Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise

Resumiendo lo que hemos hecho hasta ahora en esta serie de notas: hemos instalado una Autoridad Certificadora Raíz de tipo “Standalone” que emula una Autoridad Certificadora comercial. El certificado de esta Autoridad Certificadora lo hemos distribuido a todos los clientes del Dominio Active Directory, como si se tratara de una entidad comercial que participa del programa de Microsoft de Autoridades Certificadoras

En esta ocasión instalaremos una Autoridad Certificadora subordinada a la raíz, pero integrada en Active Directory (“Enterprise Subordinate CA”). Con este tipo de implementación tenemos varias ventajas, sobre un Autoridad Certificadora de tipo “Standalone”, por ejemplo el poder usar plantillas personalizadas, y además al ser propia, tener el control total sobre la misma

Por lo tanto para esta nota necesitaremos además del servidor, el que venimos configurando hasta ahora, server.isp.com, un ambinete de Dominio.

En la figura que sigue hay en realidad más máquinas que las que se necesitan. Para esta nota necesitaremos:

  • server.isp.com
  • NAT
  • dc1.ad.guillermod.com.ar
  • srv1.ad.guillermod.com.ar

Comenzamos en SRV1, instalando la funcionalidad de Autoridad Certificadora con el procedimiento habitual, esta vez seleccionando solamente “Certification Authority”

Seguir con todas las opciones por omisión, hasta llegar al punto que indica que debemos configurarla

Seguiremos el asistente como indican las capturas

Como SRV1 es un servidor miembro de Dominio, ahora sí, podremos instalar tipo “Enterprise” integrándola de esta forma con Active Directory

Y recordemos que debe estar subordinada a la Autoridad Certificadora creada en las notas anteriores

Se puede poner el nombre que les parezca adecuado, pero que sea fácilmente reconocible

Al ser Autoridad Certificadora subordinada necesita un certificado de la Autoridad Certificadora superior, y nos ofrece guardar el pedido de certificado.
Pueden guardarlo con el nombre que quieran, pero que sea descriptivo y que lo encuentren luego, pues hay que copiarlo luego a la máquina que tiene la Autoridad Certificadora Raíz (server.isp.com)

Lean el mensaje que está mostrando: falta configuración. Esto es lógico porque una Autoridad Certificadora subordinada, debe estar certificada por la Autoridad Certificadora superior. No iniciará el servicio hasta que no llevemos el pedido de certificado, sea otorgado, y se instale en nuestra Autoridad Certificadora

Debemos encontrar el archivo con el pedido del certificado para copiarlo a la máquina que tiene la Autoridad Certificadora Raíz

Ahora seguimos en server.isp.com, en la consola de la Autoridad de Certificación para importar el pedido de certificado que habremos copiado

Que quedará en la carpeta “Pending Requests”, y que debemos otorgar (“Issue”)

Luego de lo anterior quedará en la carpeta “Issued Certificates”, desde donde debemos abrirlo, y exportarlo para poder copiarlo en SRV1

Un nombre que sea claro … Este archivo luego lo deberemos copiar a SRV1 para importarlo en la Autoridad Certificadora subordinada

Copiamos el certificado otorgado a SRV1, y en la Autoridad Certificadora subordinada, lo importaremos. Me equivoqué cuando resalte en rojo, debemos seleccionar “Install CA Certificate”

Seleccionamos el archivo correspondiente al certificado

Me ha sucedido que luego de la importación, dio un mensaje de error informando que no podía acceder a la lista de revocación, elegí “Ignore” para seguir, y por lo tanto el servicio no arrancó

Luego de dar vueltas al problema por un rato, me dí cuenta que si entraba a la consola de servicios (“services.msc”) y lo arrancaba manualmente todo se solucionaba :-) ¿bug?

Y por supuesto, si creamos una consola de certificados, sobre la máquina podremos ver el certificado otorgado

Ya tenemos funcionando nuestra Autoridad Certificadora Subordinada Enterprise. En la próxima nota veremos Autoridad Certificadora – Implementación de un Agente Recuperador de Claves

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • CaMiLo  On 31/01/2016 at 00:30

    Hola Guillermo, muy buenos tus aportes. Lo que mencionas de que no te arrancó el servicio por que no puede acceder a la lista de revocación, es porque no instalaste la CRL de la Root en la CA subordinada. Saludos

    • Guillermo Delprato  On 01/02/2016 at 06:46

      Hola CaMiLo, si es así, y así lo puse. En experiencias posteriores me dí cuenta que también tiene relación de dejar pasar unos minutos

  • erpimi  On 21/05/2016 at 07:12

    Hola Guillermo, no se si me puedes ayudar, tengo un problema. En mi trabajo tengo un ecosistema mixto entre Linux y Windows, para un chat corporativo que estoy montando necesito https para que el video/audioconferencia funciones. Para ello he buscado por internet y he montado lo siguiente:
    1 CA autónoma (Win 2k8)
    1 CA subordinada integrada en el DA (win 2k8).
    1 Ubuntu con RocketChat (máquina para la que quiero el certificado).
    El problema es el siguiente, yo en el ubuntu genero la key y el crs y luego me voy a la web de la sub-ca y solicito el certificado, lo genero lo configuro, pero los navegadores como Chrome me dicen que el sha1 va a morir y que en breve me quedaré sin poder usar el servicio con Chrome. Así que lo que he hecho es desmontar la sub-ca y montarla otra vez (esto lo puedo hacer porque de momento no tengo nada ni 802.1x ni na), con una clave de 4096 y un hash de sha512. Despues he copiado la plantilla del certificado web, pero con compatibilidad win 2008 para que pueda aplicar el hash sha512 y no el sha1, pero claro ahora no encuentro la manera de generar una solicitud para ese linux que tengo, porque ne la web maquina/servcrt no aparece la plantilla que he creado, y por lo que he leido, estas (las de compatibilidad win2008) no están incluidas en la web. Por otra parte me ha parecido leer que si la CA principal no es sha512 todo lo que hay debajo no puede usar ese hash… no se, estoy hecho un lio. Otra de las pruebas ha sido crear una solicitud desde la sub-ca, genero el certificado lo exporto, pero claro este no coincide con la key que generé en el openssl del ubuntu. Bueno que menudo lio, si me puedes aportar un poco de luz, te lo agradezco.

    Muchas Gracias y muy buenos artículos.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: