Hola a tod@s.
En este post vamos a ver como instalar y configurar una entidad emisora de certificados en MS Windows Server 2012 R2, esto nos va a permitir generar a nosotros mismos nuestros propios certificados, dándole seguridad a nuestras comunicaciones.
- Empezamos la configuración de nuestro servidor Active Directory Certificate Services (ADCS) asignándole un nombre y una dirección IP estática y como DNS le asignamos la dirección IP de nuestro controlador de dominio, ya que es éste servidor el que tiene el rol de DNS, también debemos unir este equipo a nuestro dominio:
- Para empezar a instalar ADCS abrimos elAdministrador del servidor y nos vamos a Administrar>Agregar roles y características:
- Se nos abre este asistente, clic en siguiente para continuar:
- Elegimos la opción instalación basada en características o roles:
- Seleccionamos el servidor y clic sobre siguiente:
- Ahora agregamos el rol de “Servicios de certificados de Active Directory”:
- Se nos abre el siguiente asistente para agregar las características necesarias para este rol:
- Clic en siguiente para continuar:
- Todas las características que requiere nuestro servidor de certificados se seleccionan por defecto por lo que hacemos clic en siguiente:
- Nos muestra información sobre los servicios de certificados de Active Directory, clic en “siguiente”:
- En los servicios de rol seleccionamos “Inscripción web de entidad de certificación”, el servicio “Entidad de certificación” ya está seleccionado por defecto, clic en “siguiente”:
- Se nos abre el siguiente asistente para agregar las características necesarias para este servicio de rol:
- Clic en siguiente para continuar:
- Nos muestra información sobre el rol de IIS (Internet Information Services), clic en siguiente para continuar:
- Lo dejamos todo por defecto, clic en “siguiente”:
- Nos muestra un resumen de todo lo seleccionado, marcamos el check para que reinicie el servidor cuando instale los roles que hemos seleccionado, clic sobre “Instalar”:
- Comienza con la instalación de toda la configuración elegida en los asistentes:
- Como podemos ver la instalación ha finalizado correctamente, clic sobre “cerrar”:
- Ahora para configurar los Servicios de certificado de Active Directory, sobre el Administrador del servidor, en los warning, hacemos clic en “Configurar Servicios de certificado de Active Directory”:
- Se nos abre el siguiente asistente, dónde introducimos las credenciales del administrador del dominio:
- Seleccionamos “Entidad de certificación” e “Inscripción web de entidad de certificación”:
- El tipo de instalación elegida será Entidad de certificación empresarial, ya que vamos a trabajar sobre nuestro dominio:
- El tipo de CA será root:
- Seleccionamos la opción “Crear una clave privada nueva”:
- Seleccionamos los parámetros por defecto:
- Lo dejamos tal cuál está:
- En el período de validez, elegimos por ejemplo 20 años:
- Las ubicaciones de las bases de datos las dejamos por defecto:
- Nos muestra un resumen de todo lo configurado en el asistente, clic a “Configurar”:
- Como podemos ver todo ha finalizado correctamente, clic en “Cerrar”:
- Si todo está funcionando correctamente nos podremos conectar a nuestra entidad de certificación en la URL http://localhost/certsrv, dónde cargará la página principal:
- Ahora vamos a ejecutar el Administrador de Internet Information Services (IIS) y comprobamos que las conexiones por HTTPS no están habilitadas:
- Para habilitar las conexiones por HTTPS vamos a seguir estos pasos, en primer lugar nos abrimos una consola de Windows PowerShell y ejecutamos el comando, certtmpl.msc:
- Se nos abre la siguiente consola y sobre el panel de detalles seleccionamos “Servidor Web”, luego hacemos clic sobre “Plantilla duplicada”:
- Sobre la pestaña “Compatibilidad” lo dejamos por defecto:
- Sobre la pestaña “General” le damos un nombre a la plantilla y el período de validez le damos 5 años:
- Sobre la pestaña “Seguridad” agregamos la cuenta del servidor que tiene el rol de Entidad de certificación:
- En Tipos de objeto seleccionamos Equipos:
- Agregamos nuestro servidor de Entidad de certificación:
- Le asignamos los permisos necesarios:
- Sobre la pestaña “Nombre del sujeto” configuramos estas opciones:
- Sobre la pestaña “Criptografía” el tamaño mínimo de clave debe estar en el valor 2048, aplicamos y aceptamos:
- Cerramos la consola de Plantillas de certificado y abrimos la consola de Entidad de certificación en las Herramientas administrativas:
- Sobre la consola de Entidad de certificación hacemos un clic derecho de ratón sobre “Plantillas de certificado”, seleccionamos Nuevo>Plantilla de certificado que se va a emitir:
- Seleccionamos la nueva plantilla de certificado que configuramos anteriormente y clic en “Aceptar”:
- Nos abrimos una consola de Windows PowerShell y escribimos el comando mmc, en la nueva consola que se nos abre damos clic sobre Archivo y Agregar o quitar complemento:
- Seleccionamos certificados y agregamos:
- Se nos abre este asistente dónde vamos configurando las siguientes opciones:
- Aceptamos la configuración:
- Sobre la nueva consola que acabamos de configurar solicitamos un nuevo certificado:
- Se nos vuelve a abrir un nuevo asistente, dónde vamos configurando lo siguiente:
- Como podemos ver se ha inscrito correctamente, clic en “Finalizar”:
- Ahora nos abrimos el Administrador de IIS, y sobre Default web Site hacemos clic en Modificar sitio > Enlaces:
- Añadimos las conexiones HTTPS a través del puerto 443:
- Como podemos ver ya tenemos la nueva conexión por HTTPS agregada:
- Ya podemos acceder a nuestra entidad de certificación a través de HTTPS:
Saludos y espero que os resulte de ayuda 😉
Hola, cuando intento inscribir el certificado SSLCertificate, no me aparece en la lista, solo me aparece el de EQUIPO, y cuando reviso los certificados no disponibles me aparece alli el SSLCertificate donde me dice que no tengo permisos para inscribir ese certificado.
¿ Porque SHA1 y no SHA256 en la selección del algoritmo Hash de firma de certificados?
Gracias y saludos