Autoridad Certificadora – Distribuir un Certificado de Autoridad Certificadora en Ambiente de Dominio Active Directory

En las notas anteriores hemos instalado una Autoridad Certificadora de tipo Raíz que emula una entidad comercial, y que usaremos en nuestro laboratorio de pruebas

Como nuestra Autoridad Certificadora, por supuesto, no está incluida en las actualizaciones de Windows Update, debemos instalar el certificado de esta Autoridad Certificadora en todas las máquinas que que formen parte de nuestro laboratorio de pruebas

Esto lo podremos hacer fácilmente a través de Directivas de Grupo (GPOs)

A la infraestructura creada anteriormente con server.isp.com y ServerWWW.empresa.com ahora debemos agregar más máquinas, he agregado:

  • El Dominio Active Directory que usamos en todas las demostraciones con:
    • dc1.ad.guillermod.com.ar
    • cl1.ad.guillermod.com.ar
    • SRV1.ad.guillermod.com.ar la usaremos más adelante
    • Una máquina que hace NAT que interconecta la red interna, con “nuestra Internet”

La siguiente figura aclara la distribución de máquinas y sus conexiones

Si alguien tiene dudas cómo se configura NAT, puede usar la siguiente nota: Windows Server 2012: Compartir Conexión a Internet

El único cambio que hago en la red de Dominio, es solamente en el servicio de DNS que funciona en DC1, donde configuro como Reenviador (“Forwarders”) a 131.107.0.100 que es server.isp.com para que pueda resolver los nombres de “nuestra Internet”

Igual que hicimos anteriormente, no lo volveré a mostrar, es desde DC1 conectarse a server.isp.com/CertSrv y descargar el certificado de la Autoridad Certificadora, por ejemplo sobre el escritorio

Dijimos al principio que distribuiríamos el certificado de la Autoridad Certificadora de nuestra simulación a todos los equipos del Dominio Active Directory; esto lo podemos hacer fácilmente editando la “Default Domain Policy”

Por lo tanto en DC1, en “Group Policy Management” procederemos a editarla

Debemos ir a “Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certification Authorities” y proceder a importar el certificado de la Autoridad Certificadora

Y seguimos el asistente

Yo he renombrado el archivo como GuillermoD-RootCA.cer para evitar confusiones

En todas las máquinas del Dominio, si queremos probar ya, y no esperar la reaplicación automática de las GPOs deberemos ejecutar GPUPDATE.EXE

Como control observo en la consola de certificados que se ha instalado correctamente

Y si desde un cliente cualquiera del Dominio, y con un usuario normal cualquiera ingreso a https://www.empresa.com veo que reconoce perfectamente al certificado del servidor como válido

Habiendo hecho este paso ya hemos creado una Autoridad Certificadora de pruebas, que emula una de tipo comercial (pero gratis :-)), y que aunque no forma parte del programa de Microsoft, todas las máquinas la tomarán como confiable

Continuamos en la nota: Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Trackbacks

  • […] La próxima nota será sobre cómo distribuir el certificado de nuestra Autoridad Certificadora simulada de tipo comercial, para que sea considerada válida en todas las máquinas en nuestro ambiente de pruebas: Autoridad Certificadora – Distribuir un Certificado de Autoridad Certificadora en Ambiente de Domi… […]

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: