¡Esta es una revisión vieja del documento!
Para que el sistema operativo confíe en un certificado se tiene que cumplir:
CA pública
CA privada o interna
En Windows Server 2008, una CA es un servidor con el rol “AD CS” instalado
Una CA puede emitir certificados, revocarlos, publicar la lista de certificados revocados (CRL) o la lista de información AIA (Authority Information Access) para que los certificados emitidos a usuarios, sistemas o servicios puedan ser validados
En las PKI de WS2K8 caben dos tipos de CA:
CA raíz: dispone de certificado autofirmado y puede emitir certificados para otra CA
CA subordinada: dispone de certificado firmado por otra CA raíz
Pueden estar o no integradas en el Directorio Activo
CA Stand-alone: no requiere Directorio Activo
CA Empresarial: se integra en un Directorio Activo y exige que el servidor forme parte de un Dominio de Directorio Activo
Trabajaremos con dos servidores WS2K8 Enterprise Edition (tienen un rol de PKI más completo que la versión Standard)
La primera maquina se llamara SRV-RootCAseguido del numero de lista
Servidor stand-alone donde se instalará la CA raíz
El servidor está en un grupo de trabajo (GW-PKI)
La segunda maquina se llama DC1 en mi caso, en el vuestro las iniciales de vuestro nombre y apellidos
Controlador de dominio del dominio EMBOSA en vuestro caso ASIR
En él se instalará una CA subordinada e integrada en el Directorio Activo
También se usarán los servicios web de este servidor como rutas para publicar los AIA (Authority Information Access) y los RDP (Revocation List Distribution Point) de las dos CAs
Nota Una vez instalada una CA en un servidor, éste ya yo puede cambiar de nombre
comprobación inicial de nombres NetBIOS
Instalación de los servicios DS CA en SRV-RootCA
Instalación de los servicios web para la inscripción de certificados, lo que requerirá IIS
Comenzamos la configuración de la CA raiz (no está en dominio, sólo podemos elegir Independiente)
Elegimos CA raiz
Creamos una nueva clave privada
Definimos del CSP (Proveedor de Servicios de Cifrado) que utilizamos
Asignamos nombre a la CA raiz
Establece el periodo de validez del certificado de la CA raíz autofirmado
Definimos la ruta de la base de datos de certificados y del registro de emisión
Configuración por defecto propuesta de la instalación de IIS
Por seguridad, asegurar una copia de la clave privada de la CA raiz
Obtención del certificado público de la CA raíz para la distribución: accedemos http://localhost/certsrv
Descargamos el certificado de CA
Deben configurarse las rutas de publicación antes de emitir ningún certificado ya que la información se incluye en los certificados emitidos
Hay que asegurarse de marcar las casillas inferiores de inclusión de certificados
24
Añadimos el resto de rutas
Ejemplo de ruta CDP:http://dc1.embosa.com/certenroll/<nombre de CA><Sufijo de nombre de lista CRL><Diferencias entre listas CRL permitidas>.crl
25
Nos qudarán las siguitentes publicaciones
26
Creación de una CA subordinada e integrada en el directorio activo
Configuramos el DNS para que los sistemas puedan encontrarse por su FQDN
27
Instalamos el rol de AD CS en el servidor sobre el que crearemos la CA subordinada
28
Como el servidor está en el dominio podemos elegir “Empresa” y subordinada
29 30
Generamos el certificados para esta nueva CA
31
Elegimos la criptografía y el nombre para la nueva CA
32 33
Solicitamos un certificado a la CA raíz
Generamos una solicitud de certificado que luego usaremos para que sea firmado por la CA raíz
Finalizamos el asistente
34
Nos conectamos a http://srv-rootca/certsrv y solicitamos el certificado para la CA subordinada con solicitud avanzada
35 36
Solicitamos el certificado desde el archivo con la petición que generamos anteriormente
37
Se copia el contenido del fichero en el bloc de notas y lo pegamos en la pagina
Se envia la solicitud
38
Entonces se genera la solicitud, que queda pendiente en la CA raíz para que podamos aprobarla manualmente
39
Seguidamente vamos a la CA raíz y aprobamos la solicitud de certificado de la CA subordinada
40 41
Para utilizar el certificado es necesario confiar en la CA raíz
Su certificado público debe estar en todos los sistemas que vayan a utilizar los certificados de ambas CA
Se pueden distribuir mediante directivas de grupo del dominio
42 43
Una vez importado, el directorio activo se encargará de distribuirlo a todos los sistemas del dominio
44
Descargamos el certificado de la CA subordinada y repetimos el proceso con el certificado que dejamos sin terminar y que está pendiente
45 46
Descargamos el certificado con la opción “Descargar cadena de Certificados”
47
Habilitamos la CA subordinada utilizando este certificado con la opción “Instalar el certificado de CA”
48 49
Ajuste de las rutas AIA y CPD de la CA subordinada
50