Autoridad Certificadora para Laboratorio y Pruebas – Configuración del Cliente para “Web Enrollment”

Y continuando nuestra prueba de laboratorio, en esta nota veremos la configuración de una máquina para que solicite y obtenga un certificado digital de máquina a través de la interfaz web (“Web Enrollment”)

Para esta demostración, además del servidor que venimos utilizando desde el principio y que es la Autoridad Certificadora, necesitaremos otra máquina para usar como solicitante

Esta última podría tener cualquier sistema operativo, pero me he decidido por un Windows 8.1, el último al día de hoy, porque cada nueva versión mejora la seguridad, y eso suele traer nuevos inconvenientes :-)

Recuerdo que tenemos que tener configurada la Autoridad Certificadora adecuadamente para este procedimiento. Pueden verlo en Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment”

Si estuvieramos usando una Autoridad Certificadora comercial, que esté asociada al programa de Microsoft todo sería más sencillo, ya que el cliente se conectará a Internet y automáticamente descargará el certificado de la Autoridad Certificadora, pero no es nuestro caso

Nos quedan dos opciones para obtener el certificado de la Autoridad Certificadora, podríamos hacer por web (“Web Enrollment”), o exportando e importando

El primer caso lo pueden ver en la última captura de pantalla de la nota anterior (Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment”), es muy sencillo

Pero para mostrar la otra opción lo haré por el segúndo método: exportar el certificado desde la Autoridad Certificadora, copiarlo al cliente, e importarlo en el cliente

Entonces, comencemos en la máquina server.isp.com, en la consola de certificados exportando el certificado de la Autoridad Certificadora.
Nota: no sirve exportar el certificado del propio servidor, pues no está firmado por una autoridad confiable. Debemos disponer del certificado de la autoridad que firma los certificados

Abrimos el certificado, y desde la ficha “Details” usamos el botón “Copy to file …”

Seguimos con el asistente …

Es el certificado de la Autoridad Certificadora, así que no vayan a exportar la clave privada

Guardamos el certificado de la Autoridad Certificadora en un lugar que nos sea cómodo, y con un nombre adecuado

Este archivo que acabamos de crear lo debemos copiar manualmente a cada máquina antes de solicitar cualquier otro certificado, y por supuesto instalarlo en “Trusted Root Certification Authorities”

Es lo necesario para que el cliente confíe en los certificados otorgados por la Autoridad Certificadora

Ahora, ya necesitamos cambiarnos de máquina, vamos a la máquina que usaremos como cliente para solicitar un certificado de máquina. Recuerden que he elegido un Windows 8.1 para ver si presentaba alguna complejidad adicional a otros sistema operativos

A esta máquina cliente, que también está en grupo de trabajo, la conecté a la red, y el servicio DHCP que había instalado en la primera nota se encargó de darle la configuración IP necesaria (Dirección, Máscara de Subred y dirección de servidor DNS)

Lo primero que debemos hacer es copiar a esta máquina el certificado de la Autoridad Certificadora, yo lo he puesto sobre el escritorio (“Desktop”)

Luego, de la misma forma que hicimos anteriormente creamos una consola (MMC) con el complemento “Certificates” enfocado en la propia máquina

Si ingresamos a “Truste Root Certification Authorities” veremos que no está el certificado de nuestra Autoridad Certificadora

Así que debemos importarlo, por supuesto siguiendo el asistente como ya lo hemos hecho antes, y como muestro

Seleccionamos “Trusted Root Certification Authorities” de la parte de máquina que es la consola que estamos utilizando

Ya está, tenemos todo listo, vamos a pedir un certificado de máquina para esta máquina cliente. Recuerden que estoy utilizando Windows 8.1 pero sería totalmente igual para un sistema operativo servidor

Abro el explorador e ingreso a https://server.isp.com/CertSrv y solicito un certificado (“Request a certificate”)

Como es para máquina debo elegir la opción avanzada (“Advanced Certificate Request”)

Comienzan las advertencias de seguridad …

Faltó sólo un “¿Está seguro?” :-D

Completamos los datos solicitados. Es muy importante que el nombre sea exactamente igual al nombre de máquina que usarán para conectarse a la misma

Y abajo de todo en la pantalla tenemos el botón para enviar la solicitud “Submit”

Todos los pedidos de certificado enviados a una Autoridad Certificadora de tipo “Standalone” quedan pendientes de aprobación, así que debemos ir a la consola de la Autoridad Certificadora y otorgarlo

Volvemos al cliente, y nos conectamos nuevamente a https://server.isp.com/CertSrv y vemos si el certificado ya fue otorgado (por supuesto, lo hemos hecho)

Como ha sido otorgado, ya podemos instalarlo

Otra vez, advertencia de seguridad

Ya está, creo … ;-)

¿¿¿Y dónde está??? Refresh, paciencia, refresh, más paciencia …
No va a funcionar lo anterior, hay más seguridad, no lo ha instalado en la parte de máquina, lo ha hecho en la parte de usuario

Así que en la consola MMC agregamos otra vez “Certificates” pero esta vez enfocado en la parte de usuario, y podremos verlo

Sólo nos falta llevar el certificado a la parte de máquina (¡vamos que falta poco!)

El proceso sólo es, otra vez más, un exportar e importar, como ya lo hemos hecho anteriormente

Ahora, con este certificado, si, exportamos la clave privada

Como estamos exportando la clave privada, nos pedirá protegerlo con un contraseña

Sólo falta importarlo, en la parte de máquina. Seguimos el asistente como se muestra

 

Ingresamos la misma contraseña que usamos antes, cuando lo exportamos

¡Al fin! :-)

Resumiendo lo hecho hasta ahora, ya tenemos un certificado de máquina instalado, otorgado por una Autoridad Certificadora que es confiable, así que en la próxima nota veremos como crear un sitio web seguro (HTTPS): Autoridad Certificadora – Crear un Sitio Web Seguro (HTTPS)

 

 

 

Post a comment or leave a trackback: Trackback URL.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: