>Gura me comenta lo siguente en uno de los artículos en los que hablé sobre las distintas formas de confiar en las entidad certificadora de windows.
«Como nota informativa en lo que a certificados SSL se refiere, IPSCA, una empresa que emite certificados a 39 euros. De cara a internet (No internamente confiando en tu propia CA) puede estar MUY bien».
Me ha parecido interesante y quería darle un poco de notoriedad al comentario.
¡Saludos y espero que haya empezado bien el año!.
>Podemos desplegar la confianza en una entidad certificadora via gpo, para ello, solo tenemos que seguir estos pasos:
1. Entrar en la web de la entidad certificadora /certsrv después de validarnos y pulsar sobre , Download a CA certificate…. según indica la imagen.
2. Descargarnos el certificado pulsando en la opción remarcada en la imagen.
3. En esta captura tenemos unos cuantos pasos, una vez descargado el certificado y almacenado en una carpeta del equipo, debemos abrir usuarios y equipos de active directory y editar una política que cuelgue de Raiz o de la OU que almacene los equipos de la organización.
4. Después, llegando hasta, Computer configuration, Windows Settings, Security Settings, Public Key Policies, Tusted Root Certification, podemos importar el certificado almacenado en la carpeta (tener en cuenta que por defecto la pantalla de importación, no muestra los certificados con extensión .p7b, así que tendreis que cambiar «Files of Type».
>Para poder acceder líbremente a una página web cifrada por ssl, debemos confiar en la entidad certificadora que ha emitido ese certificado, por los foros es muy común encontrar problemas relacionados al no poder conectar outlook 2003 y 2007 a través de rpc bajo https, o bien, ahora cada vez aparecen mas problemas relacionados con windows mobile que al fin y al cabo todo se traduce en lo mismo y es ver si tienes algún aviso o no relacionado con el certificado, cuando entras a la web /owa de tu exchange.
Para introducir el certificado donde toca, solo tienes que seguir los pasos que voy a enumerar a continuación, lo he hecho sobre uno vista ya que es un poco mas complejo, para XP solo teneis que eliminar los pasos que identificareis cláramente como propios de Windows Vista:
1. Ejecutar Internet Explorer como Administrador local.
2. A pesar del aviso, entrar en la página web.
3. Ver el certificado, haciendo click sobre Error de certificado.
4. Comprobamos que el certificado está bien emitido con la dirección correcta y lo guardamos en «Entidades de certificación raiz de confianza».
Ya está, como habreis visto, para windows XP solo teneis que eliminar el paso 1 y haber iniciado sesión en modo administrador, o bien lanzar el programa internet explorer con privilegios administrativos desde una sesión de usuario utilizando el comando «Runas».
>Esta es la página que aparece desde un windows Vista o un Windows Server 2008, cuando intentas ver la web de la entidad certificadora:
En el artículo referenciado por la página se comenta lo siguiente :
«The Windows Server 2003 Certificate Services Web enrollment functionality relies on an ActiveX control that is named Xenroll. This ActiveX control is available in Microsoft Windows 2000 and in later versions of Windows. However, Xenroll has been deprecated in Windows Vista. The sample certificate enrollment Web pages that are included with the original release version of Microsoft Windows Server 2003, with Windows Server 2003 Service Pack 1 (SP1), and with Windows Server 2003 Service Pack 2 (SP2) are not designed to handle the change in how Windows Vista performs Web-based certificate enrollment operations.»
Tal y como dice el artículo el problema viene ocasionador porque Xenroll en windows vista no funciona y para solucionar esto, el artículo no muestra paso a paso como actualizar las páginas web clave, para poder realizar el proceso como hasta ahora hacíamos con Windows XP.
