Implementacin Infraestructura de Clave

Pblicas PKI
Alvaro Wilson Ortiz Arias
ECBTI, Universidad Nacional Abierta y a Distancia,
Bogot, Colombia
jabal14@gmail.com

Resumen El presente artculo pretende mostrar el proceso de

implementacin de certificados de clave pblica,
infraestructura PKI en ambiente Windows Server 2008 R2, es
importante conocer los aspectos generales que se deben
conocer para realizar la implementacin en un ambiente que
nos provee los mecanismos y la tecnologa necesarios y que en
muchas ocasiones no son aprovechados por muchos usuarios.
Se realizara la creacin de una entidad o autoridad
certificadora, se har la solicitud de un certificado desde el
lado del usuario en este caso un servidor, desde el lado de la
CA se recibir y posteriormente se emitir el certificado al
cliente.
Se realizaran un par de pruebas para confirmar que se est
validando la certificacin.

II. IMPLEMENTACIN INFRAESTRUCTURA DE CLAVE

PBLICA (PKI)
SISTEMA OPERATIVO WINDOWS SERVER 2008 R2
Fig. 1 pantalla Inicio Windows Server 2008 R2

Palabras clave Certificados, clave pblica, PKI, CA,

Windows Server 2008 R2.
Abstract This article aims to show the process of
implementing public key certificates, PKI infrastructure in
Windows Server 2008 R2 environment, it is important to know
the general aspects that should be known for deployment in an
environment that provides us the facilities and technology
needed and that in many cases they are not used by many users.
The creation of a certification body or authority, place will
request a certificate from the user side in this case a server,
from the side of the CA and then receive a certificate will be
issued to the customer.
A couple of tests be conducted to confirm that the certificate
being validated.

Fuente: El autor

Para poder realizar la configuracin e implementacin de una

PKI, en Windows Server 2008 R2, se debe realizar en primer
lugar la Configuracin del servidor DNS.
Antes de Iniciar esto se debe tener definido un nombre de
equipo y/o dominio.
Propiedades de Equipo

Fig. 2 Propiedades del Equipo

Keywords Certified public key, PKI, CA, Windows Server

2008 R2.

I. INTRODUCCIN
La masificacin de las comunicaciones, la necesidad constante
de exponer cada vez ms la informacin al pblico, hace
necesario que se utilicen mecanismos y polticas que permitan
proteger la informacin y que sta llegue solamente a aquellos
usuarios que se encuentren debidamente autenticados e
identificados. Ante esta situacin una de las alternativas que
brinda seguridad es la implementacin de una infraestructura
de claves pblicas PKI. Por tal razn se hace una exposicin
de la forma de implementar esta tecnologa en un sistema
Windows server 2008 R2.

Fuente: El autor

En este caso el nombre del equipo es AlvaroOrtiz.

De igual forma se debe cambiar la direccin IP de dinmica a

esttica

Fig. 5 Identificacin IP rea local

Fig. 3 Conexin de rea local

Fuente: El autor

Fuente: El autor
Vemos la direccin IP mediante el comando ipconfig
Fig. 6 Comprobacin direccin IP

IP TCP/IPv4
Fig. 4 Propiedades Conexin de rea local

Fuente: El autor
Ahora podemos proceder a la configuracin.
III. INSTALACIN Y CONFIGURACIN DEL SERVIDOR
DNS
Para iniciar seleccionamos Start, Admininistrative Tools,
Server Manager.
Fig. 7 Ingreso al Administrador del Servidor

Fuente: El autor

En este caso la IP asignada es de categora C, 192.168.20.1

Fuente: El autor

Posteriormente debemos seleccionar Roles

Fig. 11 Confirmacin Servidor DNS

Fig. 8 Seleccin Roles

Fuente: El autor
Fuente: El autor
En esta ventana seleccionamos Add Roles
Fig. 9 Seleccin Servidor DNS

Fuente: El autor
Aqu debemos seleccionar la opcin DNS Server
Fig. 10 Configuracin Servidor DNS

Aqu procedemos a dar clic en Install, con el fin de realizar el

proceso de instalacin del DNS.
Fig. 12 Resultados Configuracin Servidor DNS

Fuente: El autor
En esta ventana se muestra el estado de la instalacin, en este
caso ha sido satisfactoria, damos clic en Close.
Para revisar seleccionamos Start, Admininistrative Tools,
DNS.

Fig. 13 Ingreso a Administrador de Servidor DNS

Fuente: El autor

Damos clic en Next

Fuente: El autor
Vamos a configurar archivos de Zona directa (Forward
Lookup Zones) y archivos de zona inversa (Reverse Lookup
Zones), a travs de los cuales el servidor podr interpretar

nombres de dominio como direcciones IP y de manera inversa

direcciones IP como nombres de Zona.
Se evidencia el nombre del servidor DNS que hemos creado.

Fig. 17 Asistente Creacin Nueva Zona Inversa

Fig. 14 Administrador Servidor DNS

Fuente: El autor
Fuente: El autor
En primer lugar vamos a crear el archivo de Zona inversa.

Damos Clic en Next.

Fig. 18 Seleccin Tipo de Zona Inversa

Fig. 15 Zona de Bsqueda Inversa

Fuente: El autor
Fuente: El autor
Para esto damos Clic derecho sobre la opcin Reverse
Lookup Zones, y seleccionamos New Zone.

Fig. 16 Creacin Nueva Zona Inversa

Seleccionamos Primary Zone, ya que vamos a crear una zona

principal, y damos clic en Next.

Fig. 19 Seleccin versin IP

Fuente: El autor
Aqu se despliega el asistente para la creacin de la nueva
zona.

Fuente: El autor
Seleccionamos IPv4 nuestro formato de IP y damos clic en
Next.

Fig. 20 Identificacin IP Zona

Fig. 23 Resumen Creacin Nueva Zona

Fuente: El autor

Fuente: El autor

Ingresamos el rango de direccin que usamos para la IP

esttica.

Ac damos clic en Finish para dar por terminada la creacin

del archivo de zona.

Fig. 21 Creacin Nuevo Archivo Zona Inversa

Fig. 24 Visualizacin Creacin Zona

Fuente: El autor

Fuente: El autor

Vemos que se muestra la direccin de manera inversa puesto

que es el tipo de zona que estamos creando.

En esta ventana vemos que se ha creado el archivo de zona

con dos registros, un archivo SOA y uno de servidor de
nombres NS.

Fig. 22 Seleccin Actualizacin Ambas Zonas

En segundo lugar vamos a crear el archivo de Zona directa.

Fig. 25 Creacin Nueva Zona Directa

Fuente: El autor

Fuente: El autor

Seleccionamos la opcin de permitir actualizaciones de las

zonas cada vez que se creen nuevas, damos clic en Next.

Para esto damos Clic derecho sobre la opcin Forward

Lookup Zones, y seleccionamos New Zone.

Fig. 26 Adicionar Nueva Zona Directa

Seleccionamos Primary Zone, ya que vamos a crear una zona

principal, y damos clic en Next.
Fig. 29 Nombre de Zona directa

Fuente: El autor
Aqu se despliega el asistente para la creacin de la nueva
zona.
Fig. 27 Asistente Nueva Zona Directa

Fuente: El autor
Aqu debemos ingresar el nombre de dominio que queremos
que nuestro DNS resuelva, en nuestro caso hemos designado
pruebacriptografia.com, damos clic en Next.
Fig. 30 creacin nuevo archivo de Zona directa

Fuente: El autor
Damos Clic en Next.
Fuente: El autor
Damos clic en Next.
Fig. 28 Seleccin Tipo de Zona directa

Fig. 31 permitir actualizaciones de Zonas

Fuente: El autor

Fuente: El autor

Seleccionamos la opcin de permitir actualizaciones de las

zonas cada vez que se creen nuevas, damos clic en Next.

Fig. 34 Creacin Nuevo Host

Fig. 32 Resumen datos Zona directa

Fuente: El autor
Fig. 35 Nombre Nuevo Host
Fuente: El autor
Ac damos clic en Finish para dar por terminada la creacin
del archivo de zona.
Fig. 33 Visualizacin Creacin Zona

Fuente: El autor

Fuente: El autor

En esta ventana vemos que se ha creado el archivo de zona

con dos registros, un archivo SOA y uno de servidor de
nombres NS. Tal como los creados en Zona inversa.

Ingresamos el nombre de equipo y la direccin IP asignada al

DNS, y habilitamos la opcin Create associated pointer
record, esto para que se cree automticamente un puntero al
archivo de zona inversa. Damos clic en Add Host.
Fig. 36 Agregar Nuevo Host

El siguiente paso es crear un nuevo Host, lo que har ste es

completar el FQDN (Fully Qualified Domain Name - Nombre
Completo de Dominio) que va a trabajar en la resolucin de
nombres.
Crear nuevo Host
Seleccionamos la zona directa que hemos creado damos clic
derecho y seleccionamos la opcin New Host.
Fuente: El autor
Se muestra un mensaje que nos indica que el Host fue creado
satisfactoriamente, damos clic en OK.
El siguiente paso es crear un nuevo alias, para que nuestro
archivo de zona sea reconocido como www.prueba
criptografa.com.
Crear nuevo Alias

Seleccionamos la zona directa que hemos creado damos clic

derecho y seleccionamos la opcin New Alias.

Fig. 39 Visualizacin Nuevo Alias

Fig. 37 Creacin Nuevo Alias

Fuente: El autor
Vemos el alias que hemos creado.
Fuente: El autor
Fig. 38 Nombre de Nuevo Alias

Una vez finalizada esta etapa solo queda por configurar la

direccin IP del DNS, 192.168.20.1
Fig. 40 Configuracin IP Servidor DNS

Fuente: El autor
En el primer campo escribimos www, en browse
seleccionamos la zona directa que hemos creado
anteriormente; damos clic en OK.

Fuente: El autor
Ahora realizamos la prueba que el servidor DNS est
correctamente configurado.
En
primer
lugar
hacemos
un
ping
a
www.pruebacriptografia.com
Fig. 41 Ping Comprobar Dominio

Fuente: El autor

Ahora realizamos un ping -a 192.168.20.1

Fig. 45 Asistente Agregar Roles

Fig. 42 Ping a IP

Fuente: El autor
Fuente: El autor

Luego nslookup www.pruebacriptografia.com

Clic en Next.
Fig. 43 Nslookup a dominio

Fig. 46 Servicios Certificado Active Directory y IIS

Fuente: El autor
Como hemos comprobado el servidor DNS ha respondido
correctamente.
Fuente: El autor
IV. INSTALACIN Y CONFIGURACIN SERVIDOR
WEB IIS Y DE LA ENTIDAD CERTIFICADORA

Seleccionamos Web Server IIS y Active

Fig. 47 Active Directory

Para continuar con el proceso de configuracin ahora vamos a

agregar las funciones de Servidor web IIS y Servicios de
Certificate Server.
Para esto vamos al Administrador de Servidor.

Fig. 44 Administrador de Servidor

Fuente: El autor
Clic en Next.
Fig. 48 Seleccin Roles de Certificacin CA

Fuente: El autor
Add roles
Fuente: El autor

Fig. 49 Seleccin Roles de Certificacin Inscripcin Web

solo nos permite la opcin de independiente (Standalone) ya

que no estamos unidos a una empresa, damos clic en Next.
Fig. 53 Tipo de CA

Fuente: El autor
Fig. 50 Seleccin Roles de Certificacin Respondedor Online

Fuente: El autor

Fuente: El autor

Fig. 51 Seleccin Roles de Certificacin

Seleccionamos Root CA, es decir una Entidad Certificadora
Raiz, ya que en este caso no depende de ninguna otra, damos
clic en Next.
Fig. 54 Configuracin de Encripcin

Fuente: El autor
Aqu hemos realizado la seleccin de los servicios de roles a
instalar, en este caso la autoridad de certificacin; encargada
de emitir y revocar los certificados, inscripcin a
certificaciones web la cual permite realizar tareas de solicitud
y de renovacin de certificados usando una interfaz web y la
opcin de respuesta en lnea esta permite comprobar los datos
de revocacin de certificados en lnea.
Clic en Next.
Fig. 52 Tipo de Configuracin

Fuente: El autor
En esta etapa debemos seleccionar el mtodo de encripcin
que se va a utilizar, en este caso dejamos el que viene
seleccionado por defecto, damos clic en Next.
Fig. 55 Nombre de CA

Fuente: El autor

Ac realizamos el tipo de instalacin que vamos a realizar

como empresa o independiente, en este caso para el ejercicio

Fuente: El autor

Ahora se debe definir el nombre de la entidad o autoridad

certificadora, damos clic en Next.

A continuacin se muestra la instalacin del Servidor Web

IIS, damos clic en Next.

Fig. 56 Periodo Validez de CA

Fig. 59 Configuracin IIS Rol ASP.NET

Fuente: El autor

Fuente: El autor

Se debe definir el periodo que tendr la autoridad certificadora

para emitir los certificados, dejamos la opcin que viene por
defecto en este caso 5 aos, damos clic en Next.

Aqu seleccionamos la opcin ASP.NET, damos clic en Add

Required Role Services, y a continuacin clic en Next.
Fig. 60 Servicios Configuracin IIS

Fig. 57 Base de Datos Certificacin

Fuente: El autor

En esta fase se configura la base de datos de la autoridad

certificadora, en la cual se registran las solicitudes de
certificados, revocacin y expiracin de los mismos, este log
se puede usar para monitorear la administracin de las
actividades de la CA. Damos clic en Next.

Fuente: El autor
Se muestra el listado de los servicios de roles que se instalaran
para el Servidor web IIS, damos clic en Next.
Fig. 61 Confirmacin e Instalacin

Fig. 58 Configuracin IIS

Fuente: El autor

Fuente: El autor

En esta ventana se muestra un resumen de los datos tanto del

Servidor web IIS como de la Autoridad Certificadora que se
instalaran esperando confirmacin, en este caso damos clic en
Install.

Fig. 62 Progreso de Instalacin

Fuente: El autor
Observamos el progreso de la instalacin.
Fig. 63 Resultado de Instalacin

Fig. 65 Prueba IIS

Fuente: El autor
Lo que nos queda por realizar ahora es probar el protocolo
https.
Fig. 66 Prueba https SSL

Fuente: El autor
Fuente: El autor
Podemos observar los resultados de la instalacin en este caso
vemos que ha sido satisfactoria, damos clic en Close.

Como podemos observar no funciona el protocolo https, esto

debido a que falta realizar las tareas de emisin de
certificados.
Fig. 67 Ingreso a Certificate Authority

Fig. 64 Vista Instalacin CA y IIS

Fuente: El autor
Podemos evidenciar que efectivamente ha sido creada la
Entidad Certificadora AlvaroOrtiz CA, de igual forma vemos
las carpetas de Certificados revocados, Certificados emitidos,
Solicitudes pendientes, solicitudes fallidas.
A continuacin realizamos la prueba de configuracin e
instalacin del Servidor Web IIS, as como la configuracin de
nuestro DNS; podemos observar que funciona perfectamente a
travs de nuestro dominio alias www.pruebacriptografia.com

Fuente: El autor
Ingresamos a Certification Authority.

Fig. 68 Certificate Authority

Fig. 71 Server Certificate

Fuente: El autor

Fuente: El autor

En este momento nos encontramos en la consola de la CA,

autoridad certificadora AlvaroOrtiz-CA; en este momento no
existen procesos de certificacin a ningn nivel.

Podemos observar que ya existe un certificado emitido pero

este es de la Entidad Certificadora, a continuacin lo que
debemos realizar es la certificacin de nuestro dominio
www.pruebacriptografia.com.
Para esto damos clic sobre Create Certificate Request (Crear
Solicitud de Certificacin).

Fig. 69 Acceso Administrador IIS

Fig. 72 Nombre Certificado

Fuente: El autor
Para continuar con la configuracin de los certificados,
ingresamos al administrador de IIS
Fig. 70 Server Certificate

Fuente: El autor
Diligenciamos los campos necesarios para completar la
solicitud de certificacin, damos clic en Next.
Fig. 73 Proveedor servicio Criptografico

Fuente: El autor
En esta ventana de opciones seleccionamos Server Certificates
(Servidor de Certificados) y damos doble clic.

Aqu debemos seleccionar el proveedor de servicios

criptogrficos, en este caso dejamos el que viene dado por
defecto. Damos clic en Next.

Fig. 74 Nombre y Ubicacin Archivo de Certificado

Fig. 77 Acceso a Autoridad Certificadora

Fuente: El autor

Fuente: El autor

Ahora debemos indicar el nombre del archivo y la ubicacin,

en este caso lo guardamos en en Escritorio y su nombre ser
CertificadoSSL, damos clic en Open.

Ingresamos a Certification Authority.

Fig. 78 Enviar Nueva solicitud de Certificado

Fig. 75 Nombre Certificado

Fuente: El autor

Fuente: El autor
Damos clic en Finish, para finalizar el proceso de solicitud.
A continuacin se muestra una imagen de la solicitud de
certificado creada.

Nos ubicamos en la CA, clic derecho All Task, Submit new

request (Enviar nueva solicitud).
Fig. 79 Bsqueda de certificado para envo de solicitud

Fig. 76 Contenido Archivo Certificado

Fuente: El autor

Fuente: El autor
Contenido del archivo.
Seguidamente debemos enviar la solicitud creada a la entidad
certificadora.

Nos ubicamos en escritorio y seleccionamos la solicitud

creada anteriormente, clic en Open.

Fig. 80 Solicitudes Pendientes en CA

Fig. 83 Certificados Emitidos

Fuente: El autor

Fuente: El autor

Podemos ver que en la carpeta de solicitudes pendientes ya se

encuentra la solicitud que acabamos de enviar.
Una vez que la entidad certificadora comprueba que el
solicitante cumple con todos los requisitos procede a emitir el
certificado.

Vemos que en la carpeta Issued Certificates aparece ya el

certificado que ha sido emitido.

Fig. 81 Emisin Certificado CA

Fig. 84 Vista General de Certificado

Damos doble clic y vemos el certificado, tal como el emitido

por cualquier entidad certificadora CA.

Fuente: El autor
La entidad certificado procede a emitir el certificado, Clic
derecho sobre el certificado, All Task, Issue (Emitir).
Fuente: El autor
Fig. 82 Solicitudes Pendientes Certificado
Imagen General del certificado que nos emitieron
Fig. 85 Detalles de Certificado

Fuente: El autor
Aqu podemos observar que la entidad certificadora no tiene
solicitudes pendientes.

Fuente: El autor

Fig. 88 Guardar Archivo Certificado

Vista Detalles del certificado, a continuacin vamos a copiar
el certificado a un archivo, para esto damos clic en el botn
Copy to File, se abre el asistente de exportacin.
Fig. 86 Asistente Exportacin de Certificado

Fuente: El autor

Damos clic en Save.

Fig. 89 Nombre Archivo Certificado
Fuente: El autor
Damos clic en Next.
Debemos seleccionar el formato en el que se va a exportar el
certificado, por defecto DER X.509, estndar usado para
sistemas de certificados de clave pblica.
Fig. 87 Formato de Exportacin Archivo Certificado

Fuente: El autor
Damos clic en Next.
Fig. 90 Resumen Exportacin Certificado

Fuente: El autor
Damos clic en Next.
Procedemos a dar el nombre y ubicacin con los cuales se
guardara el archivo, en este caso en el Escritorio y con el
nombre CriptoSSL.

Fuente: El autor

Damos clic en Finish, para finalizar el proceso de exportacin.

Fig. 91 Vista Certificado Creado

Fuente: El autor
Fuente: El autor
Podemos observar en el escritorio la imagen de un Diploma,
es el certificado que acabamos de exportar.
Ahora debemos completar la solicitud del certificado, para
esto ingresamos al Administrador de IIS, Server Certificate

Seleccionamos el archivo que contiene la respuesta de la

autoridad certificadora CA, nuestro archivo CriptoSSL.
Fig. 95 Archivo a Enviar Solicitud Certificado

Fig. 92 Servidor de Certificados

Fuente: El autor
Fuente: El autor
Damos doble clic.

Suministramos un nombre con el cual ser identificado en el

sistema.
Fig. 96 Nombre de Certificado

Fig. 93 Completar Solicitud Certificado

Fuente: El autor

Fuente: El autor
Damos clic en OK.

Seleccionamos la opcin Complete Certificate.

A continuacin nos dirigimos al sitio web y damos clic en
Bindings (Enlaces).
Fig. 97 Creacin Enlaces
Fig. 94 Completar Solicitud Certificado

nuestro
dominio
desde
el
explorador
con
https://www.pruebacriptografia.com
y
vemos
que
efectivamente ya valida nuestro sitio con el certificado,
teniendo en cuenta que la fuente certificadora no es confiable,
ya que es de prueba se presenta una advertencia de certificado.
Fig. 101 Prueba Protocolo SSL https

Fuente: El autor
Aqu procedemos a agregar el nuevo protocolo en este caso
https.
Fig. 98 Agregar Protocolo https

Fuente: El autor
Fig. 102 Acceso Servidor con Protocolo https

Fuente: El autor
Damos clic en Add.
Fig. 99 Protocolo https Entidad Certificadora

Fuente: El autor
Acceso correcto con el certificado.
Fig. 103 Ver Certificado
Fuente: El autor
Seleccionamos https y abajo nuestro certificado, en este caso
Certificado PruebaCriptografia, seguidamente damos clic en
OK.
Fig. 100 Adicin de Protocolo https

Fuente: El autor
Fuente: El autor
A continuacin vemos el certificado
Vemos que ya hemos agregado el protocolo https, damos Clic
en Close.
Nuevamente realizamos la prueba para saber si ahora nuestro
servidor est trabajando bajo el protocolo SSL, ingresamos a

Fig. 104 Vista General Certificado

Fuente: El autor

Fuente: El autor

Vista general del certificado, observamos a quien fue emitido,

que entidad lo emiti, y el periodo de validez.

Aqu vemos cual es la entidad certificadora CA, abajo

observamos el estado del certificado.
A continuacin copio un sitio de prueba a este dominio y
vemos que funciona perfectamente bajo el protocolo seguro.

Fig. 105 Detalles Certificado

Fig. 107 Sitio Web Prueba

Fuente: El autor
V. CONCLUSIONES

Fuente: El autor

Una de las principales conclusiones que me da este trabajo es

el conocimiento de la implementacin de una infraestructura
de clave pblica PKI en un entorno Windows server 2008 R2,
que aunque es un proceso largo es bastante entendible y fcil
de implementar. En el caso de la implementacin en el entorno
Linux fue bastante confuso y despus de dos intentos , una
cada total de la maquina; definitivamente prefiero el
desarrollo en Windows.

Vista de detalle, se evidencian detalles como nmero serial,

algoritmo de cifrado, fechas de validez etc.
VI. REFERENCIAS
Fig. 106 Ruta de Certificado

[1] http://es.wikipedia.org/wiki/Infraestructura_de_clave_p%C3%BAblica
[2]http://sedici.unlp.edu.ar/bitstream/handle/10915/23423/Documento_compl
eto.pdf?sequence=1
[3] http://msdn.microsoft.com/enus/library/windows/desktop/bb427432%28v=vs.85%29.aspx
[4] http://www.entidadacreditadora.gob.cl/?p=428
[5] Infraestructura de Clave Pblica (PKI), disponible en:
https://www.inteco.es/extfrontinteco/es/pdf/Formacion_PKI.pdf
[6] Infraestructura de Clave Pblica PKI con Software Libre, disponible en:
http://www.criptored.upm.es/guiateoria/gt_m115a.htm
[7] Implementacin de una PKI confiable globalmente, disponible en:
http://technet.microsoft.com/es-es/magazine/2006.12.securitywatch.aspx
[8]http://www.certisur.com/autoridad-certificante-administrada

VII. BIOGRAFA

ALVARO WILSON ORTIZ ARIAS, NACI EN ACACIAS META, EL

11 DE MARZO DE 1968. GRADUADO COMO BACHILLER EN EL
COLEGIO COOPERATIVO MUTIS DE
BOGOT, ESTUDIO EN LA UNIVERSIDAD
ANTONIO NARIO GRADUADO COMO
INGENIERO DE SISTEMAS.
Profesionalmente me desempeo en una entidad
oficial del nivel nacional.