Icono del sitio RDR-IT

Autoridad de certificación autónoma de Windows Server: instalación y configuración

CA

Se utiliza una autoridad de certificación (CA) para emitir certificados para sitios web internos, conexiones RDS, computadoras, usuarios, etc.

La ventaja de una autoridad de certificación interna (CA) es que puede generar certificados. Para que sean reconocidos, es necesario implementar el certificado CA en los equipos.

Algunos servicios de Windows requieren certificados de una CA para funcionar:

En Windows, hay dos tipos de CA (resumen):

Diferencias entre los dos tipos de CA en Windows Server:

En este tutorial, veremos cómo configurar una autoridad de certificación independiente.

Instalación de la función AD CS

Desde el administrador del servidor, haga clic en Agregar funciones roles 1.

Cuando se inicie el asistente, haga clic en Siguiente 1.

Elija instalación basada en funciones o funciones 1 y haga clic en Siguiente 2.

Elija el servidor 1 y haga clic en Siguiente 2.

Marque la casilla Servicio de certificados de Active Directory 1.

Haga clic en Agregar funciones 1.

Haga clic en Siguiente 1.

Omita la lista de funciones haciendo clic en Siguiente 1.

Haga clic en Siguiente 1, esta página muestra el resumen del rol.

Marque la casilla Registro de la autoridad de certificación a través de la Web 1, esto le permite realizar solicitudes de certificado utilizando una interfaz web.

Confirme la adición de funciones haciendo clic en el botón 1> .

Haga clic en Siguiente 1.

Haga clic en Siguiente 1.

Haga clic en Siguiente 1 para validar las funcionalidades de IIS.

Se muestran algunos pasos según los componentes seleccionados.

Haga clic en Instalar 1.

Espere durante la instalación …

Una vez que se complete la instalación, haga clic en Cerrar 1.

El rol de la autoridad de certificación está instalado, pasaremos a su configuración.

Configuración de la autoridad de certificación

En esta parte configuraremos una autoridad de certificación autónoma.

1. Desde el administrador del servidor, haga clic en el indicador 1 y luego en Configurar los servicios de certificados de Active Directory 2 para abrir el asistente de configuración.

2. Indique un usuario que sea miembro del grupo de administradores locales 1 y luego haga clic en Siguiente 2.

3. Compruebe los servicios para configurar 1 y haga clic en Siguiente 2.

4. Elija Autoridad de certificación independiente 1 y haga clic en Siguiente 2.

5. Tipo de CA, elija Autoridad de certificación raíz 1 y luego haga clic en Siguiente 2.

6. Seleccione Crear una clave privada 1 y haga clic en Siguiente 2.

7. Si es necesario, modifique las opciones de cifrado y haga clic en Siguiente 1.

8. Configure el nombre de la autoridad de certificación 1 y luego haga clic en Siguiente 2.

9. Configure el período de validez de la autoridad (5/10 /… años) 1 y luego haga clic en Siguiente 2.

10. Especifique la ubicación de los datos AC 1 y haga clic en Siguiente 2.

11. Haga clic en Configurar 1 para iniciar la creación de la autoridad de certificación..

12. Espere mientras se crea la CA …

13. Cuando termine, salga del asistente haciendo clic en el botón Cerrar 1.

Exportar el certificado raíz

El certificado raíz de la autoridad de certificación se puede exportar para instalarlo en equipos (computadoras, activos de red, etc.) que utilizarán o se comunicarán con los servicios mediante certificados emitidos por la autoridad.

1. Abra la MMC «Certificados» en la cuenta del equipo local y vaya a la tienda Trusted Root Certification Authorities 1.

2. .Haga clic con el botón derecho en el certificado de autoridad 1, vaya a Todas las tareas 2 y haga clic en Exportar 3.

3. Cuando se inicie el asistente, haga clic en Siguiente 1.

4. Elija el formato de exportación 1 y luego haga clic en Siguiente 2.

5. Indique la ubicación donde se exportará el certificado 1 y haga clic en Siguiente 2.

6. Haga clic en Finalizar 1 para iniciar la exportación.

7. La exportación está completa, cierre el mensaje haciendo clic en Aceptar 1.

Ahora puede implementar el certificado raíz en todas las estaciones de trabajo / servidores de su infraestructura. En un entorno de Active Directory, es posible hacer esto mediante GPO.

Ahora que tenemos el certificado raíz y está implementado en toda la flota, veremos cómo generar un certificado.

Generando un certificado

La generación de un certificado con una autoridad de certificación autónoma se lleva a cabo en varios pasos:

Generación de CSR

Hay varias formas de generar un CSR, en este tutorial lo haremos con IIS.

1. Abra una consola IIS y haga clic en Certificados de servidor 1.

2. En el menú Acciones, haga clic en Crear una solicitud de certificado 1.

3. Complete la información del certificado 1 y luego haga clic en Siguiente 2.

El nombre común corresponde a la URL del certificado.

4. Configure el cifrado 1 y luego haga clic en Siguiente 2.

5. Ingrese la ubicación de la solicitud de guardado (CSR) 1 y haga clic en Finalizar 2.

La CSR ahora se genera, si lo hizo en un servidor IIS que no sea AC, debe copiar el archivo en él.

Envíos de solicitudes a AC

1. Desde la consola de administración de la autoridad, haga clic con el botón derecho en la autoridad 1, Todas las tareas 2 y haga clic en Enviar una nueva solicitud 3.

2. Seleccione el archivo de solicitud (CSR) 1 y haga clic en Abrir 2.

3. Vaya a la carpeta Solicitud pendiente 1 para ver el certificado pendiente 2.

Emitir el certificado

1. Haga clic derecho en la solicitud 1 y haga clic en Todas las tareas 2 / Problema 3.

2. Vaya a la carpeta Certificados emitidos 1 y haga doble clic en el certificado 2.

3. Vaya a la pestaña Detalles 1 y haga clic en el botón Copiar a archivo … 2.

4. Cuando se inicie el asistente, haga clic en Siguiente 1.

5. Seleccione el formato de exportación 1 y luego haga clic en Siguiente 2.

6. Indique la ubicación y el nombre del archivo 1 luego haga clic en el botón Siguiente 2.

7. Haga clic en Finalizar 1 para cerrar el asistente.

8. Compruebe que se exporta el certificado.

Finalización de la solicitud para obtener el certificado

1. Vaya a la consola de IIS / Certificados donde se realizó la solicitud y haga clic en Finalizar solicitud de certificado… 1.

2. Seleccione el certificado generado por la CA 1, indique un nombre 2 y luego haga clic en Aceptar 3.

3. El certificado está disponible 1.

Ahora es posible exportar el certificado con su clave privada.

Salir de la versión móvil