entidad certificadora enterprise
TRANSCRIPT
![Page 1: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/1.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 1/36
Windows Server 2012: Instalando una AutoridadCertificadora Subordinada de Tipo Enterprise (Integrada con
Active Directory)
Luego de la nota anterior (Windows Server 2012: Instalando una AutoridadCertificadora Raíz (Root Certification Authority) de Tipo Standalone) de donde hemosdejado preparada la infrestructura necesaria, en esta nota veremos la instalación yconfiguración de una Autoridad Certificadora Subordinada de Tipo Enterprise
El hecho de integrar la Autoridad Certificadora con Active Directory nos facilitaráenormemente no sólo el otorgamiento de certificados, sino que además podremospersonalizar las plantillas de los certificados, automatizar el otorgamiento, controlar laseguridad, recuperar claves perdidas, y mucho más
La infraestructura necesaria para esta demostración, es primero que nada una Autoridad Certificadora de tipo Raíz, como fue configurada en Windows Server 2012:
Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de TipoStandalone, y dos equipos más:
• Un Controlador de Dominio• Un Servidor miembro del Dominio
Usaré, como en todas las demostraciones a “dc1.root.guillermod.com.ar” y otroservidor “srv1.root.guillermod.com.ar”No tienen ninguna configuración especial que no sea la normal
Comencemos con la instalación de la Autoridad Certificadora en SRV1 de la forma
habitual y siguiendo el asistente
![Page 2: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/2.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 2/36
![Page 3: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/3.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 3/36
Como siempre agregamos los componentes necesarios adicionales
![Page 4: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/4.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 4/36
Atención con la advertencia …
![Page 5: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/5.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 5/36
En este caso y previendo futuras demostraciones incluiré dos componentes:“Certification Authority” y “Certificate Authority Web Enrollment”, este último implica la
instalación del “Web Server”
![Page 6: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/6.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 6/36
No cambiaré ninguno de los componentes por omisión
![Page 7: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/7.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 7/36
Y comenzaremos con el asistente de configuración
![Page 8: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/8.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 8/36
Si como en mi caso, iniciaron sesión con un Enterprise Admin, no hace falta cambiar la
cuenta
![Page 9: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/9.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 9/36
Marcamos los dos componentes que configuraremos
A diferencia de la nota anterior en este caso instalaremos una Autoridad Certificadorade tipo Enterprise
![Page 10: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/10.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 10/36
Que la subordinaremos a la Autoridad Certificadora Raíz creada en la nota anterior
![Page 11: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/11.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 11/36
Le asignamos el nombre que nos parezca apropiado
![Page 12: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/12.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 12/36
Observen que por omisión nos ofrece guardar el pedido de certificado a la AutoridadCertificadora superior en un archivo. Tomen nota de la ubicación y el nombre
![Page 13: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/13.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 13/36
Nos dará la advertencia que la configuración no está completa, lo cual es lógico pues
debemos obtener el certificado desde la Autoridad Certificadora superior
![Page 14: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/14.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 14/36
¿Recuerda cuál era la solicitud del certificado? Debemos copiarlo a la máquina con la Autoridad Certificadora superior, en nuestro caso la Autoridad Certificadora Raíz
![Page 15: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/15.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 15/36
De todas formas, sigamos en SRV1, y copiemos en algún lugar que nos resultecómodo los certificados y CRL de la Autoridad Certificadora superior que creamos enla nota anterior
Con botón derecho sobre el certificado de la Autoridad Certificadora elijamos “InstallCertificate”
![Page 16: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/16.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 16/36
Recordar que lo debemos instalar en la máquina y no en el usuario
![Page 17: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/17.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 17/36
Y como es un certificado de una Autoridad Certificadora Raíz, lo debemos instalar en“Trusted Root Certification Authorities”
![Page 18: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/18.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 18/36
Esperar que aparezca el siguiente cartel
Ahora vamos a C:\inetpub\wwwroot y creamos la carpeta “CertData” (o como lahayamos llamado)
![Page 19: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/19.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 19/36
Dentro de la cual copiaremos los otros dos archivos que trajimos desde la AutoridadCertificadora Raíz
![Page 20: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/20.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 20/36
Llegamos a este punto vamos a la máquina con la Autoridad Certificadora Raíz, dondedeberemos haber copiado la solicitud de certificado de la “sub” Autoridad Certificadora
Abrimos la consola de la Autoridad Certificadora e importamos la solicitud decertificado
![Page 21: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/21.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 21/36
Demorará unos segundos hasta aparecer en “Pending Requests”, donde con botón
derecho lo otorgaremos (“Issue”)
![Page 22: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/22.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 22/36
Pasando entonces el mismo a “Issued Certificates”, desde donde lo abriremos paraexportarlo
![Page 23: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/23.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 23/36
![Page 24: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/24.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 24/36
![Page 25: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/25.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 25/36
![Page 26: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/26.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 26/36
Este archivo lo deberemos copiar a la máquina con nuestra “sub” AutoridadCertificadora”, desde donde proseguimos la configuración
![Page 27: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/27.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 27/36
En la consola de “Certification Authority” procederemos a instalar el certificadootorgado
Se me traspapeló la captura de cuando busqué el certificado, pero entiendo que nadietendrá dudas de cómo encontrarlo y pulsar “Ok” ;-)
Quedará así, y observen que aunque lo importó, el servicio está detenido. Vean quehay un pequeño cuadrado negro (Stop) en la Autoridad Certificadora. Dejen pasar 15 o20 segundos antes de tratar de arrancar el servicio como muestra la figura
![Page 28: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/28.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 28/36
Ya arrancó el servicio
![Page 29: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/29.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 29/36
![Page 30: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/30.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 30/36
Como lo queremos hacer a nivel de todo el Dominio, editemos la “Default DomainPolicy” (no confundirse…)
![Page 31: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/31.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 31/36
Con botón derecho sobre Computer Configuration \ Policies \ Windows Settings \Security Settings \ Public Key Policies \ Trusted Root Certification Authorities, elegimos“Import …”
Y seguimos el asistente
![Page 32: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/32.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 32/36
![Page 33: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/33.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 33/36
![Page 34: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/34.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 34/36
Luego que cerramos la consola, debemos abrir la línea de comandos (CMD) comoadministrador, tanto en DC1 como en SRV1 y ejecutar:
GPUPDATE /FORCEDe esta forma nos aseguraremos que tomen los certificados como confiables
Como verificación de todo lo que hicimos anteriormente, aunque lo haremos en futurasnotas, podemos ver algo interesante si dejamos pasar el tiempo suficiente.
Los Controladores de Dominio adquieren en forma automática cuando detectan una Autoridad Certificadora Enterprise un certificado de “Domain Controller”. De acuerdo ala documentación de Microsoft pueden pasar hasta 6 horas, pero en mi caso fue casiinstantáneamente, quizás sea una mejora de W2012 :-)
Si observamos los certificados emitidos por nuestra “sub” Autoridad Certificadora
![Page 35: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/35.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 35/36
Y si en DC1 nos creamos una consola para ver los certificados de máquina, veremos
![Page 36: Entidad Certificadora Enterprise](https://reader033.vdocuments.net/reader033/viewer/2022052711/577c80e51a28abe054aa9e77/html5/thumbnails/36.jpg)
8/18/2019 Entidad Certificadora Enterprise
http://slidepdf.com/reader/full/entidad-certificadora-enterprise 36/36