Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de Tipo Enterprise (Integrada con Active Directory)

Luego de la nota anterior (Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone) de donde hemos dejado preparada la infrestructura necesaria, en esta nota veremos la instalación y configuración de una Autoridad Certificadora Subordinada de Tipo Enterprise

El hecho de integrar la Autoridad Certificadora con Active Directory nos facilitará enormemente no sólo el otorgamiento de certificados, sino que además podremos personalizar las plantillas de los certificados, automatizar el otorgamiento, controlar la seguridad, recuperar claves perdidas, y mucho más

La infraestructura necesaria para esta demostración, es primero que nada una Autoridad Certificadora de tipo Raíz, como fue configurada en Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone, y dos equipos más:

  • Un Controlador de Dominio
  • Un Servidor miembro del Dominio

Usaré, como en todas las demostraciones a “dc1.root.guillermod.com.ar” y otro servidor “srv1.root.guillermod.com.ar”
No tienen ninguna configuración especial que no sea la normal

Comencemos con la instalación de la Autoridad Certificadora en SRV1 de la forma habitual y siguiendo el asistente

 

Como siempre agregamos los componentes necesarios adicionales

 

Atención con la advertencia …

 

En este caso y previendo futuras demostraciones incluiré dos componentes: “Certification Authority” y “Certificate Authority Web Enrollment”, este último implica la instalación del “Web Server”

 

No cambiaré ninguno de los componentes por omisión

 

Y comenzaremos con el asistente de configuración

 

Si como en mi caso, iniciaron sesión con un Enterprise Admin, no hace falta cambiar la cuenta

 

Marcamos los dos componentes que configuraremos

 

A diferencia de la nota anterior en este caso instalaremos una Autoridad Certificadora de tipo Enterprise

 

Que la subordinaremos a la Autoridad Certificadora Raíz creada en la nota anterior

 

Le asignamos el nombre que nos parezca apropiado

 

Observen que por omisión nos ofrece guardar el pedido de certificado a la Autoridad Certificadora superior en un archivo. Tomen nota de la ubicación y el nombre

 

Nos dará la advertencia que la configuración no está completa, lo cual es lógico pues debemos obtener el certificado desde la Autoridad Certificadora superior

 

¿Recuerda cuál era la solicitud del certificado? Debemos copiarlo a la máquina con la Autoridad Certificadora superior, en nuestro caso la Autoridad Certificadora Raíz

 

De todas formas, sigamos en SRV1, y copiemos en algún lugar que nos resulte cómodo los certificados y CRL de la Autoridad Certificadora superior que creamos en la nota anterior

 

Con botón derecho sobre el certificado de la Autoridad Certificadora elijamos “Install Certificate”

 

Recordar que lo debemos instalar en la máquina y no en el usuario

 

Y como es un certificado de una Autoridad Certificadora Raíz, lo debemos instalar en “Trusted Root Certification Authorities”

 

Esperar que aparezca el siguiente cartel

 

Ahora vamos a C:\inetpub\wwwroot y creamos la carpeta “CertData” (o como la hayamos llamado)

 

Dentro de la cual copiaremos los otros dos archivos que trajimos desde la Autoridad Certificadora Raíz

 

Llegamos a este punto vamos a la máquina con la Autoridad Certificadora Raíz, donde deberemos haber copiado la solicitud de certificado de la “sub” Autoridad Certificadora

 

Abrimos la consola de la Autoridad Certificadora e importamos la solicitud de certificado

 

Demorará unos segundos hasta aparecer en “Pending Requests”, donde con botón derecho lo otorgaremos (“Issue”)

 

Pasando entonces el mismo a “Issued Certificates”, desde donde lo abriremos para exportarlo

 

Este archivo lo deberemos copiar a la máquina con nuestra “sub” Autoridad Certificadora”, desde donde proseguimos la configuración

 

En la consola de “Certification Authority” procederemos a instalar el certificado otorgado

 

Se me traspapeló la captura de cuando busqué el certificado, pero entiendo que nadie tendrá dudas de cómo encontrarlo y pulsar “Ok” ;-)

Quedará así, y observen que aunque lo importó, el servicio está detenido. Vean que hay un pequeño cuadrado negro (Stop) en la Autoridad Certificadora. Dejen pasar 15 o 20 segundos antes de tratar de arrancar el servicio como muestra la figura

 

Ya arrancó el servicio

 

Ya tenemos todo “casi” listo :-)

Hay un tema que nos queda pendiente, que es informarle a los miembros del Dominio que el certificado de la Autoridad Certificadora Raíz, que no pueden ver directamente, es confiable

Para eso debemos instalar el certificado en “Trusted Root Certification Authorities” de todos los miembros del Dominio, y eso lo podemos hacer fácilmente a través de Directivas de Grupo (GPO)

Comencemos copiando el certificado de la Autoridad Certificadora Raíz a la máquina que es Controlador de Dominio (DC1)

 

Como lo queremos hacer a nivel de todo el Dominio, editemos la “Default Domain Policy” (no confundirse…)

 

Con botón derecho sobre Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certification Authorities, elegimos “Import …”

 

Y seguimos el asistente

 

Luego que cerramos la consola, debemos abrir la línea de comandos (CMD) como administrador, tanto en DC1 como en SRV1 y ejecutar:
GPUPDATE /FORCE
De esta forma nos aseguraremos que tomen los certificados como confiables

Como verificación de todo lo que hicimos anteriormente, aunque lo haremos en futuras notas, podemos ver algo interesante si dejamos pasar el tiempo suficiente.

Los Controladores de Dominio adquieren en forma automática cuando detectan una Autoridad Certificadora Enterprise un certificado de “Domain Controller”. De acuerdo a la documentación de Microsoft pueden pasar hasta 6 horas, pero en mi caso fue casi instantáneamente, quizás sea una mejora de W2012 :-)

Si observamos los certificados emitidos por nuestra “sub” Autoridad Certificadora

 

Y si en DC1 nos creamos una consola para ver los certificados de máquina, veremos

 

Y además, y para verificar que hemos hecho todo bien, podemos observar que considera confiable a la Autoridad Certificadora Raíz

 

Bueno, dejamos esto por acá, que ya es demasiado largo y complicado

En próximas notas veremos cómo implementar recuperación de claves (Key Archival and Recovery), y luego cómo distribuir Certificados Digitales en forma automática para máquinas y usuarios

 

Dependiendo de la aceptación que tengan estas notas veré de seguir avanzando con el tema de Clave Pública

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • jonattan  On 20/04/2013 at 10:00

    Hola tengo una pregunta,con esto se pueden generar certificados para exchange?

    • Delprato  On 21/04/2013 at 08:56

      Si, se pueden usar usando las plantillas adecuadas, pero entiendo que no te va a servir como solución

      Estas notas están basadas en crear una infraestructura de clave pública basada en una autoridad certificadora interna, y por lo tanto puedes hacer que la misma sea automáticamente confiada por toda tu estructura interna. Pero no será confiable para nadie externo a tu red (que no sea miembro de tu dominio básicamente)

      Si lo implementas para correo, y me envías un mail, a mí me dará una advertencia informando que el certificado fue emitido por una autoridad en la cual no confío (generando sospechas)
      Y todo aquel que conozca un poco cómo trabaja PKI, salvo casos muy excepcionales, no instalaría el certificado de tu autoridad certificadora

      Resumiendo, para correos externos, lo mejor es obtener certificados de autoridades certificadoras comerciales, y que estén asociadas al plan de certificados con Microsoft (o el que sea) para que el cliente pueda automáticamente verificar el certificado

  • josemaria.tapia@tid.es  On 29/04/2013 at 06:32

    Seria interesante montar un OCSP para consultar CRL’s de forma online.
    También hay algo que hecho de menos en la PKI de Microsoft, es el tema de avisar a los usuarios mediante mail cuando su certificado va a expirar.

    Gracias.

    • Delprato  On 29/04/2013 at 08:22

      Hola José María, habría mucho para agregar, más de lo que comentas inclusive. De acuerdo a la cantidad de visitas sobre el tema voy a ver si sigo agreando notas sobre el tema, pero primero voy a dejar pasar un tiempo para ver cuánto interés tiene

      Respecto de avisar por mail si como lo he hecho, la CA es de tipo Enterprise y obtención por GPO, la renovación se hace en forma automática, no tiene que hacer nada el usuario

      Muchas gracias por tu comentario

      • josemaria.tapia@tid.es  On 29/04/2013 at 08:30

        Si, se hace de forma automática si estás en el dominio, si no no, además, si exportas el certificado a otro dispositivo, por ejemplo un portátil que usas en casa para la VPN, ahí no se te renueva, seria bueno que el usuario supiera que le va a expirar para que vaya planificándolo.

        También si, el certificado es para servidor, no te avisa y te encuentaras que se ha expirado y

      • Delprato  On 29/04/2013 at 09:46

        Hola José María, como te dije antes, esta nota no tiene intención de cubrir ni todas las opciones ni sirve para todas las organizaciones. La idea es simplemente demostrar cómo se puede implementar en forma básica un esquema de PKI con dos niveles de la forma más simple posible

        Si la idea es exportarlo a otro dispositivo, entonces además del propio certificado también habría que llevar los certificados de las CAs, y hacer cambios en la configuración de los clientes, ya que no podrá acceder a las CRLs al estar afuera de la red corporativa. A partir de W7 si no accede a la CRL lo detectará como “no confiable”

        Si los servidores son parte del dominio, renovará automáticamente. Y si no fueran parte del dominio no podrán obtener certificados en la forma propuesta en la nota. Hay que instalar “Role services” adicionales, y efectuar otro procedimiento para que obtengan certificados cuentas que no pertenecen al dominio. Recuerda que es una CA de tipo Enterprise

  • Liliana Sagrero  On 26/06/2014 at 18:47

    Disculpe, al momento de reiniciar el servicio de la certificadora subordinada me pide de nuevo la instalación del certificado para la CA subordinada aunque ya se la instale anteriormente, vuelvo a realizarlo y obtengo error de acceso denegado. Podrias ayuarme

    • Guillermo Delprato  On 26/06/2014 at 19:31

      Hola Liliana, no tienes por qué disculparte. No es fácil el tema, me ha dado bastante trabajo preparar las demos :-)
      ¿Pide nuevamente el certificado? ¿O no arranca? porque el error que se ve normalmente es justamente este último

      Algo a tener en cuenta es que la Autoridad Certificadora, sobre todo cuando inicia, tiene que poder contactar a la Autoridad raíz, para revisar la CRL por el tema de revocación de certificados ¿puede contactar la subordinada a la raíz?
      Coméntame un poco más y veo qué puedo hacer

      • Liliana Sagrero  On 27/06/2014 at 14:53

        Se comunican. Efectivamente no arranca, a cambio me pide la instalación del certificado al realizar la petición me manda un error de acceso denegado.
        Gracias por la ayuda.

      • Guillermo Delprato  On 27/06/2014 at 16:41

        Revisemos los pasos
        – Atención con algo, que yo lo he pasado, la RootCA debe estar en línea y alcanzable. A mí me ha costado alguna vez, porque demora en arrancar, sobre todo el servicio de NAT (Delayed start), entonces la máquina estaba prendida, pero no estaba todavía levantado el servicio
        – ¿Se ha instalado bien el certificado de la RootCA en todas las máquinas, y en la parte de máquina. Revisa Autoridad Certificadora – Distribuir un Certificado de Autoridad Certificadora en Ambiente de Dominio Active Directory | WindowServer:
        https://windowserver.wordpress.com/2014/06/18/autoridad-certificadora-distribuir-un-certificado-de-autoridad-certificadora-en-ambiente-de-dominio-active-directory/
        – En esta nota, el tema es:
        1.- Instalar la CA y hacer el pedido de certificado para esta SubCA
        2.- Llevarlo a la RootCA, cargarlo, otorgarlo, exportarlo (con la clave privada), y llevarlo a la SubCA
        3.- Cargar ese certificado otorgado
        – ¿No habrás confundido el “pedido” con el certificado?
        – Revisar que el certificado de la RootCa esté en “Trusted Root Certification Authorities” de la parte de máquina
        – O por las dudas puedes repetir el procedimiento nuevamente de la solicitud (No vayas a revocar si hay alguno ya otorgado)
        Y justamente por esto último ¿está el certificado en Issued?
        Son todos puntos importantes a revisar, porque es largo el procedimiento y a veces sólo un pequeño detalle hace que no funcione como debe

  • Carlos Hernandez  On 09/07/2014 at 10:31

    Buenos dias. Sr. Guillermo, muchas gracias por la información publicada. Estoy instalando un servidor miembro Win2012 como Entidad Certificadora Enterprise. hice el proceso acá descrito pero durante la instalación me arroja el error 0x80072098 8WIN32: 8344). “No se instalaron las plantillas”, acceso denegado”. tengo el dominio en otro servidor bajo Win2008. Por favor puedes dame una ayuda para saber que puede estar pasando. Muchas gracias.

    • Guillermo Delprato  On 09/07/2014 at 11:30

      Hola Carlos, un mensaje de acceso denegado siempre indica falta de privilegios
      ¿Con qué usuario se está haciendo? Revisa que pertenezca a Domain Admins y Enterprise Admins
      ¿Puede ser que el problema venga por ahí?

      • Carlos Hernandez  On 09/07/2014 at 11:54

        Gracias por su pronta respuesta, Ambos servidores estan logueados con la cuenta del administrador de dominio, revise esos parametros antes de instalar.
        tambien tengo otro dominio backup en win2003. ¿Será algo de compatibilidad.?

        Gracias.

      • Guillermo Delprato  On 09/07/2014 at 12:35

        ¿Otro Dominio? ¿U otro Controlador de Dominio en el mismo Dominio? Como dices “backup” interpreto que es otro Controlador de Dominio
        Porque el problema puede venir por ese lado.
        De todas formas siempre es altamente recomendable, antes de hacer estas configuraciones probarlas en ambiente de laboratorio, y no directamente en el productivo. La virtualización es una gran ayuda para esto :-)
        Como una entidad “Enterprise” se integra con Active Directory, es muy posible que el problema venga por la versión de Esquema (“Schema”) que no está actualizada. No he hecho las pruebas así con diferentes versiones
        Si todo se está haciendo en un ambiente de pruebas no productivo, yo lo que trataría es actualizar el Esquema a W2012R2, y ver qué sucede (para no tocar el productivo porque no hay marcha atrás con el Esquema)
        Y el problema es que W2003 ya está totalmente fuera de soporte :-(
        Todo me da para pensar en que el problema es el W2003

      • Carlos Hernandez  On 09/07/2014 at 14:23

        Disculpa, si me referia a un backup de controlador de dominio. Como es el ambiente de producción, Ya desinstale el rol de entidad certificadora enterprise y posteriormente quiero probar instala como standalone. ¿Con este esquema podria trabajar los certificados para servicios como Radius, Terminal Server, Etc.?

        Tambien acabo de observar que mis estaciones de trabajo se les copio el certificado del servidor que instale. ¿hay una forma rapida de eliminarlo?. y no equipo por equipo.

        Actualmente no puedo subir el esquema porque mis aplicaciones dependen de hardware viejo. Windows 2000 y Windows 2003 Server.

        Gracias.

      • Guillermo Delprato  On 09/07/2014 at 14:45

        Si ya estaba instalado en las máquinas el certificado de la CA, entonces estaba funcionando ya. Seguramente el mensaje era que no había podido instalar sólo alguns de las plantillas, específicamente las correspondientes a la versión 4
        Si estaba así, no deberías haberla desinstalado. Y no sirve volver a reinstalarla igual, porque aunque se llamara igual tendría otras claves
        Una standalone cumple muchas de las funciones, pero el problema es que debes hacer todo manual, desde la distribución del certificado de la CA, el pedido y distribución de los certificados de cada máquina, y como si fuera poco luchar con la seguridad de los clientes que no permiten fácilmente el pedido de certificados de una CA standalone
        Revisa bien los pasos en las otras notas que he publicado, pongo enlaces abajo, para ver los pasos de configuración de una CA standalone, y del cliente. En las notas está emulando una comercial de Internet, que no es tu caso, pero los procedimientos deben ser los mismos
        – Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment” | WindowServer:
        https://windowserver.wordpress.com/2014/06/10/autoridad-certificadora-para-laboratorio-y-pruebas-configuracin-de-la-autoridad-certificadora-para-web-enrollment/
        – Autoridad Certificadora para Laboratorio y Pruebas – Configuración del Cliente para “Web Enrollment” | WindowServer:
        https://windowserver.wordpress.com/2014/06/13/autoridad-certificadora-para-laboratorio-y-pruebas-configuracin-del-cliente-para-web-enrollment/
        – Autoridad Certificadora – Distribuir un Certificado de Autoridad Certificadora en Ambiente de Dominio Active Directory | WindowServer:
        https://windowserver.wordpress.com/2014/06/18/autoridad-certificadora-distribuir-un-certificado-de-autoridad-certificadora-en-ambiente-de-dominio-active-directory/
        – Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise | WindowServer:
        https://windowserver.wordpress.com/2014/06/19/autoridad-certificadora-instalacin-y-configuracin-de-una-autoridad-certificadora-subordinada-enterprise/

    • Carlos Hernandez  On 09/07/2014 at 15:48

      De acuerdo, como ya me había adelantado en la desinstalación me toca volver a reinstalar aunque no sea igual, solo instale y no hice mas nada tampoco genere certificados adicionales. Espero que no afecte mi ambiente.

      Quiero implementar esto: http://bitacoraderedes.wordpress.com/2013/07/30/configuracion-de-un-servidor-radius-en-windows-server-2012-parte-2a/

      Precisamente en la imagen 2, donde se acccede al administrador de certificados, me generaba error que las plantillas no estaban instaladas. de ahi que pense que toda la instalación estaba mala.

      En las instrucciones que usted publica, se ve todo normal. (Instalación satisfactoria). Por esos mis duda.

      Gracias por la ayuda, volvere a revisar la información.

      Saludos.

  • Andrés  On 28/04/2015 at 21:48

    Saludos

    GuillermoD como siempre super bien tus ayudas, se que el hilo esta un poco viejito pero por si lo llegas a leer, tambien lo publique en Technet, me encuentro el paso en el que debo instalar el certificado .p7b en mi servidor subordinado y creado en mi servidor root el cual tengo fuera de línea ya en un WORKGROUP y me esta arrojando un error el cual me da la opción de “Desea omitir el erro y continuar…”… “El servidor de revocación está sin conexión” seguido de Error 0x80092013 (-varios numeros…CRYPT_E_REVOCATION_OFFLINE)

    ya sabia yo que todo iva muy bien hasta que me salio esto, no se si deba tener en línea el servidor root de CA y solo hasta que termine de realizar todo lo coloco offline, sin embargo ya lo coloque en DHCP (ojo sin subirlo al Dominio) para que se vea y tampoco.

    Luego mi server esta en español y la configuración que haces de AIA y CDP las hice de otra forma sobre todo en la parte que escribes en vez de esa coloque

    Muchas gracias.

    • Guillermo Delprato  On 29/04/2015 at 07:33

      Hola Andrés, recuerda que este no es un sitio de soporte, sólo ayudo cuando puedo, pero estos comentarios son sólo referidos a la nota. Acá no hay gente que haga soporte :)
      Prueba esto: pon el servidor con la RootCA en línea, que lo pueda ver la SubCA, fuerza la publicación de la CRL, y déjalo por lo menos media hora, luego prueba otra vez instalar el certificado de la SubCA
      Y debes arreglar el problema luego, la CRL de RootCA debe ser visible a las demás máquinas, por ejemplo publicándola a otra máquina que sea siempre accesible

      • Andrés  On 29/04/2015 at 13:54

        Gracias Guillermo como simpre, entiendo lo que me dices y agradecemos mucho tus aportes, voy a verificar y mil gracias.

  • eldeza  On 18/02/2016 at 10:52

    Hola Guillermo, estoy metido en un lío, tenía una Autoridad certificadora Interna en un servidor, el cual por mala suerte se malogró y no puedo recuperar ni siquiera el disco duro. Actualmente tengo lync server 2013 que funciona con certificados internos, sin embargo el lync funciona sin problemas, ya que los certificados aún vence el 2017. Mi consulta es: puedo crear una nueva autoridad certificadora y antes de que vensan los certificados lo renuevo en esta nueva AC, no habría problemas?

    • Guillermo Delprato  On 18/02/2016 at 12:27

      Es un problema de seguridad eso. Funcionará en los clientes mientras estos no verifiquen el certificado que se emitió a un server, o acepten el certificado aunque no puedan acceder a la CRL
      También, al haber “desaparcido” no puedes revocar los certificados mientras sean tomados como válidos
      La única alternativa que queda, es crear una nueva CA, hacer que todos confíen en ella, y luego emitir nuevos certificados, no creo que exista otra opción, es como comenzar desde el principio :)
      Y de ahora en más … :)

      • eldeza  On 18/02/2016 at 12:36

        No estoy metido mucho en este tema, pero lo de “hacer que todos confíen en la nueva AC” este proceso es automático?

      • Guillermo Delprato  On 18/02/2016 at 14:18

        Depende de cómo lo hagas, si creas una plantilla de certificado con la opción que la publique en AD ya está
        Otra opción es hacerlo por GPO
        Si revisas en el blog hay muchos artículos sobre el tema Autoridad Certificadora, la instalación más simple está en: Windows Server 2012: Instalación Simple de Autoridad Certificadora (Certificate Authority) Enterprise Root | WindowServer:
        https://windowserver.wordpress.com/2012/10/26/windows-server-2012-instalacin-simple-de-autoridad-certificadora-certificate-authority-enterprise-root/
        Con una CA “no se juega”, trata de hacerlo primero en un ambiente de pruebas antes de llevarlo al ambiente productivo. Con un DC donde instalas la CA, y por ejemplo IIS, y un cliente ya puedes probar si lo toma o no

  • Edwin  On 29/06/2016 at 13:16

    Buen día, espero me puedas ayudar en mis dudas.
    ¿Con que finalidad se crea una Autoridad Certificadora Subordinada?
    yo quiero hacer valido el acceso por https al portal de una herramienta de monitoreo interna necesitare eso?
    Saludos

    • Guillermo Delprato  On 29/06/2016 at 15:52

      Hola Edwin, se puede hacer que directamente una “Root CA” entregue los certificados. Como el tema seguridad de certificados es muy delicado es que en general se recomienda una “Root CA” de tipo “Stand-alone”, y luego una subordinada de tipo “Enterprise” que entregue los certificados
      Con esta configuración la Root se puede mantener casi todo el tiempo apagada (mayor seguridad), y se usa la Enterprise por la ventajas de manejar todos los pedidos y otorgamientos en forma automática a través del Dominio
      Pero si es sólo para un portal interno, seguramente te convenga directamente una “Root CA” de tipo “Enterprise”

  • Julio Maldonado  On 03/11/2016 at 00:22

    Hola Guillermo buenas, siempre leo tus notas. Estos temas de Certificados son los que me parecen mas complicados. Bueno tengo una consulta, se me mezclaron un poco tus articulos, tengo que implementar un infr. de pki para el lugar donde trabajo 2000 usuarios aprox. segun tus notas me conviene una root ca standalone y luego una root subordinada del tipo enterprise que emita los certificados. Para vos estos donde servidores sean suficientes?; en otras compañias donde ya estamos implementados… me acuerdo que teniamos el root, el intermediate y el issue…
    desde ya gracias.

    saludos

    • Guillermo Delprato  On 03/11/2016 at 06:36

      Hola Julio, es difícil aconsejarte sobre si conviene dos o tres niveles, habría que conocer muchos datos de la organización, dos es lo mínimo si se quiere implementar una estructura PKI segura, tres puede ser mejor pero hay que ver si realmente se necesitan diferentes “issuing”
      Por lo que comentas creo que conoces bien el tema, el tema de Root “stand-alone” tiene la ventaja de poder tenerla “offline” casi todo el tiempo (más segura), y las “Enterprise” la flexibilidad de plantillas y automatización de otorgamiento
      Ahora que estoy releyendo tu mensaje, lo aconsejable es Root “stand-alone”, pero luego la subordinada tipo “Enterprise

      • Julio Maldonado  On 03/11/2016 at 10:03

        Bueno Guillermo perfecto, pensé que había algun tipo de sizing en cuanto a la cantidad de usuarios, pero supongo que también tiene que ver en base a “para que voy a usar los certificados” en principio securizar equipos y usuarios, mas adelante veré. Leí que el tema de diseño es muy importante antes de comenzar porque luego es difícil cambiar la estructura.
        Hice los cursos de 2012r2 hace un tiempo y la verdad este tema y el ADFS me parecieron los mas complejos.
        Gracias!

      • Guillermo Delprato  On 03/11/2016 at 11:39

        Decía un amigo “pienso dos veces, y trabajo una” :)
        Es así, y sobre todo con PKI. Lo más importante, saber que las CAs se pueden recuperar en caso de problemas, y la seguridad sobre las mismas
        Una CA que no se puede recuperar o un problema de seguridad en la misma, implica tener que invalidar todos los certificados otorgados, e imaginate si llega a ser la “Root”

      • Julio Maldonado  On 10/11/2016 at 17:48

        Guillermo una ultima consulta, piendo hacerlo de 3 niveles. Entiendo que el procedimiento es similar al descripto por vos pero agrego un segundo ca que es este caso es intermediate firmada por la root y luego una ca enterprise firmada por la intermediate.Consulta tendras algo para recomendarme que pueda leer ? para ver correctamente el procedimiento?
        Lo mio seria una root, intermediate y luego issuing. Desde ya gracias

      • Guillermo Delprato  On 10/11/2016 at 19:14

        Hola Julio, no, la verdad no tengo mucho para recomendarte. Seguramente si buscas en Technet tiene que haber algo así, y con recomendaciones

  • Javier Peña  On 14/02/2017 at 17:01

    Hola Guillermo, muchas gracias por el post, esta siendo de mucha utilidad.
    Queria saber si es recomendable tener la Autoridad Certificadora Subordinado junto a WSUS en el mismo servidor.
    Muchas gracias!

    • Guillermo Delprato  On 14/02/2017 at 17:30

      Hola Javier, no hay nada con respecto a eso que te pueda recomendar, o no recomendar. Habría que tener muchísimos más datos, desde los recursos disponbles del servidor, uso, cantidad de usuarios, cantidad de máquinas, y aún más

  • Josué  On 27/02/2017 at 13:10

    Hola GUillermo, actualmente en donde trabajo existe una CA la cual emite certificados en SHA1, requieren que se migre a SHA256 por cuestiones de seguridad, mi pregunta es si ambas entidades pueden existir sin problema, ya que no quieren que se quite la CA con SHA1, y de ser así, es posible poner la CA más reciente como predeterminada para que esta sea la que entregue los certificados, de antemano gracias. Saludos!!

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: