Autoridad de certificación empresarial – ADCS: instalar y configurar con Windows Server


Windows Server 2012R2 Windows Server 2016 Windows Server 2019 Windows Server 2022

Solicitar un certificado a la autoridad certificadora

Générer un certificat depuis la console Certificats

En esta parte veremos cómo solicitar un certificado desde la consola de Certificados MMC de una computadora que sea miembro del dominio de Active Directory. La cuenta utilizada es miembro del grupo Administradores de dominio.

Para ilustrar el tutorial, generaremos un certificado de computadora que se utilizará para las conexiones de Escritorio remoto.

En la consola, vaya a la carpeta Personal 1 y haga clic derecho en el área central y vaya a Todas las tareas 2 y haga clic en Solicitar un nuevo certificado 3.

Request certificate

Al iniciar el asistente, haga clic en Siguiente 1.

Wizard request certificate

Seleccione el modelo de certificado Computadora 1 y luego haga clic en Registro 2.

Select computer certificate

El certificado ha sido generado, haga clic en Finalizar 1.

Request completed

El certificado ya está disponible en la tienda.

installed certificate

Copie y pegue para colocarlo en el almacén del Escritorio remoto 1 y elimine el certificado autofirmado del servidor.

Certificate computer by CA

Es posible ver el certificado generado en la autoridad de certificación desde la consola de administración en la carpeta Certificados emitidos.

Certificat in AC

Para utilizar el certificado, debe realizar este pedido. :wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<certificate thumbprint>"

Solicitar certificado a IIS

En esta parte veremos cómo solicitar un certificado de dominio usando la consola IIS. Para comunicarse con la autoridad de certificación empresarial, el servidor debe ser miembro del dominio.

Desde la consola IIS de un servidor, haga clic en Certificados de servidor 1.

IIS Console

Haga clic derecho en el área de certificados y haga clic en Crear certificado de dominio 1 o vaya al menú Acciones.

New certificate

Ingrese la información del certificado 1, el nombre común contiene la dirección que identificará. Es posible crear un certificado para otro dominio. Haga clic en Siguiente 2.

Certificate Properties

Ahora debe elegir la autoridad de certificación de la empresa, haga clic en Seleccionar 1.

Select autorty

Elija la autoridad 1 y haga clic en Aceptar 2.

Select autority

Con la autoridad seleccionada, ingrese el nombre descriptivo del servidor 1 y haga clic en Finalizar 2.

Select autorty

El certificado 1 se genera y está disponible en IIS.

generated certificate

El certificado también está disponible en la tienda de certificados emitidos de la autoridad certificadora.

Delivred certificates

Realizar una solicitud de certificado personalizado

Ahora que hemos visto cómo realizar solicitudes de certificado para computadoras y sitios web en IIS, veremos cómo realizar una solicitud de certificado personalizado con múltiples nombres DNS y direcciones IP.

Desde la consola de Certificados de una computadora miembro del dominio, vaya a la carpeta Personal / Certificados 1. Haga clic derecho en el área de visualización y vaya a Todas las tareas 2/Operaciones avanzadas 3 y haga clic en Crear solicitud personalizada 4.

Custom certificate request

Al iniciar el asistente, haga clic en Siguiente 1.

Wizard

Seleccione la política de registro de Active Directory 1 y luego haga clic en Siguiente 2.

Select policy

Elija el modelo 1 (Servidor Web) y haga clic en Siguiente 2.

Select model

Se muestra un resumen del modelo de certificado, haga clic en Propiedades 1.

Information certificate

Configure el nombre común del certificado 1 y haga clic en Agregar 2.

Common name

Ahora que se agregó el nombre común, en la sección Nombre alternativo 1, elija el tipo de DNS 2, ingrese el nombre deseado 3 y haga clic en Agregar 4.

Add name

Como puede ver a continuación, es posible agregar varios nombres DNS. Agregaremos ahora una dirección IP, elegiremos el tipo Dirección IP (v4) 1, indicaremos la dirección IP 2 y pulsaremos en Agregar 3.

address IP

Ahora que se agregó la dirección IP, haga clic en Aplicar 1 y Aceptar 2 para validar la información del certificado.

Certificat informations

Haga clic en Siguiente 1 para continuar con la solicitud.

Continue the request

Indique la ubicación y el nombre del archivo 1 (CSR) para guardar la solicitud y haga clic en Finalizar 2.

Save CSR

Se generó el archivo de solicitud, ahora debe enviar la solicitud a la autoridad de certificación empresarial. Abra un navegador de Internet e ingrese la URL http://nombre-servidor/certsrv/ 1. Haga clic en el enlace Solicitar un certificado 2.

Webpage request

Haga clic en solicitud de certificado avanzada 1.

custom request

Abra el archivo de consulta con un editor de prueba y copie la cadena 1.

CSR

Pegue la solicitud 1 en el campo Solicitud guardada, elija la plantilla 2 y haga clic en Enviar 3.

Submission of the certificate

Recupere el certificado haciendo clic en Descargar certificado 1.

Download certificat

Regrese a la consola de Certificados, vaya a Solicitud de registro de certificado 1 / Certificados 2, haga clic derecho sobre él y luego Todas las tareas 3 / Importar 4.

Import certificat

Al iniciar el asistente, haga clic en Siguiente 1.

wizard import

Seleccione el certificado descargado 1 y haga clic en Siguiente 2.

Select certificate file

Sal de la tienda, haz clic en Siguiente 1.

select folder

Haga clic en Finalizar 1 para finalizar la importación.

Finish the import

Se genera el certificado y vemos que fue emitido por la autoridad de certificación empresarial.

generated certificate

Ahora puede mover el certificado de la tienda a Personal.

No es posible por defecto exportar el certificado con su clave privada, se debe modificar el modelo.




Deja un comentario