Entitat Certificadora – inscripció web

22 Desembre 2013
Josep Ma Solanes 0

Aquesta entrada és la continuació de Entitat Certificadora que parla sobre la instal·lació i configuració inicial d’una entitat certificadora de Microsoft Windows Server 2012.

Es descriu la configuració de la inscripció web de la Entitat Certificadora, la generació, incrustació en els certificats i publicació de la llista de revocació; i l’establiment de l’entitat certificadora com arrel de confiança als equips del domini.

 

Inscripció web de la Entitat Certificadora

L’entorn web de la Entitat Certificadora permet gestionar de manera ràpida i senzilla dues operacions bàsiques de l’entorn de certificats:

  • Sol·licitud de certificatsA l’hora de fer la sol·licitud d’un certificat nou s’espera un entorn amigable que permeti fer tota l’operació d’una forma ràpida i senzilla. Alguns serveis ja disposen d’aquesta opció, és el cas de IIS per a certificats de servidor web, o les directives d’Active Directory per a l’autoinscripció de certificats per usuaris i equips. Però també hi ha el cas que només es pot generar la sol·licitud (una parrafada de lletres i números) que s’ha de passar a la Entitat Certificadora perquè generi el certificat (Exchange, Lync, dispositius de xarxa, etc…).
  • Publicació de la llista de revocació de certificatsSi la Entitat Certificadora està integrada a l’Active Directory, la llista de revocació s’hi publica automàticament; però quan hi ha màquines que accedeixen des de l’exterior es fa difícil que se la descarreguin. Una bona opció és publicar la llista de revocació mitjançant el servei Web.

 

Configuració de la inscripció web

A l’afegir el rol de inscripció web d’entitat de certificació, es demana, també, per la instal·lació del rol de IIS, afegint totes les característiques necessàries per operar el servei Web de la Entitat Certificadora. Si s’accedeix l’Administrador de IIS, es pot observar que sota el lloc per defecte s’ha creat:

ca201-01

  • Un servei web: CertSrv. Correspon a l’aplicació Web per la gestió de sol·licitud i generació de certificats. S’hi pot accedir amb un navegador web des del propi servidor amb l’adreça: http://localhost/certsrv. Apareix la pròpia aplicació Web.

ca201-04

  • Un directori virtual: CertEnroll. On hi ha la clau pública i les llistes de revocació de l’entitat certificadora. S’hi pot accedir amb un navegador web des del propi servidor amb l’adreça: http://localhost/certenroll. Apareix un missatge d’accés prohibit.

ca201-02

És normal al no poder navegar per dins la carpeta. Només es permet fer la petició exacte al fitxer que es vol. Al ser fitxers públics, l’accés a aquesta carpeta s’aconsella fer per http (no per https). Els fitxers inclosos són:

    • La llista de revocació: http://localhost/certenroll/jmsolanes.crl
    • Les diferències de la llista de revocació: http://localhost/certenroll/jmsolanes+.crl
    • La clau pública de l’entitat certificadora: http://localhost/certenroll/srvDC.laboratoris.local_JMSolanes.crt

Els noms canvien segons el nom de cada Entitat Certificadora, donar una ullada al contingut de la carpeta CertEnroll des de l’Explorador de Windows.

En cas d’accedir des d’un client (no des del propi servidor), s’ha d’indicar la ruta del servidor http://srvdc.laboratoris.local/certsrv. Aquest sol·licita les credencials d’usuari amb permisos per poder accedir-hi. Segons aquests permisos, l’usuari disposarà de més o menys plantilles de certificats.

ca201-03

Potser el nom FQDN intern no és massa encertat pels usuaris i/o, sobretot, si s’ha de publicar a l’exterior. Una bona pràctica és canviar-lo per un amb identificació pròpia, per exemple: ca.laboratoris.local (de Certified Authority). Per evitar intercepcions en la generació de certificats també convé protegir el servei amb el protocol HTTPS.

 

Creació d’un Alias

Per la resolució del nom, crear un registre del tipus alias al servidor de DNS que apunti al servidor amb l’entitat certificadora. Es pot trobar informació al respecte a l’entrada sobre el servidor DNS. Per exemple:

 ca.laboratoris.local   CNAME   srvdc.laboratoris.local

Comprovar que es resol correctament aquest nou nom amb un ping o des d’un navegador fent la crida a l’entitat (http://ca.laboratoris.local/certsrv).

 

Publicació de la llista de revocació de certificats

Obrir l’administrador de la Entitat Certificadora. Seleccionar el nom de l’entitat, botó dret Propiedades. Clicar a la pestanya Extensiones.

Seleccionar l’extensió Puntos de distribución de lista de revocación de certificados (CDP).

ca201-09

Per defecte s’inclou la publicació de la llista de revocació a la ruta local, l’LDAP, el sistema de fitxers de xarxa i l’entorn http.
Però NO totes aquestes extensions s’incrusten als certificats!

Per afegir la nostra pròpia URL (ca.laboratoris.local/certenroll…) que s’ha d’incloure a tots els certificats emesos. Clicar el botó Agregar.
El quadre de diàleg que surt permet construir la URL on es publica la llista de revocació, però utilitzant les variables del sistema (opció Variable):

http://ca.laboratoris.local/CertEnroll/<nombre de CA><sufijo de nombre de la lista CRL><Diferencias entre listas CRL permitidas>.crl

Clicar el botó Aceptar.

ca201-10

Si no ho està, seleccionar la nova adreça i marcar les opcions:

  • Incluir en las CRL. Usadas para encontrar la ubicación de diferencias CRL.
  • Incluir en la extensión CDP de los certificados emitidos.

Clicar el botó Aplicar.

ca201-11

Es demana per reiniciar l’entitat certificadora, clicar el botó No.

ca201-12

Seleccionar l’extensió Acceso a la información de entidad (AIA). Clicar el botó Agregar.

ca201-13

A l’igual que el pas anterior, utilitzar les variables per construir l’adreça:

 http://ca.laboratoris.local/certEnroll/<nombre DNS del servidor>_<nombre de CA><nombre de certificado>.crt

Si no ho està, seleccionar la nova adreça i marcar les opcions:

  • Incluir en la extensión AIA de los certificados emitidos.

Clicar el botó Aceptar. Es demana per reiniciar l’entitat certificadora, clicar el botó Si.

ca201-14

Per actualitzar el fitxer amb la llista de revocació, des de la pantalla principal de l’entitat certificadora, a la banda esquerra desplegar l’arbre de carpetes i seleccionar la carpeta Certificados revocados. Botó dret, seleccionar Todas las tareas i Publicar.

ca201-15

Seleccionar Lista de revocación de certificados (CRL) nueva. Clicar el botó Aceptar.

ca201-16

 

Confiança en la entitat certificadora

Per poder operar amb els certificats d’una Entitat Certificadora correctament, cal confiar amb aquesta. Els sistemes operatius inclouen de sèrie les claus públiques d’algunes entitats certificadores comercials, però segurament no inclogui la nostra. Perquè els equips, usuaris o aplicacions confiïn amb la nostra entitat cal afegir la seva clau pública a la carpeta Entitats Certificadores arrel de confiança.

Una forma per fer-ho a tots els equips del domini d’Active Directory és modificant la GPO Default Domain Policy. Des d’un controlador de Active Directory, iniciar la consola Administración de Directivas de Grupo. Seleccionar Default Domain Policy, botó dret, Editar.

ca201-21

Desplegar l’arbre de carpetes: Directiva Default Domain Policy > Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de clave pública > Entidades de certificación raíz de confianza. Botó dret damunt d’aquesta última i seleccionar Importar.

ca201-22

S’inicia l’assistent per importar un certificat, per defecte ja hi ha marcada la opció equipo local que no es pot canviar. Clicar el botó Siguiente.

ca201-23

Seleccionar el nom del fitxer amb la clau pública a importar. Clicar Examinar… Cercar per la xarxa la ruta amb la clau pública de l’entitat (nom del servidor\certenroll). Clicar el botó Siguiente.

ca201-24

S’indica el magatzem on instal·lar el certificat correcte, el d’entitats certificadores arrel de confiança. Clicar el botó Siguiente.

ca201-25

Resum de l’assistent, clicar el botó Finalizar.

ca201-26

S’informa que la importació ha estat correcte.

Tancar la consola d’administració de directives de grup. Cal esperar o forçar la propagació als controladors d’Active Directory (en cas de tenir més d’un) que és fa cada 5 minuts.

Obrint la consola de certificats d’usuari i equips en un equip client, es pot veure que encara no es confia amb l’entitat certificadora.

ca201-27

Per aplicar la nova directiva, es pot forçar mitjançant una consola amb privilegis d’administrador, escrivint:

gpupdate /force

ca201-28

o bé reiniciant l’equip.

Aplicada la nova directiva, a la consola de certificats i en l’apartat d’Entitats de certificació arrel de confiança es pot observar el certificat de la nostra entitat; tant a l’apartat d’usuari com la d’equip.

ca201-29

 

Sol·licitud d’un certificat amb IIS

Amb el nom nou FQDN (ca.laboratoris.local) per l’entitat certificadora, es procedeix a crear el certificat per protegir el lloc web. Des de l’administrador de IIS, seleccionar el nom del servidor. A l’apartat d’opcions de IIS, clicar la icona Certificados de servidor.

ca201-05

A la banda dreta, a la barra d’accions; seleccionar Crear certificado de dominio.

ca201-06

S’inicia un assistent per la creació d’un certificat per al servei Web, demanant les quatre dades bàsiques:

  • Nom comú: el nom FQDN del servidor (ca.laboratoris.local)
  • Organització: Nom de l’empresa
  • Unitat organitzativa: Departament, molt americà.
  • Ciutat o localitat
  • Província
  • País

Informats els camps, clicar el botó Siguiente.

ca201-07

Tenint la Entitat Certificadora integrada a l’Active Directory, només cal clicar el botó Seleccionar i marcar la corresponent. Indicar un nom descriptiu pel certificat (Servei Web Entitat Certificadora o el FQDN…). Clicar el botó Finalizar.

ca201-08

L’assistent s’encarrega de fer la sol·licitud, passar-la a l’entitat certificadora i recuperar el certificat generat, apareixent a la llista de certificats disponibles.

ca201-17

Clicant damunt el certificat es visualitza les propietats del mateix. Important l’opció Emitido para: i conforme té la clau privada.

ca201-18

A la pestanya Detalls, comprovar els punts de distribució CRL que inclogui la ruta accessible i que si es posa en un navegador descarrega el fitxer amb la llista de revocació.

ca201-19

El mateix per l’opció Acceso a la información de entidad emisora.

ca201-20

Cal associar-lo al servei Web. Seleccionar Default Web Site i a la barra lateral dreta d’accions, clicar a Enlaces.

ca201-30

Clicar el botó Agregar.

ca201-31
Seleccionar tipo HTTPS per a totes les adreces i pel port 443.

Per utilitzar el certificat correcte, limitar el nom del host a ca.laboratoris.local

Seleccionar el certificat SSL que acabem de crear: Servei web Entitat Certificadora.
Clicar el botó Aceptar.

ca201-32

Clicar el botó Cerrar.

Des del navegador d’un client, accedir a l’adreça de l’entitat certificadora amb https: https://ca.laboratoris.local/certsrv. Si tot es correcte, ha de solicitar les credencials per accedir a l’entitat i carregar la pàgina principal, tancant la connexió amb el candau i amb plena confiança amb el certificat.

ca201-34

ca201-35

 

 

 

Ja tenim l’entitat certificadora OPERATIVA!!!

 

 

 

 

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada