• Ir a navegación principal
  • Ir al contenido principal
  • Ir a la barra lateral primaria

ITadmins

Para administradores de sistemas

  • Windows Server
  • Microsoft Exchange
  • Skype for Business
  • Office 365
  • Azure
    • Facebook
    • LinkedIn
    • Twitter

PKI en Windows Server 2016: Implementar Sub CA – Parte V

17/12/2018 By José Ramón Maseda Lozano Dejar un comentario

Una vez publicado el certificado Root en AD a través de políticas como habíamos visto en la parte anterior, ya podemos pasar a la instalación del rol de CA en nuestra Sub CA, pero antes vamos a cambiar el periodo de validez de los certificados que emitirá nuestra Root CA.

A diferencia de la Root CA, en el proceso de instalación de una CA Enterprise Subordinada, no tenemos la opción de especificar la duración o validez de la misma (que en la Root CA habíamos configurado con el Capolicy.inf a 16 años). En una CA subordinada si la Root CA es Standalone (como es nuestro caso) el tiempo por defecto de validez de la CA subordinada será de 1 año, lo cual es poco, por lo tanto si queremos cambiarlo por ejemplo a 8 años (es común utilizar la mitad del tiempo de vida de la Root CA, y nunca mayor que el de ésta), tenemos que lanzar los siguientes comandos en la Root CA:

> certutil -setreg CA\ValidityPeriodUnits 8

> net stop certsvc && net start certsvc

Como vemos en la primera captura, el anterior valor de la clave de registro era «1» correspondiente a un año por defecto. Una vez hecho esto, cuando emitamos el certificado para la Sub CA, su validez será de 8 años.

Una vez comprobado esto pasamos ya a instalar el rol de CA en la Sub CA, esta vez la vamos a instalar vía GUI, y como antes, crearemos el archivo CApolicy.inf, desde CMD:

> notepad c:\windows\capolicy.inf

Pero esta vez usaremos los siguientes valores:

[Version]
Signature="$Windows NT$"</pre>
[PolicyStatementExtension]
Policies=InternalPolicy

[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://pki.lab.itadmins.es/pki/cps.txt

[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=8
AlternateSignatureAlgorithm=0
LoadDefaultTemplates=1

[BasicConstraintsExtension]
PathLength=0
Critical=Yes

Aquí vemos que volvemos a incluir los valores de validez de la Sub CA a 8 años, aunque como ya hemos comentado antes, esto está configurado en el certificado emitido por la Root CA. Hemos habilitado los templates por defecto y configurado constraints con un valor de 0, para que no se pueda generar otra Sub CA por debajo de este nivel. Hemos omitido también los valores de renovación de la CRL base y delta, veremos más adelante que es esto y cómo se pueden configurar a posteriori.

Aquí tenéis más información sobre los valores del archivo CApolicy.inf:

https://blogs.technet.microsoft.com/askds/2009/10/15/windows-server-2008-r2-capolicy-inf-syntax/

https://blogs.technet.microsoft.com/pki/2014/03/05/constraints-what-they-are-and-how-theyre-used/

Recordar que la creación del archivo CApolicy.inf es opcional, no es necesaria para la implementación de este laboratorio de PKI siempre que nos sirva con los valores por defecto, pero si es necesario en algunos entornos más complicados.

Pasamos ya a instalar el rol de CA:

Dejamos todo por defecto e instalamos:

Después de la instalación, lanzamos la post configuración:

Importante comprobar que somos administradores de dominio:

Seleccionamos «Certification Authority»:

En este caso será una CA Enterprise:

Seleccionamos «Subordinate CA»:

Creamos una nueva key:

Igual que en la Root CA:

Indicamos el nombre de la Sub CA:

Y aquí especificamos que vamos a generar un request para llevar a la Root CA y generar nuestro certificado después:

Dejamos la ubicación de la base de datos y logs por defecto:

Y confirmamos:

Nos indica que el proceso no está completo, ya que tenemos que llevar el request generado a la Root CA y generar nuestro certificado:

Copiamos el request generado:

Y lo pegamos en C:\ de la Root CA:

Ahora desde la consola de la CA de la Root CA hacemos «Submit new request…»:

Y seleccionamos nuestro request:

Si vamos a la sección «Pending Requests» de la CA vemos un certificado en estado pendiente:

Hacemos click en «Issue»:

Y automáticamente pasará a la sección de «Issued Certificates»:

Nuestro certificado para la Sub CA ya está emitido, y sólo queda exportarlo para instalarlo después en nuestra Sub CA, pero esto lo veremos en el siguiente artículo.

Un saludo!

Partes: I, II, III, IV, V, VI.

Archivado en:Windows Server Etiquetado con:ADCS, Certificados, PKI, Windows Server 2016

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Barra lateral primaria

LinkedIn
Share
Twitter
Follow Me
Tweet
Facebook
fb-share-icon

Últimos Artículos

  • Listar Recursos en un Resource Group en Azure
    Por Juan Otero
  • Agregar Conexiones Viva para el escritorio de Microsoft Teams
    Por Raul Soler
  • PowerShell 7
    Por Juan Otero
  • Conceptos AD: Replicación I
    Por José Ramón Maseda Lozano
  • Networking III: Capturando el tráfico
    Por José Ramón Maseda Lozano

Saber más de…

Active Directory ADCS Azure Azure AD Certificados cluster Conceptos AD Content Index Database Exchange Online FSMO Group Policy Guía Hub Hyper-V IIS Journaling Loopback Lync Microsoft Exchange Migracion NAT Networking Office 365 OWA Password PKI PowerShell Router script Servicio de Transporte Servicio Front-End Sharepoint SharePoint Online Skype Skype For Business STOREDRV Switch Teams Virtual Directory WDS Windows 10 Windows Server Windows Server 2012 R2 Windows Server 2016
  • Inicio
  • Sobre Nosotros
  • Windows Server
  • Microsoft Exchange
  • Skype for Business
  • Office 365
  • Azure
    • Facebook
    • LinkedIn
    • Twitter

Copyright © 2023 ITadmins.es