WS2008: Introducción a Active Directory certificated services

Que es una Autoridad certificadora (CA)?

En Windows server 2008 es un Servidor que tiene instalado el rol de AD CS. Una CA realiza lo siguiente:

  • Acepta solicitudes de certificado, emite, revoca y administra certificados.
  • Verifica la información del usuario y luego emite un certificado con una credencial de seguridad junto a una PKI (Infraestructura de clave publica)

En vez de explicar la parte teórica de la implementación de los servicios certificados, a medida que vamos instalando el rol vamos definiendo algunos conceptos técnicos

Let Get Started

Instalando el rol de Active Directory certificated services (Servicios de certificados de active directory)

 Ingresando en el server manager de nuestro servidor le damos clic en agregar roles y seleccionamos la opción “Servicios de certificados de active Directory”


  • Presionamos siguiente hasta la opción de servicios que queremos instalar en el rol


    Aquí nos detenemos un poco a explicar algunos conceptos importantes.

    Existen tres formas de implementar el proceso de inscripción de certificados, las cuales son:

    Inscripción Web:

    Usa IIS. Cuando el solicitante debe loguearse en el sitio web y desean enviar una solicitud para el certificado.

    Se usa esta opción cuando la auto inscripción no esta disponible.

    Inscripción Manual:

    Se puede usar cuando el solicitante no puede comunicarse con la CA, si el dispositivo no soporta auto inscripción.

    En este proceso una solicitud de certificado es generado sobre un dispositivo a través de una clave privada.

    La solicitud de certificado es transportada a la CA para que genere el certificado. Certificado luego es transportado

    Al dispositivo para la instalación

    Inscripción automática:

    Para equipos conectados al dominio. Este proceso le permite generar una plantilla de certificados. Luego el solicitante puede solicitar, revocar y renovar el certificado sin la acción de un administrador

Dependiendo de esto elegimos los servicios de rol a instalar

Conociendo esto vamos agregar los dos primeros servicios, es decir ” entidad de certificación” e “Inscripción web de entidad de certificación “.

  •  Luego nos dirá que necesita instalar el servicio de IIS y le damos siguiente
  • Posteriormente en el tipo de instalación nos pregunta lo siguiente:


    Si será empresa o independiente ¿Qué significa eso?

    Empresa

    Seleccionamos esta opción si requerimos lo siguiente:

    • Cuando se necesitan muchos certificados aprobados automáticamente
    • Estamos unidos a un AD DS para tenerlo como base de datos
    • Vamos a usar GPOs para que los clientes confíen en esta raíz certificadora
    • Publicar certificados de usuarios y CLRs
    • Validar las solicitudes de certificados con permisos automáticamente
    • Usar tipos de certificados que están almacenados en una plantilla
    • Emitir certificados automáticamente y aprovechar la certificación de usuario automática

    Independiente

    Seleccionamos esta opción si:

    • Uso servicios de directorio de terceros o AD no esta disponible
    • He instalado un servidor que esta conectado a su AD o en un grupo de trabajo
    • No requiere uso de AD DS y plantillas de certificados
    • Requiere la información de un solicitante y el tipo de certificado se solicita manualmente
    • Se puede usar una web, una consola de administración MMC o la herramienta Cerqreq.exe
    • Un administrador aprobara las solicitudes

      En nuestro caso seleccionaremos Empresa y presionamos siguiente.

  • Luego nos pregunta si queremos que sea raíz o subordinada


    En nuestro caso no vamos a unirnos a otra entidad certificadora por ello seleccionamos que vamos a ser RAIZ.

    Nota: Cuando existe limitaciones de ancho de banda en una empresa se deberán instalar varias CAs subordinadas

    Para evitar los problemas con lentitud en la infraestructura de los servicios de certificados

  • Después pregunta si vamos a crear una llave privada o ya contamos con alguna


    Le damos crear una nueva clave y presionamos siguiente

  • Seleccionamos luego el métodos de cifrado que deseamos y en nuestro caso dejamos el que viene por defecto, el cual es provisto por Microsoft, pero podemos elegir entre varios métodos de cifrado.


  • Ahora nos pregunta que nombre le vamos a dar a la entidad certificadora. En nuestro caso le pondré WS-CA1


  • Ahora seleccionamos cuanto va a ser el periodo de validez de los certificados, por defecto 5 años.


  • Seleccionamos siguiente y nos dice donde se almacenaran los certificados emitidos, revocados y las solicitudes


  • Después iniciamos con los servicios por defectos que vendrán en nuestro IIS y seleccionamos siguiente


  • Presionamos siguiente y después instalar


Con esto ya tenemos instalado nuestro servicio de certificados y nuestra entidad certificadora

 Bastante sencillo pero es bueno tener los conceptos técnicos claros.

Espero les haya gustado esta introducción a este servicio Importante de Windows server 2008

See you

Anuncios
Acerca de

Geek.

Tagged with:
Publicado en Uncategorized
One comment on “WS2008: Introducción a Active Directory certificated services
  1. comentario de Steven Rodriguez zapata ”
    Buen post Juan Pablo Vidal, agregando un tips importante, antes de comenzar a emitir certificados validen todas los CDP, en especifico que este bien configurado las que apuntan a http.”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: