Windows Server 2012R2: entidad certificadora I

En este nuevo post, vamos a ver el proceso de creación de nuestra propia entidad certificadora mediante un Windows Server 2012R2. El objetivo es disponer de un sistema que nos permita gestionar certificados propios a nivel de una intranet, tanto para los equipos como para los usuarios del dominio. Por ser para uso interno, no necesitaremos utilizar los servicios de una autoridad de certificación externa como Symantec.

Realizaremos la instalación sobre un equipo que ya tiene el rol de controlador de dominio instalado y configurado.

win2012CA01Ahora tendremos que seleccionar qué servicios queremos implementar, en nuestro caso vamos a instalar además del servicio de Autoridad de certificación, el sistema para permitir que los usuarios puedan acceder desde una página web al servicio de certificación. En las páginas de Technet, teneis la información detallada de todas las características que se pueden configurar.

win2012CA02Una vez seleccionadas las características, se inicia el proceso de configuración. En primer lugar, nos solicita las credenciales para configurar, en nuestro caso las del administrador del DC.

win2012CA03Ahora se inicia propiamente el proceso de configuración, donde debemos marcar los dos servicios que queremos configurar (el resto como no los instalamos no los podemos seleccionar).

win2012CA04A continuación, elegimos qué tipo de entidad certificadora queremos. Puede ser empresarial (será nuestro caso) ligada a un dominio Active Directory o independiente (standalone).

Seleccionamos que sea una Root CA o Autoridad Raíz, puesto que generará sus propios certificados. Es posible también configurar una CA delegada que emite certificados de una autoridad raíz. En este caso, nuestra CA debería disponer de un certificado emitido para tal fin por la Root CA correspondiente.

Ahora viene el proceso de configurar la clave privada. En primer lugar debemos crearla, porque en nuestro caso no disponemos de una.

win2012CA07Configuramos sus características, básicamente el tipo de clave, la longitud de la clave y el algoritmo de hash a emplear.

win2012CA08A continuación comprobamos los datos referidos a la CA: nombre, vigencia (aquí es muy importante tener en cuenta que la vigencia de la CA siempre tiene que ser mayor a la de los certificados que queremos emitir) y la ubicación donde se guardará la estructura de la autoridad.

win2012CA09win2012CA10

win2012CA11Antes de realizar la configuración, el sistema nos muestra una pantalla con un resumen de las selecciones realizadas y nos pide confirmar. Una vez hecho, se nos muestra una pantalla indicando que el proceso ha finalizado con éxito.

win2012CA12win2012CA13Si entramos ahora la  gestión de la autoridad certificadora, podemos observar la estructura creada.

win2012CA14win2012CA15Observamos que ya disponemos de una serie de plantillas (templates) de certificados para las situaciones más habituales (usuarios, DC, Web Servers, etc.).

Podemos ver también desde el propio servidor, el portal por defecto para permitir el acceso a la entidad certificadora vía web.

win2012CA16Ya tenemos nuestra entidad certificadora preparada, en el siguiente artículo veremos el proceso de solicitud de certificados y su aplicación en casos concretos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s