este tipo de implementación tenemos varias ventajas, sobre un Autoridad Certificadora de tipo “Standalone”, por ejemplo el poder usar plantillas personalizadas, y además al ser propia, tener el control total sobre la misma

Por lo tanto para esta nota necesitaremos además del servidor, el que venimos configurando hasta ahora, server.isp.com, un ambinete de Dominio.

En la figura que sigue hay en realidad más máquinas que las que se necesitan. Para esta nota necesitaremos:

  • server.isp.com
  • NAT
  • dc1.ad.guillermod.com.ar
  • srv1.ad.guillermod.com.ar

Comenzamos en SRV1, instalando la funcionalidad de Autoridad Certificadora con el procedimiento habitual, esta vez seleccionando solamente “Certification Authority”

Seguir con todas las opciones por omisión, hasta llegar al punto que indica que debemos configurarla

Seguiremos el asistente como indican las capturas

Como SRV1 es un servidor miembro de Dominio, ahora sí, podremos instalar tipo “Enterprise” integrándola de esta forma con Active Directory

Y recordemos que debe estar subordinada a la Autoridad Certificadora creada en las notas anteriores

Se puede poner el nombre que les parezca adecuado, pero que sea fácilmente reconocible

Al ser Autoridad Certificadora subordinada necesita un certificado de la Autoridad Certificadora superior, y nos ofrece guardar el pedido de certificado.
Pueden guardarlo con el nombre que quieran, pero que sea descriptivo y que lo encuentren luego, pues hay que copiarlo luego a la máquina que tiene la Autoridad Certificadora Raíz (server.isp.com)

Lean el mensaje que está mostrando: falta configuración. Esto es lógico porque una Autoridad Certificadora subordinada, debe estar certificada por la Autoridad Certificadora superior. No iniciará el servicio hasta que no llevemos el pedido de certificado, sea otorgado, y se instale en nuestra Autoridad Certificadora

Debemos encontrar el archivo con el pedido del certificado para copiarlo a la máquina que tiene la Autoridad Certificadora Raíz

Ahora seguimos en server.isp.com, en la consola de la Autoridad de Certificación para importar el pedido de certificado que habremos copiado

Que quedará en la carpeta “Pending Requests”, y que debemos otorgar (“Issue”)

Luego de lo anterior quedará en la carpeta “Issued Certificates”, desde donde debemos abrirlo, y exportarlo para poder copiarlo en SRV1

Un nombre que sea claro … Este archivo luego lo deberemos copiar a SRV1 para importarlo en la Autoridad Certificadora subordinada

Copiamos el certificado otorgado a SRV1, y en la Autoridad Certificadora subordinada, lo importaremos. Me equivoqué cuando resalte en rojo, debemos seleccionar “Install CA Certificate”

Seleccionamos el archivo correspondiente al certificado

Me ha sucedido que luego de la importación, dio un mensaje de error informando que no podía acceder a la lista de revocación, elegí “Ignore” para seguir, y por lo tanto el servicio no arrancó

Luego de dar vueltas al problema por un rato, me dí cuenta que si entraba a la consola de servicios (“services.msc”) y lo arrancaba manualmente todo se solucionaba 🙂 ¿bug?

Y por supuesto, si creamos una consola de certificados, sobre la máquina podremos ver el certificado otorgado

Ya tenemos funcionando nuestra Autoridad Certificadora Subordinada Enterprise. En la próxima nota veremos cómo distribuir automáticamente este certificado a todos los miembros del Dominio

Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *