El uso de Certificados Digitales para probar la autenticación o autentificación, basado en un esquema de Clave Pública (PKI = Public Key Infrastructure) es uno de esos temas casi desconocidos y que a diario puedo observar los inconvenientes que produce su falta de comprensión
En esta ocasión comenzaré una serie de notas relacionadas al tema nombrado, y que sin intentar hacer una descripción completa de los que es una infraestructura de Clave Pública, ayudará a comprender su aplicación en el ámbito de una organización
Si alguien quiere ver una pequeña base para comprender cómo funciona un esquema de Clave Pública, en forma muy resumida puede consultar:
Criptografía e Infraestructura de Clave Pública (PKI)
Veamos primero dos conceptos importantes …
Existen básicamente dos tipos de Autoridades Certificadoras: Comerciales o Privadas
Las Autoridades Certificadoras comerciales, son empresas dedicadas y especializadas en el tema, por lo cual si optamos por comprarle los certificados digitales que necesitemos tenemos la tranquilidad que el tema está manejado por “gente que sabe”, pero también tiene sus posibles inconvenientes
Por ejemplo, nos van a cobrar por cada Certificado que necesitemos, lo que no siempre es económico, todo depende de la cantidad que necesitemos.
Y además deberemos adaptarnos a los requisitos que imponga para el otorgamiento
Pero de todas formas tienen una gran ventaja si están asociadas con el programa de actualizaciones de Microsoft, ya que cualquier sistema Windows reconocerá los certificados como válidos. Son la solución requerida si los certificados deben ser validados por terceros, por ejemplo para un sitio web, transacciones comerciales, etc.
Por otro lado podemos instalar nuestra propia Autoridad Certificadora de tipo privada, que también tiene ventajas e inconvenientes
Algunos piensan que en este caso es gratis, y nada más alejado, hay que instalar y mantener la misma, inclusive tomando medidas adicionales de seguridad, ya que si se comprometiera la seguridad de una Autoridad Certificadora estarían comprometeidos todos los certificados por ella otorgados
Las ventajas pasan por la flexibilidad que manejaremos nosotros de acuerdo a nuestras necesidades, y la posibilidad de automatizar el otorgamiento de certificados si la integramos con Active Directoy
Pero debemos tener en cuenta que los certificados no serán reconocidos externamente, salvo configuración especial que no trataré en estas notas
En esta nota y subsiguientes veremos cómo instalar una implementación de Clave Pública de tipo privado
Algo muy importante a tener en cuenta es la seguridad sobre la Autoridad Certificadora, por lo cual una de las mejores opciones es mantenerla en una máquina fuera de la red, o inclusive apagada, esto mejora enormemente la seguridad sobre la misma
Pero por otro lado queremos automatizar lo máximo posible la obtención y renovación de los certificados. Esto lo podemos lograr integrándola en Active Directoy, lo cual por supuesto requiere que esté funcionando sobre un servidor miembro de un Dominio, y por lo tanto, no puede estar, ni fuera de la red ni apagada
Mantener una seguridad adecuada, y a la vez aprovechar la integración se consigue teniendo dos Autoridades Certificadoras
- Una Autoridad Certificadora Raíz, que se autofirma los certificados. Algo así como “yo soy yo, porque lo digo yo”, que le otorgará un Certificado de Autoridad Certificadora a otra Autoridad Certificadora que mantendremos en la red
Esta autoridad será de tipo “standalone” sobre un servidor en grupo de trabajo lo que nos permitirá mantenerla “offline”
No entraremos en la forma que se desarrolla el tema en las grandes corporaciones, pero este se hace de esta forma en dos o inclusive tres niveles, distribuyendo la carga de los diferentes tipos de certificados entre diferentes “sub” Certificadoras. Si se comprometira la seguridad de una de ellas no afectaría a toda la organización - Una segunda Autoridad Certificadora, cuya identidad se encuentra certificada por la anterior, integrada en Active Directory (Enterprise Certification Authority), lo que nos permitirá automatizar la distribución e implementación de todos los certificados digitales, básicamente a través de Directivas de Grupo (GPOs)
Para esta demostración utilizaré sólo una máquina en grupo de trabajo (WORKGROUP), en una red aislada, donde instalaré la Autoridad Certificadora, y lo más importante, veremos los pasos necesarios para exportar los certificados y CRL para instalar en la “sub” Autoridad Certificadora
Pueden ver en la siguiente pantalla que se trata simplemente de una instalación de Windows Server 2012 en grupo de trabajo
Como es lógico, lo primero a hacer es instalar la funcionalidad de Certificate Services, que se hará como es habitual y siguendo el asistente como muestran las capturas
Agregamos los complementos necesarios
Muy importante que lean la advertencia: una vez instalada la Autoridad Certificadora el equipo no podrá ser renombrado, o incluido en Dominio
Para este caso necesitamos solamente “Certification Authority”
Y ahora ingresamos al asistente para configurarla
Si iniciamos como administrador del servidor, que por otra parte es necesario, no hace falta cambiar nada
Marcamos el componente correspondiente que vamos a configurar
Observen que como estamos instalando en una máquina en grupo de trabajo sólo nos permite “Standalone”, y no de tipo “Enterprise”
Estamos instalando una Autoridad Certificadora de tipo Raíz, así que seleccionamos “Root”
Por tratarse de una certificadora de tipo raíz, y para mantener la máxima seguridad elegiré la longitud de claves más larga posible
Elegimos el nombre que le daremos. Pensarlo bien …
Asignamos el tiempo de validez de los certificados otorgados por esta Autoridad Certificadora. Tener en cuenta que no podrá otorgar certificados que lleguen más allá de su propio período de validez
Abramos la consola Certification Authority que debemos hacer unos cambios en la configuración por omisión
Atención que ahora viene una parte delicada y que requiere mucho cuidado para no confundirse
Como esta instalación la usaremos luego para certificar a otra Autoridad Certificadora funcionando en ambiente de dominio Active Directory, y no habrá comunicación por red, es necesario que en los certificados extendidos por la “sub” autoridad certificadora se pueda acceder tanto al certificado de la autoridad raíz, como a la lista de revocación de certificados (CRL)
En la ficha “Extensions”, nos aseguramos que esté seleccionado “CRL Distribution Point (CDP)”, y pulsamos el botón “Add”
Ayudándonos con escribir una parte y usando la lista desplegable “Variable” vamos a escribir la ubicación en la entrada “Location”
Debe quedar así:
Pulsamos “Ok” *una sola vez*
Y marcamos las opciones como muestra la siguente figura
(SIN PULSAR “OK” QUE ME EQUIVOQUÉ CON LA MARCA, PULSEN SÓLO “APPLY”
Que no reinicie que todavía nos falta algo más
En forma análoga al anterior ahora en la lista desplegable seleccionamos “Authority Information Access (AIA), y el botón “Add”
Análogamente a la configuración anterior debemos agregar la nueva ubicación
Debe quedar así: (presten atención al «_»)
Marcamos la siguiente opción
Y ahora sí permitimos reiniciar el servicio para que adopte las nuevas configuraciones
Forzamos una publicación de los certificados revocados, aunque no tengamos ninguno, sólo para que se creen los archivos, que más adelante necesitaremos
Ya tenemos la Autoridad Certificadora instalada y configurada como deseamos. Lo que debemos hacer ahora es exportar los archivos necesarios que necesitaremos para instalar la “sub” Autoridad Certificadora (en la próxima nota del sitio)
Ingresamos con botón derechos en las propiedades de la Autoridad Certificadora
Ficha General, elegimos ver el certificado de la propia autoridad
Y en la ficha “Details” elegimos el botón para copiarlo a un archivo
Seguimos el asistente
Elijan el nombre que quieran y el lugar que les resulte más cómodo. Piensen que luego lo van a tener que llevar a otra máquina mediante algún medio removible
Demora unos segundos, asegúrense que aparezca lo siguiente
Debemos también copiar a algún lugar cómodo otros dos archivos que luego llevaremos a la “sub” Autoridad Certificadora
Los encontrarán en C:\Windows\System32\CertSrv\CertEnroll
Corresponden a la “Certificate Revocation List” (CRL), y al certificado que firma digitalmente la misma
En mi caso los dejé sobre el escritorio de Windows
En la próxima nota usaremos estos tres archivos para instalar y configurar una “sub” Autoridad Certificadora, integrada en Active Directory, que nos permitirá otorgar Certificados Digitales fácilmente
Esta nota continua instalando y configurando una Autoridad Certificadora Subordinada de Tipo Enterprise en: Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de Tipo Enterprise (Integrada con Active Directory) de esta forma podremos personalizar y automatizar el otorgamiento de Certificados Digitales
WindowServer 
Comentarios
Una consulta, como puedo migrar mi CA root a un nuevo server???
Muy largo para explicar acá :-)
Y también depende del tipo que sea, si Stand-alone o Enterprise
Si buscas un poco en Internet econtrarás mucha info, por ejemplo con «how to move certification authority to another server»
Revisa estos enlaces que tienen buena información
How to move a certification authority to another server:
http://support.microsoft.com/kb/298138
Move a CA to a Different Computer:
http://technet.microsoft.com/en-us/library/cc755153(v=ws.10).aspx
Active Directory Certificate Services Migration Guide:
http://technet.microsoft.com/en-us/library/ee126170(v=ws.10).aspx
Gracias por la información, si es un Enterprise.
En casos como ese siempre trata de probar primero en un ambiente de pruebas. Una CA es algo muy valioso y delicado
Saludos!!!
Guillermo promero te quiero felicitar por estos grandiosos aportes a toda la comunidad seguidora de microsoft…. de verdad que son muy valioso y mas en mi caso que estoy incursionando en este mundo de los servers.
bueno mi pregunta es:
cuando estas agregando el rol de certificados en una de tus tantos screenshots aparece que solo escoges la certification authority de las 6 o 7 opciones que nos da el wizard (hasta el momento estoy indicandote donde estamos), es en ese punto donde me nace una duda y es que la verdad no se que significan cada una de esas opciones y quisiera conocerlas… muchas gracias!
Hola Edisson ¡¡¡Gracias!!! :-)
Con referencia a la pregunta de los otros «Role Sevices» te comento lo que sé, porque algunos nunca los he utilizado ya que son para situaciones más complejas y específicas. Cuando marcas cada una, sobre el lado derecho aparece una «mini-descripción» del uso, pero sí, no es muy clara :-(
Comienzo de abajo hacia arriba:
– Online Responder: está relacionado con cómo el cliente obtiene la lista de revocación. Originalmente el cliente bajaba la lista completa del servidor (puede ser muy grande). Con esta opción, y si el cliente lo soporta, puede consultar por un certificado en particular
– Network Device Enrollment Service: se utiliza para que dispositivos (hardware) puedan obtener certificados, «Switches» o APs por ejemplo
– Certificate Authority Web Enrollment: se utiliza, para que como era anteriormente, se puedan pedir e instalar certificados a través de un portal web
– Las otras dos, nunca las he utilizado, pero si miras la descripción, están relacionadas con la obtención de certificados para máquinas y usuarios que no forman parte del Dominio, o están «offline». Nunca me he puesto a investigar estas dos :-(
Que tal! Muy buen Articulo, tengo un caso y quiero ver si pueden apoyarme, actualmente nos encontramos en una migración a Server 2012, se contaba con una CA en 2003, la cual se elimino siguiendo el método de microsoft (http://support.microsoft.com/kb/555151/es) esto para poder configurar desde cero una CA en 2012, el detalle esta que para despromover el DC 2003 que tenia configurada la CA sigue mostrando un mensaje que antes debo quitar los servicios de CA, la cual siguiendo el procedimiento de Microsoft murió.
Ya se elimino todo lo que tiene que ver con la CA pero el mensaje sigue mostrándose, alguien que pueda ayudarme…….
Hola Enrique, la posiblidad que se me ocurre «sacarlo por la fuerza» :-)
DCPROMO /FORCEREMOVAL
Y ya no es más DC, lo que sí deberías hacer es eliminar manualmente en el AD todas las referencias a ese DC que no está más
Te dejo dos enlaces que hice sobre el tema:
Forzar Quitar Controlador de Dominio o Dominio | WindowServer:
Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer:
Gracias Guillermo, Te comento que intente ejecutar el comando pero me continua mandando el mensaje que es necesario detener los servicios de la CA, Gracias!!! por la info. para quitar el controlador de domonio, mi preocupación es que si a ejecutar este procedimiento, no afectaré a mi dominio y que posteriormente ya no pueda configurar una CA.
Que me recomiendas?. De ante mano muchas gracias!!
Entonces, contrariamente a lo que me haz comentado antes, no se ha desintalado la CA :-)
Inclusive estoy viendo ahora el enlace que haz puesto en el comentario anterior, y es para hacer la «limpieza» luego de la desinstalación de la CA
Primero que nada hay que desintalarla
Buenos Días Guillermo, de antemano muchas gracias por tu tiempo y como comentas se ejecutaron esas tareas de limpieza una vez desinstalada la CA.,es decir, la Entidad se desinstalo y posteriormente se ejecutaron esos comandos, sigo sin lograr despromover el controlador, no se que este afectando, ya se realizo un troubleshooting, y no se ha encontrado nada extraño…cualquier consejo te lo agradeceré….
Es evidente que la CA no quedó bien desinstalada, yo revisaría por ese lado
De otra forma la única solución que veo sería, limpiar el AD como puse antes, y reinstalar la máquina
Que tal Guillermo, solo para comentarte las acciones que se ejecutaron, debido a que se verifico que la CA se elimino y se ejecutaron los siguientes pasos sugeridos por Microsoft, http://support.microsoft.com/kb/889250, se realizo la configuración de la nueva CA en Server 2012, para lo cual, si no se había eliminado correctamente mostraría que ya existía una root., en mi caso me dejo continuar con la configuración.
Agradezco el apoyo.
No es mucho lo que puedo hacer. Revisa que no existan problemas de replicación entre los DCs, porque eso podría justamente hacer que no esté la información actualizada
Ya a partir de esto te queda a ti ver dónde está el problema, no puedo hacer mucho sin conocer todos los detalles
Recuerda que también están las dos opciones que te comente, desde el /FORCEREMOVAL hasta directamente reinstalar
Buenas tardes, Guillermo.
Una consulta con la que he tropezado, y aunque no es exactamente el motivo entiendo de tu posts en este que escribo, pero está relacionado con el uso de certificados digitales desde un servidor.
He querido instalar certificados digitales en un Windows Server2012 (certificados digitales de personas, de los que usamos para identificarnos ante Hacienda y por operar online en operaciones con la Administración Pública), pero se me da la situación de que cuando abro Internet Explorer mediante RDSWeb, el Internet Explorer del servidor no me muestra los certificados digitales que he instalado en el servidor, en el repositorio de Certificados Digitales mediante Internet Explorer.
Es que quizá por seguridad no se pueden instalar certificados digitales a través de Internet Explorer en el repositorio raíz de certificados del servidor, y usarlos en sesiones remotas por seguridad?, o quizá he hecho algo mal y sí que debería de funcionar?.
Disculpa que utilice este post para esta consulta, pero creo que era el más cercano de los que he visto.
Muchas gracias en todo caso, como siempre, por tu ayuda y comentarios.
Sergio.
Hola sergioperezparras, a ver si puedo aclarar un poco el tema :-)
Un certificado digital es similar a un documento de identidad, permite verificar la identidad de quien posee el certificado
Por otro lado Windows permite los certificados en dos contenedores diferentes e independientes: máquina y usuario
Y como si fuera poco, RDWeb tiene sus problemas y vueltas con el uso de certificado propio de servidor
Aclarado lo anterior sigo :)
Por un lado está el certificado del servidor, tiene que tener el mismo nombre con el que se accede al mismo, los clientes lo tienen que tomar como confiable, o sea confiar en la CA que lo emitió, y además deben poder acceder a la CRL de la CA
Los certificados de usuario (supongo que es lo que dices de personas) los tiene que instalar cada usuario y en su propio conteneder de certificados de usuario. Salvo que estuviéramos hablando de una CA Enterprise porque en ese caso se puede hacer automáticamente por GPO
El certificado de servidor sirve para probar la identidad *del servidor* a los clientes
Un certificado de usuario sirve para probar la identidad *del usuario* al servidor
Para aceptar la identidad, tiene que poder acceder al certificado de quien lo presenta, que esté otorgado por una CA en la cual él confía, y además acceder a la CRL para ver si no fue revocado con antelación al vencimiento
Más sencillo y fácil para instalar certificado, descárgalo, y luego con una consola MMC + Certificados (usuario/máquina) lo instalas en el contenedor que necesites que esté
Muchas gracias por tu rápida respuesta, Guillermo.
Me pierdo un poco con este tema, y no sé si la consulta que te he hecho es realmente lo mismo que se aplica en este post para el uso de certificados digitales de usuario.
Lo que estoy intentando hacer es lo siguiente: si quiero pagar impuestos al Gobierno de forma online, utilizo un certificado digital que me identifica como usuario (me identifica de forma unívoca) ante la Administración.
Pero mi escenario concreto es el siguiente: tengo instalado en un servidor Windows Server 2012 una aplicación de Contabilidad, con la que se gestiona el pago ante la Administración de muchos usuarios (clientes) de sus tributos. Para cada uno de esos clientes, contamos con su Certificado Digital para poder hacer el pago online de sus tributos personales ante la Administración.
La aplicación de Contabilidad hay un momento en el que se conecta online a la aplicación del Ministerio en cuestión, y en la que necesita que el certificado digital esté instalado en el repositorio root del navegador (IE estamos usando). Pero además, el acceso a la aplicación, y el navegador que abre la aplicación instalada en el servidor, es el navegador del servidor, y todo ello servidor a través de RDWeb a los PCs que manejan la aplicación de Contabilidad.
He instalado los Certificados Digitales de los clientes en el servidor de igual forma que los instalaría en una máquina cliente (usando el menú Opciones del navegador IE en el servidor, y en Contenidos/Certificados, añadiendo los Certificados al repositorio -he seleccionado que automáticamente escoja el repositorio en lugar de fijar el Root; quizá pueda ser eso lo que me esté dando problemas). El caso es que por RDWeb, cuando se abre el navegor IE (del servidor) no encuentra los Certificados Digitales que he instalado de ese modo.
Desconozco si es por haber hecho la instalación en el repositorio por defecto en lugar del Root, o si es porque realmente no puedo instalar así los Certificados Digitales en este escenario!.
Es decir, no estoy instalando Certificados Digitales para identificar/autenticar una máquina PC (o un usuario concreto) cliente ante al servidor Windows Server 2012, sino que deseo instalar Certificados Digitales (muchos) de diferentes personas en el servidor, para que un usuario del servidor que accede al navegador IE por RDWeb, pueda usar alguno de los certificados instalados para identificarse ante una web de la Administración (para el pago de tributos en este caso, por ejemplo).
No sé si me he explicado mejor en este caso. Como te insisto, el uso que necesito de esos Certificados es diferente al de autenticación de una máquina/usuario cliente ante un Windows Server de Dominio… eso es lo que me lleva a confusión, y creo que es una instalación completamente diferente y un uso completamente diferente al que comentas en tus posts, que creo entender claramente cuál es uso y utilidad.
Un saludo y saludo gracias de nuevo!
Sergio.
Hola sergioperezparrasergio, lamentablemente no puedo usar estos comentarios sobre la nota para hacer soporte, como mencioné antes simplemente oriento si puedo para que cada uno pueda solucionar su tema
Realmente no sé si el sistema que están implementando puede funcionar o no, tendría que conocer muchos más detalles y sobre de la aplicación que ejecuta en el servidor
Pero para que tengas más datos, independientemente que los certificados de usuario los instalaran con el IE, deberías revisar si usando una MMC+Certificados de usuario, están instalados en el lugar correspondiente (Personal). El certificado de la CA Root, debería estar instalado en «Trusted Root Certificates» (si es realmente una Root) porque quizás sea una «Intermediate»
Como te comento, el tema sobrepasa lo que puedo hacer a través de estos comentarios sobre la nota
Muy agradecido en cualquier caso por tu atención, Guillermo.
Voy a ojear la información a la que me remites.
Saludos.
Sergio.
Saludos Sergio :)
Buenas tardes,
espero esto siga activo, espero me puedas ayudar. estoy intentando crear certificados para la administracion Web de una Herramienta. segui los pasos de tu post. sin embargo tengo unas dudas.
1. A que se refiere el apartado de extensiones.
2. cuando creas un CA no se le coloca algún tipo de clave?
3. A partir de que finalizas los pasos de este post como creas los certificados?.
agradezco mucho si me puedes ayudar.
Hola Edwin, respondo tus preguntas
1. En extensiones se define los valores para CDP (Certificate Distribution Points) donde se publicarán los certificados que se revoquen, y AIA (Authority Information Access), que es entre otras cosas dónde se puede acceder al certificado de la CA
2. No. El sistema genera en forma aleatoria el par de claves (pública y privada) que utilizará
3. Los certificados «no se crean». Se solicitan, y se otorgan, esa es la forma de creación
El método de solicitud de un certificado se puede hacer de varias formas diferentes, pero si quieres ver un ejemplo sencillo mediante acceso web, revisa estas dos notas:
– Autoridad Certificadora para Laboratorio y Pruebas – Instalación y Configuración de la Autoridad Certificadora | WindowServer
– Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment” | WindowServer
Muchas gracias por tu respuesta, para mayor seguridad es posible crear un CA y yo indicar una clave PEM para la llave privada al igual que cuando genero el certificado?
No sé a que te refieres con «PEM»
Además cuando generas un certificado no se indica ninguna clave, el sistem genera el par de claves pública/privada en forma aleatoria por seguridad
El único caso que se ingresa una contraseña es cuando se exporta un certificado que contiene además de la clave pública, la privada
Guillermo muchas gracias por tu articulo, es excelente. Te queria consultar, en la etapa de añadir las Extensions, esas urls corresponden a la sub CA? No entiendo de donde sale el http://etcetcetcetc
Hola Matias, mira nuevamente las figuras
CRL Distribution Point (CRLDP): La CRL es la Certificate Revocation List (lista de certificados revocados, antes de tiempo), por lo tanto indica el lugar donde se publicará la CRL
Authority Information Access: indica dónde encontrará el certificado con la clave pública de la autoridad certificadora, y eventualmente intermedias
Buenas noches Guillermo,yo sigo todos los pasos pero al estar configurando la entidad certificadora hija no me aparece la opcion enterprice, solo standalone, que puede ser?
Hola Edson, deberías revisar cada uno de los pasos, desde acá no puedo hacer nada :)
Gracias Guillermo la instalacion la hice en 2016, este dia estoy instalando dos servers nuevos desce cero en 2012 r2, la pregunta es si no importa que ya exista una entidad certificadora root en el dominio?, esta esta fallando pues todas las revocaciones las esta permitiendo porque el administrador anterior borro una entidad (servidor) por error. Gracias por el tiempo y su respuesta.
Sí, por supuesto que importa, no puedes tener dos Enterprise en el mismo Dominio
La idea de esta serie de notas fue mostrar un Root Standalone que certifica a una sub Enterprise
uillermo he hecho todo y al momento de levanter el servicio en el server que esta en dominio es decir el SRV1 me da in error que dice the revocation function was unable to check revocation because revocation server was offline. 0x800992013
gracias por la ayuda
Hola Edson, revisa si cuando has configurado el CDP y el AIA, que ahí debe haber un error
Revisa además que que tenga conectividad a través de la red
Y algo más, SRV1 generalmente hay que reiniciarlo luego de la configuración y se toma hasta media hora en tomar la CRL y considerarla válida
gracias Guillermo procedure a reiniciar y esperar, me quedaron asi: CDP
http://SRVCENTI01.mmp.msvs/CertEnroll/.crl
AIA
http://SRVCENTI01.mmp.msvs/CertEnroll/_.crt
estara bien?
no ti=ube ningun error en la instalacion.
de Nuevo gracias por su tiempo
Están mal, te faltan todas las variables, revisa la nota …
Hola Guillermo, gracias siempre por tus comentarios, constituyen una guía de inestimable valor para los que tenemos este trabajillo. Te pediría tu opinión en el siguiente caso:
El administrador de red anterior en mi organización creó una entidad certificadora raíz online e integrada al dominio desde su inicio. Yo quiero hacer las cosas bien hechas, tal y como las has recomendado en estas notas, pero quisiera utilizar el certificado raíz ya creado y los emitidos ya que el servicio está siendo utilizado. Qué opinión tienes y qué me recomiendas??
Gracias miles
Slds
Andrés
Hola Andrés, no va a ser fácil lo que quieres
El hecho de poner una Raíz y otra Subordinada es por seguridad, pero no es algo imprescindible, aunque por supuesto hay casos que justifica
Habría que crear la subordinada, configurarla, entregar los certificados que se necesiten y luego ir revocando los otorgados por la Raíz
Pero pasar la Raíz a «standalone», implicaría comenzar todo desde un principio. Piensa si es lo que necesitas …
Haces una buenas ayudas. En mi caso, he cambiado de nombre el servidor donde está la Raiz, siguiendo los pasos de tu post, y ahora la subordinada no lo encuentra para verificar los revocados. Tengo un workaround y he modificado el nombre del servidor en el registro de la subordinada, pero nada.
Un ayudita ahí …. me vendría bien.
Aquí tienes mi email por si necesitas algo
Hola Oscar, una vez instalada la autoridad certificadora no es posible cambiar de máquina ni el del Dominio, el asistente de instalación lo avisa claramente
Puedes verlo en la novena captura de esta nota, y está resaltado en rojo el mensaje
Lo he conseguido. !!!
Desde Renew CA certificate —> me ha dado la opción de la misma CA en el servidor Nuevo.
He aceptado que lo solicitase y funcionó.
Ahora ya puede verificar los revocados y arranca con normalidad.
Hola muy buena tarde, excelente tutorial, gracias, disculpa en esta parte:
«Como esta instalación la usaremos luego para certificar a otra Autoridad Certificadora funcionando en ambiente de dominio Active Directory, y no habrá comunicación por red»
En caso que si hay comunicación entre el la autoridad root y la subordinada, afecta en algo? es necesario hacer los esos dos pasos siguientes?
Espero me puedas ayudar, y agradezco tu tutorial y ayuda.
Saludos y excelente día.
La seguridad de una CA Raíz es crítica, todo lo demás depende de ella y por lo tantod uno de los métodos de asegurarla es que no esté conectada a la red en forma permanente, y por lo tanto hay que publicar los certificados y la CRL en un lugar en la red
Hola Guillermo he estado checando los tutoriales, mi duda ya es mas clara tengo configurado mal la parte de CDP y AIA, mi duda es la siguiente tu máquina root se llama: srv1.root? y el dominio es guillermod.com.ar?
Mi duda surge aquí porque mencionabas que no tiene que estar dentro de dominio y cuando lo configuras de esa forma me da a entender que la máquina está dentro de dominio.
Mi otra duda es en esa ruta:
http://srv1.root.guillermod.com.ar/CertData/.crl
CertData, ¿es una carpeta que tu creaste? o de donde sale CertData?
.crl ¿esta parte se deja así como tal?
Hay una forma de comprobar que este funcionando después de este punto?
Agradezco tu ayuda, saludos y excelente día.
No, se llama «SERVER» y está en Grupo de Trabajo
CertData es creada por el sistema durante la instalación de la CA
No es ese que pones el path, falta incluir el nombre del archivo
Lo que hace es que la publicación de AIA y CRL se haga en otro servidor (SRV1) que sí será parte del Dominio, y luego sí será accesible
AHHH Perfecto ya me quedó mas claro, hoy lo retomo de nuevo y hago pruebas.
Excelente explicación agradezco mucho tus prontas respuestas, saludos y excelente Viernes.
Pensando en una configuración de dos CA, root y subordinado, los otros servicios de certificado como el Web enrollment, Web Service, se pueden instalar sobre el mismo CA subordinado? porque he visto en muchas Web que lo instalan separado, el Web service del CA. me queda esa duda, ya que estoy por implementar un ambiente con dos CA.
Hola Roer, realmente no recuerdo ahora pero creo que hay una nota aunque hecha sobre W2008R2 que lo hice así. Te va a tocar buscar en el blog :)
Trackbacks
[…] Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de … […]
[…] de la nota anterior (Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de …) de donde hemos dejado preparada la infrestructura necesaria, en esta nota veremos la instalación […]
[…] de la nota anterior (Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de …) de donde hemos dejado preparada la infrestructura necesaria, en esta nota veremos la instalación […]
[…] Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone […]
[…] Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de … […]
[…] Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone […]
[…] Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de … […]
[…] Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone […]
[…] Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de … […]