Configurar un KRA

En este post voy a explicar cómo configurar un KRA (Key recovery agent).

Configurar un KRA es muy útil en algunas situaciones como:

  • Si revocamos el certificado. Uno de los casos en los que se revocaría es si la clave se ha visto comprometida.
  • Si el usuario propietario de la clave privada usada para el cifrado se va de la empresa.

En estos casos los archivos cifrados con el certificado dejarían de ser accesibles. Ya que no tenemos la clave privada.

Por defecto la clave pública de un certificado se genera en la autoridad certificadora y la clave privada se genera en el equipo en el que se solicita el certificado.

Para que este problema no pase configuramos KRA. Ya que una vez configurado las claves privadas se guardan en el directorio activo. De esta forma el usuario que definimos como KRA puede recuperarlas.

Los KRA pueden restringirse para que solo puedan recuperar claves de determinados usuarios o grupos. También lo podemos restringir a solo determinados tipos de plantillas.

Pasos a seguir

Es necesario tener instalado el rol “active directory certificate services”.

Para configurar KRA definimos un usuario como Key recovery agent. Este usuario va a recuperar las claves privadas de directorio activo. Para esto debemos en la seguridad de la plantilla “key recovery agent” darle los permisos de lectura y enroll al usuario que queramos que pueda recuperar la clave.

Emitimos el certificado para que así el usuario que hemos definido como KRA pueda solicitarlo.

Después el usuario  KRA solicitaría el certificado.

Esta plantilla de “key recovery agent” por defecto deja el certificado pendiente hasta que un administrador lo emite. Esto es porque en las propiedades de la plantilla “key recovery agent” en la pestaña “issuance requirements”. Tiene marcado el check “CA certificate manager approval”. Por lo tanto debemos ir a las solicitudes pendientes y emitirlo.

Pero no solo vale con esto. Para que el usuario KRA pueda recuperar las claves necesitan que estas claves se hayan guardado en directorio activo es lo que se denomina archivado de claves.

No vamos a la autoridad certificadora y en sus propiedades nos vamos la pestaña recovery agent.

Aquí es donde seleccionamos archivar la clave y añadimos al usuario que hemos definido como KRA.

Una vez que hemos configurado todo tenemos que tener en cuenta que puede recuperar los que se emitan a partir de ahora pero los que ya hemos emitido no los puede recuperar ya que la clave no esta en el directorio activo.

Por último  desde la plantilla que queramos que se puedan recuperar las claves le damos botón derecho “Reenroll all certificates holders”.

Esto lo hacemos para que se vuelvan a emitir los certificados y a partir de ahora se guardarían las claves en el directorio activo, con lo cual el usuario que hemos definido como KRA podría recuperarlo.

 

Autor: David Lázaro Rodríguez.

Curso: Microsoft MCSA Windows Server + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2017-2018