Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone

El uso de Certificados Digitales para probar la autenticación o autentificación, basado en un esquema de Clave Pública (PKI = Public Key Infrastructure) es uno de esos temas casi desconocidos y que a diario puedo observar los inconvenientes que produce su falta de comprensión

En esta ocasión comenzaré una serie de notas relacionadas al tema nombrado, y que sin intentar hacer una descripción completa de los que es una infraestructura de Clave Pública, ayudará a comprender su aplicación en el ámbito de una organización

Si alguien quiere ver una pequeña base para comprender cómo funciona un esquema de Clave Pública, en forma muy resumida puede consultar:
Criptografía e Infraestructura de Clave Pública (PKI)

Veamos primero dos conceptos importantes …

Existen básicamente dos tipos de Autoridades Certificadoras: Comerciales o Privadas

Las Autoridades Certificadoras comerciales, son empresas dedicadas y especializadas en el tema, por lo cual si optamos por comprarle los certificados digitales que necesitemos tenemos la tranquilidad que el tema está manejado por “gente que sabe”, pero también tiene sus posibles inconvenientes

Por ejemplo, nos van a cobrar por cada Certificado que necesitemos, lo que no siempre es económico, todo depende de la cantidad que necesitemos.
Y además deberemos adaptarnos a los requisitos que imponga para el otorgamiento

Pero de todas formas tienen una gran ventaja si están asociadas con el programa de actualizaciones de Microsoft, ya que cualquier sistema Windows reconocerá los certificados como válidos. Son la solución requerida si los certificados deben ser validados por terceros, por ejemplo para un sitio web, transacciones comerciales, etc.

Por otro lado podemos instalar nuestra propia Autoridad Certificadora de tipo privada, que también tiene ventajas e inconvenientes

Algunos piensan que en este caso es gratis, y nada más alejado, hay que instalar y mantener la misma, inclusive tomando medidas adicionales de seguridad, ya que si se comprometiera la seguridad de una Autoridad Certificadora estarían comprometeidos todos los certificados por ella otorgados

Las ventajas pasan por la flexibilidad que manejaremos nosotros de acuerdo a nuestras necesidades, y la posibilidad de automatizar el otorgamiento de certificados si la integramos con Active Directoy

Pero debemos tener en cuenta que los certificados no serán reconocidos externamente, salvo configuración especial que no trataré en estas notas

En esta nota y subsiguientes veremos cómo instalar una implementación de Clave Pública de tipo privado

Algo muy importante a tener en cuenta es la seguridad sobre la Autoridad Certificadora, por lo cual una de las mejores opciones es mantenerla en una máquina fuera de la red, o inclusive apagada, esto mejora enormemente la seguridad sobre la misma

Pero por otro lado queremos automatizar lo máximo posible la obtención y renovación de los certificados. Esto lo podemos lograr integrándola en Active Directoy, lo cual por supuesto requiere que esté funcionando sobre un servidor miembro de un Dominio, y por lo tanto, no puede estar, ni fuera de la red ni apagada

Mantener una seguridad adecuada, y a la vez aprovechar la integración se consigue teniendo dos Autoridades Certificadoras

  • Una Autoridad Certificadora Raíz, que se autofirma los certificados. Algo así como “yo soy yo, porque lo digo yo”, que le otorgará un Certificado de Autoridad Certificadora a otra Autoridad Certificadora que mantendremos en la red
    Esta autoridad será de tipo “standalone” sobre un servidor en grupo de trabajo lo que nos permitirá mantenerla “offline”
    No entraremos en la forma que se desarrolla el tema en las grandes corporaciones, pero este se hace de esta forma en dos o inclusive tres niveles, distribuyendo la carga de los diferentes tipos de certificados entre diferentes “sub” Certificadoras. Si se comprometira la seguridad de una de ellas no afectaría a toda la organización
  • Una segunda Autoridad Certificadora, cuya identidad se encuentra certificada por la anterior, integrada en Active Directory (Enterprise Certification Authority), lo que nos permitirá automatizar la distribución e implementación de todos los certificados digitales, básicamente a través de Directivas de Grupo (GPOs)

Para esta demostración utilizaré sólo una máquina en grupo de trabajo (WORKGROUP), en una red aislada, donde instalaré la Autoridad Certificadora, y lo más importante, veremos los pasos necesarios para exportar los certificados y CRL para instalar en la “sub” Autoridad Certificadora

Pueden ver en la siguiente pantalla que se trata simplemente de una instalación de Windows Server 2012 en grupo de trabajo

Como es lógico, lo primero a hacer es instalar la funcionalidad de Certificate Services, que se hará como es habitual y siguendo el asistente como muestran las capturas

Agregamos los complementos necesarios

Muy importante que lean la advertencia: una vez instalada la Autoridad Certificadora el equipo no podrá ser renombrado, o incluido en Dominio

Para este caso necesitamos solamente “Certification Authority”

Y ahora ingresamos al asistente para configurarla

Si iniciamos como administrador del servidor, que por otra parte es necesario, no hace falta cambiar nada

Marcamos el componente correspondiente que vamos a configurar

Observen que como estamos instalando en una máquina en grupo de trabajo sólo nos permite “Standalone”, y no de tipo “Enterprise”

Estamos instalando una Autoridad Certificadora de tipo Raíz, así que seleccionamos “Root”

Por tratarse de una certificadora de tipo raíz, y para mantener la máxima seguridad elegiré la longitud de claves más larga posible

Elegimos el nombre que le daremos. Pensarlo bien …

Asignamos el tiempo de validez de los certificados otorgados por esta Autoridad Certificadora. Tener en cuenta que no podrá otorgar certificados que lleguen más allá de su propio período de validez

Abramos la consola Certification Authority que debemos hacer unos cambios en la configuración por omisión

Atención que ahora viene una parte delicada y que requiere mucho cuidado para no confundirse

Como esta instalación la usaremos luego para certificar a otra Autoridad Certificadora funcionando en ambiente de dominio Active Directory, y no habrá comunicación por red, es necesario que en los certificados extendidos por la “sub” autoridad certificadora se pueda acceder tanto al certificado de la autoridad raíz, como a la lista de revocación de certificados (CRL)

En la ficha “Extensions”, nos aseguramos que esté seleccionado “CRL Distribution Point (CDP)”, y pulsamos el botón “Add”

Ayudándonos con escribir una parte y usando la lista desplegable “Variable” vamos a escribir la ubicación en la entrada “Location”

 

Debe quedar así:

Pulsamos “Ok” *una sola vez*

Y marcamos las opciones como muestra la siguente figura
(SIN PULSAR “OK” QUE ME EQUIVOQUÉ CON LA MARCA, PULSEN SÓLO “APPLY”

Que no reinicie que todavía nos falta algo más

En forma análoga al anterior ahora en la lista desplegable seleccionamos “Authority Information Access (AIA), y el botón “Add”

Análogamente a la configuración anterior debemos agregar la nueva ubicación

 

Debe quedar así: (presten atención al “_”)

Marcamos la siguiente opción

Y ahora sí permitimos reiniciar el servicio para que adopte las nuevas configuraciones

Forzamos una publicación de los certificados revocados, aunque no tengamos ninguno, sólo para que se creen los archivos, que más adelante necesitaremos

Ya tenemos la Autoridad Certificadora instalada y configurada como deseamos. Lo que debemos hacer ahora es exportar los archivos necesarios que necesitaremos para instalar la “sub” Autoridad Certificadora (en la próxima nota del sitio)

Ingresamos con botón derechos en las propiedades de la Autoridad Certificadora

Ficha General, elegimos ver el certificado de la propia autoridad

Y en la ficha “Details” elegimos el botón para copiarlo a un archivo

Seguimos el asistente

Elijan el nombre que quieran y el lugar que les resulte más cómodo. Piensen que luego lo van a tener que llevar a otra máquina mediante algún medio removible

Demora unos segundos, asegúrense que aparezca lo siguiente

Debemos también copiar a algún lugar cómodo otros dos archivos que luego llevaremos a la “sub” Autoridad Certificadora

Los encontrarán en C:\Windows\System32\CertSrv\CertEnroll

Corresponden a la “Certificate Revocation List” (CRL), y al certificado que firma digitalmente la misma

En mi caso los dejé sobre el escritorio de Windows

En la próxima nota usaremos estos tres archivos para instalar y configurar una “sub” Autoridad Certificadora, integrada en Active Directory, que nos permitirá otorgar Certificados Digitales fácilmente

Esta nota continua instalando y configurando una Autoridad Certificadora Subordinada de Tipo Enterprise en: Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de Tipo Enterprise (Integrada con Active Directory) de esta forma podremos personalizar y automatizar el otorgamiento de Certificados Digitales

 

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Daniel Landivar  On 20/07/2013 at 13:11

    Una consulta, como puedo migrar mi CA root a un nuevo server???

  • Edisson MG  On 12/04/2014 at 03:56

    Saludos!!!

    Guillermo promero te quiero felicitar por estos grandiosos aportes a toda la comunidad seguidora de microsoft…. de verdad que son muy valioso y mas en mi caso que estoy incursionando en este mundo de los servers.
    bueno mi pregunta es:
    cuando estas agregando el rol de certificados en una de tus tantos screenshots aparece que solo escoges la certification authority de las 6 o 7 opciones que nos da el wizard (hasta el momento estoy indicandote donde estamos), es en ese punto donde me nace una duda y es que la verdad no se que significan cada una de esas opciones y quisiera conocerlas… muchas gracias!

    • Guillermo Delprato  On 12/04/2014 at 08:20

      Hola Edisson ¡¡¡Gracias!!! :-)

      Con referencia a la pregunta de los otros “Role Sevices” te comento lo que sé, porque algunos nunca los he utilizado ya que son para situaciones más complejas y específicas. Cuando marcas cada una, sobre el lado derecho aparece una “mini-descripción” del uso, pero sí, no es muy clara :-(
      Comienzo de abajo hacia arriba:
      – Online Responder: está relacionado con cómo el cliente obtiene la lista de revocación. Originalmente el cliente bajaba la lista completa del servidor (puede ser muy grande). Con esta opción, y si el cliente lo soporta, puede consultar por un certificado en particular
      – Network Device Enrollment Service: se utiliza para que dispositivos (hardware) puedan obtener certificados, “Switches” o APs por ejemplo
      – Certificate Authority Web Enrollment: se utiliza, para que como era anteriormente, se puedan pedir e instalar certificados a través de un portal web
      – Las otras dos, nunca las he utilizado, pero si miras la descripción, están relacionadas con la obtención de certificados para máquinas y usuarios que no forman parte del Dominio, o están “offline”. Nunca me he puesto a investigar estas dos :-(

  • Enrique Lozada  On 26/04/2014 at 15:12

    Que tal! Muy buen Articulo, tengo un caso y quiero ver si pueden apoyarme, actualmente nos encontramos en una migración a Server 2012, se contaba con una CA en 2003, la cual se elimino siguiendo el método de microsoft (http://support.microsoft.com/kb/555151/es) esto para poder configurar desde cero una CA en 2012, el detalle esta que para despromover el DC 2003 que tenia configurada la CA sigue mostrando un mensaje que antes debo quitar los servicios de CA, la cual siguiendo el procedimiento de Microsoft murió.

    Ya se elimino todo lo que tiene que ver con la CA pero el mensaje sigue mostrándose, alguien que pueda ayudarme…….

    • Guillermo Delprato  On 26/04/2014 at 18:34

      Hola Enrique, la posiblidad que se me ocurre “sacarlo por la fuerza” :-)
      DCPROMO /FORCEREMOVAL
      Y ya no es más DC, lo que sí deberías hacer es eliminar manualmente en el AD todas las referencias a ese DC que no está más
      Te dejo dos enlaces que hice sobre el tema:
      Forzar Quitar Controlador de Dominio o Dominio | WindowServer:
      https://windowserver.wordpress.com/2011/02/26/forzar-quitar-controlador-de-dominio-o-dominio/
      Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer:
      https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

      • Enrique Lozada  On 27/04/2014 at 17:39

        Gracias Guillermo, Te comento que intente ejecutar el comando pero me continua mandando el mensaje que es necesario detener los servicios de la CA, Gracias!!! por la info. para quitar el controlador de domonio, mi preocupación es que si a ejecutar este procedimiento, no afectaré a mi dominio y que posteriormente ya no pueda configurar una CA.
        Que me recomiendas?. De ante mano muchas gracias!!

      • Guillermo Delprato  On 28/04/2014 at 08:25

        Entonces, contrariamente a lo que me haz comentado antes, no se ha desintalado la CA :-)
        Inclusive estoy viendo ahora el enlace que haz puesto en el comentario anterior, y es para hacer la “limpieza” luego de la desinstalación de la CA
        Primero que nada hay que desintalarla

      • Enrique Lozada  On 28/04/2014 at 12:40

        Buenos Días Guillermo, de antemano muchas gracias por tu tiempo y como comentas se ejecutaron esas tareas de limpieza una vez desinstalada la CA.,es decir, la Entidad se desinstalo y posteriormente se ejecutaron esos comandos, sigo sin lograr despromover el controlador, no se que este afectando, ya se realizo un troubleshooting, y no se ha encontrado nada extraño…cualquier consejo te lo agradeceré….

      • Guillermo Delprato  On 28/04/2014 at 12:46

        Es evidente que la CA no quedó bien desinstalada, yo revisaría por ese lado
        De otra forma la única solución que veo sería, limpiar el AD como puse antes, y reinstalar la máquina

  • Enrique Lozada  On 28/04/2014 at 18:39

    Que tal Guillermo, solo para comentarte las acciones que se ejecutaron, debido a que se verifico que la CA se elimino y se ejecutaron los siguientes pasos sugeridos por Microsoft, http://support.microsoft.com/kb/889250, se realizo la configuración de la nueva CA en Server 2012, para lo cual, si no se había eliminado correctamente mostraría que ya existía una root., en mi caso me dejo continuar con la configuración.

    Agradezco el apoyo.

    • Guillermo Delprato  On 28/04/2014 at 20:04

      No es mucho lo que puedo hacer. Revisa que no existan problemas de replicación entre los DCs, porque eso podría justamente hacer que no esté la información actualizada
      Ya a partir de esto te queda a ti ver dónde está el problema, no puedo hacer mucho sin conocer todos los detalles
      Recuerda que también están las dos opciones que te comente, desde el /FORCEREMOVAL hasta directamente reinstalar

  • sergioperezparras  On 01/06/2015 at 14:23

    Buenas tardes, Guillermo.
    Una consulta con la que he tropezado, y aunque no es exactamente el motivo entiendo de tu posts en este que escribo, pero está relacionado con el uso de certificados digitales desde un servidor.

    He querido instalar certificados digitales en un Windows Server2012 (certificados digitales de personas, de los que usamos para identificarnos ante Hacienda y por operar online en operaciones con la Administración Pública), pero se me da la situación de que cuando abro Internet Explorer mediante RDSWeb, el Internet Explorer del servidor no me muestra los certificados digitales que he instalado en el servidor, en el repositorio de Certificados Digitales mediante Internet Explorer.

    Es que quizá por seguridad no se pueden instalar certificados digitales a través de Internet Explorer en el repositorio raíz de certificados del servidor, y usarlos en sesiones remotas por seguridad?, o quizá he hecho algo mal y sí que debería de funcionar?.

    Disculpa que utilice este post para esta consulta, pero creo que era el más cercano de los que he visto.

    Muchas gracias en todo caso, como siempre, por tu ayuda y comentarios.
    Sergio.

    • Guillermo Delprato  On 01/06/2015 at 17:02

      Hola sergioperezparras, a ver si puedo aclarar un poco el tema :-)
      Un certificado digital es similar a un documento de identidad, permite verificar la identidad de quien posee el certificado
      Por otro lado Windows permite los certificados en dos contenedores diferentes e independientes: máquina y usuario
      Y como si fuera poco, RDWeb tiene sus problemas y vueltas con el uso de certificado propio de servidor

      Aclarado lo anterior sigo :)
      Por un lado está el certificado del servidor, tiene que tener el mismo nombre con el que se accede al mismo, los clientes lo tienen que tomar como confiable, o sea confiar en la CA que lo emitió, y además deben poder acceder a la CRL de la CA
      Los certificados de usuario (supongo que es lo que dices de personas) los tiene que instalar cada usuario y en su propio conteneder de certificados de usuario. Salvo que estuviéramos hablando de una CA Enterprise porque en ese caso se puede hacer automáticamente por GPO

      El certificado de servidor sirve para probar la identidad *del servidor* a los clientes
      Un certificado de usuario sirve para probar la identidad *del usuario* al servidor

      Para aceptar la identidad, tiene que poder acceder al certificado de quien lo presenta, que esté otorgado por una CA en la cual él confía, y además acceder a la CRL para ver si no fue revocado con antelación al vencimiento

      Más sencillo y fácil para instalar certificado, descárgalo, y luego con una consola MMC + Certificados (usuario/máquina) lo instalas en el contenedor que necesites que esté

      • sergioperezparrasergio  On 02/06/2015 at 06:21

        Muchas gracias por tu rápida respuesta, Guillermo.

        Me pierdo un poco con este tema, y no sé si la consulta que te he hecho es realmente lo mismo que se aplica en este post para el uso de certificados digitales de usuario.

        Lo que estoy intentando hacer es lo siguiente: si quiero pagar impuestos al Gobierno de forma online, utilizo un certificado digital que me identifica como usuario (me identifica de forma unívoca) ante la Administración.

        Pero mi escenario concreto es el siguiente: tengo instalado en un servidor Windows Server 2012 una aplicación de Contabilidad, con la que se gestiona el pago ante la Administración de muchos usuarios (clientes) de sus tributos. Para cada uno de esos clientes, contamos con su Certificado Digital para poder hacer el pago online de sus tributos personales ante la Administración.
        La aplicación de Contabilidad hay un momento en el que se conecta online a la aplicación del Ministerio en cuestión, y en la que necesita que el certificado digital esté instalado en el repositorio root del navegador (IE estamos usando). Pero además, el acceso a la aplicación, y el navegador que abre la aplicación instalada en el servidor, es el navegador del servidor, y todo ello servidor a través de RDWeb a los PCs que manejan la aplicación de Contabilidad.

        He instalado los Certificados Digitales de los clientes en el servidor de igual forma que los instalaría en una máquina cliente (usando el menú Opciones del navegador IE en el servidor, y en Contenidos/Certificados, añadiendo los Certificados al repositorio -he seleccionado que automáticamente escoja el repositorio en lugar de fijar el Root; quizá pueda ser eso lo que me esté dando problemas). El caso es que por RDWeb, cuando se abre el navegor IE (del servidor) no encuentra los Certificados Digitales que he instalado de ese modo.

        Desconozco si es por haber hecho la instalación en el repositorio por defecto en lugar del Root, o si es porque realmente no puedo instalar así los Certificados Digitales en este escenario!.

        Es decir, no estoy instalando Certificados Digitales para identificar/autenticar una máquina PC (o un usuario concreto) cliente ante al servidor Windows Server 2012, sino que deseo instalar Certificados Digitales (muchos) de diferentes personas en el servidor, para que un usuario del servidor que accede al navegador IE por RDWeb, pueda usar alguno de los certificados instalados para identificarse ante una web de la Administración (para el pago de tributos en este caso, por ejemplo).

        No sé si me he explicado mejor en este caso. Como te insisto, el uso que necesito de esos Certificados es diferente al de autenticación de una máquina/usuario cliente ante un Windows Server de Dominio… eso es lo que me lleva a confusión, y creo que es una instalación completamente diferente y un uso completamente diferente al que comentas en tus posts, que creo entender claramente cuál es uso y utilidad.

        Un saludo y saludo gracias de nuevo!
        Sergio.

      • Guillermo Delprato  On 02/06/2015 at 07:52

        Hola sergioperezparrasergio, lamentablemente no puedo usar estos comentarios sobre la nota para hacer soporte, como mencioné antes simplemente oriento si puedo para que cada uno pueda solucionar su tema
        Realmente no sé si el sistema que están implementando puede funcionar o no, tendría que conocer muchos más detalles y sobre de la aplicación que ejecuta en el servidor
        Pero para que tengas más datos, independientemente que los certificados de usuario los instalaran con el IE, deberías revisar si usando una MMC+Certificados de usuario, están instalados en el lugar correspondiente (Personal). El certificado de la CA Root, debería estar instalado en “Trusted Root Certificates” (si es realmente una Root) porque quizás sea una “Intermediate”
        Como te comento, el tema sobrepasa lo que puedo hacer a través de estos comentarios sobre la nota

      • sergioperezparras  On 02/06/2015 at 13:23

        Muy agradecido en cualquier caso por tu atención, Guillermo.
        Voy a ojear la información a la que me remites.
        Saludos.
        Sergio.

      • Guillermo Delprato  On 02/06/2015 at 13:38

        Saludos Sergio :)

  • Edwin  On 27/06/2016 at 14:07

    Buenas tardes,
    espero esto siga activo, espero me puedas ayudar. estoy intentando crear certificados para la administracion Web de una Herramienta. segui los pasos de tu post. sin embargo tengo unas dudas.
    1. A que se refiere el apartado de extensiones.
    2. cuando creas un CA no se le coloca algún tipo de clave?
    3. A partir de que finalizas los pasos de este post como creas los certificados?.

    agradezco mucho si me puedes ayudar.

  • Matias  On 02/12/2016 at 14:18

    Guillermo muchas gracias por tu articulo, es excelente. Te queria consultar, en la etapa de añadir las Extensions, esas urls corresponden a la sub CA? No entiendo de donde sale el http://etcetcetcetc

    • Guillermo Delprato  On 02/12/2016 at 14:47

      Hola Matias, mira nuevamente las figuras
      CRL Distribution Point (CRLDP): La CRL es la Certificate Revocation List (lista de certificados revocados, antes de tiempo), por lo tanto indica el lugar donde se publicará la CRL
      Authority Information Access: indica dónde encontrará el certificado con la clave pública de la autoridad certificadora, y eventualmente intermedias

  • Edson Sanchez  On 30/05/2017 at 01:39

    Buenas noches Guillermo,yo sigo todos los pasos pero al estar configurando la entidad certificadora hija no me aparece la opcion enterprice, solo standalone, que puede ser?

    • Guillermo Delprato  On 30/05/2017 at 08:02

      Hola Edson, deberías revisar cada uno de los pasos, desde acá no puedo hacer nada :)

      • Edson Sanchez  On 30/05/2017 at 11:14

        Gracias Guillermo la instalacion la hice en 2016, este dia estoy instalando dos servers nuevos desce cero en 2012 r2, la pregunta es si no importa que ya exista una entidad certificadora root en el dominio?, esta esta fallando pues todas las revocaciones las esta permitiendo porque el administrador anterior borro una entidad (servidor) por error. Gracias por el tiempo y su respuesta.

      • Guillermo Delprato  On 30/05/2017 at 11:50

        Sí, por supuesto que importa, no puedes tener dos Enterprise en el mismo Dominio
        La idea de esta serie de notas fue mostrar un Root Standalone que certifica a una sub Enterprise

      • Edson Sanchez  On 30/05/2017 at 16:54

        uillermo he hecho todo y al momento de levanter el servicio en el server que esta en dominio es decir el SRV1 me da in error que dice the revocation function was unable to check revocation because revocation server was offline. 0x800992013
        gracias por la ayuda

      • Guillermo Delprato  On 30/05/2017 at 17:55

        Hola Edson, revisa si cuando has configurado el CDP y el AIA, que ahí debe haber un error
        Revisa además que que tenga conectividad a través de la red
        Y algo más, SRV1 generalmente hay que reiniciarlo luego de la configuración y se toma hasta media hora en tomar la CRL y considerarla válida

      • Edson Sanchez  On 31/05/2017 at 13:23

        gracias Guillermo procedure a reiniciar y esperar, me quedaron asi: CDP
        http://SRVCENTI01.mmp.msvs/CertEnroll/.crl
        AIA
        http://SRVCENTI01.mmp.msvs/CertEnroll/_.crt
        estara bien?
        no ti=ube ningun error en la instalacion.
        de Nuevo gracias por su tiempo

      • Guillermo Delprato  On 31/05/2017 at 14:42

        Están mal, te faltan todas las variables, revisa la nota …

  • Andrés Daniel  On 03/07/2017 at 14:48

    Hola Guillermo, gracias siempre por tus comentarios, constituyen una guía de inestimable valor para los que tenemos este trabajillo. Te pediría tu opinión en el siguiente caso:
    El administrador de red anterior en mi organización creó una entidad certificadora raíz online e integrada al dominio desde su inicio. Yo quiero hacer las cosas bien hechas, tal y como las has recomendado en estas notas, pero quisiera utilizar el certificado raíz ya creado y los emitidos ya que el servicio está siendo utilizado. Qué opinión tienes y qué me recomiendas??
    Gracias miles
    Slds
    Andrés

    • Guillermo Delprato  On 03/07/2017 at 15:01

      Hola Andrés, no va a ser fácil lo que quieres
      El hecho de poner una Raíz y otra Subordinada es por seguridad, pero no es algo imprescindible, aunque por supuesto hay casos que justifica
      Habría que crear la subordinada, configurarla, entregar los certificados que se necesiten y luego ir revocando los otorgados por la Raíz
      Pero pasar la Raíz a “standalone”, implicaría comenzar todo desde un principio. Piensa si es lo que necesitas …

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: