En esta serie de posts voy a mostrar cómo configurar una entidad certificadora privada de Windows y cómo usarla para desplegar certificados a todos nuestros equipos del dominio así como el uso de una SmartCard.
Lo he dividido en tres partes:
- Parte I – Conceptos e instalación del Rol
- Parte II – Despliegue de certificados en máquinas del dominio
- Parte III – Uso con SmartCard
Conceptos e instalación del Rol
Todos estamos de acuerdo de que el uso de certificados digitales para proteger nuestras comunicaciones externas es prioritario pero, la mayoría de ellas se quedan solo en lo publicado externamente y desconocen, o piensan que es caro, que internamente también deberíamos usar certificados para la autentificación y autorización de las comunicaciones entre nuestros ordenadores, servidores o servicios internos.
Desde hace varias versiones de Windows Server existe un rol incluido entre los roles de Directorio Activo que permite la instalación y configuración de una entidad certificadora privada que usa el propio directorio activo para generar y gestionar los certificados. Debemos tener en cuenta que estos certificados serán reconocidos únicamente por nuestros dispositivos unidos al dominio o aquellos a los que manualmente le instalemos el certificado raíz de nuestra CA.
Un punto importante por si no habéis caído en ello es que es un rol incluido con nuestra versión de Windows, es decir no tiene coste adicional.
En este post voy a mostrar cómo instalar una entidad certificadora de Windows de un solo nivel, es decir, un solo servidor que actuará como CA Raíz y Emisora, en entornos grandes la recomendación es instalarlo en varios niveles siendo el más alto la CA Raíz que debe estar fuera del dominio y fuera de la red y, una o varias entidades certificadoras subordinada a nuestra CA Raíz que deben pertenecer al dominio.
Lo primero que debemos hacer es instalar este rol en un servidor miembro de nuestro dominio, se puede instalar en uno de nuestros controladores del dominio aunque para producción siempre se recomienda que se haga en un servidor aparte. Es importante tener en cuenta que el hostname y el FQDN de este servidor no podrá cambiarse.
También es recomendable proteger los accesos a este servidor, normalmente en producción se crea tanto un grupo como un usuario especifico que será el administrador de nuestra CA y se evita el uso del Administrador del dominio. En este ejemplo, como es un laboratorio voy a usar el usuario Administrator.
En algunas de las descripciones de los menús indicaré el texto en castellano y entre paréntesis la versión en inglés para mejor comprensión.
Para comenzar la instalación abrimos el Server Manager en el servidor elegido y seguimos los pasos:
1. Pulsar sobre Administrar (Manage) y elegir la opción Agregar Roles y características (Add roles and Features). | |
2. Nos aparece la ventana “Antes de comenzar”, pulsar Siguiente | |
3. Aparece la ventana “Tipo de instalación”, pulsar Siguiente | |
4. Aparece la ventana “Selección del Servidor”, debe aparecer nuestro servidor local, pulsar Siguiente | |
5. Seleccionar el “Servicio de certificados de Active Directory” (Active Directory Certificate Services) y pulsar Siguiente | |
6. Nos solicitará que agreguemos unas características, pulsar sobre el botón “Agregar características” para hacerlo. | |
7. Nos pide si queremos agregar alguna característica más, pulsar Siguiente. | |
8. Nos muestra la pantalla de “AD CS”, pulsar Siguiente | |
9. En la ventana “Selección de rol” seleccionar dos roles “Entidad de certificación” (Certification Authority) e “Inscripción web de entidad de certificación” (Certification Authority Web Enrollment), pulsar Siguiente | |
10. Al instalar el complemento de Inscripción web, es posible que sea necesario instalar complementos adicionales como el servidor web (IIS), aceptar la instalación de todos los complementos necesarios | |
11. Nos pide confirmación de las opciones elegidas, pulsar Instalar y esperar a que acabe. | |
12. Una vez terminada la instalación pulsar sobre el enlace (en azul) “Configurar los servicios de certificados en este servidor” | |
13. Lanza el wizard de configuración y lo primero que nos solicita son las credenciales con las que configurará el servicio, por defeco nos muestra el usuario con el que hemos hecho Login en el servidor, podemos elegir otro que será el administrador de este servicio pero debe ser administrador de dominio y de esquema. | |
14. Nos pregunta los roles que queremos configurar, marcamos las dos que hemos seleccionado en el paso 9 | |
15. Cuando se pregunte por el tipo de entidad certificadora que se va a crear elegir la opción de “Empresarial” o (Enterprise CA), pulsar Siguiente | |
16. En el tipo de entidad elegimos CA raíz (Root CA), pulsar Siguiente | |
17. Seleccionar “Crear nueva clave privada”, pulsar Siguiente | |
18. En la parte de Criptografía elegiremos los parámetros que queramos, lo recomendable es elegir SHA256 y dejar el resto por defecto, pulsar Siguiente | |
19. Nos pide el nombre de la CA, se suele dejar por defecto ya que la composición es correcta pero podemos cambiarla a un valor personalizado, pulsar Siguiente | |
20. Elegir el periodo de validez del certificado raíz que se desee, pulsar Siguiente | |
21. Nos pide la localización de las BBDD, lo normal es dejarlas por defecto. Este punto es importante ya que en estas carpetas es donde se almacenará la configuración de nuestra CA y ciertas tareas como es el Backup almacenará los datos sobre ellas. | |
22. Nos pide la confirmación de los datos elegidos, si todo es correcto pulsamos Configurar. | |
23. Dejamos que acabe, si todo va bien muestra los iconos en verde. |
En este punto ya tenemos instalada nuestra entidad certificadora privada. En el siguiente post veremos cómo configurarla para poder desplegar automáticamente certificados a todas nuestras máquinas del dominio.