Una vez publicado el certificado Root en AD a través de políticas como habíamos visto en la parte anterior, ya podemos pasar a la instalación del rol de CA en nuestra Sub CA, pero antes vamos a cambiar el periodo de validez de los certificados que emitirá nuestra Root CA.
A diferencia de la Root CA, en el proceso de instalación de una CA Enterprise Subordinada, no tenemos la opción de especificar la duración o validez de la misma (que en la Root CA habíamos configurado con el Capolicy.inf a 16 años). En una CA subordinada si la Root CA es Standalone (como es nuestro caso) el tiempo por defecto de validez de la CA subordinada será de 1 año, lo cual es poco, por lo tanto si queremos cambiarlo por ejemplo a 8 años (es común utilizar la mitad del tiempo de vida de la Root CA, y nunca mayor que el de ésta), tenemos que lanzar los siguientes comandos en la Root CA:
> certutil -setreg CA\ValidityPeriodUnits 8
> net stop certsvc && net start certsvc
Como vemos en la primera captura, el anterior valor de la clave de registro era «1» correspondiente a un año por defecto. Una vez hecho esto, cuando emitamos el certificado para la Sub CA, su validez será de 8 años.
Una vez comprobado esto pasamos ya a instalar el rol de CA en la Sub CA, esta vez la vamos a instalar vía GUI, y como antes, crearemos el archivo CApolicy.inf, desde CMD:
> notepad c:\windows\capolicy.inf
Pero esta vez usaremos los siguientes valores:
[Version] Signature="$Windows NT$"</pre> [PolicyStatementExtension] Policies=InternalPolicy [InternalPolicy] OID= 1.2.3.4.1455.67.89.5 Notice="Legal Policy Statement" URL=http://pki.lab.itadmins.es/pki/cps.txt [Certsrv_Server] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=8 AlternateSignatureAlgorithm=0 LoadDefaultTemplates=1 [BasicConstraintsExtension] PathLength=0 Critical=Yes
Aquí vemos que volvemos a incluir los valores de validez de la Sub CA a 8 años, aunque como ya hemos comentado antes, esto está configurado en el certificado emitido por la Root CA. Hemos habilitado los templates por defecto y configurado constraints con un valor de 0, para que no se pueda generar otra Sub CA por debajo de este nivel. Hemos omitido también los valores de renovación de la CRL base y delta, veremos más adelante que es esto y cómo se pueden configurar a posteriori.
Aquí tenéis más información sobre los valores del archivo CApolicy.inf:
https://blogs.technet.microsoft.com/askds/2009/10/15/windows-server-2008-r2-capolicy-inf-syntax/
https://blogs.technet.microsoft.com/pki/2014/03/05/constraints-what-they-are-and-how-theyre-used/
Recordar que la creación del archivo CApolicy.inf es opcional, no es necesaria para la implementación de este laboratorio de PKI siempre que nos sirva con los valores por defecto, pero si es necesario en algunos entornos más complicados.
Pasamos ya a instalar el rol de CA:
Dejamos todo por defecto e instalamos:
Después de la instalación, lanzamos la post configuración:
Importante comprobar que somos administradores de dominio:
Seleccionamos «Certification Authority»:
En este caso será una CA Enterprise:
Seleccionamos «Subordinate CA»:
Creamos una nueva key:
Igual que en la Root CA:
Indicamos el nombre de la Sub CA:
Y aquí especificamos que vamos a generar un request para llevar a la Root CA y generar nuestro certificado después:
Dejamos la ubicación de la base de datos y logs por defecto:
Y confirmamos:
Nos indica que el proceso no está completo, ya que tenemos que llevar el request generado a la Root CA y generar nuestro certificado:
Copiamos el request generado:
Y lo pegamos en C:\ de la Root CA:
Ahora desde la consola de la CA de la Root CA hacemos «Submit new request…»:
Y seleccionamos nuestro request:
Si vamos a la sección «Pending Requests» de la CA vemos un certificado en estado pendiente:
Hacemos click en «Issue»:
Y automáticamente pasará a la sección de «Issued Certificates»:
Nuestro certificado para la Sub CA ya está emitido, y sólo queda exportarlo para instalarlo después en nuestra Sub CA, pero esto lo veremos en el siguiente artículo.
Un saludo!
Deja una respuesta