Instalación y configuración básica de Active Directory Certificate Services

Active Directory Certificate Services:

Active Directory Certificate Services (AD CS) es utilizado para crear Autoridades Emisoras de Certificados (CA) y servicios relacionados que permitirán emitir y administrar certificados utilizados en una variedad de aplicaciones.

Sus principales componentes son:

-          Certificate Authority (CA): Componente principal de la infraestructura de servicios de certificado, es la entidad responsable de emitir certificados a los usuarios, equipos y otras entidades como a las Cas subordinadas. Es responsable de aceptar o rechazar una solicitud de certificado, verificar la información del solicitante, validar el certificado, revocar los certificados y publicarlos en las Listas de Revolación (CRLs).

-          Web Enrollment: Este nos permite solicitar los certificados desde la Web. Un ejemplo de uso de éste método es cuando tenemos clientes que no están conectados directamente a la red o bien no son clientes Microsoft.

-          Online Certificate Status Protocol (OCSP): Cuando un cliente envía una solicitud de información sobre el estado actual de un certificado, es el OCSP que se encarga de responder a la “pregunta”. OCSP sólo es responsable de responder a las solicitudes individuales, es decir, no distribuye las actualizaciones periódicamente.

-          Network Device Enrollment Service (NDES): Algunos dispositivos de red, como routers y switches, no podrán autenticarse en la red cuando quieran registrar un certificado X.509. Para hacer frente a este problema, Microsoft utiliza NDES que es una implementación de Protocolo de Registro de Certificados Simple (SCEP), un protocolo de comunicación que el software que se ejecuta en los dispositivos para obtener un certificado de una CA.

-          Certificate Enrollment Policy Web Server (CEP) y Certificate Enrollment Web Services (CES): Para permitir a los usuarios y equipos la recepción de una directiva de registro de certificados via Web, necesitaremos implementar un rol de AD CS llamado CEP. En conjunto con el Servicio web de inscripción de certificados, este servicio permite a la política basada en la inscripción de certificados en los siguientes escenarios:

o   Si el equipo cliente no es un miembro del dominio

o   Cuando un miembro de dominio no está conectado al dominio.

 

 

Mediante Powershell vamos a verificar si el rol y sus componentes están disponibles para la instalación y si están instalados.

Para eso ejecutaremos el siguiente comando:

Get-WindowsFeature | where {$_.name -like "adcs*" -or $_.name -like "ad-c*"}

 

Podemos instalar el servicio ejecutando:

Install-WindowsFeature adcs-cert-authority –IncludeManagementTools 

Si volvemos a ejecutar

Get-WindowsFeature | where {$_.name -like "adcs*" -or $_.name -like "ad-c*"}
veremos que ahora si tenemos la CA instalada 

 

Posteriormente si abrimos Server Manager nos aparecerá el signo de advertencia donde nos indica que AD CS debe ser configurado 

 

Hacemos clic en Configure Active Directory Certificate Services

En la primera ventana nos pedirá que introduzcamos las credenciales administrativas y luego haremos clic en siguiente: 

 

Luego nos pedirá que indiquemos que queremos configurar Certification Authority y hacemos clic en Next 

Luego tendremos que seleccionar qué tipo de CA instalaremos.

En este caso instalaremos un Enterprise CA porque de esa manera nos aseguraremos de emitir certificados solo para Dominio.

Hacemos clic en Next

 

En la siguiente ventana deberemos seleccionar el tipo de CA, en este caso es un CA Raiz.

Se recomienda (como buena práctica) que el CA raíz esté offline y que los certificados que emita tengan un tiempo de vida más grande que un CA subordinado.
Al estar offline el CA estará menos expuesto a riesgos y vulnerabilidades

 

Posteriormente deberemos crear una nueva clave Privada (podemos utilizar una existente si es que la tendríamos) 

 

 

En la siguiente ventana deberemos seleccionar el proveedor criptográfico, la longitud de la llave y el tipo de hash para firma de certificados que se utilizará

 

Luego introduciremos un nombre común para el CA, el sufijo y el Common Name (que generalmente es el mismo del equipo). Luego haremos clic en Next 

 

En la siguiente ventana deberemos el tiempo de validez de los certificados que emitirá este CA. Como es un CA Raíz yo le puse 20 años 

 

Luego deberemos seleccionar la ubicación de la Base de Datos y los logs del CA.

 

Por último deberemos seleccionar Configure para concluir con la configuración (podemos ir atrás para corregir o cambiar algunos de sus parámetros mostrados en resumen) 

 

 

Posteriormente deberemos volver a Server Manager y seleccionaremos nuevamente Add Roles and Features Wizard y seleccionaremos Active Directory Certificate Services y agregaremos los demás servicios necesarios

 

 

 

Luego en Server Manager, Tools podremos observar las nuevas herramientas instaladas. Listas para configurar y utilizar

 

 

En los siguientes post veremos cómo utilizar estas herramientas.

 

Espero les haya sido útil.

 

Saludos