La autoridad de certificación de Windows genera un certificado
Un servidor de Autoridad de Certificación de Windows Active Directory (AD CA), también conocido como Autoridad de Certificación, es un servicio esencial para el Directorio Activo de toda organización, ya que puede gestionar, emitir, revocar y renovar los certificados digitales utilizados para verificar la identidad de los usuarios, ordenadores y otros servicios de red.
Esta guía le mostrará cómo instalar y configurar rápidamente un servidor de Autoridad de Certificación en el servidor de Windows 2016. La guía incluye la instalación del servicio de inscripción web de la Autoridad de Certificación para permitir a su organización solicitar, renovar y descargar certificados a través de una sencilla interfaz web.
El Asistente para añadir funciones y características abrirá inmediatamente una nueva ventana en la que se le pedirá que confirme la instalación de las herramientas adicionales necesarias para gestionar la función de CA. Para confirmar, haga clic en el botón Añadir funciones:
La siguiente sección gira en torno a los Servicios de Certificación que queremos instalar. La ventana inicial advierte que una vez que el nombre del ordenador/servidor no se puede cambiar después de que se haya instalado una autoridad de certificación (CA). Tómese un momento para leer la información y haga clic en Siguiente cuando esté listo:
Servicios de certificados de Active Directory 2016 paso a paso
Let’s Encrypt emite certificados firmados que tienen una validez de 90 días, aunque tienen la capacidad de renovarse automáticamente de forma indefinida. Para solicitar un certificado Let’s Encrypt, o para renovar uno en el futuro, debe cumplir los siguientes requisitos:
El Appliance Serie B inicia el proceso de renovación del certificado 30 días antes de que éste caduque y requiere el mismo proceso que el de la solicitud original. Si no ha tenido éxito 25 días antes de la expiración, el B Series Appliance envía diariamente alertas por correo electrónico al administrador (si las notificaciones por correo electrónico están activadas). El estado mostrará el certificado en estado de error.
Debido a que el DNS sólo puede aplicarse a un B Series Appliance a la vez, y debido a que a un B Series Appliance se le debe asignar el nombre de host DNS para el que realiza una solicitud de certificado o una solicitud de renovación, le recomendamos que evite el uso de certificados Let’s Encrypt para los pares de B Series Appliance de conmutación por error.
Una vez que la autoridad de certificación tenga los datos de la solicitud, los revisará y los firmará. Una vez que la autoridad de certificación haya firmado el certificado, se lo enviará de vuelta, a menudo con los archivos del certificado raíz y/o intermedio. Todo ello constituye su cadena de certificados. La CA o autoridad emisora emite varios certificados en una cadena de certificados, lo que demuestra que el certificado de su sitio fue emitido por la CA. Esta prueba se valida mediante un par de claves públicas y privadas. La clave pública, disponible para todos los visitantes de su sitio, debe validar la clave privada para verificar la autenticidad de la cadena de certificados. La cadena de certificados suele estar formada por tres tipos de certificados:
Solicitar certificado de ca windows server 2016
Ya está disponible para su compra, una versión completa en forma de libro de esta guía. Incluye una versión ampliada de esta guía que incluye más de 300 capturas de pantalla, comandos de configuración CLI, guía de inicio rápido, detalles adicionales y más.
El objetivo de esta guía es desplegar una Autoridad de Certificación interna y una Infraestructura de Clave Pública (PKI) utilizando los Servicios de Certificación de Active Directory en Windows Server 2019. Esto proporciona muchos beneficios a una organización, incluyendo características como:
El procedimiento para crear una Autoridad de Certificación no ha cambiado considerablemente desde Windows Server 2012 R2. Las recientes mejoras y cambios con algunos proveedores (Apple y Mozilla) sí requieren algunos cambios menores para permitir los cambios de seguridad con esos proveedores.
Me disculpo por la longitud de este documento, pero la creación de una Autoridad de Certificación es un proceso muy complicado. Traté de documentar cada paso que pude, ya que omitir hasta el más mínimo detalle puede causar muchos problemas que son muy difíciles de corregir.
Mejores prácticas de la autoridad de certificación de Microsoft
Utilizaré el DC existente en mi red (que desplegué en la parte anterior) e instalaré roles de CA en él. Esto tiene sentido porque los servicios de CA de la empresa están estrechamente integrados con AD. Muchas veces, “en el mundo real” el rol de CA se instala en un Controlador de Dominio.
Cuando llegue a la pantalla de Roles de Servidor, seleccione Servicios de Certificación de Active Directory. Al seleccionar el rol, se le pedirá que confirme la instalación de características adicionales. Siga adelante y haga clic en Añadir características y haga clic en Siguiente
Haga clic en siguiente 2 veces y llegará a la pantalla de Servicios de Rol. Podemos ver algunas opciones diferentes que se pueden utilizar y voy a instalar la Autoridad de Certificación (por defecto) y la Autoridad de Certificación de Inscripción Web (que proporciona una interfaz web que permite a los usuarios solicitar y renovar certificare etc.). Asegúrese de permitir la instalación de características adicionales.
¡OBS! Podemos modificar el nombre común si lo deseamos. El nombre común no tiene que coincidir con el nombre del servidor. Es el nombre que aparecerá dentro de Active Directory así como dentro de los certificados que se emitan desde esta CA.