Desplegar una CA subordinada (ADCS)

¿Qué es ADCS?

Entender el  funcionamiento de una autoridad certificadora subordinada es muy sencillo una vez que sabemos el funcionamiento del Rol de ADCS (Active Directory Certiicate-Services).

ADCS nos permite convertir una máquina en una autoridad certificadora y usarla para generar certificados en base a máquinas, usuarios, servicios, archivos, etc… Este Rol está disponible desde Windows Server 2000, aunque evidentemente en versiones más recientes de sistema operativo podremos acceder a más características.

 

Caracteríticas y Servicios de ADCS

A la hora de desplegar una autoridad certificadora (CA) podemos hacerlo de dos formas:

  • Enterprise: Se integra en directorio activo, y lo usa para emitir los certificados. Los equipos confiarán automáticamente en un certificado emitido por una autoridad certificadora (CA) enterprise.
  • Standalone: No se integra en AD y para que los equipos confien en sus certificados habrá que configurar una política de grupo en cada equipo cliente para añadir el certificado autofirmado de la autoridad certificadora (CA).

 

Cuando instalamos el Rol de ADCS tenemos la opción de instalar los siguientes servicios:

  • Certification Authority: Es necesario tener una instalada en la infraestructura, es la encargada de emitir certificados a usuarios, equipos y servicios y manejar su validez.
  • Certificate Enrollment Policy Web Service: Posibilita a los usuarios a obtener información de las políticas de enrollment de certificados. Se usa en equipos cliente que no son miembros de un dominio o en equipos del dominio que no están conectados a él.
  • Certificate enrollment Web Service: Permite a los usuarios conectarse a la autoridad certificadora a través de un navegador web para pedir certificados, listas revocación, etc…
  • Certification Authority web enrollment: Nos permite conectarnos a la autoridad certificadora a través de un navegador para por ejemplo solicitar certificados, ver la lista de revocación, etc..
  • Network Device Enrollment Service: Permite emitir certificados a dispositivos de nuestra red, como por ejemplo un router.
  • Online Responder: Su función es responder a los equipos clientes el estado de validez de los certificados, para que en caso que ese certificado haya sido revocado el cliente sepa que ya no es válido.

 

 

 

Características de la nueva entidad subordinada

En circunstancias normales la autoridad certificadora raíz se conecta con las subordinadas y son las subordinadas las encargadas de entregar los certificados. También para aumentar la seguridad podemos apagar la autoridad raíz y así prevenir posible ataques.

La CA subordinada no se puede usar hasta que se haya emitido para ella un certificado de CA raíz y este certificado se haya usado para completar la instalación de la CA subordinada.

Podemos realizar la siguiente configuración cuando creamos nuestra identidad:

  • Elegir los servicios que queremos que se instalen en ella (mencionados en el punto anterior).
  • Crear una nueva clave privada o usar la existente.
  • Especificar los parámetros de seguridad que queramos que cumpla nuestra clave.
  • Personalizar el nombre con el que queremos que sea visible nuestra entidad certificadora, así como previsualizar el DN distinguished name.
  • Realizar una petición directa de certificado a nuestra autoridad certificadora rana petición directa de certificado a nuestra autoridad certificadora raíz o escoger crear un archivo de petición de certificado para la misma.
  • Podremos elegir dónde queremos que se alamacene la base de datos incluidos los archivos de log de nuestra entidad.

 

Para terminar veremos un video demostración de cómo configurarla.

Autor: David García Violero

Linkedin: https://www.linkedin.com/in/david-garcía-violero-559a08128

Email: daviddgv10@gmail.com

Alumno del curso Micrsoft MCSE

Centro: Tajamar

Año académico: 2016-2017