Herramientas de usuario
sad:t1:practica1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa Próxima revisión Ambos lados, revisión siguiente | ||
|
sad:t1:practica1 [2017/09/13 11:12] José Manuel Guallar |
sad:t1:practica1 [2017/09/13 11:26] José Manuel Guallar |
||
|---|---|---|---|
| Línea 343: | Línea 343: | ||
| 64 | 64 | ||
| - | Para nuestra CA raíz no tendremos un proveedor de listas de revocación y eso lo solucionamos introduciéndolo manualmente Hacemos clic en aceptar y luego mediante el botón de Proveedor introducimos la ruta a la lista de revocación de nuestra CA raíz | + | Para nuestra CA raíz no tendremos un proveedor de listas de revocación y eso lo solucionamos introduciéndolo manualmente |
| + | |||
| + | Hacemos clic en aceptar y luego mediante el botón de Proveedor introducimos la ruta a la lista de revocación de nuestra CA raíz | ||
| 65 | 65 | ||
| 66 | 66 | ||
| - | Publicación de la CA raíz | + | **Publicación de la CA raíz** |
| Aunque nosotros asignamos esta ruta en nuestra CA raíz, en realidad la lista de revocación no figura en esa ruta porque nosotros debemos de proveer el mecanismo por el cual el servidor con la CA Raíz pueda escribir en esa carpeta la lista de revocación | Aunque nosotros asignamos esta ruta en nuestra CA raíz, en realidad la lista de revocación no figura en esa ruta porque nosotros debemos de proveer el mecanismo por el cual el servidor con la CA Raíz pueda escribir en esa carpeta la lista de revocación | ||
| Línea 372: | Línea 375: | ||
| ===== Agente ===== | ===== Agente ===== | ||
| - | Agente de recuperación de claves KRA (Key Recovery Agent) | + | **Agente de recuperación de claves KRA (Key Recovery Agent)** |
| Tiene la capacidad de recuperar la clave privada de un certificado desde la base de datos de la CA que lo emitió | Tiene la capacidad de recuperar la clave privada de un certificado desde la base de datos de la CA que lo emitió | ||
| Línea 403: | Línea 406: | ||
| 72 | 72 | ||
| - | ** | + | |
| - | Creación del certificado del KRA** | + | **Creación del certificado del KRA** |
| A continuación debemos de solicitar el certificado de KRA para el usuario que le corresponda | A continuación debemos de solicitar el certificado de KRA para el usuario que le corresponda | ||
| * Iniciamos una sesión con el usuario KRA desde cualquier máquina en el dominio | * Iniciamos una sesión con el usuario KRA desde cualquier máquina en el dominio | ||
| Línea 413: | Línea 416: | ||
| * Si tenemos activado el control de cuentas en el sistema operativo tendremos que ingresar de nuevo la contraseña de nuestro usuario para confirmar el uso de la consola MMC | * Si tenemos activado el control de cuentas en el sistema operativo tendremos que ingresar de nuevo la contraseña de nuestro usuario para confirmar el uso de la consola MMC | ||
| + | Desde la consola MMC accederemos al menú contextual del contenedor Personal para llegar a la opción de Solicitar un nuevo certificado | ||
| + | |||
| + | 73 | ||
| + | |||
| + | En el asistente seleccionaremos el certificado Agente de Recuperación de claves | ||
| + | |||
| + | 74 | ||
| + | |||
| + | **Preparación de la CA para que almacene las claves privadas** | ||
| + | |||
| + | * Arrancamos la herramienta de administración de nuestra CA de Empresa y accedemos a sus propiedades haciendo clic con el botón derecho sobre el nombre de la CA | ||
| + | * En la pestaña Agentes de Recuperación activamos el botón de Archivar la Clave y agregamos el certificado o los certificados correspondientes a todos los agentes de recuperación que hayamos designado. En este punto veremos que certificado se marca con una aspa roja y que en su estado figura “no cargado” | ||
| + | * Esto es porque necesitamos reiniciar los servicios de la CA. Hacemos clic en Aceptar y reiniciamos los servicios | ||
| + | * Una vez reiniciado el servicio podremos volver a consultar esta pestaña para ver que ahora los certificados están activos | ||
| + | |||
| + | 75 | ||
| + | |||
| + | **Definición de los tipos de certificados cuya clave privada será respaldada** | ||
| + | |||
| + | Se define una plantilla de usuario o varias, dependiendo del uso que se le vaya a dar a cada una de ellas y también debemos de definir en cada una de esas plantillas a cuales les queremos respaldar su clave privada | ||
| + | * Volvemos al editor de plantillas de nuestra CA haciendo uso del menú contextual de la carpeta de plantillas | ||
| + | * Desde este editor vamos a hacer clic con el botón derecho sobre la plantilla que se llama Usuario y seleccionamos la opción de plantilla duplicada | ||
| + | * Con esto conseguimos una copia de esa plantilla que nosotros vamos a adaptar a nuestras necesidades sin modificar la original | ||
| + | * Seleccionamos la opción de Windows Server 2008 al crear la nueva plantilla | ||
| + | * Automáticamente se nos abren las propiedades de la nueva plantilla | ||
| + | |||
| + | Para empezar vamos a asignarle un nombre | ||
| + | |||
| + | En este caso usaremos Usuario Corporativo (Clave Archivada) | ||
| + | |||
| + | |||
| + | 76 | ||
| + | |||
| + | A continuación en la pestaña Tratamiento de la Solicitud tendremos que activar la casilla: Archivar clave privada de cifrado de sujeto | ||
| + | |||
| + | Esta opción es la que permitirá archivar la clave privada del certificado | ||
| + | |||
| + | 77 | ||
| + | |||
| + | Tendremos que modificar sus permisos para que se puedan distribuir los certificados basados en esta plantilla de forma automática mediante Directivas de Grupo. Para ello asignamos al grupo Usuarios Autentificados los permisos de lectura, inscribirse e inscripción automática. También podríamos restringir estos permisos a grupos más reducidos dependiendo de como queremos asignar certificados a nuestros usuarios | ||
| + | |||
| + | 78 | ||
| + | |||
| + | A continuación solo resta publicar la plantilla en la CA mediante el menú contextual de la carpeta Plantillas de certificados | ||
| + | |||
| + | Nuestra CA de Empresa debería de tener un aspecto similar al siguiente | ||
| + | |||
| + | 79 | ||
| + | |||
| + | **En este punto se puede desconcetar la CA raíz** | ||
| + | |||
| + | ---- | ||
| + | |||
| + | ===== Distribución de los certificados a los usuarios ===== | ||
| + | |||
| + | **Distribución desde el Directorio Activo** | ||
| + | |||
| + | Ya tenemos lista nuestra CA para poder comenzar a distribuir certificados | ||
| + | * El siguiente paso sería crear una GPO en el directorio activo que se encargue de distribuir los certificados | ||
| + | |||
| + | Abrimos la herramienta de administración de las directivas de grupo dentro de las herramientas administrativas y creamos una GPO a nivel de dominio o al nivel de las OUs donde queremos distribuir certificados | ||
| + | |||
| + | Editamos la directiva que acabamos de crear y nos vamos a: Configuración de Usuario – directivas – Configuración de Windows – Configuración de Seguridad – Directivas de clave pública | ||
| + | Aquí hacemos clic sobre Cliente de Servicios de Certificate Server – Inscripción Automática | ||
| + | 80 | ||
| + | Lo habilitamos y activamos las casillas de renovaciones automáticas y actualizaciones de plantillas | ||
| + | 81 | ||
sad/t1/practica1.txt · Última modificación: 2019/01/04 13:18 (editor externo)
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Share Alike 4.0 International
