Herramientas de usuario
sad:t1:practica1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
|
sad:t1:practica1 [2017/09/13 10:41] José Manuel Guallar |
sad:t1:practica1 [2019/01/04 13:18] (actual) |
||
|---|---|---|---|
| Línea 287: | Línea 287: | ||
| Habilitamos la ruta en donde se encontrará el servidor OCSP | Habilitamos la ruta en donde se encontrará el servidor OCSP | ||
| - | 51 | + | {{:sad:t1:imagen51.png?400|}} |
| El servicio OCSP se identifica con un certificado específico de OCSP | El servicio OCSP se identifica con un certificado específico de OCSP | ||
| - | 52 | + | {{:sad:t1:imagen52.png?400|}} |
| Localizamos en la lista de plantillas la plantilla de certificado “Firma de Respuesta de OCSP” y hacemos doble clic para acceder a sus propiedades. En la pestaña de Seguridad seleccionamos en la DACL a usuarios autentificados y le asignamos el permiso “Inscribirse” | Localizamos en la lista de plantillas la plantilla de certificado “Firma de Respuesta de OCSP” y hacemos doble clic para acceder a sus propiedades. En la pestaña de Seguridad seleccionamos en la DACL a usuarios autentificados y le asignamos el permiso “Inscribirse” | ||
| - | 53 | + | {{:sad:t1:imagen53.png?400|}} |
| A continuación cerramos la consola de las plantillas de certificados y desde la herramienta de administración de la CA seleccionamos la plantilla que acabamos de modificar para que el servidor pueda usarla a la hora de generar certificados | A continuación cerramos la consola de las plantillas de certificados y desde la herramienta de administración de la CA seleccionamos la plantilla que acabamos de modificar para que el servidor pueda usarla a la hora de generar certificados | ||
| - | 54 | + | {{:sad:t1:imagen54.png?400|}} |
| Haciendo clic con el botón derecho sobre Plantillas de certificados y usando las opciones de “Nuevo/Plantilla de certificado que se va a emitir”. En la lista seleccionamos nuestra plantilla: Firma de respuesta de OCSP | Haciendo clic con el botón derecho sobre Plantillas de certificados y usando las opciones de “Nuevo/Plantilla de certificado que se va a emitir”. En la lista seleccionamos nuestra plantilla: Firma de respuesta de OCSP | ||
| - | 55 | + | {{:sad:t1:imagen55.png?400|}} |
| Si no está instalado, hay que instalar el servicio OCSP desde el Server Manager Arrancamos la consola de Administrador del Servicio de Respuestas en Línea y agregamos una configuración de revocación | Si no está instalado, hay que instalar el servicio OCSP desde el Server Manager Arrancamos la consola de Administrador del Servicio de Respuestas en Línea y agregamos una configuración de revocación | ||
| - | 56 | + | {{:sad:t1:imagen56.png?400|}} |
| Asignamos un nombre descriptivo del servicio | Asignamos un nombre descriptivo del servicio | ||
| - | 57 | + | {{:sad:t1:imagen57.png?400|}} |
| El certificado para el OCSP nos lo emitirá la CA subordinada de empresa | El certificado para el OCSP nos lo emitirá la CA subordinada de empresa | ||
| - | 58 | + | {{:sad:t1:imagen58.png?400|}} |
| Examinamos los certificados desde el Directorio Activo y permitimos que OCSP automáticamente use el certificado para firmar las respuestas enviadas a los clientes | Examinamos los certificados desde el Directorio Activo y permitimos que OCSP automáticamente use el certificado para firmar las respuestas enviadas a los clientes | ||
| - | 59 | + | {{:sad:t1:imagen59.png?400|}} |
| - | 60 | + | {{:sad:t1:imagen60.png?400|}} |
| **El servidor OCSP** | **El servidor OCSP** | ||
| Línea 335: | Línea 335: | ||
| Seleccionamos el certificado desde local ya que la CA raíz o está en el DA | Seleccionamos el certificado desde local ya que la CA raíz o está en el DA | ||
| - | 61 | + | {{:sad:t1:imagen61.png?400|}} |
| - | 62 | + | {{:sad:t1:imagen62.png?400|}} |
| Seleccionamos el certificado de la CA raíz y permitimos firmar con él las respuestas a los clientes | Seleccionamos el certificado de la CA raíz y permitimos firmar con él las respuestas a los clientes | ||
| - | 63 | + | {{:sad:t1:imagen63.png?400|}} |
| - | 64 | + | {{:sad:t1:imagen64.png?400|}} |
| - | Para nuestra CA raíz no tendremos un proveedor de listas de revocación y eso lo solucionamos introduciéndolo manualmente Hacemos clic en aceptar y luego mediante el botón de Proveedor introducimos la ruta a la lista de revocación de nuestra CA raíz | + | Para nuestra CA raíz no tendremos un proveedor de listas de revocación y eso lo solucionamos introduciéndolo manualmente |
| - | 65 | + | Hacemos clic en aceptar y luego mediante el botón de Proveedor introducimos la ruta a la lista de revocación de nuestra CA raíz |
| - | 66 | + | |
| + | {{:sad:t1:imagen65.png?400|}} | ||
| + | {{:sad:t1:imagen66.png?400|}} | ||
| + | |||
| + | **Publicación de la CA raíz** | ||
| - | Publicación de la CA raíz | ||
| Aunque nosotros asignamos esta ruta en nuestra CA raíz, en realidad la lista de revocación no figura en esa ruta porque nosotros debemos de proveer el mecanismo por el cual el servidor con la CA Raíz pueda escribir en esa carpeta la lista de revocación | Aunque nosotros asignamos esta ruta en nuestra CA raíz, en realidad la lista de revocación no figura en esa ruta porque nosotros debemos de proveer el mecanismo por el cual el servidor con la CA Raíz pueda escribir en esa carpeta la lista de revocación | ||
| Línea 360: | Línea 363: | ||
| Desde el servidor que alberga nuestra CA Raíz arrancamos la herramienta de administración de la CA | Desde el servidor que alberga nuestra CA Raíz arrancamos la herramienta de administración de la CA | ||
| - | 67 | + | {{:sad:t1:imagen67.png?400|}} |
| Usando el menú contextual del contenedor Certificados Revocados publicamos nuestra primera CRL | Usando el menú contextual del contenedor Certificados Revocados publicamos nuestra primera CRL | ||
| Línea 368: | Línea 371: | ||
| Cada vez que generemos una nueva lista de revocación debemos copiar el contenido desde el servidor CA Raíz hacia el servidor CA Subordinado | Cada vez que generemos una nueva lista de revocación debemos copiar el contenido desde el servidor CA Raíz hacia el servidor CA Subordinado | ||
| - | + | {{:sad:t1:imagen68.png?400|}} | |
| - | 68 | + | |
| ===== Agente ===== | ===== Agente ===== | ||
| - | Agente de recuperación de claves KRA (Key Recovery Agent) | + | **Agente de recuperación de claves KRA (Key Recovery Agent)** |
| Tiene la capacidad de recuperar la clave privada de un certificado desde la base de datos de la CA que lo emitió | Tiene la capacidad de recuperar la clave privada de un certificado desde la base de datos de la CA que lo emitió | ||
| Línea 388: | Línea 390: | ||
| En la herramienta de administración de la CA abriremos el editor de plantillas usando el menú contextual de la carpeta Plantillas de Certificados | En la herramienta de administración de la CA abriremos el editor de plantillas usando el menú contextual de la carpeta Plantillas de Certificados | ||
| + | {{:sad:t1:imagen69.png?400|}} | ||
| + | |||
| + | En el administrador de plantillas localizamos la plantilla Agente de recuperación de claves y hacemos doble clic sobre ella para acceder a sus propiedades | ||
| + | |||
| + | En la pestaña Seguridad agregamos al grupo Agentes KRA y le asignamos el permiso de Inscribirse y el de lectura | ||
| + | |||
| + | {{:sad:t1:imagen70.png?400|}} | ||
| + | |||
| + | Para que no sea necesario que un administrador autorice la emisión de estos certificados quitamos la marca que hay en la casilla Aprobación del administrador de certificados de entidad de certificación en la pestaña Requisitos de Emisión. | ||
| + | |||
| + | En entornos de alta seguridad podría ser conveniente dejar esta marca activada para que la emisión de estos certificados estuviese controlada por los administradores | ||
| + | |||
| + | {{:sad:t1:imagen71.png?400|}} | ||
| + | |||
| + | A continuación tenemos que permitir la emisión de esta plantilla Para ello en el menú contextual de la carpeta de certificados elegimos nuevo – Plantilla de certificado que se va a emitir y seleccionamos la plantilla del Agente de Recuperación de Claves | ||
| + | |||
| + | {{:sad:t1:imagen72.png?400|}} | ||
| + | |||
| + | **Creación del certificado del KRA** | ||
| + | |||
| + | A continuación debemos de solicitar el certificado de KRA para el usuario que le corresponda | ||
| + | * Iniciamos una sesión con el usuario KRA desde cualquier máquina en el dominio | ||
| + | * Si lo vamos a hacer desde el controlador de dominio debemos de recordar que los usuarios básicos no pueden iniciar sesión en este tipo de servidores | ||
| + | |||
| + | Para solicitar el certificado KRA para este usuario vamos a usar la consola MMC | ||
| + | * Desde una sesión de ese usuario arrancamos una consola MMC en blanco y agregamos el complemento de certificados | ||
| + | * Si se nos solicita a que tipo de contenedor de certificados queremos acceder seleccionamos el de usuario | ||
| + | * Si tenemos activado el control de cuentas en el sistema operativo tendremos que ingresar de nuevo la contraseña de nuestro usuario para confirmar el uso de la consola MMC | ||
| + | |||
| + | Desde la consola MMC accederemos al menú contextual del contenedor Personal para llegar a la opción de Solicitar un nuevo certificado | ||
| + | |||
| + | {{:sad:t1:imagen73.png?400|}} | ||
| + | |||
| + | En el asistente seleccionaremos el certificado Agente de Recuperación de claves | ||
| + | |||
| + | {{:sad:t1:imagen74.png?400|}} | ||
| + | |||
| + | **Preparación de la CA para que almacene las claves privadas** | ||
| + | |||
| + | * Arrancamos la herramienta de administración de nuestra CA de Empresa y accedemos a sus propiedades haciendo clic con el botón derecho sobre el nombre de la CA | ||
| + | * En la pestaña Agentes de Recuperación activamos el botón de Archivar la Clave y agregamos el certificado o los certificados correspondientes a todos los agentes de recuperación que hayamos designado. En este punto veremos que certificado se marca con una aspa roja y que en su estado figura “no cargado” | ||
| + | * Esto es porque necesitamos reiniciar los servicios de la CA. Hacemos clic en Aceptar y reiniciamos los servicios | ||
| + | * Una vez reiniciado el servicio podremos volver a consultar esta pestaña para ver que ahora los certificados están activos | ||
| + | |||
| + | {{:sad:t1:imagen75.png?400|}} | ||
| + | |||
| + | **Definición de los tipos de certificados cuya clave privada será respaldada** | ||
| + | |||
| + | Se define una plantilla de usuario o varias, dependiendo del uso que se le vaya a dar a cada una de ellas y también debemos de definir en cada una de esas plantillas a cuales les queremos respaldar su clave privada | ||
| + | * Volvemos al editor de plantillas de nuestra CA haciendo uso del menú contextual de la carpeta de plantillas | ||
| + | * Desde este editor vamos a hacer clic con el botón derecho sobre la plantilla que se llama Usuario y seleccionamos la opción de plantilla duplicada | ||
| + | * Con esto conseguimos una copia de esa plantilla que nosotros vamos a adaptar a nuestras necesidades sin modificar la original | ||
| + | * Seleccionamos la opción de Windows Server 2008 al crear la nueva plantilla | ||
| + | * Automáticamente se nos abren las propiedades de la nueva plantilla | ||
| + | |||
| + | Para empezar vamos a asignarle un nombre | ||
| + | |||
| + | En este caso usaremos Usuario Corporativo (Clave Archivada) | ||
| + | |||
| + | |||
| + | {{:sad:t1:imagen76.png?400|}} | ||
| + | |||
| + | A continuación en la pestaña Tratamiento de la Solicitud tendremos que activar la casilla: Archivar clave privada de cifrado de sujeto | ||
| + | |||
| + | Esta opción es la que permitirá archivar la clave privada del certificado | ||
| + | |||
| + | {{:sad:t1:imagen77.png?400|}} | ||
| + | |||
| + | Tendremos que modificar sus permisos para que se puedan distribuir los certificados basados en esta plantilla de forma automática mediante Directivas de Grupo. Para ello asignamos al grupo Usuarios Autentificados los permisos de lectura, inscribirse e inscripción automática. También podríamos restringir estos permisos a grupos más reducidos dependiendo de como queremos asignar certificados a nuestros usuarios | ||
| + | |||
| + | {{:sad:t1:imagen78.png?400|}} | ||
| + | |||
| + | A continuación solo resta publicar la plantilla en la CA mediante el menú contextual de la carpeta Plantillas de certificados | ||
| + | Nuestra CA de Empresa debería de tener un aspecto similar al siguiente | ||
| + | {{:sad:t1:imagen79.png?400|}} | ||
| + | **En este punto se puede desconcetar la CA raíz** | ||
| + | ---- | ||
| + | ===== Distribución de los certificados a los usuarios ===== | ||
| + | **Distribución desde el Directorio Activo** | ||
| + | Ya tenemos lista nuestra CA para poder comenzar a distribuir certificados | ||
| + | * El siguiente paso sería crear una GPO en el directorio activo que se encargue de distribuir los certificados | ||
| + | Abrimos la herramienta de administración de las directivas de grupo dentro de las herramientas administrativas y creamos una GPO a nivel de dominio o al nivel de las OUs donde queremos distribuir certificados | ||
| + | Editamos la directiva que acabamos de crear y nos vamos a: Configuración de Usuario – directivas – Configuración de Windows – Configuración de Seguridad – Directivas de clave pública | ||
| + | Aquí hacemos clic sobre Cliente de Servicios de Certificate Server – Inscripción Automática | ||
| + | {{:sad:t1:imagen80.png?400|}} | ||
| + | Lo habilitamos y activamos las casillas de renovaciones automáticas y actualizaciones de plantillas | ||
| + | {{:sad:t1:imagen81.png?400|}} | ||
sad/t1/practica1.1505299312.txt.gz · Última modificación: 2019/01/04 13:18 (editor externo)
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Share Alike 4.0 International
