¡Esta es una revisión vieja del documento!
Para que el sistema operativo confíe en un certificado se tiene que cumplir:
CA pública
CA privada o interna
En Windows Server 2008, una CA es un servidor con el rol “AD CS” instalado
Una CA puede emitir certificados, revocarlos, publicar la lista de certificados revocados (CRL) o la lista de información AIA (Authority Information Access) para que los certificados emitidos a usuarios, sistemas o servicios puedan ser validados
En las PKI de WS2K8 caben dos tipos de CA:
CA raíz: dispone de certificado autofirmado y puede emitir certificados para otra CA
CA subordinada: dispone de certificado firmado por otra CA raíz
Pueden estar o no integradas en el Directorio Activo
CA Stand-alone: no requiere Directorio Activo
CA Empresarial: se integra en un Directorio Activo y exige que el servidor forme parte de un Dominio de Directorio Activo
Trabajaremos con dos servidores WS2K8 Enterprise Edition (tienen un rol de PKI más completo que la versión Standard) La primera maquina se llamara SRV-RootCA
Servidor stand-alone donde se instalará la CA raíz El servidor está en un grupo de trabajo (GW-PKI) La segunda maquina se llama DC1 Controlador de dominio del dominio EMBOSA
En él se instalará una CA subordinada e integrada en el Directorio Activo También se usarán los servicios web de este servidor como rutas para publicar los AIA (Authority Information Access) y los RDP (Revocation List Distribution Point) de las dos CAs Nota Una vez instalada una CA en un servidor, éste ya yo puede cambiar de nombre