Hola, soy Jose y vamos a continuar con la tercera parte de la serie PKI que había comenzado mi compañero Aarón, aquí vamos a publicar los archivos CRT y CRL en IIS para que estén accesibles desde cualquier ubicación.
Como habíamos comentado en la primera parte de la guía, ya tenemos 2 máquinas desplegadas: el DC y la Root CA. Nos hace falta una tercera máquina para desplegar la Sub CA, el entorno en estos momentos quedaría así:
Con 1500Mb de memoria es suficiente, todas las máquinas son Windows Server 2016 conectadas a un Switch privado virtual, en la red 172.16.0.0/24.
Hemos promocionado ya el DC con el dominio ITadmins.es y hemos añadido al dominio la Sub CA. Va a ser una CA Enterprise por lo tanto necesita estar en un dominio. Acordaros siempre de loguearos con el administrador del dominio una vez os unís al dominio y reiniciáis, lo podéis confirmar con el comando «whoami»:
Al final de la parte 2 de la serie PKI, teníamos publicados los archivos CRL y CRT en la Root CA. Ahora lo que tenemos que hacer es copiarlos y pegarlos en una carpeta que vamos a llamar «pki» y que crearemos en la unidad C:\ de la Sub CA:
Vamos a publicar estos archivos a través de una página web que habíamos especificado anteriormente en las extensiones CDP y AIA de la Root CA:
CDP: http://pki.lab.itadmins.es/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
AIA: http://pki.lab.itadmins.es/pki/<ServerDNSName>_<CaName><CertificateName>.crt
Por lo tanto, instalamos el servidor web IIS en la Sub CA:
Seleccionamos Web Server (IIS) y añadimos las características por defecto:
Todo por defecto, hasta llegar a la instalación:
Una vez terminada la instalación abrimos la consola de IIS, vamos a «Default Web Site» y con el secundario añadimos un directorio virtual:
En alias usamos «pki», y en «Physical path» la ubicación de nuestros archivos CRT y CRL, finalmente hacemos click en OK:
Desde IIS podemos ver en «Content View» el contenido de nuestra página web:
Podemos comprobar si nuestra CRL está publicada haciendo click en «Browse»:
Se nos abrirá el Internet Explorer y descargará la CRL:
Si abrimos el archivo descargado, veremos lo siguiente:
Y en la pestaña «Revocation List» no veremos ningún certificado expirado o revocado ya que nuestra CA es nueva.
Con esto, hemos confirmado que nuestras CRL y AIA están publicadas correctamente, pero en el test he entrado con http://localhost/pki, y las urls son http://pki.lab.itadmins.es/pki por lo tanto tendremos que crear un alias en DNS del DC tal que así:
Si ahora (incluso desde el mismo DC) volvemos hacer la prueba de descargar la CRL vemos que efectivamente podemos pero usando también:
http://pki.lab.itadmins.es/pki/itadmins%20ES%20Root%20CA.crl:
Y esto es todo por hoy, en la siguiente parte continuaremos con algunas configuraciones previas a instalar el rol de certificados en la Sub CA.
Saludos!
Deja una respuesta