5

Instalación y configuración de entidad emisora de certificados en MS Windows Server 2012 R2

Hola a tod@s.

En este post vamos a ver como instalar y configurar una entidad emisora de certificados en MS Windows Server 2012 R2, esto nos va a permitir generar a nosotros mismos nuestros propios certificados, dándole seguridad a nuestras comunicaciones.

  • Empezamos la configuración de nuestro servidor Active Directory Certificate Services (ADCS) asignándole un nombre y una dirección IP estática y como DNS le asignamos la dirección IP de nuestro controlador de dominio, ya que es éste servidor el que tiene el rol de DNS, también debemos unir este equipo a nuestro dominio:

ieecws20012r2_1

ieecws20012r2_2

  • Para empezar a instalar ADCS abrimos elAdministrador del servidor y nos vamos a Administrar>Agregar  roles y características:

ieecws20012r2_3

  • Se nos abre este asistente, clic en siguiente para continuar:

ieecws20012r2_4

  • Elegimos la opción instalación basada en características o roles:

ieecws20012r2_5

  • Seleccionamos el servidor y clic sobre siguiente:

ieecws20012r2_6

  • Ahora agregamos el rol de “Servicios de certificados de Active Directory”:

ieecws20012r2_7

  • Se nos abre el siguiente asistente para agregar las características necesarias para este rol:

ieecws20012r2_8

  • Clic en siguiente para continuar:

ieecws20012r2_9

  • Todas las características que requiere nuestro servidor de certificados se seleccionan por defecto por lo que hacemos clic en siguiente:

ieecws20012r2_10

  • Nos muestra información sobre los servicios de certificados de Active Directory, clic en “siguiente”:

ieecws20012r2_11

  • En los servicios de rol seleccionamos “Inscripción web de entidad de certificación”, el servicio “Entidad de certificación” ya está seleccionado por defecto, clic en “siguiente”:

ieecws20012r2_12

  • Se nos abre el siguiente asistente para agregar las características necesarias para este servicio de rol:

ieecws20012r2_13

  • Clic en siguiente para continuar:

ieecws20012r2_14

  • Nos muestra información sobre el rol de IIS (Internet Information Services), clic en siguiente para continuar:

ieecws20012r2_15

  • Lo dejamos todo por defecto, clic en “siguiente”:

ieecws20012r2_16

  • Nos muestra un resumen de todo lo seleccionado, marcamos el check para que reinicie el servidor cuando instale los roles que hemos seleccionado, clic sobre “Instalar”:

ieecws20012r2_17

  • Comienza con la instalación de toda la configuración elegida en los asistentes:

ieecws20012r2_18

  • Como podemos ver la instalación ha finalizado correctamente, clic sobre “cerrar”:

ieecws20012r2_19

  • Ahora para configurar los Servicios de certificado de Active Directory, sobre el Administrador del servidor, en los warning, hacemos clic en “Configurar Servicios de certificado de Active Directory”:

ieecws20012r2_20

  • Se nos abre el siguiente asistente, dónde introducimos las credenciales del administrador del dominio:

ieecws20012r2_21

  • Seleccionamos “Entidad de certificación” e “Inscripción web de entidad de certificación”:

ieecws20012r2_22

  • El tipo de instalación elegida será Entidad de certificación empresarial, ya que vamos a trabajar sobre nuestro dominio:

ieecws20012r2_23

  • El tipo de CA será root:

ieecws20012r2_24

  • Seleccionamos la opción “Crear una clave privada nueva”:

ieecws20012r2_25

  • Seleccionamos los parámetros por defecto:

ieecws20012r2_26

  • Lo dejamos tal cuál está:

ieecws20012r2_27

  • En el período de validez, elegimos por ejemplo 20 años:

ieecws20012r2_28

  • Las ubicaciones de las bases de datos las dejamos por defecto:

ieecws20012r2_29

  • Nos muestra un resumen de todo lo configurado en el asistente, clic a “Configurar”:

ieecws20012r2_30

  • Como podemos ver todo ha finalizado correctamente, clic en “Cerrar”:

ieecws20012r2_31

  • Si todo está funcionando correctamente nos podremos conectar a nuestra entidad de certificación en la URL http://localhost/certsrv, dónde cargará la página principal:

ieecws20012r2_32

  • Ahora vamos a ejecutar el Administrador de Internet Information Services (IIS) y comprobamos que las conexiones por HTTPS no están habilitadas:

ieecws20012r2_33

ieecws20012r2_34

  • Para habilitar las conexiones por HTTPS vamos a seguir estos pasos, en primer lugar nos abrimos una consola de Windows PowerShell y ejecutamos el comando, certtmpl.msc:

ieecws20012r2_35

  • Se nos abre la siguiente consola y sobre el panel de detalles seleccionamos “Servidor Web”, luego hacemos clic sobre “Plantilla duplicada”:

ieecws20012r2_36

  • Sobre la pestaña “Compatibilidad” lo dejamos por defecto:

ieecws20012r2_37

  • Sobre la pestaña “General” le damos un nombre a la plantilla y el período de validez le damos 5 años:

ieecws20012r2_38

  • Sobre la pestaña “Seguridad” agregamos la cuenta del servidor que tiene el rol de Entidad de certificación:

ieecws20012r2_39

  • En Tipos de objeto seleccionamos Equipos:

ieecws20012r2_40

  • Agregamos nuestro servidor de Entidad de certificación:

ieecws20012r2_41

  • Le asignamos los permisos necesarios:

ieecws20012r2_42

  • Sobre la pestaña “Nombre del sujeto” configuramos estas opciones:

ieecws20012r2_43

  • Sobre la pestaña “Criptografía” el tamaño mínimo de clave debe estar en el valor 2048, aplicamos y aceptamos:

ieecws20012r2_44

  • Cerramos la consola de Plantillas de certificado y abrimos la consola de Entidad de certificación en las Herramientas administrativas:

ieecws20012r2_45

  • Sobre la consola de Entidad de certificación hacemos un clic derecho de ratón sobre “Plantillas de certificado”, seleccionamos Nuevo>Plantilla de certificado que se va a emitir:

ieecws20012r2_46

  • Seleccionamos la nueva plantilla de certificado que configuramos anteriormente y clic en “Aceptar”:

ieecws20012r2_47

ieecws20012r2_48

  • Nos abrimos una consola de Windows PowerShell y escribimos el comando mmc, en la nueva consola que se nos abre damos clic sobre Archivo y Agregar o quitar complemento:

ieecws20012r2_49

  • Seleccionamos certificados y agregamos:

ieecws20012r2_50

  • Se nos abre este asistente dónde vamos configurando las siguientes opciones:

ieecws20012r2_51

ieecws20012r2_52

  • Aceptamos la configuración:

ieecws20012r2_53

  • Sobre la nueva consola que acabamos de configurar solicitamos un nuevo certificado:

ieecws20012r2_54

  • Se nos vuelve a abrir un nuevo asistente, dónde vamos configurando lo siguiente:

ieecws20012r2_55

ieecws20012r2_56

ieecws20012r2_57

  • Como podemos ver se ha inscrito correctamente, clic en “Finalizar”:

ieecws20012r2_58

  • Ahora nos abrimos el Administrador de IIS, y sobre Default web Site hacemos clic en Modificar sitio > Enlaces:

ieecws20012r2_59

  • Añadimos las conexiones HTTPS a través del puerto 443:

ieecws20012r2_60

ieecws20012r2_61

  • Como podemos ver ya tenemos la nueva conexión por HTTPS agregada:

ieecws20012r2_62

ieecws20012r2_63

ieecws20012r2_64

  • Ya podemos acceder a nuestra entidad de certificación a través de HTTPS:

ieecws20012r2_65

 

Saludos y espero que os resulte de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

5 comentarios

  1. Hola, cuando intento inscribir el certificado SSLCertificate, no me aparece en la lista, solo me aparece el de EQUIPO, y cuando reviso los certificados no disponibles me aparece alli el SSLCertificate donde me dice que no tengo permisos para inscribir ese certificado.

  2. ¿ Porque SHA1 y no SHA256 en la selección del algoritmo Hash de firma de certificados?
    Gracias y saludos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.