Se utiliza una autoridad de certificación (CA) para emitir certificados para sitios web internos, conexiones RDS, computadoras, usuarios, etc.
La ventaja de una autoridad de certificación interna (CA) es que puede generar certificados. Para que sean reconocidos, es necesario implementar el certificado CA en los equipos.
Algunos servicios de Windows requieren certificados de una CA para funcionar:
- RemoteApp
- Cliente HTML5 RDP
En Windows, hay dos tipos de CA (resumen):
- Empresa: CA vinculada a un Active Directory que permite emitir certificados para miembros del dominio (estaciones de trabajo / usuarios).
- Autónoma: CA que puede ser o no miembro de un dominio que emite certificados generados manualmente. Este tipo de CA se instala a menudo al configurar una PKI jerárquica.
Diferencias entre los dos tipos de CA en Windows Server:
En este tutorial, veremos cómo configurar una autoridad de certificación independiente.
Instalación de la función AD CS
Desde el administrador del servidor, haga clic en Agregar funciones roles 1.
Cuando se inicie el asistente, haga clic en Siguiente 1.
Elija instalación basada en funciones o funciones 1 y haga clic en Siguiente 2.
Elija el servidor 1 y haga clic en Siguiente 2.
Marque la casilla Servicio de certificados de Active Directory 1.
Haga clic en Agregar funciones 1.
Haga clic en Siguiente 1.
Omita la lista de funciones haciendo clic en Siguiente 1.
Haga clic en Siguiente 1, esta página muestra el resumen del rol.
Marque la casilla Registro de la autoridad de certificación a través de la Web 1, esto le permite realizar solicitudes de certificado utilizando una interfaz web.
Confirme la adición de funciones haciendo clic en el botón 1> .
Haga clic en Siguiente 1.
Haga clic en Siguiente 1.
Haga clic en Siguiente 1 para validar las funcionalidades de IIS.
Se muestran algunos pasos según los componentes seleccionados.
Haga clic en Instalar 1.
Espere durante la instalación …
Una vez que se complete la instalación, haga clic en Cerrar 1.
El rol de la autoridad de certificación está instalado, pasaremos a su configuración.
Configuración de la autoridad de certificación
En esta parte configuraremos una autoridad de certificación autónoma.
1. Desde el administrador del servidor, haga clic en el indicador 1 y luego en Configurar los servicios de certificados de Active Directory 2 para abrir el asistente de configuración.
2. Indique un usuario que sea miembro del grupo de administradores locales 1 y luego haga clic en Siguiente 2.
3. Compruebe los servicios para configurar 1 y haga clic en Siguiente 2.
4. Elija Autoridad de certificación independiente 1 y haga clic en Siguiente 2.
5. Tipo de CA, elija Autoridad de certificación raíz 1 y luego haga clic en Siguiente 2.
6. Seleccione Crear una clave privada 1 y haga clic en Siguiente 2.
7. Si es necesario, modifique las opciones de cifrado y haga clic en Siguiente 1.
8. Configure el nombre de la autoridad de certificación 1 y luego haga clic en Siguiente 2.
9. Configure el período de validez de la autoridad (5/10 /… años) 1 y luego haga clic en Siguiente 2.
10. Especifique la ubicación de los datos AC 1 y haga clic en Siguiente 2.
11. Haga clic en Configurar 1 para iniciar la creación de la autoridad de certificación..
12. Espere mientras se crea la CA …
13. Cuando termine, salga del asistente haciendo clic en el botón Cerrar 1.
Exportar el certificado raíz
El certificado raíz de la autoridad de certificación se puede exportar para instalarlo en equipos (computadoras, activos de red, etc.) que utilizarán o se comunicarán con los servicios mediante certificados emitidos por la autoridad.
1. Abra la MMC «Certificados» en la cuenta del equipo local y vaya a la tienda Trusted Root Certification Authorities 1.
2. .Haga clic con el botón derecho en el certificado de autoridad 1, vaya a Todas las tareas 2 y haga clic en Exportar 3.
3. Cuando se inicie el asistente, haga clic en Siguiente 1.
4. Elija el formato de exportación 1 y luego haga clic en Siguiente 2.
5. Indique la ubicación donde se exportará el certificado 1 y haga clic en Siguiente 2.
6. Haga clic en Finalizar 1 para iniciar la exportación.
7. La exportación está completa, cierre el mensaje haciendo clic en Aceptar 1.
Ahora puede implementar el certificado raíz en todas las estaciones de trabajo / servidores de su infraestructura. En un entorno de Active Directory, es posible hacer esto mediante GPO.
Ahora que tenemos el certificado raíz y está implementado en toda la flota, veremos cómo generar un certificado.
Generando un certificado
La generación de un certificado con una autoridad de certificación autónoma se lleva a cabo en varios pasos:
- Generación de la solicitud (Solicitud de firma de certificado).
- Envío de la solicitud a AC.
- Generación de la respuesta.
- Finalización de la solicitud para la obtención del certificado.
Generación de CSR
Hay varias formas de generar un CSR, en este tutorial lo haremos con IIS.
1. Abra una consola IIS y haga clic en Certificados de servidor 1.
2. En el menú Acciones, haga clic en Crear una solicitud de certificado 1.
3. Complete la información del certificado 1 y luego haga clic en Siguiente 2.
El nombre común corresponde a la URL del certificado.
4. Configure el cifrado 1 y luego haga clic en Siguiente 2.
5. Ingrese la ubicación de la solicitud de guardado (CSR) 1 y haga clic en Finalizar 2.
La CSR ahora se genera, si lo hizo en un servidor IIS que no sea AC, debe copiar el archivo en él.
Envíos de solicitudes a AC
1. Desde la consola de administración de la autoridad, haga clic con el botón derecho en la autoridad 1, Todas las tareas 2 y haga clic en Enviar una nueva solicitud 3.
2. Seleccione el archivo de solicitud (CSR) 1 y haga clic en Abrir 2.
3. Vaya a la carpeta Solicitud pendiente 1 para ver el certificado pendiente 2.
Emitir el certificado
1. Haga clic derecho en la solicitud 1 y haga clic en Todas las tareas 2 / Problema 3.
2. Vaya a la carpeta Certificados emitidos 1 y haga doble clic en el certificado 2.
3. Vaya a la pestaña Detalles 1 y haga clic en el botón Copiar a archivo … 2.
4. Cuando se inicie el asistente, haga clic en Siguiente 1.
5. Seleccione el formato de exportación 1 y luego haga clic en Siguiente 2.
6. Indique la ubicación y el nombre del archivo 1 luego haga clic en el botón Siguiente 2.
7. Haga clic en Finalizar 1 para cerrar el asistente.
8. Compruebe que se exporta el certificado.
Finalización de la solicitud para obtener el certificado
1. Vaya a la consola de IIS / Certificados donde se realizó la solicitud y haga clic en Finalizar solicitud de certificado… 1.
2. Seleccione el certificado generado por la CA 1, indique un nombre 2 y luego haga clic en Aceptar 3.
3. El certificado está disponible 1.
Ahora es posible exportar el certificado con su clave privada.