Una vez publicadas las CDP y AIA (como habíamos visto en la parte III), vamos a publicar el certificado de la Root CA en Active Directory, para que todas las máquinas del dominio confíen en los certificados emitidos por ella, y lo haremos mediante una política.

Vamos a la Root CA y hacemos click en propiedades de la Root CA:

Vamos a «View Certificate», y después en la pestaña «Details» hacemos click en «Copy to File»:

Vamos a exportar el certificado Root:

Lo guardamos en C:\ con el nombre RootCA (en la Root CA) y finalizamos el asistente:

Vamos a copiar este certificado y lo pegaremos en nuestro DC:

Lo pegamos en C:\ de nuestro DC:

Desplegamos el certificado con la GPO Default Domain Policy:

Click con secundario en «Trusted Root Certification Authorities» e «Import»:

Siguiente:

Seleccionamos nuestro certificado RootCA:

 

Next con: «Trusted Root Certification Authorities».

Finalizamos y esperamos hasta ver el mensaje de importación correcta:

Cerramos el editor de políticas. Siendo ésta una política de máquina, quizás sea necesario reiniciar la Sub CA para ver instalado el certificado que acabamos de desplegar. Así pues, reiniciamos la Sub CA y comprobamos desde una mmc con el Snap-in de certificados cargado si tenemos instalado nuestro certificado en «Trusted Root Certification Authorities» (muy importante recordar loguearse con el administrador del dominio una vez reiniciada la Sub CA):

También podríamos lanzar el comando «gpupdate /force» y no tendríamos que reiniciar para aplicar la política pero siempre es mejor asegurarse con un reinicio. A partir de ahora, todas las máquinas que añadamos al dominio confiarán automáticamente en los certificados emitidos por nuestra Root CA (si la política se aplica correctamente en ellas).

Hasta aquí todo por hoy, en la siguiente parte continuaremos ahora si con la instalación del rol CA en la Sub CA.

Un saludo y gracias por compartir!

Partes: I, II, III, IV, V, VI.