Entidad Certificadora

27 abril 2015
Josep Ma Solanes 8

Cada vez se hace más necesario proteger las comunicaciones (servidores Web, correo, SQL, Escritorio Remoto, conexiones VPN), identificar correctamente un equipo o usuario, cifrar correos o archivos, firma electrónica, etc… Uno de los métodos que tengo para llevar a buen puerto este requisito son los CERTIFICADOS.

¿Los certificados? ¿No es lo de Hacienda?

Si, pero es muchas más cosas. El uso de poder hacer la declaración de la Renta a Hacienda es una de las aplicaciones que tienen, pero hay muchas más.

¿Sirve cualquier certificado?

Depende del servicio que quiera proteger. Si quiero proteger un servicio web, como el OWA, no me sirve un certificado de usuario, necesito un certificado de servidor Web que identifique el sitio (la URL). En cambio si quiero firmar un documento, necesito un certificado de usuario que permita firmar documentos. Podemos decir que los certificados se crean con una finalidad concreta y sólo se pueden utiizar para esta finalidad.

¿Que es una Entidad Certificadora?

Es la encargada de gestionar los certificados. Por gestionar se entiende:

  • La Emisión es la parte que genera los certificados. Se basa en permisos y directivas que definen la finalidad que debe tener cada certificado (firma, identificación, cifrado), el período de validez y para quién o qué se otorga. Generando una clave pública y privada, en caso de no disponer de un HSM (Hardware Security Module).
  • Revocación se encarga de mantener y publicar la lista de certificados que, a pesar de tener un período de validez válido, por el motivo que sea han estado revocados. Es decir, se han invalidado (se ha visto comprometido, se ha robado o manipulado).

¿Tengo que comprar los certificados o puedo utilizar los míos?

Depende para que se vayan a utlizar y la confianza que se tenga en terceras personas o entidades. Todo el mundo puede tener una Entidad Certificadora propia, de hecho es lo más normal. ¿Pero que pasa cuando interviene un tercero? La confianza que pueda tener o implicaciones legales, pero eso es otra historia que tengo pendiente de explicar de manera más sencilla, de momento, montamos nuestra propia entidad certificadora.

 

Mi Entidad Certificadora

Para poder utilizar nuestros propios certificados en los diferentes servicios que necesitamos proteger podemos utilizar la Entidad Certificadora que aporta Windows Server. De esta manera tengo un control total sobre la propia infraestructura sin depender de terceros.

Hay dos maneras de instalar la Entidad Certificadora: de manera independiente o integrada en el Active Directory. La diferencia radica donde se publican las claves privadas y públicas. En caso que se tengan que proteger los certificados de usuarios a la hora de utilizarlos, es posible generar estos certificados en dispositivos HSM. Esta última opción es importante valorarla antes de hacer la instalación de la entidad ya que posteriormente, no será posible hacer el cambio.

Instalación del rol

Dependiendo del tipo de red (pequeña o grande) y la importancia de los certificados en la red, la entidad certificadora se instala en uno de los controladores de Active Directory o en un servidor independiente. No obstante, lo ideal es instalar la entidad certificadora en dos servidores independientes. Uno para la entidad certificadora raíz (que guardaremos a cal y canto) y el otro para una entidad certificadora subordinada, para gestionar los certificados. De momento, se describe el proceso de instalación y gestión de una sola entidad certificadora.

Desde el servidor Windows 2012, en el administrador del servidor, seleccionar Panel > Agregar roles y características.

ca01-01

Seleccionar la opción Instalación basada en características o en roles y hacer clic en el botón Siguiente.

ca01-02

Seleccionar el servidor al que se debe aplicar el nuevo rol y hacer clic en el botón Siguiente.

ca01-03

De la lista de roles, marcar Servicios de certificados de Active Directory. Al hacerlo pide para añadir las características asociadas al rol. Asegurar que también instalamos las herramientas de administración y hacer clic en el botón Agregar características. Volviendo a la pantalla de rol, hacer clic en el botón Siguiente.

ca01-04

La lista de características se deja tal cual. Hacer clic en el botón Siguiente.

Se ha detectado la instalación de los servicios de certificados y se explica un poco para que sirve. Hacer clic en el botón Siguiente.

ca01-05

Marcar los servicios del rol a instalar:

  • Entidad de certificación
  • Inscripción web de entidad de certificación (al seleccionar, añadir las características IIS necesarias).

Para esta instalación, saltamos las opciones siguientes:

  • Respondedor en línea (permite publicar la lista de revocación en entornos complejos)
  • Servicio de inscripción de dispositivos de red (permite hacer solicitudes de certificados a dispositivos de red)
  • Servicio web de directiva de inscripción de certificados (permite asignar directivas a equipos y usuarios externos al dominio de seguridad)
  • Servicio web de inscripción de certificados (permite hacer inscripciones a equipos y usuarios externos al dominio de seguridad)

Hacer clic en el botón Siguiente.

ca01-06

Resumen de la instalación, hacer clic en el botón Instalar.

ca01-07

Terminada la instalación, se informa que se requieren de pasos adicionales: configurar la entidad certificadora. Hacer clic en el enlace (Configurar Servicios de certificados de Active Directory en el servidor de destino) para iniciar el asistente.

ca01-08

Configuración de la entidad certificadora

Al iniciar el asistente, lo primero que se pide es el usuario con el que se configurará la entidad certificadora:

  • Entidad Certificadora independiente, tiene que ser un administrador local.
  • Entidad Certificadora empresarial (integrada con el Active Directory), tiene que ser un administrador de organización (no Admin. del dominio, sino Admin. de empresa).

Seleccionar el usuario correspondiente y hacer clic en el botón Siguiente.

ca01-09

Marcar los servicios a configurar:

  • Entidad de certificación
  • Inscripción web de entidad de certificación

Hacer clic en la opción Siguiente.

ca01-10

Seleccionar el tipo de entidad certificadora: Empresarial o Independiente. En este caso, seleccionar Empresarial para integrarla al Active Directory. Hacer clic en el botón Siguiente.

ca01-11

Tipo de entidad certificadora: raíz o subordinada. Como que es la primera, seleccionar raíz y hacer clic en el botón Siguiente. En caso de desplegar la subordinada, obviamente se seleccionaría esta otra opción, indicando la entidad certificadora raíz de la que tiene que colgar.

ca01-12

Gestión de la clave privada de la Entidad Certificadora. Como que se está creando una nueva entidad certificadora seleccionar crear una clave privada nueva. En caso de recuperación de desastre de la entidad certificadora o por los motivos que sean, se puede utilizar una clave privada ya existente. Hacer clic en el botón Siguiente.

ca01-13

Criptografía para la Entidad Certificadora. ¿Como dices? ¿Cripto que? El algoritmo con el que se generan las claves y los hash (firmas) de los certificados. Como más altos, más difíciles de romper. Seleccionar RSA#Microsoft Software Key Storage Provider a 4096 con hash SHA256. Hacer clic en el botón Siguiente.

ca01-14

Se identifica la entidad certificadora. Por defecto se proporciona el nombre del dominio, seguido del equipo y termina con las siglas CA. A gusto de cada administrador. Yo prefiero indicar el nombre de la empresa, para que sea más fácil de identificar para las personas. Hacer clic en el botón Siguiente.

ca01-15

Período de validez del certificado de la Entidad Certificadora, por defecto a 5 años. Y si, se debe poner un período de validación que se pueda controlar. No poner mucho tiempo porque si se compromete la clave de la entidad certificadora se tendrían problemas de seguridad serios. Hacer clic en el botón Siguiente.

ca01-16

Ubicación de la base de datos y registros de los certificados. En la misma unidad o por seguridad mejor en otra unidad o partición. Hacer clic en el botón Siguiente.

ca01-17

Ya está todo a punto, sólo queda aplicar la configuración en la entidad certificadora. Hacer clic en el botón Configurar.

ca01-18

Se tiene que terminar la configuración con un todo correcto. Hacer clic en el botón Cerrar.

ca01-19

 

Primeros pasos con la Entidad Certificadora

Antes de empezar a dar certificados, a pesar de que ya están las plantillas estándar definidas, se debe personalizar un poco, la Entidad Certificadora según las necesidades. Abrir la consola de gestión de la propia entidad: desde el administrador del servidor, seleccionar el menú Herramientas > Entidad de certificación.

ca01-20

Botón derecho sobre el nombre de la entidad certificadora y seleccionar Propiedades para visualizar y editar la configuració de la misma.

ca01-21

Echando un vistazo a las diferentes opciones que se pueden dejar con la configuración por defecto:

 

ca01-22

Módulo de Directivas

ca01-23

Módulo de salida

ca01-24

Almacenamiento

ca01-25

Auditoría

ca01-26

Administradores de certificados

ca01-27

Agentes de inscripción

ca01-28

Seguridad. Quien puede administrar la entidad certificadora.

 

Y los que sí se deben modificar:

Extensiones. Donde se publica la lista de revocación y desde donde se puede conseguir el certificado generado por la entidad.

ca01-29

Agentes de recuperación. Si un usuario ha perdido la clave privada del certificado, como lo recupero.

ca01-30

 

Visión general de la Entidad Certificadora. ¿Donde están las cosas?

La entidad certificadora se organiza en carpetas:

  • Certificados revocados. Lista de los certificados que a pesar del periodo de validez es correcto, el administrador  los ha dado como no válidos por los motivos que sean. Es decir, en caso de utilización y si se ha consultado correctamente la lista de revocación, se informa que el certificado está revocado.
  • Certificados emitidos. Todos los certificados que ha generado la entidad certificadora y que no se han revocado. Ojo, también incluye los que ya han caducado.
  • Solicitudes pendientes. En caso que las plantillas pidan autorización del administrador de la Entidad Certificadora para emitir el certificado, en este apartado se visualizan los certificados que se piden. El Administrador tiene que aprobar o denegar la solicitud de cada certificado según corresponda.
  • Errores en las solicitudes. Como indica el nombre, errores que se hayan producido al hacer la solicitud del certificado. Una petición mal formada, problemas con las plantillas.
  • Plantillas de certificado. Los tipos de certificados que puede generar la entidad certificadora. Por defecto ya incluye unos cuantos que quizás puedan servir. Yo recomiendo modificar con los que trabajo: usuario, equipo, servidor web y agente de recuperación.

ca01-31

 

Plantillas de certificado

Haciendo clic con el botón derecho del ratón sobre la carpeta Plantillas de certificado, permite administrar y publicar las diferentes plantillas disponibles en la entidad certificadora. Es importante hacerlo antes de generar los certificados para la finalidad escogida. Seleccionar Administrar. Según el tipo de Entidad Certificadora y versión del sistema operativo aprarecen más o menos plantillas.

ca01-32

Las plantillas de sistema no se pueden modificar. Se debe generar una copia de la misma y modificar a gusto. Haciendo clic sobre la plantilla con el botón derecho del ratón y seleccionar Plantilla duplicada.

ca01-33

Lo primero que se pide es por la compatibilidad de la plantilla. Es importante, ya que según el sistema operativo que la tenga que utilizar la verá o no.

ca01-34

Cambiando el sistema operativo de la Entidad Certificadora o del destinatario del certificado se informa de los cambios que se producen en la plantilla.

ca01-35

La pestaña general, permite especificar el nombre de la nueva plantilla, así como el período de validez y renovación.

ca01-36

En el tratamiento de la solicitud se especifica el propósito para el que se genera el certificado. En el ejemplo, un certificado de usuario puede ser para cifrar, para firmar, para firmar y iniciar sesión con tarjeta inteligente o para cifrar y firmar.

ca01-37

El cifrado del certificado. Como más alto más fuerte y por lo tanto más difícil de romper.

ca01-38

Plantillas sustituidas. Si la nueva plantilla sustituye una plantilla que ya estaba publicada. En este caso, añadir la plantilla que sustituye.

ca01-39

Las extensiones que se asocian al certificado:

  • Directivas de aplicación. Para que se puede utilizar el certificado.

ca01-40

  • Directivas de emisión. En que condiciones se puede emitir el certificado.
  • Restricciones básicas. Para volver a emitir certificados a otras entidades.
  • Uso de la clave.

ca01-41

En seguridad, se especifique quien puede ver la plantilla y/o pedir el certificado a petición o de manera automática.

ca01-42

Nombre del sujeto. Especifica como se construye la identidad a proteger (dirección de correo electrónico, nombre de usuario, nombre de equipo, etc…)

ca01-43

Servidor. Información referente a la protección del certificado.

ca01-44

Requisitos para la emisión. ¿Que se tiene que cumplir para poder emitir el certificado: tiene que estar autorizado por un administrador? (la petición va a la carpeta de solicitudes pendientes), ¿lo tiene que autorizar un administrador o más de uno?…

ca01-45

 

Agente de recuperación

A nivel empresarial, es interesante poder recuperar la clave privada de un certificado emitido a partir de la entidad certificadora. Sobre todo en casos que el usuario pueda haber abandonado la empresa, eliminado por accidente el certificado, etc…

ANTES de generar los certificados susceptibles de poder recuperar la clave privada, se debe proceder a generar el certificado del Agente de Recuperación.

Desde la consola de administración de la Entidad Certificadora, botón derecho del ratón en Plantillas de certificado y seleccionar Administrar. Localizar la plantilla Key Recovery Agent (o bien agente de recuperación de claves), botón derecho del ratón y seleccionar propiedades. Confirmar el período de validez según corresponda.

ca01-46

En compatibilidad, escoger el sistema operativo de la entidad certificadora correspondiente: Windows Server 2012; y el del destinatario: Windows 8/Windows Server 2012.

ca01-47

En criptografía, aumentar la clave a 4096.

ca01-48

Requisitos de emisión.  Según convenga. Desmarcar o marcar la opción “Aprobación del administrador de certificados de entidad de certificación”. En caso de estar marcada, una vez generado el certificado, se debe aprobar la solicitud por un administrador de forma manual desde la consola de la Entidad Certificadora.

ca01-49

Hacer clic en el botón Aceptar y cerrar la consola de plantillas de certificado.

Botón derecho sobre la carpeta Plantillas de certificado, seleccionar Nuevo > Plantilla de certificado que se va a emitir.

ca01-50

Seleccionar Key Recovery Agent, hacer clic en el botón Aceptar.

ca01-51

Comprobar en la lista de plantillas disponibles que aparece Key Recovery Agent.

ca01-52

 

 

Generar el certificado del agente de recuperación para el Administrador

Iniciar una consola de administración (Windows + R y escribir mmc). Añadir el complemento de certificados. Archivo > Agregar o quitar complementos > Certificados > Mi cuenta de usuario. Hacer clic en el botón Finalizar y Cerrar.

ca01-53

Desde el árbol de carpetas de la izquierda, seleccionar Certificados: usuario actual > Personal > Certificados. Botón derecho del ratón, seleccionar Todas las tareas > Solicitar un nuevo certificado

ca01-54

Se inicia el asistente para la solicitud de un certificado, hacer clic en el botón Siguiente.

ca01-55

Permite escoger la directiva para la inscripción de certificados, de momento saltar este paso. En entradas posteriores explicaré como generar estas directivas para inscripciones. Hacer clic en el botón Siguiente.

ca01-56

Seleccionar la opción Key Recovery Agent para generar la plantilla de agente de recuperación. Hacer clic en el botón Inscribir.

ca01-57

Se genera la solicitud, pero queda como Inscripción pendiente. Hacer clic en el botón Finalizar.

ca01-58

Volver a la consola de administración de la Entidad Certificadora. Seleccionar la carpeta Solicitudes pendientes. Se visualiza la solicitud pendiente.

ca01-59

Botón derecho del ratón, seleccionar Todas las tareas y la opción que corresponda: Emitir o Denegar. Seleccionar Emitir.

ca01-60

La solicitud pendiente desaparece, seleccionando la carpeta de certificados emitidos, se puede observar el nuevo certificado.

ca01-61

Volver a la consola de certificados que se ha abierto antes (con la que se ha hecho la petición). Seleccionar la carpeta Solicitudes de inscripción de certificado > Certificados. Botón derecho sobre la solicitud pendiente. Seleccionar Todas las tareas > Exportar

ca01-63

Se inicia el asistente de exportación de certificados. Hacer clic en el botón Siguiente.

ca01-64

Indicar si se quiere exportar la clave privada o no. Seleccionar la opción exportar la clave privada y hacer clic en el botón Siguiente.

ca01-65

Seleccionar las opciones de exportación. Se puede dejar por defecto. Hacer clic en el botón Siguiente.

ca01-66

Al incorporar la clave privada en la exportación, hay que definir una contraseña para el certificado. Indicar la contraseña y hacer clic en el botón Siguiente.

ca01-67

Indicar la ruta y el nombre del archivo donde guardar el certificado. Hacer clic en el botón Siguiente.

ca01-68

Finalización del asistente. Hacer clic en el botón Finalizar. Se confirma la exportación. ¡¡¡Guardar esta copia en un lugar seguro!!!

ca01-69

Hecha la copia de seguridad del certificado se puede borrar la solicitud de inscripción que ha quedado pendiente.

Volver al administrador de la Entidad Certificadora, seleccionar el nombre de la entidad certificadora > propiedades > pestaña Agente de recuperación. Seleccionar Archivar la clave. Indicar el número de agentes de recuperación necesarios para recuperar una clave (por ejemplo 1). Hacer clic en el botón Agregar agente de recuperación con lo que permite seleccionar el certificado del agente de recuperación que se acaba de crear. Hacer clic en el botón Aceptar.

ca01-70

Se advierte que se tiene que reiniciar la entidad certificadora, hacer clic en el botón Si.

Volver a visualizar las propiedades de la entidad certificadora > Agente de recuperación para verificar que se ha cargado correctamente y es válido.

ca01-71

 

 

Al ser un tema que considero muy denso de asimilar y, empieza a ser interdisciplinario (intervienen varios servicios), hacemos una pausa. En una próxima entrada se verá como preparar las plantillas de usuario, equipo y servidor Web; la inscripción automática mediante Directivas de Grupo del Active Directory, el portal de inscripción Web y la recuperación de las claves privadas.

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

 

8 comentaris per a
“Entidad Certificadora”

  1. Hola Josep, excelente articulo, me gustaría saber si tienes información de como configurar los certificados internos dentro de una red corporativa, por ejemplo cuando alguien configura el puerto 443 (HTTPS) siempre sale un error de certificado, pero si el servicio es interno no debería validar nuestra propia entidad certificadora ??
    a la espera de tus comentarios
    gracias

     
    1. Tienes que cargar el certificado público de la CA en los equipos como entidad raíz de confianza. Normalmente se hace una GPO en el Active Directory. De esta forma todos los equipos pasan a confiar en ella. Tambíen tienes las políticas de inscripción de certificados automáticos para usuarios y equipos que controlas del mismo modo.

      Revisando el bloc creía tener un artículo con la definición de esta política, lo preparo para los próximos días.

      Saludos,

       
  2. Estimado, buenas noches.

    He tratado de seguir la secuencia pero me detuve debido a que no encuentro la opción “Nuevo certificado que se va a emitir (K.R.A)”, no se me muestra y tampoco la carpeta Certificados a nivel de Certificados:Usuario Actual. Por ende no puedo continuar. Favor su apoyo.
    Muchas gracias

     
    1. Recuerda que los certificados de usuario estan en la consola de administración (MMC) añadiendo el componente de Certificados y seleccionando el perfil de usuario.

      El certificado (KRA) Key Recovery Agent, puede variar el nombre según el idioma del sistema operativo. También tiene que estar publicado en la entidad certificadora tal como indica el artículo para que esté disponible para el sistema operativo desde el que se está generando dicho certificado. Si en la plantilla has publicado el Key Recovery Agent para Windows Server 2016 y estás intentando generar el certificado desde un equipo Windows Server 2012 R2, este no dará la opción. En este caso, debes modificar la plantilla de la Entidad Certificadora para que emita certificados para Windows Server 2012 R2.

      Saludos,

       
  3. saludos.

    De antemano gracias por publicar este tipo de contenido que sirve para comprender ciertos aspectos que uno no maneja. ahora le indico mi tema.
    A la compañía que presto servicio le hicieron una auditoria de vulnerabilidades con el rapid7. Nos aparecieron problemas con los certificados auto firmado y certificados CA.
    Llega a solventar el problema los auto firmados ya que uno de los DC tiene una entidad certificadora pero no se solvento los certificados CA entonces me puse a revisar por que fallo, el rapdi7 (quiero aclarar que mi servidor web no sale directamente a Internet hay un equipo que entrega hacia el cliente los certificados necesarios para hacer la pagina segura https) ,el rapid7 revisa todo los servidores de forma interna a la red) es decir por debajo de mis capas de seguridad.
    continudando el Rapid7 indica este punto TLS/SSL certificate signed by unknown, untrusted CA
    para una visión mas amplia:
    1. MI DC esta en WS2008 y Mi servidor web esta en WS2012.
    2. Tengo dominios diferentes el cual pregunto ¿Mi entidad certificadora debe estar en el mismo dominio?
    3. tengo un DC en WS2012

    para solventar el problemas de los certificados CA el DC ws2012 puede emitir los certificados CA a todas las maquinas ? a todos mis dominios.

    Muchas Gracias.

     
    1. Hola Alejandro, desconozco el Rapid7 y el informe que haya generado. Ahora bien, sobre las preguntas de la entidad de certificación:

          Puedes utilizar cualquier entidad de certificación en tu red, lo único que debes hacer es distribuir su clave pública a los equipos que deban utilizarla
          ¿Debe estar integrada en Active Directory o no? Eso depende de si asocias servicios automáticos, como la generación de certificados para los equipos o usuarios de forma automática, así como controlar la seguridad de peticiones de la misma
          ¿Puedo utilizar certificados en otro dominio de Active Directory emitidos por mi entidad? La respuesta es si, siempre y cuando no sean automáticos. Si los necesitas para generar un certificado Web en que le pasas la petición al servicio no hay ningún problema, más allá de tener la clave pública de la CA como entidad raiz de confianza.
          El mensaje que indicas es de untrusted CA, eso significa que la clave pública de tu entidad certificadora NO se ha añadido a los almacenes de entidad raiz de confianza. En los equipos Microsoft Windows, esto lo puedes lograr generando una GPO que importe esta clave pública. En dispositivos Linux, Mac, Mozilla, etc… debes importar esta clave pública al almacén de certificados.
          Considerarias esto un error grave. En principio no, pero deberías solucionarlo, sobretodo para no acostumbrar a los usuarios que para acceder a tus servicios deben decirle que es una web de confianza cuando intentan cerrar el candado
          ¿Qué es más preocupante? Que los certificados vengan con SHA1, en ese caso debes migrar a como mínimo SHA-256 o SHA-512. Los navegadores informan que es un cifrado bajo y vulnerable.
          Otro error que te pueden dar es si no has creado el certificado con el subject name, tambien es necesario a día de hoy que venga ese atributo para cerrrar correctamente, más ahora que los navegadores han puesto por defecto el protocolo HTTPS, marcando el HTTP como inseguro

      Espero haberte contestado tus dudas, saludos,

       

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.