Entidad Certificadora – inscripción web

Publicado el Dejar un comentario Etiquetas: ,

Aquesta entrada també està disponible en: Catalán

Esta entrada es la continuación de Entidad Certificadora que habla sobre la instalación y configuración inicial de una entidad certificadora de Microsoft Windows Server 2012.

Se describe la configuración de la inscripción web de la Entidad Certificadora, la generación, incrustación en los certificados y publicación de la lista de revocación; y el establecimiento de la entidad certificadora como raíz de confianza en los equipos del dominio.

 

Inscripción web de la Entidad Certificadora

El entorno web de la Entidad Certificadora permite gestionar de manera rápida y sencilla dos operaciones básicas del entorno de certificados:

  • Solicitud de certificadosA la hora de hacer la solicitud de un certificado nuevo se espera un entorno amigable que permita hacer toda la operación de una forma rápida y sencilla. Algunos servicios ya disponen de esta opción, es el caso de IIS para certificados de servidor web, o las directivas de Active Directory para la autoinscripción de certificados para usuarios y equipos. Pero también hay el caso que sólo se puede generar la solicitud (una parrafada de letras y números) que se debe pasar a la Entidad Certificadora para que genere el certificado (Exchange, Lync, dispositivos de red, etc…).
  • Publicación de la lista de revocación de certificadosSi la Entidad Certificadora está integrada en el Active Directory, la lista de revocación se publica automáticamente; pero cuando hay máquinas que acceden desde el exterior se hace difícil que se la descarguen. Una buena opción es publicar la lista de revocación mediante el servicio Web.

 

Configuración de la inscripción web

Al añadir el rol de inscripción web de entidad de certificación, se pide, también, por la instalación del rol de IIS, añadiendo todas las características necesarias para operar el servicio Web de la Entidad Certificadora. Si se accede el Administrador de IIS, se puede observar que bajo el sitio por defecto se ha creado:

ca201-01

  • Un servicio web: CertSrv. Corresponde a la aplicación Web para la gestión de solicitud y generación de certificados. Se puede acceder con un navegador web desde el propio servidor con la dirección: http://localhost/certsrv. Aparece la propia aplicación Web.

ca201-04

  • Un directorio virtual: CertEnroll. Donde hay la clave pública y las listas de revocación de la entidad certificadora. Se puede acceder con un navegador web desde el propio servidor con la dirección: http://localhost/certenroll. Aparece un mensaje de acceso prohibido.

ca201-02

Es normal al no poder navegar por dentro de la carpeta. Sólo se permite hacer la petición exacta al archivo que se quiere. Al ser archivos públicos, el acceso a esta carpeta se aconseja hacer por http (no por https). Los archivos incluídos son:

    • La lista de revocación: http://localhost/certenroll/jmsolanes.crl
    • Las diferencias de la lista de revocación: http://localhost/certenroll/jmsolanes+.crl
    • La clave pública de la entidad certificadora: http://localhost/certenroll/srvDC.laboratoris.local_JMSolanes.crt

Los nombres cambian según el nombre de cada Entidad Certificadora, echar un vistazo al contenido de la carpeta CertEnroll desde el Explorador de Windows.

En caso de acceder desde un cliente (no desde el propio servidor), se debe indicar la ruta del servidor http://srvdc.laboratoris.local/certsrv. Este solicita las credenciales de usuario con permisos para poder acceder. Según estos permisos, el usuario dispondrá de más o menos plantillas de certificados:

ca201-03

Tal vez el nombre FQDN interno no es demasiado acertado para los usuarios y/o, sobre todo, si se tiene que publicar en el exterior. Una buena práctica es cambiarlo por uno con identificación propia, por ejemplo: ca.laboratoris.local (de Certified Authority). Para evitar intercepciones en la generación de certificados también conviene proteger el servicio con el protocolo HTTPS.

 

Creación de un Alias

Para la resolución del nombre, crear un registro del tipo alias en el servidor de DNS que apunte al servidor con la entidad certificadora. Se puede encontrar información al respecto en la entrada sobre el servidor DNS. Por ejemplo:

 ca.laboratoris.local   CNAME   srvdc.laboratoris.local

Comprobar que se resuelve correctamente este nuevo nombre con un ping o desde un navegador haciendo la llamada a la entidad (http://ca.laboratoris.local/certsrv).

 

Publicación de la lista de revocación de certificados

Abrir el administrador de la Entidad Certificadora. Seleccionar el nombre de la entidad, botón derecho Propiedades. Hacer clic en la pestaña Extensiones.

Seleccionar la extensión Puntos de distribución de lista de revocación de certificados (CDP).

ca201-09

Por defecto se incluye la publicación de la lista de revocación en la ruta local, la LDAP, el sistema de archivos de red y el entorno http.

¡Pero NO todas estas extensiones se incrustan en los certificados!

Para añadir nuestra propia URL (ca.laboratoris.local/certenroll…) que se tiene que incluir en todos los certificados emitidos. Hacer clic en el botón Agregar.

El cuadro de diálogo que sale permite construir la URL donde se publica la lista de revocación, pero utilizando las variables del sistema (opción Variable):

http://ca.laboratoris.local/CertEnroll/<nombre de CA><sufijo de nombre de la lista CRL><Diferencias entre listas CRL permitidas>.crl

Hacer clic en el botón Aceptar.

ca201-10

Si no lo está, seleccionar la nueva dirección y marcar las opciones:

  • Incluir en las CRL. Usadas para encontrar la ubicación de diferencias CRL.
  • Incluir en la extensión CDP de los certificados emitidos.

Hacer clic en el botón Aplicar.

ca201-11

Se pide por reiniciar la entidad certificadora, hacer clic en el botón No.

ca201-12

Seleccionar la extensión Acceso a la información de entidad (AIA). Hacer clic en el botón Agregar.

ca201-13

Al igual que el paso anterior, utilizar las variables para construir la dirección:

 http://ca.laboratoris.local/certEnroll/<nombre DNS del servidor>_<nombre de CA><nombre de certificado>.crt

Si no lo está, seleccionar la nueva dirección y marcar las opciones:

  • Incluir en la extensión AIA de los certificados emitidos.

Hacer clic en el botón Aceptar. Se pide por reiniciar la entidad certificadora, hacer clic en el botón Si.

ca201-14

Para actualizar el archivo con la lista de revocación, desde la pantalla principal de la entidad certificadora, en la parte izquierda desplegar el árbol de carpetas y seleccionar la carpeta Certificados revocados. Botón derecho, seleccionar Todas las tareasPublicar.

ca201-15

Seleccionar Lista de revocación de certificados (CRL) nueva. Hacer clic en el botón Aceptar.

ca201-16

 

Confianza en la entidad certificadora

Para poder operar con los certificados de una Entidad Certificadora correctamente, hay que confiar en esta. Los sistemas operativos incluyen de serie las claves públicas de algunas entidades certificadoras comerciales, pero seguramente no incluya la nuestra. Para que los equipos, usuarios o aplicaciones confien en nuestra entidad hay que añadir su clave pública en la carpeta Entidades Certificadoras raíz de confianza.

Una forma para hacerlo en todos los equipos del dominio de Active Directory es modificando la GPO Default Domain Policy. Desde un controlador de Active Directory, iniciar la consola Administración de Directivas de Grupo. Seleccionar Default Domain Policy, botón derecho, Editar.

ca201-21

Desplegar el árbol de carpetas: Directiva Default Domain Policy > Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de clave pública > Entidades de certificación raíz de confianza. Botón derecho encima de esta última y seleccionar Importar.

ca201-22

Se inicia el asistente para importar un certificado, por defecto ya hay marcada la opción equipo local que no se puede cambiar. Hacer clic en el botón Siguiente.

ca201-23

Seleccionar el nombre del archivo con la clave pública a importar. Hacer clic en Examinar… Buscar por la red la ruta con la clave pública de la entidad (nombre del servidor\certenroll). Hacer clic en el botón Siguiente.

ca201-24

Se indica el almacén donde instalar el certificado correcto, el de entidades certificadoras raíz de confianza. Hacer clic en el botón Siguiente.

ca201-25

Resumen del asistente, hacer clic en el botón Finalizar.

ca201-26

Se informa que la importación ha sido correcta.

Cerrar la consola de administración de directivas de grupo. Hay que esperar o forzar la propagación en los controladores de Active Directory (en caso de tener más de uno) que se hace cada 5 minutos.

Abriendo la consola de certificados de usuario y equipos en un equipo cliente, se puede ver que aún no se confía en la entidad certificadora.

ca201-27

Para aplicar la nueva directiva, se puede forzar mediante una consola con privilegios de administrador, escribiendo:

gpupdate /force

ca201-28

o bien reiniciando el equipo.

Aplicada la nueva directiva, en la consola de certificados y en el apartado de Entidades de certificación raíz de confianza se puede observar el certificado de nuestra entidad; tanto en el apartado de usuario como en el de equipo.

ca201-29

 

Solicitud de un certificado con IIS

Con el nombre nuevo FQDN (ca.laboratoris.local) para la entidad certificadora, se procede a crear el certificado paa proteger el sitio web. Desde el administrador de IIS, seleccionar el nombre del servidor. En el apartado de opciones de IIS, hacer clic en el icono Certificados de servidor.

ca201-05

En el lado derecho, en la barra de acciones; seleccionar Crear certificado de dominio.

ca201-06

Se inicia un asistente para la creación de un certificado para el servicio Web, pidiendo los cuatro datos básicos:

  • Nombre común: el nombre FQDN del servidor (ca.laboratoris.local)
  • Organización: Nombre de la empresa
  • Unidad organizativa: Departamento, muy americano.
  • Ciudad o localidad
  • Provincia
  • País

Informados los campos, hacer clic en el botón Siguiente.

ca201-07

Teniendo la Entidad Certificadora integrada en el Active Directory, sólo hay que hacer clic en el botón Seleccionar y marcar la correspondiente. Indicar un nombre descriptivo para el certificado (Servicio Web Entidad Certificadora o el FQDN…). Hacer clic en el botón Finalizar.

ca201-08

El asistente se encarga de hacer la solicitud, pasarla a la entidad certificadora y recuperar el certificado generado, apareciendo en la lista de certificados disponibles.

ca201-17

Haciendo clic sobre el certificado se visualiza las propiedades del mismo. Importante la opción Emitido para: y conforme tiene la clave privada.

ca201-18

En la pestaña Detalles, comprobar los puntos de distribución CRL que incluya la ruta accesible y que si se pone en un navegador descarga el archivo con la lista de revocación.

ca201-19

Lo mismo para la opción Acceso a la información de entidad emisora.

ca201-20

Hay que asociarlo al servicio Web. Seleccionar Default Web Site y en la barra lateral derecha de acciones, hacer clic en Enlaces.

ca201-30

Hacer clic en el botón Agregar.

ca201-31
Seleccionar tipo HTTPS para todas las direcciones y por el puerto 443.

Para utilizar el certificado correcto, limitar el nombre del host en ca.laboratoris.local

Seleccionar el certificado SSL que acabamos de crear: Servicio web Entidad Certificadora.
Hacer clic en el botón Aceptar.

ca201-32

Hacer clic en el botón Cerrar.

Desde el navegador de un cliente, acceder a la dirección de la entidad certificadora con https: https://ca.laboratoris.local/certsrv. Si todo está correcto, tiene que solicitar las credenciales para acceder a la entidad y cargar la página principal, cerrando la conexión con el candado y con plena confianza con el certificado.

ca201-34

ca201-35

 

 

 

¡¡¡Ya tenemos la entidad certificadora OPERATIVA!!!

 

 

 

 

 

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *