lunes, 18 de agosto de 2014

Instalar entidad emisora ​​de certificados en Windows Server 2012 R2

A medida que crece nuestra organización, se hace necesario mantener de una manera, lo más segura posible, nuestras comunicaciones y para ello, una opción es crear nuestra propia entidad emisora y generar nosotros mismos nuestros certificados. Será necesario y obligado tener una entidad certificadora para la implementación de Lync que será nuestro siguiente objetivo.

Presupuesto:

1 licencia Windows 2012 R2: 813,66

Instalación:

Una vez que tengamos nuestra máquina virtual con Windows 2012 R2, configuramos un nombre a nuestro servidor [ADCSLAB]  y lo unimos al dominio [gonzgomez]. Posteriormente esta es la parametrización que utilizaré:


[Nombre del equipo] ADCSLAB.gonzgomez.local
[IP address] 192.168.0.98
[Subnet Mask] 255.255.252.0
[Default Gateway] 192.168.0.72
[Preferred DNS server] 192.168.0.96 

Una vez reiniciado el servidor, en el Server Manager [Administrador del servidor], hacemos clic en Add Roles and features [Agregar funciones]


Elegimos la opción Role-based or feature-based installation y hacemos clic en next.


Seleccionamos nuestro servidor ADCSLAB y hacemos clic en next.


Estamos interesados en la instalación Active Directory Certificate Services. Al hacer clic en el cuadro junto a dicha opción, aparece la ventana que se ve en la captura describiendo los servicios que se van a agregar a nuestro servidor Windows Server 2012 R2.



Todas las características que se requieren para este rol se preseleccionan por lo que hacemos clic en Next.


La siguiente pantalla del asistente es sólo informativa por lo que hacemos clic en Next


Es posible que recibamos una ventana que dice que es necesario agregar funciones requeridas, hacemos clic en el botón Add Features.


Hacemos clic en Next.


Hacemos clic en Next.


Hacemos clic en Install.


Empieza la instalación.


Una vez finalizada la instalación, hacemos clic en Close


Para configurar los Servicios de certificados de Active Directory, hacemos clic en el signo de exclamación en la bandera [1] y hacemos clic Configure Active Directory Certificate Services [2]


Hacemos clic en Next.


Seleccionamos:

  • Certificate Authority
  • Certification Authority Web Enrollment
Hacemos clic en Next.



Seleccionamos Enterprise CA y hacemos clic en Next.


Seleccionamos Root CA y hacemos clic en Next.


Seleccionamos Create a new Private key y hacemos clic en Next.


Seleccionamos los parámetros por defecto:




  • RSA#Microsoft Software Key Storage Provider
  • 2048
  • SHA1

Hacemos clic en Next.


Por defecto, el certificado tiene una validez de 5 años, no hacemos ningún cambio y clic en Next.


Hacemos clic en Next.


Hacemos clic en Configure.


Se ejecuta la instalación y hacemos clic en Close.


Si todo ha ido bien, podremos conectarnos a nuestra entidad certificadora en la página http://localhost/certsrv y se cargará la pagina principal.


IMPORTANTE: Debemos ejecutar Internet Information Services (IIS) Manager para comprobar que HTTPS esté habilitado.


Nos damos cuenta que no está habilitado HTTPS y tras buscar como solucionarlo, me encuentro este artículo del Technet de como solucionarlo.



Ejecutamos el comando siguiente: certtmpl.msc para abrir la consola Plantillas de certificado.


En el panel de detalles de la consola Plantillas de certificado, hacemos clic en la plantilla Web Server y a continuación, hacemos clic en Duplicate Template. Si nos pide que seleccionemos una versión de la plantilla, seleccionaremos 2003 y hacemos clic en Ok.


En la ficha General, debajo de Template display name escribimos un nombre para la plantilla. Por ejemplo SSL Certificates. 


En la ficha Security debemos asegurarnos que la cuenta de equipo tiene la capacidad de inscribirse [enrollpara esta plantilla. Para ello, hacemos clic en Add.


En  Select Users, Computers, Service Accounts or Groups, escribimos el nombre del equipo, en nuestro caso ADCSLAB y hacemos clic en OK.


Seleccionamos la cuenta de equipo y luego seleccionamos la casilla de verificación Enroll.



En la pestaña Subject Name seleccionamos Build from this Active Directory information. Ajustamos Subject name format a Common name. Abajo de Include this information in alternate subject name, seleccionamos la casilla de verificación de DNS name y desactivamos la casilla User principal name (UPN)


En la pestaña Cryptography nos aseguramos que en Minimum key size tiene el valor de 2048 y hacemos clic en Ok.


Cerramos la consola Plantillas de certificado y volvemos a la consola de Entidad emisora ​​de certificados. En el árbol de la consola de Entidad de certificación, hacemos clic con el botón derecho en Certificate Templates, hacemos clic en New y a continuación hacemos clic en Certificate Template to Issue.


Hacemos clic en la nueva plantilla de certificado que acabamos de configurar y clic en Ok.


Ejecutamos Windows PowerShell escribimos mmc y ENTER. En la nueva consola MMC hacemos clic en File y a continuación clic en Add/Remove Snap-in.


En la lista de Available snap-ins, seleccionamos Certificates y hacemos clic en Add.


Seleccionamos Computer account y hacemos clic en Next.


Nos aseguramos que está seleccionado Local computer y clic en Finish.



Expandimos Certificates (Local Computer) y a continuación, hacemos clic con el botón derecho en Personal. Hacemos clic en All Tasks y a continuación, clic en Request New Certificate.


Nos aseguramos de que está seleccionado nuestro nuevo certificado y hacemos clic en Enroll.


Clic en Finish.




Ejecutamos Internet Information Services (IIS) Manager y expandimos el servidor y Sitios hasta Default Web Site. En el panel de acciones hacemos clic en Bindings.


Hacemos clic en Add.


En Type seleccionamos https y el certificado de nuestro servidor, hacemos clic en Ok.

Listo, ya accedemos a nuestra entidad certificadora a través de https.



Saludos y hasta pronto.
Gonz

2 comentarios:

  1. Excelente post mi hermano. Dios te Bendiga. Me sirvió bastante

    ResponderEliminar
  2. Muchas gracias, un excelente aporte, de gran ayuda para mi trabajo

    ResponderEliminar