Windows Server 2012: Instalando una Autoridad Certificadora

Raz (Root Certification Authority) de Tipo Standalone

El uso de Certificados Digitales para probar la autenticacin o autentificacin, basado en un
esquema de Clave Pblica (PKI = Public Key Infrastructure) es uno de esos temas casi
desconocidos y que a diario puedo observar los inconvenientes que produce su falta de
comprensin
En esta ocasin comenzar una serie de notas relacionadas al tema nombrado, y que sin
intentar hacer una descripcin completa de los que es una infraestructura de Clave Pblica,
ayudar a comprender su aplicacin en el mbito de una organizacin
Si alguien quiere ver una pequea base para comprender cmo funciona un esquema de
Clave Pblica, en forma muy resumida puede consultar:
Criptografa e Infraestructura de Clave Pblica (PKI)
Veamos primero dos conceptos importantes
Existen bsicamente dos tipos de Autoridades Certificadoras: Comerciales o Privadas
Las Autoridades Certificadoras comerciales, son empresas dedicadas y especializadas en el
tema, por lo cual si optamos por comprarle los certificados digitales que necesitemos tenemos
la tranquilidad que el tema est manejado por gente que sabe, pero tambin tiene sus
posibles inconvenientes
Por ejemplo, nos van a cobrar por cada Certificado que necesitemos, lo que no siempre es
econmico, todo depende de la cantidad que necesitemos.
Y adems deberemos adaptarnos a los requisitos que imponga para el otorgamiento
Pero de todas formas tienen una gran ventaja si estn asociadas con el programa de
actualizaciones de Microsoft, ya que cualquier sistema Windows reconocer los certificados
como vlidos. Son la solucin requerida si los certificados deben ser validados por terceros,
por ejemplo para un sitio web, transacciones comerciales, etc.
Por otro lado podemos instalar nuestra propia Autoridad Certificadora de tipo privada, que
tambin tiene ventajas e inconvenientes
Algunos piensan que en este caso es gratis, y nada ms alejado, hay que instalar y mantener
la misma, inclusive tomando medidas adicionales de seguridad, ya que si se comprometiera la
seguridad de una Autoridad Certificadora estaran comprometeidos todos los certificados por
ella otorgados
Las ventajas pasan por la flexibilidad que manejaremos nosotros de acuerdo a nuestras
necesidades, y la posibilidad de automatizar el otorgamiento de certificados si la integramos
con Active Directoy
Pero debemos tener en cuenta que los certificados no sern reconocidos externamente, salvo
configuracin especial que no tratar en estas notas
En esta nota y subsiguientes veremos cmo instalar una implementacin de Clave Pblica de
tipo privado
Algo muy importante a tener en cuenta es la seguridad sobre la Autoridad Certificadora, por lo
cual una de las mejores opciones es mantenerla en una mquina fuera de la red, o inclusive
apagada, esto mejora enormemente la seguridad sobre la misma
Pero por otro lado queremos automatizar lo mximo posible la obtencin y renovacin de los
certificados. Esto lo podemos lograr integrndola en Active Directoy, lo cual por supuesto
requiere que est funcionando sobre un servidor miembro de un Dominio, y por lo tanto, no
puede estar, ni fuera de la red ni apagada
Mantener una seguridad adecuada, y a la vez aprovechar la integracin se consigue teniendo
dos Autoridades Certificadoras
Una Autoridad Certificadora Raz, que se autofirma los certificados. Algo as como yo
soy yo, porque lo digo yo, que le otorgar un Certificado de Autoridad Certificadora a
otra Autoridad Certificadora que mantendremos en la red
Esta autoridad ser de tipo standalone sobre un servidor en grupo de trabajo lo que
nos permitir mantenerla offline
No entraremos en la forma que se desarrolla el tema en las grandes corporaciones,
pero este se hace de esta forma en dos o inclusive tres niveles, distribuyendo la carga
de los diferentes tipos de certificados entre diferentes sub Certificadoras. Si se
comprometira la seguridad de una de ellas no afectara a toda la organizacin
Una segunda Autoridad Certificadora, cuya identidad se encuentra certificada por la
anterior, integrada en Active Directory (Enterprise Certification Authority), lo que nos
permitir automatizar la distribucin e implementacin de todos los certificados
digitales, bsicamente a travs de Directivas de Grupo (GPOs)
Para esta demostracin utilizar slo una mquina en grupo de trabajo (WORKGROUP), en
una red aislada, donde instalar la Autoridad Certificadora, y lo ms importante, veremos los
pasos necesarios para exportar los certificados y CRL para instalar en la sub Autoridad
Certificadora
Pueden ver en la siguiente pantalla que se trata simplemente de una instalacin de Windows
Server 2012 en grupo de trabajo

Como es lgico, lo primero a hacer es instalar la funcionalidad de Certificate Services, que se
har como es habitual y siguendo el asistente como muestran las capturas




Agregamos los complementos necesarios



Muy importante que lean la advertencia: una vez instalada la Autoridad Certificadora el equipo
no podr ser renombrado, o incluido en Dominio

Para este caso necesitamos solamente Certification Authority


Y ahora ingresamos al asistente para configurarla

Si iniciamos como administrador del servidor, que por otra parte es necesario, no hace falta
cambiar nada

Marcamos el componente correspondiente que vamos a configurar

Observen que como estamos instalando en una mquina en grupo de trabajo slo nos permite
Standalone, y no de tipo Enterprise

Estamos instalando una Autoridad Certificadora de tipo Raz, as que seleccionamos Root


Por tratarse de una certificadora de tipo raz, y para mantener la mxima seguridad elegir la
longitud de claves ms larga posible

Elegimos el nombre que le daremos. Pensarlo bien

Asignamos el tiempo de validez de los certificados otorgados por esta Autoridad Certificadora.
Tener en cuenta que no podr otorgar certificados que lleguen ms all de su propio perodo
de validez




Abramos la consola Certification Authority que debemos hacer unos cambios en la
configuracin por omisin


Atencin que ahora viene una parte delicada y que requiere mucho cuidado para no
confundirse
Como esta instalacin la usaremos luego para certificar a otra Autoridad Certificadora
funcionando en ambiente de dominio Active Directory, y no habr comunicacin por red, es
necesario que en los certificados extendidos por la sub autoridad certificadora se pueda
acceder tanto al certificado de la autoridad raz, como a la lista de revocacin de certificados
(CRL)
En la ficha Extensions, nos aseguramos que est seleccionado CRL Distribution Point
(CDP), y pulsamos el botn Add

Ayudndonos con escribir una parte y usando la lista desplegable Variable vamos a escribir
la ubicacin en la entrada Location


Debe quedar as:

Pulsamos Ok *una sola vez*

Y marcamos las opciones como muestra la siguente figura
(SIN PULSAR OK QUE ME EQUIVOQU CON LA MARCA, PULSEN SLO APPLY

Que no reinicie que todava nos falta algo ms

En forma anloga al anterior ahora en la lista desplegable seleccionamos Authority
Information Access (AIA), y el botn Add

Anlogamente a la configuracin anterior debemos agregar la nueva ubicacin


Debe quedar as: (presten atencin al _)

Marcamos la siguiente opcin

Y ahora s permitimos reiniciar el servicio para que adopte las nuevas configuraciones

Forzamos una publicacin de los certificados revocados, aunque no tengamos ninguno, slo
para que se creen los archivos, que ms adelante necesitaremos


Ya tenemos la Autoridad Certificadora instalada y configurada como deseamos. Lo que
debemos hacer ahora es exportar los archivos necesarios que necesitaremos para instalar la
sub Autoridad Certificadora (en la prxima nota del sitio)
Ingresamos con botn derechos en las propiedades de la Autoridad Certificadora

Ficha General, elegimos ver el certificado de la propia autoridad

Y en la ficha Details elegimos el botn para copiarlo a un archivo

Seguimos el asistente


Elijan el nombre que quieran y el lugar que les resulte ms cmodo. Piensen que luego lo van
a tener que llevar a otra mquina mediante algn medio removible


Demora unos segundos, asegrense que aparezca lo siguiente

Debemos tambin copiar a algn lugar cmodo otros dos archivos que luego llevaremos a la
sub Autoridad Certificadora
Los encontrarn en C:\Windows\System32\CertSrv\CertEnroll
Corresponden a la Certificate Revocation List (CRL), y al certificado que firma digitalmente la
misma

En mi caso los dej sobre el escritorio de Windows

En la prxima nota usaremos estos tres archivos para instalar y configurar una sub Autoridad
Certificadora, integrada en Active Directory, que nos permitir otorgar Certificados Digitales
fcilmente
Esta nota continua instalando y configurando una Autoridad Certificadora Subordinada de Tipo
Enterprise en: Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de
Tipo Enterprise (Integrada con Active Directory) de esta forma podremos personalizar y
automatizar el otorgamiento de Certificados Digitales