Aplicaciones, Comunicaciones y Sistemas

Entidad Certificadora de Windows Parte I – Conceptos e instalación del servicio

Índice del contenido

En esta serie de posts voy a mostrar cómo configurar una entidad certificadora privada de Windows y cómo usarla para desplegar certificados a todos nuestros equipos del dominio así como el uso de una SmartCard.

Lo he dividido en tres partes:

Conceptos e instalación del Rol

Todos estamos de acuerdo de que el uso de certificados digitales para proteger nuestras comunicaciones externas es prioritario pero, la mayoría de ellas se quedan solo en lo publicado externamente y desconocen, o piensan que es caro, que internamente también deberíamos usar certificados para la autentificación y autorización de las comunicaciones entre nuestros ordenadores, servidores o servicios internos.

Desde hace varias versiones de Windows Server existe un rol incluido entre los roles de Directorio Activo que permite la instalación y configuración de una entidad certificadora privada que usa el propio directorio activo para generar y gestionar los certificados. Debemos tener en cuenta que estos certificados serán reconocidos únicamente por nuestros dispositivos unidos al dominio o aquellos a los que manualmente le instalemos el certificado raíz de nuestra CA.

Un punto importante por si no habéis caído en ello es que es un rol incluido con nuestra versión de Windows, es decir no tiene coste adicional.

En este post voy a mostrar cómo instalar una entidad certificadora de Windows de un solo nivel, es decir, un solo servidor que actuará como CA Raíz y Emisora, en entornos grandes la recomendación es instalarlo en varios niveles siendo el más alto la CA Raíz que debe estar fuera del dominio y fuera de la red y, una o varias entidades certificadoras subordinada a nuestra CA Raíz que deben pertenecer al dominio.

Lo primero que debemos hacer es instalar este rol en un servidor miembro de nuestro dominio, se puede instalar en uno de nuestros controladores del dominio aunque para producción siempre se recomienda que se haga en un servidor aparte. Es importante tener en cuenta que el hostname y el FQDN de este servidor no podrá cambiarse.

También es recomendable proteger los accesos a este servidor, normalmente en producción se crea tanto un grupo como un usuario especifico que será el administrador de nuestra CA y se evita el uso del Administrador del dominio. En este ejemplo, como es un laboratorio voy a usar el usuario Administrator.

En algunas de las descripciones de los menús indicaré el texto en castellano y entre paréntesis la versión en inglés para mejor comprensión.

Para comenzar la instalación abrimos el Server Manager en el servidor elegido y seguimos los pasos:

1.       Pulsar sobre Administrar (Manage) y elegir la opción Agregar Roles y características (Add roles and Features).
2.       Nos aparece la ventana “Antes de comenzar”, pulsar Siguiente
3.       Aparece la ventana “Tipo de instalación”, pulsar Siguiente
4.       Aparece la ventana “Selección del Servidor”, debe aparecer nuestro servidor local, pulsar Siguiente
5.       Seleccionar el “Servicio de certificados de Active Directory” (Active Directory Certificate Services) y pulsar Siguiente
6.       Nos solicitará que agreguemos unas características, pulsar sobre el botón “Agregar características” para hacerlo.
7.       Nos pide si queremos agregar alguna característica más, pulsar Siguiente.
8.       Nos muestra la pantalla de “AD CS”, pulsar Siguiente
9.       En la ventana “Selección de rol” seleccionar dos roles “Entidad de certificación” (Certification Authority) e “Inscripción web de entidad de certificación” (Certification Authority Web Enrollment), pulsar Siguiente
10.   Al instalar el complemento de Inscripción web, es posible que sea necesario instalar complementos adicionales como el servidor web (IIS), aceptar la instalación de todos los complementos necesarios
11.   Nos pide confirmación de las opciones elegidas, pulsar Instalar y esperar a que acabe.
12.   Una vez terminada la instalación pulsar sobre el enlace (en azul) “Configurar los servicios de certificados en este servidor”
13.   Lanza el wizard de configuración y lo primero que nos solicita son las credenciales con las que configurará el servicio, por defeco nos muestra el usuario con el que hemos hecho Login en el servidor, podemos elegir otro que será el administrador de este servicio pero debe ser administrador de dominio y de esquema.
14.   Nos pregunta los roles que queremos configurar, marcamos las dos que hemos seleccionado en el paso 9
15.   Cuando se pregunte por el tipo de entidad certificadora que se va a crear elegir la opción de “Empresarial” o (Enterprise CA), pulsar Siguiente
16.   En el tipo de entidad elegimos CA raíz (Root CA), pulsar Siguiente
17.   Seleccionar “Crear nueva clave privada”, pulsar Siguiente
18.   En la parte de Criptografía elegiremos los parámetros que queramos, lo recomendable es elegir SHA256 y dejar el resto por defecto, pulsar Siguiente
19.   Nos pide el nombre de la CA, se suele dejar por defecto ya que la composición es correcta pero podemos cambiarla a un valor personalizado, pulsar Siguiente
20.   Elegir el periodo de validez del certificado raíz que se desee, pulsar Siguiente
21.   Nos pide la localización de las BBDD, lo normal es dejarlas por defecto. Este punto es importante ya que en estas carpetas es donde se almacenará la configuración de nuestra CA y ciertas tareas como es el Backup almacenará los datos sobre ellas.
22.   Nos pide la confirmación de los datos elegidos, si todo es correcto pulsamos Configurar.
23.   Dejamos que acabe, si todo va bien muestra los iconos en verde.

En este punto ya tenemos instalada nuestra entidad certificadora privada. En el siguiente post veremos cómo configurarla para poder desplegar automáticamente certificados a todas nuestras máquinas del dominio.

Comparte

No es sólo un blog

Noticias y avances sobre
tecnología

Con la unión de Sothis y Nunsys conseguimos...
La integración de Microsoft Power Platform y SAP...
¿Cómo complementar el CRM para enfocar el hecho...
En una sociedad cada vez más digitalizada, la...
La calidad es un clave en cualquier industria,...
Evolucionar el concepto de CRM (Customer Relationship Management)...

¡Gracias!

Tu formulario se ha enviado correctamente-

Consigue el eBook

De conformidad con lo establecido en la normativa vigente en materia de protección de datos, le informamos que sus datos serán tratados por Sothis Enterprise Resource Planning, S.L.U. con el fin de atender las solicitudes que nos formule en base a la ejecución de un acuerdo. Puede ejercer sus derechos de acceso, rectificación, supresión, oposición, así como los demás que la normativa reconoce al interesado, mediante solicitud dirigida a c/ Charles Robert Darwin, 13 – Parque Tecnológico cp. 46980 Paterna (Valencia), o por correo electrónico a rgpd@sothis.tech adjuntando copia de su DNI o documentación que le identifique. Puede consultar información adicional sobre el tratamiento de datos en SOTHIS en nuestra Política de Privacidad.