Autoridad de certificación autónoma de Windows Server: instalación y configuración


Windows Server 2016 Windows Server 2019

Se utiliza una autoridad de certificación (CA) para emitir certificados para sitios web internos, conexiones RDS, computadoras, usuarios, etc.

La ventaja de una autoridad de certificación interna (CA) es que puede generar certificados. Para que sean reconocidos, es necesario implementar el certificado CA en los equipos.

Algunos servicios de Windows requieren certificados de una CA para funcionar:

  • RemoteApp
  • Cliente HTML5 RDP

En Windows, hay dos tipos de CA (resumen):

  • Empresa: CA vinculada a un Active Directory que permite emitir certificados para miembros del dominio (estaciones de trabajo / usuarios).
  • Autónoma: CA que puede ser o no miembro de un dominio que emite certificados generados manualmente. Este tipo de CA se instala a menudo al configurar una PKI jerárquica.

Diferencias entre los dos tipos de CA en Windows Server:

Autorité de certification différence

En este tutorial, veremos cómo configurar una autoridad de certificación independiente.

Instalación de la función AD CS

Desde el administrador del servidor, haga clic en Agregar funciones roles 1.

Gestionnaire de sereur

Cuando se inicie el asistente, haga clic en Siguiente 1.

Assistant installation rôle

Elija instalación basada en funciones o funciones 1 y haga clic en Siguiente 2.

Type d'installation

Elija el servidor 1 y haga clic en Siguiente 2.

Serveur cible

Marque la casilla Servicio de certificados de Active Directory 1.

Choisir le rôle Services de certificats Active Directory

Haga clic en Agregar funciones 1.

Ajouter les fonctionnalités complémentaires

Haga clic en Siguiente 1.

Passer à l etape suivante

Omita la lista de funciones haciendo clic en Siguiente 1.

Passer les fonctionnalités

Haga clic en Siguiente 1, esta página muestra el resumen del rol.

Résumer du rôle

Marque la casilla Registro de la autoridad de certificación a través de la Web 1, esto le permite realizar solicitudes de certificado utilizando una interfaz web.

Ajout de l'interface web

Confirme la adición de funciones haciendo clic en el botón 1> .

Ajout des fonctionnalités IIS

Haga clic en Siguiente 1.

Composants AC

Haga clic en Siguiente 1.

Configuration de IIS

Haga clic en Siguiente 1 para validar las funcionalidades de IIS.

Composant IIS

Se muestran algunos pasos según los componentes seleccionados.

Haga clic en Instalar 1.

Confirmer l'installation

Espere durante la instalación …

Installation en cours....

Una vez que se complete la instalación, haga clic en Cerrar 1.

Installation terminée

El rol de la autoridad de certificación está instalado, pasaremos a su configuración.

Configuración de la autoridad de certificación

En esta parte configuraremos una autoridad de certificación autónoma.

1. Desde el administrador del servidor, haga clic en el indicador 1 y luego en Configurar los servicios de certificados de Active Directory 2 para abrir el asistente de configuración.

Configurer autorité de certification

2. Indique un usuario que sea miembro del grupo de administradores locales 1 y luego haga clic en Siguiente 2.

Identifiant

3. Compruebe los servicios para configurar 1 y haga clic en Siguiente 2.

Choisir les services

4. Elija Autoridad de certificación independiente 1 y haga clic en Siguiente 2.

Type d'AC

5. Tipo de CA, elija Autoridad de certificación raíz 1 y luego haga clic en Siguiente 2.

Type d'AC

6. Seleccione Crear una clave privada 1 y haga clic en Siguiente 2.

Création clef privée

7. Si es necesario, modifique las opciones de cifrado y haga clic en Siguiente 1.

Configurer le chiffrement

8. Configure el nombre de la autoridad de certificación 1 y luego haga clic en Siguiente 2.

Configuration de l'AC

9. Configure el período de validez de la autoridad (5/10 /… años) 1 y luego haga clic en Siguiente 2.

Durée de vie

10. Especifique la ubicación de los datos AC 1 y haga clic en Siguiente 2.

Emplacement des fichiers de l'AC

11. Haga clic en Configurar 1 para iniciar la creación de la autoridad de certificación..

Lancer la configuration

12. Espere mientras se crea la CA …

Configuration en cours...

13. Cuando termine, salga del asistente haciendo clic en el botón Cerrar 1.

Installation terminée

Exportar el certificado raíz

El certificado raíz de la autoridad de certificación se puede exportar para instalarlo en equipos (computadoras, activos de red, etc.) que utilizarán o se comunicarán con los servicios mediante certificados emitidos por la autoridad.

1. Abra la MMC «Certificados» en la cuenta del equipo local y vaya a la tienda Trusted Root Certification Authorities 1.

Console AC

2. .Haga clic con el botón derecho en el certificado de autoridad 1, vaya a Todas las tareas 2 y haga clic en Exportar 3.

Export du certificat

3. Cuando se inicie el asistente, haga clic en Siguiente 1.

Assistant export

4. Elija el formato de exportación 1 y luego haga clic en Siguiente 2.

Format d'export

5. Indique la ubicación donde se exportará el certificado 1 y haga clic en Siguiente 2.

Nom et emplacement

6. Haga clic en Finalizar 1 para iniciar la exportación.

Lancer l'export

7. La exportación está completa, cierre el mensaje haciendo clic en Aceptar 1.

export terminé

Ahora puede implementar el certificado raíz en todas las estaciones de trabajo / servidores de su infraestructura. En un entorno de Active Directory, es posible hacer esto mediante GPO.

Ahora que tenemos el certificado raíz y está implementado en toda la flota, veremos cómo generar un certificado.

Generando un certificado

La generación de un certificado con una autoridad de certificación autónoma se lleva a cabo en varios pasos:

  • Generación de la solicitud (Solicitud de firma de certificado).
  • Envío de la solicitud a AC.
  • Generación de la respuesta.
  • Finalización de la solicitud para la obtención del certificado.

Generación de CSR

Hay varias formas de generar un CSR, en este tutorial lo haremos con IIS.

1. Abra una consola IIS y haga clic en Certificados de servidor 1.

Console IIS

2. En el menú Acciones, haga clic en Crear una solicitud de certificado 1.

Créer une demande

3. Complete la información del certificado 1 y luego haga clic en Siguiente 2.

Information sur le certificat

El nombre común corresponde a la URL del certificado.

4. Configure el cifrado 1 y luego haga clic en Siguiente 2.

Chiffrement du certificat

5. Ingrese la ubicación de la solicitud de guardado (CSR) 1 y haga clic en Finalizar 2.

Emplacement de sauvegarde du csr

La CSR ahora se genera, si lo hizo en un servidor IIS que no sea AC, debe copiar el archivo en él.

Envíos de solicitudes a AC

1. Desde la consola de administración de la autoridad, haga clic con el botón derecho en la autoridad 1, Todas las tareas 2 y haga clic en Enviar una nueva solicitud 3.

Soumettre la demande

2. Seleccione el archivo de solicitud (CSR) 1 y haga clic en Abrir 2.

Fichier texte

3. Vaya a la carpeta Solicitud pendiente 1 para ver el certificado pendiente 2.

Demande en attente

Emitir el certificado

1. Haga clic derecho en la solicitud 1 y haga clic en Todas las tareas 2 / Problema 3.

Délivrer le certificat

2. Vaya a la carpeta Certificados emitidos 1 y haga doble clic en el certificado 2.

Liste

3. Vaya a la pestaña Detalles 1 y haga clic en el botón Copiar a archivo … 2.

Détail

4. Cuando se inicie el asistente, haga clic en Siguiente 1.

Export

5. Seleccione el formato de exportación 1 y luego haga clic en Siguiente 2.

Format à l'export

6. Indique la ubicación y el nombre del archivo 1 luego haga clic en el botón Siguiente 2.

nom et emplacement du fichier

7. Haga clic en Finalizar 1 para cerrar el asistente.

Lancer l'export

8. Compruebe que se exporta el certificado.

Certificat

Finalización de la solicitud para obtener el certificado

1. Vaya a la consola de IIS / Certificados donde se realizó la solicitud y haga clic en Finalizar solicitud de certificado… 1.

Console IIS

2. Seleccione el certificado generado por la CA 1, indique un nombre 2 y luego haga clic en Aceptar 3.

Clôture demande

3. El certificado está disponible 1.

Certificat genere

Ahora es posible exportar el certificado con su clave privada.




Deja un comentario