Windows Server 2012: Instalando una Autoridad Certificadora
Raz (Root Certification Authority) de Tipo Standalone
El uso de Certificados Digitales para probar la autenticacin o autentificacin, basado en un esquema de Clave Pblica (PKI = Public Key Infrastructure) es uno de esos temas casi desconocidos y que a diario puedo observar los inconvenientes que produce su falta de comprensin En esta ocasin comenzar una serie de notas relacionadas al tema nombrado, y que sin intentar hacer una descripcin completa de los que es una infraestructura de Clave Pblica, ayudar a comprender su aplicacin en el mbito de una organizacin Si alguien quiere ver una pequea base para comprender cmo funciona un esquema de Clave Pblica, en forma muy resumida puede consultar: Criptografa e Infraestructura de Clave Pblica (PKI) Veamos primero dos conceptos importantes Existen bsicamente dos tipos de Autoridades Certificadoras: Comerciales o Privadas Las Autoridades Certificadoras comerciales, son empresas dedicadas y especializadas en el tema, por lo cual si optamos por comprarle los certificados digitales que necesitemos tenemos la tranquilidad que el tema est manejado por gente que sabe, pero tambin tiene sus posibles inconvenientes Por ejemplo, nos van a cobrar por cada Certificado que necesitemos, lo que no siempre es econmico, todo depende de la cantidad que necesitemos. Y adems deberemos adaptarnos a los requisitos que imponga para el otorgamiento Pero de todas formas tienen una gran ventaja si estn asociadas con el programa de actualizaciones de Microsoft, ya que cualquier sistema Windows reconocer los certificados como vlidos. Son la solucin requerida si los certificados deben ser validados por terceros, por ejemplo para un sitio web, transacciones comerciales, etc. Por otro lado podemos instalar nuestra propia Autoridad Certificadora de tipo privada, que tambin tiene ventajas e inconvenientes Algunos piensan que en este caso es gratis, y nada ms alejado, hay que instalar y mantener la misma, inclusive tomando medidas adicionales de seguridad, ya que si se comprometiera la seguridad de una Autoridad Certificadora estaran comprometeidos todos los certificados por ella otorgados Las ventajas pasan por la flexibilidad que manejaremos nosotros de acuerdo a nuestras necesidades, y la posibilidad de automatizar el otorgamiento de certificados si la integramos con Active Directoy Pero debemos tener en cuenta que los certificados no sern reconocidos externamente, salvo configuracin especial que no tratar en estas notas En esta nota y subsiguientes veremos cmo instalar una implementacin de Clave Pblica de tipo privado Algo muy importante a tener en cuenta es la seguridad sobre la Autoridad Certificadora, por lo cual una de las mejores opciones es mantenerla en una mquina fuera de la red, o inclusive apagada, esto mejora enormemente la seguridad sobre la misma Pero por otro lado queremos automatizar lo mximo posible la obtencin y renovacin de los certificados. Esto lo podemos lograr integrndola en Active Directoy, lo cual por supuesto requiere que est funcionando sobre un servidor miembro de un Dominio, y por lo tanto, no puede estar, ni fuera de la red ni apagada Mantener una seguridad adecuada, y a la vez aprovechar la integracin se consigue teniendo dos Autoridades Certificadoras Una Autoridad Certificadora Raz, que se autofirma los certificados. Algo as como yo soy yo, porque lo digo yo, que le otorgar un Certificado de Autoridad Certificadora a otra Autoridad Certificadora que mantendremos en la red Esta autoridad ser de tipo standalone sobre un servidor en grupo de trabajo lo que nos permitir mantenerla offline No entraremos en la forma que se desarrolla el tema en las grandes corporaciones, pero este se hace de esta forma en dos o inclusive tres niveles, distribuyendo la carga de los diferentes tipos de certificados entre diferentes sub Certificadoras. Si se comprometira la seguridad de una de ellas no afectara a toda la organizacin Una segunda Autoridad Certificadora, cuya identidad se encuentra certificada por la anterior, integrada en Active Directory (Enterprise Certification Authority), lo que nos permitir automatizar la distribucin e implementacin de todos los certificados digitales, bsicamente a travs de Directivas de Grupo (GPOs) Para esta demostracin utilizar slo una mquina en grupo de trabajo (WORKGROUP), en una red aislada, donde instalar la Autoridad Certificadora, y lo ms importante, veremos los pasos necesarios para exportar los certificados y CRL para instalar en la sub Autoridad Certificadora Pueden ver en la siguiente pantalla que se trata simplemente de una instalacin de Windows Server 2012 en grupo de trabajo
Como es lgico, lo primero a hacer es instalar la funcionalidad de Certificate Services, que se har como es habitual y siguendo el asistente como muestran las capturas
Agregamos los complementos necesarios
Muy importante que lean la advertencia: una vez instalada la Autoridad Certificadora el equipo no podr ser renombrado, o incluido en Dominio
Para este caso necesitamos solamente Certification Authority
Y ahora ingresamos al asistente para configurarla
Si iniciamos como administrador del servidor, que por otra parte es necesario, no hace falta cambiar nada
Marcamos el componente correspondiente que vamos a configurar
Observen que como estamos instalando en una mquina en grupo de trabajo slo nos permite Standalone, y no de tipo Enterprise
Estamos instalando una Autoridad Certificadora de tipo Raz, as que seleccionamos Root
Por tratarse de una certificadora de tipo raz, y para mantener la mxima seguridad elegir la longitud de claves ms larga posible
Elegimos el nombre que le daremos. Pensarlo bien
Asignamos el tiempo de validez de los certificados otorgados por esta Autoridad Certificadora. Tener en cuenta que no podr otorgar certificados que lleguen ms all de su propio perodo de validez
Abramos la consola Certification Authority que debemos hacer unos cambios en la configuracin por omisin
Atencin que ahora viene una parte delicada y que requiere mucho cuidado para no confundirse Como esta instalacin la usaremos luego para certificar a otra Autoridad Certificadora funcionando en ambiente de dominio Active Directory, y no habr comunicacin por red, es necesario que en los certificados extendidos por la sub autoridad certificadora se pueda acceder tanto al certificado de la autoridad raz, como a la lista de revocacin de certificados (CRL) En la ficha Extensions, nos aseguramos que est seleccionado CRL Distribution Point (CDP), y pulsamos el botn Add
Ayudndonos con escribir una parte y usando la lista desplegable Variable vamos a escribir la ubicacin en la entrada Location
Debe quedar as:
Pulsamos Ok *una sola vez*
Y marcamos las opciones como muestra la siguente figura (SIN PULSAR OK QUE ME EQUIVOQU CON LA MARCA, PULSEN SLO APPLY
Que no reinicie que todava nos falta algo ms
En forma anloga al anterior ahora en la lista desplegable seleccionamos Authority Information Access (AIA), y el botn Add
Anlogamente a la configuracin anterior debemos agregar la nueva ubicacin
Debe quedar as: (presten atencin al _)
Marcamos la siguiente opcin
Y ahora s permitimos reiniciar el servicio para que adopte las nuevas configuraciones
Forzamos una publicacin de los certificados revocados, aunque no tengamos ninguno, slo para que se creen los archivos, que ms adelante necesitaremos
Ya tenemos la Autoridad Certificadora instalada y configurada como deseamos. Lo que debemos hacer ahora es exportar los archivos necesarios que necesitaremos para instalar la sub Autoridad Certificadora (en la prxima nota del sitio) Ingresamos con botn derechos en las propiedades de la Autoridad Certificadora
Ficha General, elegimos ver el certificado de la propia autoridad
Y en la ficha Details elegimos el botn para copiarlo a un archivo
Seguimos el asistente
Elijan el nombre que quieran y el lugar que les resulte ms cmodo. Piensen que luego lo van a tener que llevar a otra mquina mediante algn medio removible
Demora unos segundos, asegrense que aparezca lo siguiente
Debemos tambin copiar a algn lugar cmodo otros dos archivos que luego llevaremos a la sub Autoridad Certificadora Los encontrarn en C:\Windows\System32\CertSrv\CertEnroll Corresponden a la Certificate Revocation List (CRL), y al certificado que firma digitalmente la misma
En mi caso los dej sobre el escritorio de Windows
En la prxima nota usaremos estos tres archivos para instalar y configurar una sub Autoridad Certificadora, integrada en Active Directory, que nos permitir otorgar Certificados Digitales fcilmente Esta nota continua instalando y configurando una Autoridad Certificadora Subordinada de Tipo Enterprise en: Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de Tipo Enterprise (Integrada con Active Directory) de esta forma podremos personalizar y automatizar el otorgamiento de Certificados Digitales