Hola, soy Jose y vamos a continuar con la tercera parte de la serie PKI que había comenzado mi compañero Aarón, aquí vamos a publicar los archivos CRT y CRL en IIS para que estén accesibles desde cualquier ubicación.

Como habíamos comentado en la primera parte de la guía, ya tenemos 2 máquinas desplegadas: el DC y la Root CA. Nos hace falta una tercera máquina para desplegar la Sub CA, el entorno en estos momentos quedaría así:

Con 1500Mb de memoria es suficiente, todas las máquinas son Windows Server 2016 conectadas a un Switch privado virtual, en la red 172.16.0.0/24.

Hemos promocionado ya el DC con el dominio ITadmins.es y hemos añadido al dominio la Sub CA. Va a ser una CA Enterprise por lo tanto necesita estar en un dominio. Acordaros siempre de loguearos con el administrador del dominio una vez os unís al dominio y reiniciáis, lo podéis confirmar con el comando «whoami»:

Al final de la parte 2 de la serie PKI, teníamos publicados los archivos CRL y CRT en la Root CA. Ahora lo que tenemos que hacer es copiarlos y pegarlos en una carpeta que vamos a llamar «pki» y que crearemos en la unidad C:\ de la Sub CA:

Vamos a publicar estos archivos a través de una página web que habíamos especificado anteriormente en las extensiones CDP y AIA de la Root CA:

CDP: http://pki.lab.itadmins.es/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
AIA: http://pki.lab.itadmins.es/pki/<ServerDNSName>_<CaName><CertificateName>.crt

Por lo tanto, instalamos el servidor web IIS en la Sub CA:

Seleccionamos Web Server (IIS) y añadimos las características por defecto:

Todo por defecto, hasta llegar a la instalación:

Una vez terminada la instalación abrimos la consola de IIS, vamos a «Default Web Site» y con el secundario añadimos un directorio virtual:

En alias usamos «pki», y en «Physical path» la ubicación de nuestros archivos CRT y CRL, finalmente hacemos click en OK:

Desde IIS podemos ver en «Content View» el contenido de nuestra página web:

Podemos comprobar si nuestra CRL está publicada haciendo click en «Browse»:

Se nos abrirá el Internet Explorer y descargará la CRL:

Si abrimos el archivo descargado, veremos lo siguiente:

Y en la pestaña «Revocation List» no veremos ningún certificado expirado o revocado ya que nuestra CA es nueva.

Con esto, hemos confirmado que nuestras CRL y AIA están publicadas correctamente, pero en el test he entrado con http://localhost/pki, y las urls son http://pki.lab.itadmins.es/pki por lo tanto tendremos que crear un alias en DNS del DC tal que así:

Si ahora (incluso desde el mismo DC) volvemos hacer la prueba de descargar la CRL vemos que efectivamente podemos pero usando también: 

http://pki.lab.itadmins.es/pki/itadmins%20ES%20Root%20CA.crl:

Y esto es todo por hoy, en la siguiente parte continuaremos con algunas configuraciones previas a instalar el rol de certificados en la Sub CA.

Saludos!

Partes: I, II, III, IV, V, VI.