Instalar y configurar Entidad de Certificación CA en Windows Server 2012

Para poder utilizar Windows Azure Backup necesitamos una entidad certificadora para emitir certificados que identificará nuestros servidores registrados en nuestra cuenta de Windows Azure, creo que este paso está un poco de mas porque en una empresa por mucho que sea pequeña debe tener ya disponible esta entidad certificadora, pero si no la tienen pues aquí les dejo este proceso de instalación de los servicios de certificados de Active Directory.

Como les comentaba, para poder emitir este certificado que necesitamos para subir a Windows Azure lo podemos obtener de dos formas, la primera y mas fácil que veo es que utilicemos nuestra entidad certificadora que ya disponemos, y la segunda es utilizar la herramienta MakeCert.exe con la cual podemos emitir certificados X.509 a manera de prueba.

En el proceso veremos la instalación y configuración de ADCS en Windows Server 2012, pero si nuestra entidad se encuentra en otra versión de Windows no hay ningún problema podemos utilizar estos certificados, veamos el proceso…

Esta instalación la realizo en un DC (Domain Controller) pero lo mas recomendable es realizar la instalación un servidor miembro.

En nuestro Server Maneger procedemos a instalar el rol Active Directory Certifícate Services como ya conocemos el proceso de instalación de roles y características.

CA_1

Agregamos las características que necesita ADCS para administrar.

CA_2

Dando siempre en siguiente veremos una introducción al rol ADCS el cual es muy recomendable leer si no estamos muy familiarizados con el funcionamiento de este.

CA_3

Aquí seleccionaremos los servicios de rol que operarán, por defecto selecciona Entidad Certificadora CA, podemos también seleccionar Inscripción web de entidad de certificación si pensamos emitir certificados vía web pero no es necesario para este caso pero si recomendable que lo hagan por si lo necesitamos mas adelante en nuestra organización.

CA_4

ADCS necesita un servidor web operando por esto instala el rol de IIS, vemos una introducción del rol.

CA_6

En este apartado podemos seleccionar los servicios de rol que serán instalados con IIS, podemos dejar por defecto los que selecciona.

CA_7

Vemos un resumen de todo lo que instalaremos y podemos decirle Instalar.

CA_8

Una vez instalados todos los roles y características que necesitamos para nuestra entidad certificadora, en el mismo asistente podemos comenzar a configurar la función, dando clic en el enlace Configurar Servicios de certificados de Active Directory en el servidor destino

CA_9

Podemos especificar las credenciales que necesitaremos para configurar cada uno de los servicios del rol, si tenemos alguna duda de lo que obtenemos con cada servicio de rol podemos recurrir a la documentación.

CA_10

Seleccionamos los servicios de rol que se configuraran a continuación.

CA_11

Especificamos el tipo de instalación de la CA, podemos ver una breve introducción a las diferencias y que logramos con cada tipo de CA, CA empresarial y CA independiente, si necesitamos mas información podemos recurrir a TechNet, en este caso necesitamos una instalación tipo CA empresarial.

CA_12

Hay dos pasos casi idénticos pero que tienen su diferencias, entre tipo de instalación de la CA y el tipo de CA, en este caso vemos las diferencias de un tipo de CA raíz y CA subordinada, seleccionamos la CA raíz para nuestra configuración.

CA_13

Especificamos el tipo de la clave privada, si tenemos alguna duda con los pasos en todas las ventanas del asistente tenemos una documentación en la parte inferior que nos ayuda, seleccionamos Crear una clave privada nueva.

CA_14 Llegamos a las opciones criptográficas, por defecto podemos dejar las que nos selecciona, una cosa importante es que uno de los requisitos de Windows Azure Backup es que la longitud de la clave debe ser mínimo 2048, la que nos selecciona por defecto.

CA_15

Especificamos un nombre a la nueva CA, el sufijo de nombre distintivo y la vista previa la dejamos por defecto.

CA_16

Llegamos a una parte de la configuración MUY importante, el periodo de validez para los certificados que generará nuestra CA, uno de los otros requisitos que necesita Windows Azure Backup para cargar estos certificados es que el periodo de validez del mismo no supere los 3 años a partir de la fecha que se emite, entonces que pasa, nosotros podemos tener nuestra CA que genera certificados a 5 años, pero esos certificados que emite por defecto no los podemos utilizar porque a la hora de cargar el certificado en Windows Azure nos daría un error, tendríamos que crear una nueva plantilla de certificado donde configuremos la fecha de validez inferior a 3 años y emitir un certificado para el servidor que utilizaremos con Windows Server Backup, este tema sería obligatorio ya que los mas común para el tiempo de validez de nuestra CA en muchos casos se utiliza 5 o mas años.

CA_17

Especificamos las ubicaciones de las bases de datos donde se alojarán nuestros certificados.

CA_18

Veremos una confirmación o resumen de todas las configuraciones que realizaremos en nuestra CA y podemos decirle Configurar.

CA_19

Comienza la configuración de los roles, servicios de rol o características, esto puede tardar un poco.

CA_20

Vemos la confirmación que todo se ha realizado correctamente de los dos servicios de rol que configuramos.

CA_21

Podemos confirmar que el rol se ha completado abriendo el complemento Entidad certificadora que podemos encontrar en las herramientas de Server Manager  y donde se verán los certificados revocados, emitidos, pendientes, error de solicitudes y plantillas de certificado.

CA_22

Por ultimo, para ver los certificados que ha emitido nuestra CA, podemos abrir una Microsoft Management Console MMC en Ejecutar y cargar el complemento Certificados para el equipo local, en donde trabajaremos para exportar el certificado que necesitamos y veremos en el siguiente articulo porque este se fue bastante extenso.

CA_23

Con esto ya tenemos lista nuestra entidad certificadora para los certificados que necesitamos cargar en nuestra suscripción de Windows Azure y así certificar que nuestros servidores son los únicos que puedan realizar copias de seguridad en este almacén de copia de seguridad de Windows Azure.

Una de las cosas muy importante y vuelvo a repetirlo dado a lo importante que es, el tema del periodo de validez de los certificados, si tenemos nuestra CA emitiendo certificados con un periodo de validez superior a 3 años debemos crear una nueva plantilla con la fecha solicitada y emitir este nuevo certificado, si tienen alguna duda con este proceso me la pueden hacer saber y con mucho gusto les explico mas detalladamente o decido si crear un articulo especialmente para este tema.

Muchas Gracias.

Jair Gómez Arias
MVP Packaging, Deployment & Servicing

Microsoft Community Specialist
@JairGomezA
http://jairgomezit.wordpress.com

Jair Gomez Arias

Apacionado por las tecnologias Microsoft, Microsoft Comunity spcialist (MCS Colombia)

También te podría gustar...

  • Alfonso Ortega

    Hola Jair, muy interesante el post. Te comento. Tengo ya un servidor como entidad certificadora que ha estado funcionando por varios años. El año entrante vence dicho certificado “miempresa-CA” y quisiera saber cómo puedo renovarlo para que se amplie el periodo de uso. Sólo sé que existe porque ya estaba cuando entré a trabajar en la empresa, pero quiero evitarme dolores de cabeza futuros al menos conociendo el procedimiento para renovarlo.