Instalar entidad de certificación en Windows Server 2008 R2

Instalar entidad de certificación en Windows Server 2008 R2

Sí, puede tener su propia Autoridad de Certificación (CA) y emitir certificados para los clientes. La mala noticia es que los certificados emitidos por su CA interna solo son de confianza para sus clientes internos o para los clientes que tienen importado su certificado raíz. Para aplicaciones internas, sitios, etc., esto es oro, porque no tiene que hacerlo con un certificado comercial, pero si tiene un sitio HTTPS público, necesitará un certificado comercial. Las entidades de certificación pueden tener múltiples ramificaciones o niveles, como CA raíz, luego una CA subordinada, y la última es la CA emisora.A continuación he creado un diagrama para una mejor visualización.

La CA raíz emitirá certificados solo para CA Subordinada, y la CA Subordinada emitirá certificados solo para la emisión de CA. La CA emisora es la que emitirá certificados para clientes internos. Por supuesto, puede crear más de tres ramificaciones, pero incluso las Autoridades de certificación de anuncios comerciales no van con más de tres. Ahora hay varios tipos de Entidades de certificación para Dominios de Windows. La primera y la más grande es la CA Raíz de la Empresa, luego es la CA Subordinada de la Empresa. Estos dos tipos se usan solo si tiene un dominio de Windows implementado en su red. Las dos últimas son CA Independiente de Empresa y CA Independiente Subordinada. Estos se usan si no tiene implementado un dominio de Windows. Ahora, la diferencia entre Enterprise y Standalone es que con Enterprise tiene plantillas de certificado, y el certificado raíz se implementará automáticamente en todos los clientes. Terminaré esta introducción ahora, y empezaré a trabajar.

Para esta guía, tengo un Controlador de dominio (DC) que ejecuta Windows Server 2008 R2 y otro Windows Server 2008 R2 (llamado Server-Cert) unido al dominio, que será nuestra CA Raíz Empresarial. Sí, voy con la versión Enterprise, porque es un dominio de Windows, y para pequeñas empresas es más que suficiente una sola CA Raíz Empresarial.

Vaya a Server-Cert y abra el Administrador del servidor; haga clic con el botón secundario en Roles y elija Agregar roles.

Haga clic en Siguiente para omitir la pantalla de bienvenida. En la pantalla Roles, seleccione los servicios de certificados de Active Directory y haga clic en Siguiente.

Omita la introducción de AD CS. En la pantalla Servicios de rol tenemos la opción de instalar algo más que el servicio de certificados. Para esta demostración, también instalaré la Inscripción Web de la Autoridad de Certificación. Esto nos dará una página web para solicitar certificados, y es genial, créeme. Tan pronto como haga clic en la Inscripción Web de la Autoridad de Certificación, se le pedirá que instale algunos requisitos previos requeridos. Y, por supuesto, un sitio web para funcionar necesita un servidor web. Simplemente haga clic en Agregar servicios de roles necesarios y continúe con el asistente.

Debido a que se trata de instalar una CA raíz empresarial, simplemente deje los valores predeterminados aquí y haga clic en Siguiente.

Deje de nuevo los valores predeterminados aquí para instalar una CA raíz.

Necesitamos crear una nueva clave privada, así que haga clic en Siguiente para continuar.

Para la CA raíz empresarial, generalmente elijo una clave de longitud de 4096 y dejo el resto por defecto.

Dale un nombre a tu CA raíz. Siempre cambio el nombre, porque realmente odio el predeterminado.

Seleccione un período de validez. Para la CA raíz empresarial, normalmente escribo 30 años.

Si tiene alguna razón para cambiar la ubicación predeterminada del registro y la base de datos, hágalo utilizando los botones Examinar. Ahora viene la parte de instalación de IIS, simplemente siga los valores predeterminados y termine el asistente.

se realiza La instalación. Vaya a Herramientas administrativas > Entidad de certificación para abrir la Consola de administración de los Servicios de certificados. Desde esta consola puede revocar certificados y crear plantillas.

Para ver el certificado raíz, haga clic con el botón derecho en el nombre del servidor, seleccione Propiedades y presione el botón Ver certificado

Abra un navegador y escriba http://localhost/certsrv, y se abrirá la página de Inscripción Web de Servicios de Certificados. Al usar esta página web, los clientes pueden solicitar certificados, si tienen los permisos adecuados.