2

Instalación y configuración de entidad emisora de certificados en MS Windows Server 2012 R2

Hola a tod@s.

En este post vamos a ver como instalar y configurar una entidad emisora de certificados en MS Windows Server 2012 R2, esto nos va a permitir generar a nosotros mismos nuestros propios certificados, dándole seguridad a nuestras comunicaciones.

  • Empezamos la configuración de nuestro servidor Active Directory Certificate Services (ADCS) asignándole un nombre y una dirección IP estática y como DNS le asignamos la dirección IP de nuestro controlador de dominio, ya que es éste servidor el que tiene el rol de DNS, también debemos unir este equipo a nuestro dominio:

ieecws20012r2_1

ieecws20012r2_2

  • Para empezar a instalar ADCS abrimos elAdministrador del servidor y nos vamos a Administrar>Agregar  roles y características:

ieecws20012r2_3

  • Se nos abre este asistente, clic en siguiente para continuar:

ieecws20012r2_4

  • Elegimos la opción instalación basada en características o roles:

ieecws20012r2_5

  • Seleccionamos el servidor y clic sobre siguiente:

ieecws20012r2_6

  • Ahora agregamos el rol de “Servicios de certificados de Active Directory”:

ieecws20012r2_7

  • Se nos abre el siguiente asistente para agregar las características necesarias para este rol:

ieecws20012r2_8

  • Clic en siguiente para continuar:

ieecws20012r2_9

  • Todas las características que requiere nuestro servidor de certificados se seleccionan por defecto por lo que hacemos clic en siguiente:

ieecws20012r2_10

  • Nos muestra información sobre los servicios de certificados de Active Directory, clic en “siguiente”:

ieecws20012r2_11

  • En los servicios de rol seleccionamos “Inscripción web de entidad de certificación”, el servicio “Entidad de certificación” ya está seleccionado por defecto, clic en “siguiente”:

ieecws20012r2_12

  • Se nos abre el siguiente asistente para agregar las características necesarias para este servicio de rol:

ieecws20012r2_13

  • Clic en siguiente para continuar:

ieecws20012r2_14

  • Nos muestra información sobre el rol de IIS (Internet Information Services), clic en siguiente para continuar:

ieecws20012r2_15

  • Lo dejamos todo por defecto, clic en “siguiente”:

ieecws20012r2_16

  • Nos muestra un resumen de todo lo seleccionado, marcamos el check para que reinicie el servidor cuando instale los roles que hemos seleccionado, clic sobre “Instalar”:

ieecws20012r2_17

  • Comienza con la instalación de toda la configuración elegida en los asistentes:

ieecws20012r2_18

  • Como podemos ver la instalación ha finalizado correctamente, clic sobre “cerrar”:

ieecws20012r2_19

  • Ahora para configurar los Servicios de certificado de Active Directory, sobre el Administrador del servidor, en los warning, hacemos clic en “Configurar Servicios de certificado de Active Directory”:

ieecws20012r2_20

  • Se nos abre el siguiente asistente, dónde introducimos las credenciales del administrador del dominio:

ieecws20012r2_21

  • Seleccionamos “Entidad de certificación” e “Inscripción web de entidad de certificación”:

ieecws20012r2_22

  • El tipo de instalación elegida será Entidad de certificación empresarial, ya que vamos a trabajar sobre nuestro dominio:

ieecws20012r2_23

  • El tipo de CA será root:

ieecws20012r2_24

  • Seleccionamos la opción “Crear una clave privada nueva”:

ieecws20012r2_25

  • Seleccionamos los parámetros por defecto:

ieecws20012r2_26

  • Lo dejamos tal cuál está:

ieecws20012r2_27

  • En el período de validez, elegimos por ejemplo 20 años:

ieecws20012r2_28

  • Las ubicaciones de las bases de datos las dejamos por defecto:

ieecws20012r2_29

  • Nos muestra un resumen de todo lo configurado en el asistente, clic a “Configurar”:

ieecws20012r2_30

  • Como podemos ver todo ha finalizado correctamente, clic en “Cerrar”:

ieecws20012r2_31

  • Si todo está funcionando correctamente nos podremos conectar a nuestra entidad de certificación en la URL http://localhost/certsrv, dónde cargará la página principal:

ieecws20012r2_32

  • Ahora vamos a ejecutar el Administrador de Internet Information Services (IIS) y comprobamos que las conexiones por HTTPS no están habilitadas:

ieecws20012r2_33

ieecws20012r2_34

  • Para habilitar las conexiones por HTTPS vamos a seguir estos pasos, en primer lugar nos abrimos una consola de Windows PowerShell y ejecutamos el comando, certtmpl.msc:

ieecws20012r2_35

  • Se nos abre la siguiente consola y sobre el panel de detalles seleccionamos “Servidor Web”, luego hacemos clic sobre “Plantilla duplicada”:

ieecws20012r2_36

  • Sobre la pestaña “Compatibilidad” lo dejamos por defecto:

ieecws20012r2_37

  • Sobre la pestaña “General” le damos un nombre a la plantilla y el período de validez le damos 5 años:

ieecws20012r2_38

  • Sobre la pestaña “Seguridad” agregamos la cuenta del servidor que tiene el rol de Entidad de certificación:

ieecws20012r2_39

  • En Tipos de objeto seleccionamos Equipos:

ieecws20012r2_40

  • Agregamos nuestro servidor de Entidad de certificación:

ieecws20012r2_41

  • Le asignamos los permisos necesarios:

ieecws20012r2_42

  • Sobre la pestaña “Nombre del sujeto” configuramos estas opciones:

ieecws20012r2_43

  • Sobre la pestaña “Criptografía” el tamaño mínimo de clave debe estar en el valor 2048, aplicamos y aceptamos:

ieecws20012r2_44

  • Cerramos la consola de Plantillas de certificado y abrimos la consola de Entidad de certificación en las Herramientas administrativas:

ieecws20012r2_45

  • Sobre la consola de Entidad de certificación hacemos un clic derecho de ratón sobre “Plantillas de certificado”, seleccionamos Nuevo>Plantilla de certificado que se va a emitir:

ieecws20012r2_46

  • Seleccionamos la nueva plantilla de certificado que configuramos anteriormente y clic en “Aceptar”:

ieecws20012r2_47

ieecws20012r2_48

  • Nos abrimos una consola de Windows PowerShell y escribimos el comando mmc, en la nueva consola que se nos abre damos clic sobre Archivo y Agregar o quitar complemento:

ieecws20012r2_49

  • Seleccionamos certificados y agregamos:

ieecws20012r2_50

  • Se nos abre este asistente dónde vamos configurando las siguientes opciones:

ieecws20012r2_51

ieecws20012r2_52

  • Aceptamos la configuración:

ieecws20012r2_53

  • Sobre la nueva consola que acabamos de configurar solicitamos un nuevo certificado:

ieecws20012r2_54

  • Se nos vuelve a abrir un nuevo asistente, dónde vamos configurando lo siguiente:

ieecws20012r2_55

ieecws20012r2_56

ieecws20012r2_57

  • Como podemos ver se ha inscrito correctamente, clic en “Finalizar”:

ieecws20012r2_58

  • Ahora nos abrimos el Administrador de IIS, y sobre Default web Site hacemos clic en Modificar sitio > Enlaces:

ieecws20012r2_59

  • Añadimos las conexiones HTTPS a través del puerto 443:

ieecws20012r2_60

ieecws20012r2_61

  • Como podemos ver ya tenemos la nueva conexión por HTTPS agregada:

ieecws20012r2_62

ieecws20012r2_63

ieecws20012r2_64

  • Ya podemos acceder a nuestra entidad de certificación a través de HTTPS:

ieecws20012r2_65

 

Saludos y espero que os resulte de ayuda 😉

jramos

Técnico Superior STI

2 comentarios

  1. Hola, cuando intento inscribir el certificado SSLCertificate, no me aparece en la lista, solo me aparece el de EQUIPO, y cuando reviso los certificados no disponibles me aparece alli el SSLCertificate donde me dice que no tengo permisos para inscribir ese certificado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.