Herramientas de usuario

Herramientas del sitio


sad:t1:practica1

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anterior Revisión previa
Próxima revisión
Revisión previa
sad:t1:practica1 [2017/09/13 11:26]
José Manuel Guallar
sad:t1:practica1 [2019/01/04 13:18] (actual)
Línea 287: Línea 287:
 Habilitamos la ruta en donde se encontrará el servidor OCSP Habilitamos la ruta en donde se encontrará el servidor OCSP
  
-51+{{:​sad:​t1:​imagen51.png?​400|}}
  
 El servicio OCSP se identifica con un certificado específico de OCSP El servicio OCSP se identifica con un certificado específico de OCSP
  
-52+{{:​sad:​t1:​imagen52.png?​400|}}
  
 Localizamos en la lista de plantillas la plantilla de certificado “Firma de Respuesta de OCSP” y hacemos doble clic para acceder a sus propiedades. En la pestaña de Seguridad seleccionamos en la DACL a usuarios autentificados y le asignamos el permiso “Inscribirse” Localizamos en la lista de plantillas la plantilla de certificado “Firma de Respuesta de OCSP” y hacemos doble clic para acceder a sus propiedades. En la pestaña de Seguridad seleccionamos en la DACL a usuarios autentificados y le asignamos el permiso “Inscribirse”
  
-53+{{:​sad:​t1:​imagen53.png?​400|}}
  
 A continuación cerramos la consola de las plantillas de certificados y desde la herramienta de administración de la CA seleccionamos la plantilla que acabamos de modificar para que el servidor pueda usarla a la hora de generar certificados A continuación cerramos la consola de las plantillas de certificados y desde la herramienta de administración de la CA seleccionamos la plantilla que acabamos de modificar para que el servidor pueda usarla a la hora de generar certificados
  
-54+{{:​sad:​t1:​imagen54.png?​400|}}
  
 Haciendo clic con el botón derecho sobre Plantillas de certificados y usando las opciones de “Nuevo/​Plantilla de certificado que se va a emitir”. En la lista seleccionamos nuestra plantilla: Firma de respuesta de OCSP Haciendo clic con el botón derecho sobre Plantillas de certificados y usando las opciones de “Nuevo/​Plantilla de certificado que se va a emitir”. En la lista seleccionamos nuestra plantilla: Firma de respuesta de OCSP
  
-55+{{:​sad:​t1:​imagen55.png?​400|}}
  
 Si no está instalado, hay que instalar el servicio OCSP desde el Server Manager Arrancamos la consola de Administrador del Servicio de Respuestas en Línea y agregamos una configuración de revocación Si no está instalado, hay que instalar el servicio OCSP desde el Server Manager Arrancamos la consola de Administrador del Servicio de Respuestas en Línea y agregamos una configuración de revocación
  
-56+{{:​sad:​t1:​imagen56.png?​400|}}
  
 Asignamos un nombre descriptivo del servicio Asignamos un nombre descriptivo del servicio
  
-57+{{:​sad:​t1:​imagen57.png?​400|}}
  
 El certificado para el OCSP nos lo emitirá la CA subordinada de empresa El certificado para el OCSP nos lo emitirá la CA subordinada de empresa
  
-58+{{:​sad:​t1:​imagen58.png?​400|}}
  
 Examinamos los certificados desde el Directorio Activo y permitimos que OCSP automáticamente use el certificado para firmar las respuestas enviadas a los clientes Examinamos los certificados desde el Directorio Activo y permitimos que OCSP automáticamente use el certificado para firmar las respuestas enviadas a los clientes
  
-59 +{{:​sad:​t1:​imagen59.png?​400|}} 
-60+{{:​sad:​t1:​imagen60.png?​400|}}
  
 **El servidor OCSP** **El servidor OCSP**
Línea 335: Línea 335:
 Seleccionamos el certificado desde local ya que la CA raíz o está en el DA Seleccionamos el certificado desde local ya que la CA raíz o está en el DA
  
-61 +{{:​sad:​t1:​imagen61.png?​400|}} 
-62+{{:​sad:​t1:​imagen62.png?​400|}}
  
 Seleccionamos el certificado de la CA raíz y permitimos firmar con él las respuestas a los clientes Seleccionamos el certificado de la CA raíz y permitimos firmar con él las respuestas a los clientes
  
-63 +{{:​sad:​t1:​imagen63.png?​400|}} 
-64+{{:​sad:​t1:​imagen64.png?​400|}}
  
 Para nuestra CA raíz no tendremos un proveedor de listas de revocación y eso lo solucionamos introduciéndolo manualmente Para nuestra CA raíz no tendremos un proveedor de listas de revocación y eso lo solucionamos introduciéndolo manualmente
Línea 347: Línea 347:
 Hacemos clic en aceptar y luego mediante el botón de Proveedor introducimos la ruta a la lista de revocación de nuestra CA raíz Hacemos clic en aceptar y luego mediante el botón de Proveedor introducimos la ruta a la lista de revocación de nuestra CA raíz
  
-65 +{{:​sad:​t1:​imagen65.png?​400|}} 
-66+{{:​sad:​t1:​imagen66.png?​400|}}
  
 **Publicación de la CA raíz** **Publicación de la CA raíz**
Línea 363: Línea 363:
 Desde el servidor que alberga nuestra CA Raíz arrancamos la herramienta de administración de la CA Desde el servidor que alberga nuestra CA Raíz arrancamos la herramienta de administración de la CA
  
-67+{{:​sad:​t1:​imagen67.png?​400|}}
  
 Usando el menú contextual del contenedor Certificados Revocados publicamos nuestra primera CRL Usando el menú contextual del contenedor Certificados Revocados publicamos nuestra primera CRL
Línea 371: Línea 371:
 Cada vez que generemos una nueva lista de revocación debemos copiar el contenido desde el servidor CA Raíz hacia el servidor CA Subordinado Cada vez que generemos una nueva lista de revocación debemos copiar el contenido desde el servidor CA Raíz hacia el servidor CA Subordinado
  
- +{{:​sad:​t1:​imagen68.png?​400|}}
-68+
  
 ===== Agente ===== ===== Agente =====
Línea 391: Línea 390:
 En la herramienta de administración de la CA abriremos el editor de plantillas usando el menú contextual de la carpeta Plantillas de Certificados En la herramienta de administración de la CA abriremos el editor de plantillas usando el menú contextual de la carpeta Plantillas de Certificados
  
-69+{{:​sad:​t1:​imagen69.png?​400|}}
  
 En el administrador de plantillas localizamos la plantilla Agente de recuperación de claves y hacemos doble clic sobre ella para acceder a sus propiedades En el administrador de plantillas localizamos la plantilla Agente de recuperación de claves y hacemos doble clic sobre ella para acceder a sus propiedades
Línea 397: Línea 396:
 En la pestaña Seguridad agregamos al grupo Agentes KRA y le asignamos el permiso de Inscribirse y el de lectura En la pestaña Seguridad agregamos al grupo Agentes KRA y le asignamos el permiso de Inscribirse y el de lectura
  
-70+{{:​sad:​t1:​imagen70.png?​400|}}
  
-Para que no sea necesario que un administrador autorice la emisión de estos certificados quitamos la marca que hay en la casilla Aprobación del administrador de certificados de entidad de certificación en la pestaña Requisitos de Emisión. En entornos de alta seguridad podría ser conveniente dejar esta marca activada para que la emisión de estos certificados estuviese controlada por los administradores+Para que no sea necesario que un administrador autorice la emisión de estos certificados quitamos la marca que hay en la casilla Aprobación del administrador de certificados de entidad de certificación en la pestaña Requisitos de Emisión.
  
-71+En entornos de alta seguridad podría ser conveniente dejar esta marca activada para que la emisión de estos certificados estuviese controlada por los administradores 
 + 
 +{{:​sad:​t1:​imagen71.png?​400|}}
  
 A continuación tenemos que permitir la emisión de esta plantilla Para ello en el menú contextual de la carpeta de certificados elegimos nuevo – Plantilla de certificado que se va a emitir y seleccionamos la plantilla del Agente de Recuperación de Claves A continuación tenemos que permitir la emisión de esta plantilla Para ello en el menú contextual de la carpeta de certificados elegimos nuevo – Plantilla de certificado que se va a emitir y seleccionamos la plantilla del Agente de Recuperación de Claves
  
-72+{{:​sad:​t1:​imagen72.png?​400|}}
  
 **Creación del certificado del KRA** **Creación del certificado del KRA**
 +
 A continuación debemos de solicitar el certificado de KRA para el usuario que le corresponda A continuación debemos de solicitar el certificado de KRA para el usuario que le corresponda
   * Iniciamos una sesión con el usuario KRA desde cualquier máquina en el dominio   * Iniciamos una sesión con el usuario KRA desde cualquier máquina en el dominio
   * Si lo vamos a hacer desde el controlador de dominio debemos de recordar que los usuarios básicos no pueden iniciar sesión en este tipo de servidores   * Si lo vamos a hacer desde el controlador de dominio debemos de recordar que los usuarios básicos no pueden iniciar sesión en este tipo de servidores
 +
 Para solicitar el certificado KRA para este usuario vamos a usar la consola MMC Para solicitar el certificado KRA para este usuario vamos a usar la consola MMC
   * Desde una sesión de ese usuario arrancamos una consola MMC en blanco y agregamos el complemento de certificados   * Desde una sesión de ese usuario arrancamos una consola MMC en blanco y agregamos el complemento de certificados
Línea 418: Línea 421:
 Desde la consola MMC accederemos al menú contextual del contenedor Personal para llegar a la opción de Solicitar un nuevo certificado Desde la consola MMC accederemos al menú contextual del contenedor Personal para llegar a la opción de Solicitar un nuevo certificado
  
-73+{{:​sad:​t1:​imagen73.png?​400|}}
  
 En el asistente seleccionaremos el certificado Agente de Recuperación de claves En el asistente seleccionaremos el certificado Agente de Recuperación de claves
  
-74+{{:​sad:​t1:​imagen74.png?​400|}}
  
 **Preparación de la CA para que almacene las claves privadas** **Preparación de la CA para que almacene las claves privadas**
Línea 431: Línea 434:
   * Una vez reiniciado el servicio podremos volver a consultar esta pestaña para ver que ahora los certificados están activos   * Una vez reiniciado el servicio podremos volver a consultar esta pestaña para ver que ahora los certificados están activos
  
-75+{{:​sad:​t1:​imagen75.png?​400|}}
  
 **Definición de los tipos de certificados cuya clave privada será respaldada** **Definición de los tipos de certificados cuya clave privada será respaldada**
Línea 447: Línea 450:
  
  
-76+{{:​sad:​t1:​imagen76.png?​400|}}
  
 A continuación en la pestaña Tratamiento de la Solicitud tendremos que activar la casilla: Archivar clave privada de cifrado de sujeto A continuación en la pestaña Tratamiento de la Solicitud tendremos que activar la casilla: Archivar clave privada de cifrado de sujeto
Línea 453: Línea 456:
 Esta opción es la que permitirá archivar la clave privada del certificado Esta opción es la que permitirá archivar la clave privada del certificado
  
-77+{{:​sad:​t1:​imagen77.png?​400|}}
  
 Tendremos que modificar sus permisos para que se puedan distribuir los certificados basados en esta plantilla de forma automática mediante Directivas de Grupo. Para ello asignamos al grupo Usuarios Autentificados los permisos de lectura, inscribirse e inscripción automática. También podríamos restringir estos permisos a grupos más reducidos dependiendo de como queremos asignar certificados a nuestros usuarios Tendremos que modificar sus permisos para que se puedan distribuir los certificados basados en esta plantilla de forma automática mediante Directivas de Grupo. Para ello asignamos al grupo Usuarios Autentificados los permisos de lectura, inscribirse e inscripción automática. También podríamos restringir estos permisos a grupos más reducidos dependiendo de como queremos asignar certificados a nuestros usuarios
  
-78+{{:​sad:​t1:​imagen78.png?​400|}}
  
 A continuación solo resta publicar la plantilla en la CA mediante el menú contextual de la carpeta Plantillas de certificados A continuación solo resta publicar la plantilla en la CA mediante el menú contextual de la carpeta Plantillas de certificados
Línea 463: Línea 466:
 Nuestra CA de Empresa debería de tener un aspecto similar al siguiente Nuestra CA de Empresa debería de tener un aspecto similar al siguiente
  
-79+{{:​sad:​t1:​imagen79.png?​400|}}
  
 **En este punto se puede desconcetar la CA raíz** ​ **En este punto se puede desconcetar la CA raíz** ​
Línea 482: Línea 485:
 Aquí hacemos clic sobre Cliente de Servicios de Certificate Server – Inscripción Automática Aquí hacemos clic sobre Cliente de Servicios de Certificate Server – Inscripción Automática
  
-80+{{:​sad:​t1:​imagen80.png?​400|}}
  
 Lo habilitamos y activamos las casillas de renovaciones automáticas y actualizaciones de plantillas Lo habilitamos y activamos las casillas de renovaciones automáticas y actualizaciones de plantillas
  
-81 +{{:​sad:​t1:​imagen81.png?​400|}}
- +
- +
- +
- +
- +
- +
- +
- +
sad/t1/practica1.1505301992.txt.gz · Última modificación: 2019/01/04 13:18 (editor externo)