Resumiendo lo que hemos hecho hasta ahora en esta serie de notas: hemos instalado una Autoridad Certificadora Raíz de tipo “Standalone” que emula una Autoridad Certificadora comercial. El certificado de esta Autoridad Certificadora lo hemos distribuido a todos los clientes del Dominio Active Directory, como si se tratara de una entidad comercial que participa del programa de Microsoft de Autoridades Certificadoras
En esta ocasión instalaremos una Autoridad Certificadora subordinada a la raíz, pero integrada en Active Directory (“Enterprise Subordinate CA”). Con este tipo de implementación tenemos varias ventajas, sobre un Autoridad Certificadora de tipo “Standalone”, por ejemplo el poder usar plantillas personalizadas, y además al ser propia, tener el control total sobre la misma
Por lo tanto para esta nota necesitaremos además del servidor, el que venimos configurando hasta ahora, server.isp.com, un ambinete de Dominio.
En la figura que sigue hay en realidad más máquinas que las que se necesitan. Para esta nota necesitaremos:
- server.isp.com
- NAT
- dc1.ad.guillermod.com.ar
- srv1.ad.guillermod.com.ar
Comenzamos en SRV1, instalando la funcionalidad de Autoridad Certificadora con el procedimiento habitual, esta vez seleccionando solamente “Certification Authority”
Seguir con todas las opciones por omisión, hasta llegar al punto que indica que debemos configurarla
Seguiremos el asistente como indican las capturas
Como SRV1 es un servidor miembro de Dominio, ahora sí, podremos instalar tipo “Enterprise” integrándola de esta forma con Active Directory
Y recordemos que debe estar subordinada a la Autoridad Certificadora creada en las notas anteriores
Se puede poner el nombre que les parezca adecuado, pero que sea fácilmente reconocible
Al ser Autoridad Certificadora subordinada necesita un certificado de la Autoridad Certificadora superior, y nos ofrece guardar el pedido de certificado.
Pueden guardarlo con el nombre que quieran, pero que sea descriptivo y que lo encuentren luego, pues hay que copiarlo luego a la máquina que tiene la Autoridad Certificadora Raíz (server.isp.com)
Lean el mensaje que está mostrando: falta configuración. Esto es lógico porque una Autoridad Certificadora subordinada, debe estar certificada por la Autoridad Certificadora superior. No iniciará el servicio hasta que no llevemos el pedido de certificado, sea otorgado, y se instale en nuestra Autoridad Certificadora
Debemos encontrar el archivo con el pedido del certificado para copiarlo a la máquina que tiene la Autoridad Certificadora Raíz
Ahora seguimos en server.isp.com, en la consola de la Autoridad de Certificación para importar el pedido de certificado que habremos copiado
Que quedará en la carpeta “Pending Requests”, y que debemos otorgar (“Issue”)
Luego de lo anterior quedará en la carpeta “Issued Certificates”, desde donde debemos abrirlo, y exportarlo para poder copiarlo en SRV1
Un nombre que sea claro … Este archivo luego lo deberemos copiar a SRV1 para importarlo en la Autoridad Certificadora subordinada
Copiamos el certificado otorgado a SRV1, y en la Autoridad Certificadora subordinada, lo importaremos. Me equivoqué cuando resalte en rojo, debemos seleccionar “Install CA Certificate”
Seleccionamos el archivo correspondiente al certificado
Me ha sucedido que luego de la importación, dio un mensaje de error informando que no podía acceder a la lista de revocación, elegí “Ignore” para seguir, y por lo tanto el servicio no arrancó
Luego de dar vueltas al problema por un rato, me dí cuenta que si entraba a la consola de servicios (“services.msc”) y lo arrancaba manualmente todo se solucionaba 🙂 ¿bug?
Y por supuesto, si creamos una consola de certificados, sobre la máquina podremos ver el certificado otorgado
Ya tenemos funcionando nuestra Autoridad Certificadora Subordinada Enterprise. En la próxima nota veremos cómo distribuir automáticamente este certificado a todos los miembros del Dominio