1. Las CA (Certification Authority) son los servidores que se encargan de emitir los certificados que luego se utilizarán como medios de identificación
2. La infraestructura de CAs de una organización se denomina PKI (Public Key Infrastructure)
3. Cuando se crea una CA, el software genera automáticamente un certificado raíz autofirmado

• Es el certificado más importante de una CA
• La clave privada de este certificado se utilizará para firmar cualquier otro certificado emitido por la CA

1. En una PKI puede haber varias CA organizadas jerárquicamente pero que dependan de una única CA raíz

Para que el sistema operativo confíe en un certificado se tiene que cumplir:

• Que el sistema confíe en la CA que emitió el certificado
• Que el nombre que figura en el certificado coincida con el nombre del sistema o la dirección de correo electrónico u otro parámetro en función del tipo de certificado
• Que el certificado no esté caducado ni haya sido revocado

CA pública

• Son PKI gestionadas por empresas privadas o gubernamentales que emiten certificados públicos
• Los certificados de estas CA suelen venir instalados de serie en los sistemas operativos
• Suelen tener un proceso de registro muy exhaustivo
• La emisión del certificado tiene un coste económico

CA privada o interna

• Es instalada por el administrador de sistemas para uso privado en su red
• Requiere que instalemos el certificado de la CA en todos los sistemas
• La emisión del certificado no tiene coste económico

En Windows Server 2008, una CA es un servidor con el rol “AD CS” instalado

Una CA puede emitir certificados, revocarlos, publicar la lista de certificados revocados (CRL) o la lista de información AIA (Authority Information Access) para que los certificados emitidos a usuarios, sistemas o servicios puedan ser validados

En las PKI de WS2K8 caben dos tipos de CA:

CA raíz: dispone de certificado autofirmado y puede emitir certificados para otra CA

CA subordinada: dispone de certificado firmado por otra CA raíz

Pueden estar o no integradas en el Directorio Activo

CA Stand-alone: no requiere Directorio Activo

CA Empresarial: se integra en un Directorio Activo y exige que el servidor forme parte de un Dominio de Directorio Activo

• La CA raíz de la PKI se implementa como stand-alone
• Las CAs subordinadas de la PKI son certificadas por la CA raíz, pero se recomienda que sean de tipo empresarial (integradas en el Directorio Activo)
• Una vez creadas las Enterprise-CAs subordinadas, se desconecta la CA raíz de la red o directamente se apaga el servidor

1. De este modo protegemos la clave privada de la CA raíz
2. La CA raíz sólo se encenderá cuando haya que certificar una nueva CA subordinada

Trabajaremos con dos servidores WS2K8 Enterprise Edition (tienen un rol de PKI más completo que la versión Standard)

La primera maquina se llamara SRV-RootCAseguido del numero de lista

Servidor stand-alone donde se instalará la CA raíz

El servidor está en un grupo de trabajo (GW-PKI)

La segunda maquina se llama DC1 en mi caso, en el vuestro las iniciales de vuestro nombre y apellidos

Controlador de dominio del dominio EMBOSA en vuestro caso ASIR

En él se instalará una CA subordinada e integrada en el Directorio Activo

También se usarán los servicios web de este servidor como rutas para publicar los AIA (Authority Information Access) y los RDP (Revocation List Distribution Point) de las dos CAs

Nota Una vez instalada una CA en un servidor, éste ya yo puede cambiar de nombre

comprobación inicial de nombres NetBIOS

Instalación de los servicios DS CA en SRV-RootCA

Instalación de los servicios web para la inscripción de certificados, lo que requerirá IIS

Comenzamos la configuración de la CA raiz (no está en dominio, sólo podemos elegir Independiente)

Elegimos CA raiz

Creamos una nueva clave privada

Definimos del CSP (Proveedor de Servicios de Cifrado) que utilizamos

Asignamos nombre a la CA raiz

Establece el periodo de validez del certificado de la CA raíz autofirmado

Definimos la ruta de la base de datos de certificados y del registro de emisión

Configuración por defecto propuesta de la instalación de IIS

Por seguridad, asegurar una copia de la clave privada de la CA raiz

Obtención del certificado público de la CA raíz para la distribución: accedemos http://localhost/certsrv

Descargamos el certificado de CA

• Debe instalarse en todos los sistemas que necesiten confiar en los certificados emitidos por la CA raíz y todas sus subordinadas
• En su instalación hay que incluirlo en el contenedor de Entidades de certificación raíz de confianza
• Puesto que finalmente se apagará la CA raíz habrá que publicar en algún servidor web las rutas de AIA (Authority Information Access) y CDP (o RDP o CRL, Certification-List Distribution Point)

Deben configurarse las rutas de publicación antes de emitir ningún certificado ya que la información se incluye en los certificados emitidos

• Se agregan rutas para CDP y para AIA que apunten al servidor en que se publicarán
• Ejemplo de ruta: http://dc1.embosa.com/certenroll/<Nombre DNS del Servidor>_<Nombre de CA><Nombre del Certificado>.crt

Hay que asegurarse de marcar las casillas inferiores de inclusión de certificados

24

Añadimos el resto de rutas

Ejemplo de ruta CDP:http://dc1.embosa.com/certenroll/<nombre de CA><Sufijo de nombre de lista CRL><Diferencias entre listas CRL permitidas>.crl

25

Nos qudarán las siguitentes publicaciones

26

Creación de una CA subordinada e integrada en el directorio activo

Configuramos el DNS para que los sistemas puedan encontrarse por su FQDN

27

Instalamos el rol de AD CS en el servidor sobre el que crearemos la CA subordinada

28

Como el servidor está en el dominio podemos elegir “Empresa” y subordinada

29 30

Generamos el certificados para esta nueva CA

31

Elegimos la criptografía y el nombre para la nueva CA

32 33

Solicitamos un certificado a la CA raíz

Generamos una solicitud de certificado que luego usaremos para que sea firmado por la CA raíz

Finalizamos el asistente

34

Nos conectamos a http://srv-rootca/certsrv y solicitamos el certificado para la CA subordinada con solicitud avanzada

35 36

Solicitamos el certificado desde el archivo con la petición que generamos anteriormente

37

Se copia el contenido del fichero en el bloc de notas y lo pegamos en la pagina

Se envia la solicitud

38

Entonces se genera la solicitud, que queda pendiente en la CA raíz para que podamos aprobarla manualmente

39

Seguidamente vamos a la CA raíz y aprobamos la solicitud de certificado de la CA subordinada

40 41

Para utilizar el certificado es necesario confiar en la CA raíz

Su certificado público debe estar en todos los sistemas que vayan a utilizar los certificados de ambas CA

Se pueden distribuir mediante directivas de grupo del dominio

42 43

Una vez importado, el directorio activo se encargará de distribuirlo a todos los sistemas del dominio

44

Descargamos el certificado de la CA subordinada y repetimos el proceso con el certificado que dejamos sin terminar y que está pendiente

45 46

Descargamos el certificado con la opción “Descargar cadena de Certificados”

47

Habilitamos la CA subordinada utilizando este certificado con la opción “Instalar el certificado de CA”

48 49

Ajuste de las rutas AIA y CPD de la CA subordinada

50