¡Esta es una revisión vieja del documento!
Para que el sistema operativo confíe en un certificado se tiene que cumplir:
CA pública
CA privada o interna
En Windows Server 2008, una CA es un servidor con el rol “AD CS” instalado
Una CA puede emitir certificados, revocarlos, publicar la lista de certificados revocados (CRL) o la lista de información AIA (Authority Information Access) para que los certificados emitidos a usuarios, sistemas o servicios puedan ser validados
En las PKI de WS2K8 caben dos tipos de CA:
CA raíz: dispone de certificado autofirmado y puede emitir certificados para otra CA
CA subordinada: dispone de certificado firmado por otra CA raíz
Pueden estar o no integradas en el Directorio Activo
CA Stand-alone: no requiere Directorio Activo
CA Empresarial: se integra en un Directorio Activo y exige que el servidor forme parte de un Dominio de Directorio Activo
Trabajaremos con dos servidores WS2K8 Enterprise Edition (tienen un rol de PKI más completo que la versión Standard) La primera maquina se llamara SRV-RootCA
Servidor stand-alone donde se instalará la CA raíz
El servidor está en un grupo de trabajo (GW-PKI)
La segunda maquina se llama DC1
Controlador de dominio del dominio EMBOSA
En él se instalará una CA subordinada e integrada en el Directorio Activo
También se usarán los servicios web de este servidor como rutas para publicar los AIA (Authority Information Access) y los RDP (Revocation List Distribution Point) de las dos CAs
Nota Una vez instalada una CA en un servidor, éste ya yo puede cambiar de nombre
comprobación inicial de nombres NetBIOS
Instalación de los servicios DS CA en SRV-RootCA
Instalación de los servicios web para la inscripción de certificados, lo que requerirá IIS
Comenzamos la configuración de la CA raiz (no está en dominio, sólo podemos elegir Independiente)
Elegimos CA raiz
Creamos una nueva clave privada
Definimos del CSP (Proveedor de Servicios de Cifrado) que utilizamos
Asignamos nombre a la CA raiz
Establece el periodo de validez del certificado de la CA raíz autofirmado
Definimos la ruta de la base de datos de certificados y del registro de emisión
Configuración por defecto propuesta de la instalación de IIS
Por seguridad, asegurar una copia de la clave privada de la CA raiz
Obtención del certificado público de la CA raíz para la distribución: accedemos http://localhost/certsrv
Descargamos el certificado de CA