Implementación de una PKI básica en Windows Server 2012 R2

En esta práctica, usted aprenderá cómo implementar una básica infraestructura de clave pública (PKI) en Windows Server 2012 R2 para habilitar los servicios que se basan en certificados.

Introducción

Después de completar este laboratorio, usted será capaz de:

  • · Instalar y configurar una entidad de certificación raíz independiente (CA).
  • · Inscribir a una CA raíz de empresa.
  • · Modificar una plantilla de certificado.
  • · Habilitar la inscripción automática en un dominio.
  • · Administrar certificados mediante Windows PowerShell.

Requisitos previos

Antes de trabajar en este laboratorio, usted debe tener:

  • · Experiencia con Active Directory.
  • · Experiencia con servicios de certificados de Active Directory.
  • · Experiencia con DHCP y DNS.

Resumen del laboratorio

En este laboratorio, implementará una básica infraestructura de clave pública (PKI) en Windows Server 2012 R2 para habilitar los servicios que se basan en certificados.

Tecnología de máquina virtual

Este laboratorio se completa usando máquinas virtuales que se ejecutan en la tecnología Windows Server 2012 Hyper-V. Para iniciar sesión las máquinas virtuales, presione CTRL + ALT + fin e Introduzca sus credenciales de inicio de sesión.

Equipos de laboratorio

Este laboratorio utiliza los equipos como se describe en la siguiente tabla. Antes de comenzar el laboratorio, debe asegurarse de que las máquinas virtuales se inician y luego iniciar sesión en los equipos.

Máquina virtual Función Configuración de
RootCA Servidor de Windows Server 2012 R2 Servidor con Windows Server 2012 R2 instalado
SubCA Controlador de dominio Controlador de dominio de Windows Server 2012 R2
Server1 Un servidor miembro con IIS instalado Un servidor miembro con IIS instalado
Cliente1 Cliente de Windows 8.1 Cliente de Windows 8.1 las herramientas RSAT instalado
  • Credenciales para todas las máquinas virtuales, a menos que se indique lo contrario son ContosoAdministrador y la contraseña Passw0rd.

Ejercicio 1: Instalar una CA rz independiente

En este ejercicio, se iniciará el proceso de construcción del entorno de PKI. El primer elemento a configurar es la CA raíz independiente. Esto forma el ancla de la confianza y establecer la raíz de la jerarquía de confianza. Va a crear una nueva raíz CA con el nombre de ContosoRootCA, una clave de 4096 bits, y que tiene una validez de 3 años.

Agregar el rol servidor de certificados de directorio activo

En esta tarea, agregan el rol de AD CS a RootCA. RootCA es un dominio no se unió a servidor independiente.

  • Comenzar esta tarea ha iniciado sesión en RootCA como administrador con la contraseña Passw0rd.
  • 1. Abra el administrador del servidor.
  • 2. Haga clic en agregar funciones y características.
  • 3. En el antes puedes comenzar la página, haga clic en siguiente.
  • 4. En la página tipo de instalación seleccione, haga clic en siguiente.
  • 5. En la página de servidor Seleccione destino, haga clic en siguiente.
  • 6. En la página de roles de servidor seleccionado, haga clic en servicios de certificado de Active Directory.
  • 7. En el Asistente para funciones y agregar funciones, haga clic en agregar características.
  • 8. En la página de roles de servidor seleccionado, haga clic en siguiente.
  • 9. En la página seleccionar características, haga clic en siguiente.
  • 10. En la página de servicios de certificado de Active Directory, haga clic en siguiente.
  • 11. En la página Seleccionar roles de servicios, haga clic en siguiente.
  • Tenga en cuenta que el servicio de papel sólo para la CA raíz es el servicio de rol de autoridad de certificación.
  • 12. En la página de selecciones confirmar instalación, haga clic en instalar.
  • Espere a que la instalación completar antes de proceder al siguiente paso.
  • 13. En la página progreso de instalación, haga clic en cerrar.

Configurar servicios de certificado de Active Directory en la CA raíz independiente

En esta tarea, configure AD CS para la CA raíz independiente.

  • Asegúrese de que está conectado a RootCA como administrador con la contraseña Passw0rd.
  • 1. En el administrador de servidor, en el panel explorador, haga clic en AD CS.
  • 2. En AD CS, en servidores, junto a configuración de servicios de certificado de Active Directory en ROOTCA, haga clic en más.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 5

Implementación de una PKI básica en Windows Server 2012 R2

  • 3. En la ventana de detalles de tarea de todos los servidores, haga clic en servicios de certificado de configurar Active Directory en el servidor de destino.
  • 4. En el cuadro de diálogo de configuración de AD CS, en la página de credenciales, haga clic en siguiente.
  • 5. En la página de servicios de rol, seleccione entidad emisora de certificados y haga clic en siguiente.
  • 6. En la página tipo de instalación, asegúrese de CA independiente está seleccionada y haga clic en siguiente.
  • 7. En la página tipo de CA, asegúrese de CA raíz está seleccionada y haga clic en siguiente.
  • 8. En la página de la clave privada, haga clic en siguiente.
  • 9. En la criptografía para página de CA, modificar la longitud de clave a 4096 y haga clic en siguiente.
  • 10. En la página nombre de CA, cambiar el nombre común para esta CA a ContosoRootCA y haga clic en siguiente.
  • 11. En la página del período de validez, cambiar el período de 3 años y a continuación, haga clic en siguiente.
  • 12. En la página de base de datos de CA, haga clic en siguiente.
  • 13. En la página de confirmación, haga clic en configurar.
  • 14. En la página de resultados, haga clic en cerrar.
  • 15. Cierre la ventana de detalles de tarea de todos los servidores.

Configurar las propiedades de CA

En esta tarea, configure las propiedades de la CA con información de la Subordinada que va realmente a hacer la emisión de los certificados para el dominio Contoso. Esto incluye la ubicación de lista de revocación de certificados y la ubicación de acceso a la información de autoridad.

  • Asegúrese de que está conectado a RootCA como administrador con la contraseña Passw0rd.
  • 1. En el administrador de servidor, en el menú herramientas, haga clic en entidad emisora de certificados.
  • 2. En certsrv, en el panel explorador, haga clic en ContosoRootCA.
  • 3. En el menú Acción, haga clic en propiedades.
  • 4. En la ventana de propiedades de ContosoRootCA, haga clic en la ficha extensiones.
  • 5. En la ficha extensiones, en la extensión seleccionar, seleccione acceso de información de autoridad (AIA) y haga clic en Agregar.
  • 6. En el campo Ubicación, escriba http://SubCA.contoso.com/certdata/.
  • 7. En la Variable menú desplegable, seleccione <ServerDNSName>y haga clic en insertar.</ServerDNSName>
  • 8. En la Variable menú desplegable, seleccione <CaName>y haga clic en insertar.</CaName>
  • 9. En la Variable menú desplegable, seleccione <CertificateName>y haga clic en insertar.</CertificateName>
  • 10. En el cuadro de diálogo Agregar ubicación, haga clic en Aceptar.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 6

Implementación de una PKI básica en Windows Server 2012 R2

  • 11. En la ficha extensiones, compruebe incluir en la extensión AIA de certificados emitidos.
  • 12. En la extensión seleccionar, seleccione punto de distribución CRL (CDP) y haga clic en Agregar.
  • 13. En el campo Ubicación, escriba http://SubCA.contoso.com/certdata/
  • 14. En la Variable menú desplegable, seleccione <CaName>y haga clic en insertar.</CaName>
  • 15. En la Variable menú desplegable, seleccione <CRLNameSuffix>y haga clic en insertar.</CRLNameSuffix>
  • 16. En la Variable menú desplegable, seleccione <DeltaCRLAllowed>y haga clic en insertar.</DeltaCRLAllowed>
  • 17. En el campo Ubicación, escriba .crl al final de los campos insertados.
  • 18. En el cuadro de diálogo Agregar ubicación, haga clic en Aceptar.
  • 19. En la ficha extensiones, compruebe incluir en CRL. Clientes usan esto para encontrar delta CRL lugares.
  • 20. En la ficha extensiones, compruebe incluir en la extensión CDP de los certificados emitidos.
  • 21. En el cuadro de propiedades de ContosoRootCA, haga clic en Aceptar.
  • 22. En el cuadro de diálogo de la autoridad de certificación, haga clic en sí.
  • Deje el mmc certsrv abierta para la siguiente tarea.

Publicar la CRL y finalizar la configuración de la CA raíz

En esta tarea, puede publicar la lista de revocación de certificado y completar la configuración de la CA raíz, lista para empezar a configurar la CA subordinada. Usted se asegurará de que todos los necesarios certificados se han exportado y están disponibles para la importación.

  • Asegúrese de que está conectado a RootCA como administrador con la contraseña Passw0rd.
  • 1. En certsrv, en el panel explorador, expanda ContosoRootCA y a continuación, seleccione certificados revocados.
  • 2. En el menú Acción, haga clic en todas las tareas y a continuación, haga clic en publicar.
  • 3. En el cuadro de diálogo publicar CRL, haga clic en nueva lista CRL y haga clic en Aceptar.
  • 4. Cierre la consola de certsrv.
  • 5. En la pantalla de inicio, escriba certificados y haga clic en administrar certificados de equipo.
  • 6. En certlm, en el panel explorador, expanda certificados – equipo Local, Personal, certificados.
  • 7. Seleccione ContosoRootCA y luego en el menú Acción, haga clic en todas las tareas, exportación.
  • 8. En el Asistente para la exportación de certificados, haga clic en siguiente.
  • 9. En la página exportar la clave privada, asegúrese de No hacer no exportar que la clave privada está seleccionada y haga clic en siguiente.
  • 10. En la página formato de archivo de exportación, haga clic en siguiente.
  • Dependiendo del uso de destino, pueden seleccionar formatos distinto del predeterminado.
  • 11. En el archivo de exportación en la página, escriba \SubCALabFilesContoso-RootCA.cer y haga clic en siguiente.
  • 12. En el completar el Asistente para exportación de certificados página, haga clic en finalizar.
  • 13. En el cuadro de diálogo Asistente para exportación de certificados, haga clic en Aceptar.
  • 14. Abra el explorador de archivos y luego vaya a C:windowssystem32certsrvcertenroll.
  • 15. Seleccionar los dos archivos y luego copiarlos a \SubCALabFiles.
  • En un entorno de producción, probablemente no habría ninguna conexión directa entre la CA raíz y el subordinado CA. Los certificados en su lugar sería entre los servidores de la mano. La CA raíz en este momento apagada y puesta en un lugar seguro.

Ejercicio 2: Instalar y configurar una autoridad de certificación subordinada de empresa

En este ejercicio, siguen la configuración de la infraestructura de clave privada de contoso.com al instalar la función del servidor servicios de certificado de Active Directory (AD CS) y luego configurarlo con los certificados de la CA raíz independiente.

Instalar la función servidor de certificados de directorio activo

En esta tarea, agregan el rol de AD CS a SubCA. SubCA es un controlador de dominio para el dominio contoso.com. En una empresa medio ambiente AD CS no tiene que ser instalado en un controlador de dominio pero se puede instalar en un servidor miembro.

  • Comenzar esta tarea ha iniciado sesión en cliente1 como ContosoAdministrador con la contraseña Passw0rd.
  • 1. Abra el administrador del servidor.
  • 2. En el menú administrar, haga clic en agregar funciones y características.
  • 3. En el antes puedes comenzar la página, haga clic en siguiente.
  • 4. En la página tipo de instalación seleccione, haga clic en siguiente.
  • 5. En la página de servidor Seleccione destino, haga clic en SubCA.contoso.com y haga clic en siguiente.
  • 6. En la página de roles de servidor seleccionado, haga clic en servicios de certificado de Active Directory.
  • 7. En el Asistente para funciones y agregar funciones, haga clic en agregar características.
  • 8. En la página de roles de servidor seleccionado, haga clic en siguiente.
  • 9. En la página seleccionar características, haga clic en siguiente.
  • 10. En la página de servicios de certificado de Active Directory, haga clic en siguiente.
  • 11. En la página Seleccionar roles de servicios, seleccione entidad emisora de certificados y matrícula de Web de autoridad de certificación.
  • 12. En el Asistente para funciones y agregar funciones, haga clic en agregar características.
  • 13. En la página seleccionar servicios de rol, haga clic en siguiente.
  • 14. En la página función de servidor Web (IIS), haga clic en siguiente.
  • 15. En la página de servicios de selección de papel, haga clic en siguiente.
  • 16. En la página de selecciones confirmar instalación, haga clic en instalar.
  • Espere a que la instalación completar antes de proceder al siguiente paso.
  • 17. En la página progreso de instalación, haga clic en cerrar.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 9

Implementación de una PKI básica en Windows Server 2012 R2

Configurar la función de servicios de certificado de Active Directory

En esta tarea, ahora configure la función de servidor de AD CS para la CA de raíz subordinada de empresa.

  • Asegúrese de que está conectado al cliente1 como ContosoAdministrador con la contraseña Passw0rd.
  • 1. En el administrador de servidor, en el panel explorador, haga clic en AD CS.
  • 2. En AD CS, en servidores, junto a configuración de servicios de certificado de Active Directory en SUBCA, haga clic en más.
  • 3. En la ventana de detalles de tarea de todos los servidores, haga clic en servicios de certificado de configurar Active Directory en el servidor de destino.
  • 4. En el cuadro de diálogo de configuración de AD CS, en la página de credenciales, haga clic en cambiar.
  • 5. En el cuadro de diálogo seguridad de Windows, escriba el nombre de usuario ContosoAdministrador y la contraseña Passw0rd! y haga clic en Aceptar.
  • 6. En el cuadro de diálogo de configuración de AD CS, en la página de credenciales, haga clic en siguiente.
  • 7. En la página de servicios de rol, seleccione entidad emisora de certificados y matrícula de Web de autoridad de certificación y haga clic en siguiente.
  • 8. En la página tipo de instalación, asegúrese de empresa CA está seleccionada y haga clic en siguiente.
  • 9. En la página tipo de CA, asegúrese de Subordinada está seleccionada y haga clic en siguiente.
  • 10. En la página de la clave privada, haga clic en siguiente.
  • 11. En la criptografía para página de CA, modificar la longitud de clave a 4096 y haga clic en siguiente.
  • 12. En la página nombre de CA, cambiar el nombre común para esta CA a ContosoSubCA y haga clic en siguiente.
  • 13. En la página solicitud de certificado, haga clic en siguiente.
  • 14. En la página de base de datos de CA, haga clic en siguiente.
  • 15. En la página de confirmación, haga clic en configurar.
  • 16. En la página de resultados, haga clic en cerrar.
  • En el panel de resultados existe una advertencia con respecto a la solicitud de certificado. Se espera que ahora va a completar la instalación del certificado de la CA raíz.
  • 17. Cierre la ventana de detalles de tarea de todos los servidores.
  • 18. Cambiar a SubCA y luego inicie sesión como ContosoAdministrador con la contraseña Passw0rd.
  • 19. Abra el explorador de archivo y desplácese hasta C:LabFiles.
  • 20. Haga RootCA.cer Contoso y, a continuación, haga clic en instalar certificado.
  • 21. En el Asistente para importación de certificados, seleccione equipo Local y haga clic en siguiente.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 10

Implementación de una PKI básica en Windows Server 2012 R2

  • 22. En la página almacén de certificados, seleccione lugar todos los certificados en el siguiente alman y haga clic en examinar.
  • 23. En el cuadro de diálogo Seleccionar almacén de certificados, seleccionar entidades de certificación raíz de confianza y haga clic en Aceptar.
  • 24. En la página almacén de certificados, haga clic en siguiente.
  • 25. En el completar el Asistente para importación de certificados página, haga clic en finalizar.
  • 26. En el cuadro de diálogo Asistente para importación de certificados, haga clic en Aceptar.
  • 27. Crear un directorio nuevo llamado C:inetpubwwwrootcertdata.
  • 28. De C:LabFiles, copia ContosoRootCA.crl y RootCA_ContosoRootCA.crt a C:inetpubwwwrootcertdata.
  • 29. De C:, copie SUBCA-SubCA.contoso.com_contosoCA.req en RootCALabFiles.
  • 30. Cambiar a RootCA y asegúrese de que está conectado como ContosoAdministrador con la contraseña Passw0rd.
  • 31. En Administrador de servidores, en herramientas, haga clic en entidad emisora de certificados.
  • 32. Seleccione ContosoRootCA y luego en el menú Acción, haga clic en todas las tareas y a continuación, haga clic en enviar una nueva solicitud.
  • 33. En la ventana de abrir el archivo solicitud, navegue a C:LabFiles haga clic en el archivo req y haga clic en abrir.
  • 34. En certsrv, en el panel explorador, haga clic en peticiones pendientes.
  • 35. Seleccione la solicitud pendiente, entonces, en el menú Acción, haga clic en todas las tareas y haga clic en tema.
  • 36. En certsrv, en el panel explorador, haga clic en certificados emitidos.
  • 37. Seleccione el certificado emitido y en el menú Acción, haga clic en abrir.
  • 38. En el cuadro de diálogo certificado, en la ficha detalles, haga clic en copiar a archivo.
  • 39. En el Asistente para la exportación de certificados, haga clic en siguiente.
  • 40. En la página formato de archivo de exportación, seleccione el. P7B formato, cheque el incluyen todos certificados en la ruta de certificación si es posible casilla de verificación y haga clic en siguiente.
  • 41. En el archivo de exportación en la página, escriba \SubCALabFilesContosoCert.p7b y haga clic en siguiente.
  • 42. En el completar el Asistente para exportación de certificados página, haga clic en finalizar.
  • 43. En el cuadro de diálogo Asistente para exportación de certificados, haga clic en Aceptar.
  • 44. Cierre el cuadro de diálogo certificado.
  • 45. Cambiar a SubCA y asegúrese de que está conectado como ContosoAdministrador con la contraseña Passw0rd.
  • 46. En el administrador de servidor, en el menú herramientas, haga clic en entidad emisora de certificados.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 11

Implementación de una PKI básica en Windows Server 2012 R2

  • 47. En certsrv, en el panel explorador, haga clic en ContosoSubCA.
  • 48. En el menú Acción, haga clic en todas las tareas y haga clic en instalar certificado de la CA.
  • Nota que en este tiempo el servicio de CA se instala; sin embargo no está iniciado todavía. Después de haber instalado el certificado CA, usted será capaz de iniciar el servicio.
  • 49. En el archivo Select completa ventana de instalación de la CA, vaya a C:LabFiles, seleccione ContosoCert.p7b y haga clic en abrir.
  • 50. En certsrv, en el panel explorador, haga clic en ContosoSubCA.
  • 51. En el menú Acción, haga clic en todas las tareas y haga clic en servicio de inicio.
  • El servicio de CA ahora es empezar y capaces de emitir certificados.

Configurar externos puntos de publicación de CRL y AIA

En esta tarea, configure SUBCA para tener puntos alternos de la publicación de la CRL y la AFP. Esto se hace para habilitar los certificados para ser utilizados fuera de la red de la organización.

  • Asegúrese de que está conectado al cliente1 como ContosoAdministrador con la contraseña Passw0rd.
  • 1. En el administrador de servidor, en el panel explorador, haga clic en AD CS.
  • 2. En AD CS, en servidores, haga SUBCA y, a continuación, haga clic en entidad emisora de certificados.
  • 3. En certsrv, en el panel explorador, haga clic en ContosoSubCA.
  • 4. En el menú Acción, haga clic en propiedades.
  • 5. En la ventana de propiedades de ContosoSubCA, haga clic en la ficha extensiones.
  • 6. En la ficha extensiones, en la extensión seleccionar, seleccione acceso de información de autoridad (AIA) y a continuación, haga clic en Agregar.
  • 7. En el campo Ubicación, escriba http://www.contoso.com/AIA.
  • 8. En el cuadro de diálogo Agregar ubicación, haga clic en Aceptar.
  • 9. En la ficha extensiones, compruebe incluir en la extensión AIA de certificados emitidos.
  • 10. En la extensión seleccionar, seleccione punto de distribución CRL (CDP) y haga clic en Agregar.
  • 11. En el campo Ubicación, escriba http://www.contoso.com/CRL.
  • 12. En el cuadro de diálogo Agregar ubicación, haga clic en Aceptar.
  • 13. En la ficha extensiones, compruebe incluir en CRL. Clientes usan esto para encontrar lugares de CRL Delta.
  • 14. En la ficha extensiones, compruebe incluir en la extensión CDP de los certificados emitidos.
  • 15. En el cuadro de propiedades de ContosoSubCA, haga clic en Aceptar.
  • 16. En el cuadro de diálogo de la autoridad de certificación, haga clic en sí.
  • Deje el mmc certsrv abierta para la siguiente tarea.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 12

Implementación de una PKI básica en Windows Server 2012 R2

Modificar las plantillas de certificado

En esta tarea, es modificar las plantillas de certificados para habilitar el uso de certificados diferentes para los usuarios, equipos y SSL en el dominio.

  • Asegúrese de que está conectado al cliente1 como ContosoAdministrador con la contraseña Passw0rd.
  • 1. En la consola de certsrv, haga clic en plantillas de certificado y luego en el menú Acción, haga clic en administrar.
  • 2. En la consola de plantillas de certificados, haga clic en equipo y luego en el menú Acción, haga clic en plantilla duplicada.
  • 3. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha compatibilidad, modificar la autoridad de certificación para ser Windows Server 2012 R2.
  • 4. En el cuadro de diálogo de cambios resultante, haga clic en Aceptar.
  • 5. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha compatibilidad, modificar el destinatario del certificado para ser Windows 8.1 / R2 de Windows Server 2012.
  • 6. En el cuadro de diálogo de cambios resultante, haga clic en Aceptar.
  • El ajuste de la configuración de compatibilidad se realiza para habilitar las características más recientes de la plantilla. Los niveles se deben establecer en el sistema operativo mínimo en el dominio y que va a hacer las solicitudes de certificados. En este caso, el dominio Contoso.com es 8.1 de Windows y Windows Server 2012 R2.
  • 7. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha General, en el campo de nombre de pantalla de plantilla, escriba dominio equipos Cert.
  • 8. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha Seguridad, haga clic en equipos del dominio y luego en permisos para equipos del dominio, Compruebe la lectura, inscripción e inscripción automática.
  • El permiso de inscripción automática no da el permiso para inscribir, por lo que ambos permisos deben estar habilitadas para que el certificado puede ser autoenrolled.
  • 9. En el cuadro de diálogo Propiedades de nueva plantilla, haga clic en Aceptar.
  • 10. En la consola de plantillas de certificados, haga clic en usuario y luego en el menú Acción, haga clic en plantilla duplicada.
  • 11. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha compatibilidad, modificar la autoridad de certificación para ser Windows Server 2012 R2.
  • 12. En el cuadro de diálogo de cambios resultante, haga clic en Aceptar.
  • 13. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha compatibilidad, modificar el destinatario del certificado para ser Windows 8.1 / R2 de Windows Server 2012.
  • 14. En el cuadro de diálogo de cambios resultante, haga clic en Aceptar.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 13

Implementación de una PKI básica en Windows Server 2012 R2

  • 15. En el cuadro de diálogo Propiedades de nueva plantilla, en la ficha General, en el nombre para mostrar plantilla, escriba dominio usuarios Cert.
  • 16. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha Seguridad, haga clic en usuarios del dominio y luego en permisos para usuarios del dominio, Compruebe la lectura, inscripción e inscripción automática.
  • 17. En el cuadro de diálogo Propiedades de nueva plantilla, haga clic en Aceptar.
  • 18. En la consola de plantillas de certificados, haga clic en servidor Web y luego en el menú Acción, haga clic en plantilla duplicada.
  • 19. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha compatibilidad, modificar la autoridad de certificación para ser Windows Server 2012 R2.
  • 20. En el cuadro de diálogo de cambios resultante, haga clic en Aceptar.
  • 21. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha compatibilidad, modificar el destinatario del certificado para ser Windows 8.1 / R2 de Windows Server 2012.
  • 22. En el cuadro de diálogo de cambios resultante, haga clic en Aceptar.
  • 23. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha General, en el campo de nombre de pantalla de plantilla, escriba SSL comodín Cert.
  • 24. En el cuadro de diálogo Propiedades de nueva plantilla en la ficha Seguridad, haga clic en Administrador de dominio.
  • Tenga en cuenta que vamos hacer este certificado de un certificado de inscripción manual, por lo tanto, que no tenemos que modificar los permisos de la predeterminada.
  • 25. En el cuadro de diálogo Propiedades de nueva plantilla, haga clic en la ficha nombre de sujeto.
  • Tenga en cuenta que la configuración por defecto tema nombre de la plantilla de servidor web debe ser "Fuente de la solicitud". Esto significa que cuando se solicita que el certificado, el nombre del servidor tendrá que ser suministrado.
  • 26. En el cuadro de diálogo Propiedades de nueva plantilla, haga clic en Aceptar.
  • 27. Cierre la consola de plantillas de certificado.

Publicar las plantillas

En esta tarea, se publican las plantillas de certificado que ha creado para que pueden ser utilizados para las solicitudes.

  • Asegúrese de que está conectado al cliente1 como ContosoAdministrador con la contraseña Passw0rd.
  • 1. En Certsrv, haga clic en plantillas de certificado y luego en el menú Acción, haga clic en nuevo y haga clic en plantilla de certificado en cuestión.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 14

Implementación de una PKI básica en Windows Server 2012 R2

  • 2. En el cuadro de diálogo habilitar plantillas de certificados, presione y mantenga CTRL, haga clic en dominio equipos Cert, Cert de los usuarios de dominio y SSL comodín Cert y haga clic en Aceptar.
  • Las plantillas recién agregadas aparecerá en plantillas de certificado.
  • Dejar abierta para una futura tarea mmc certsrv.

Habilitar la inscripción automática en el dominio de usuarios y equipos de

En esta tarea, usted seguirá configure el dominio para implementar la infraestructura de clave pública. Las plantillas de certificado para los usuarios y los equipos se han configurado para la inscripción automática; sin embargo esto no funcionará hasta que la Directiva de grupo del dominio se ha configurado para asegurar que las cuentas solicitar automáticamente.

  • Asegúrese de que está conectado al cliente1 como ContosoAdministrador con la contraseña Passw0rd.
  • 1. En el administrador de servidor, en el menú herramientas, haga clic en Group Policy Management.
  • 2. En administración de directivas de grupo, expanda grupo política y gestión de los bosques: Contoso.com/Domains y contoso.com seleccione.
  • 3. En el menú Acción, haga clic en crear un GPO en este dominio y vincularlo aquí.
  • 4. En el cuadro de diálogo nuevo GPO, escriba Directiva de distribución de certificados de CA y haga clic en Aceptar.
  • 5. En administración de directivas de grupo en el panel explorador, haga clic en Directiva de distribución de certificados de CA y luego en el cuadro de diálogo consola de administración de directivas de grupo, haga clic en Aceptar.
  • 6. En el menú Acción, haga clic en Editar.
  • 7. En el Editor Directiva de Grupo administración, expanda equipo ventanas de configuración de políticas de configuración de seguridad configuración pública directivas de claves.
  • 8. En tipo de objeto, seleccione a certificado servicios clientepolítica de certificado de inscripción y luego en el menú Acción, haga clic en propiedades.
  • 9. En el cliente de servicios de certificado – cuadro de diálogo Directiva de inscripción de certificados, en el modelo de configuración, seleccione activado y haga clic en Aceptar.
  • 10. En tipo de objeto, seleccione a cliente de servicios de certificado, la inscripción automática y luego en el menú Acción, haga clic en propiedades.
  • 11. En el cliente de servicios de certificado-inscripción automática cuadro de diálogo Configuración de modelo, seleccione activado.
  • 12. Compruebe ambas casillas de verificación y haga clic en Aceptar.
  • Los equipos serán ahora inscribir automáticamente una vez que se aplica la Directiva. Ahora debe configurar el mismo para las cuentas de usuario.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 15

Implementación de una PKI básica en Windows Server 2012 R2

  • 13. En el Editor Directiva de Grupo administración, expanda usuario ventanas de configuración de las políticas ajustes/seguridad pública/configuración de directivas de claves.
  • 14. En tipo de objeto, seleccione a certificado servicios clientepolítica de certificado de inscripción y luego en el menú Acción, haga clic en propiedades.
  • 15. En el cliente de servicios de certificado – cuadro de diálogo Directiva de inscripción de certificados, en el modelo de configuración, seleccione activado y haga clic en Aceptar.
  • 16. En tipo de objeto, seleccione a cliente de servicios de certificado, la inscripción automática y luego en el menú Acción, haga clic en propiedades.
  • 17. En el cliente de servicios de certificado-inscripción automática cuadro de diálogo Configuración de modelo, seleccione activado.
  • 18. Compruebe ambas casillas de verificación y haga clic en Aceptar.
  • La configuración de las directivas de cuenta de usuario está ahora completa. La próxima vez que se aplica la configuración de directiva de directiva de grupo, la política se aplicará para la cuenta.
  • Salir el Editor de administración de directiva de grupo para la siguiente tarea.

Implementar certificados requeridos en el dominio de usuarios y equipos de

En esta tarea, usted se asegurará de que el certificado RootCA se implementa en todos los equipos. Esto es necesario para asegurar que la cadena de confianza es completa. Esto también asegura que si la SubCA está comprometido, los certificados pueden ser revocados.

  • Asegúrese de que está conectado al cliente1 como ContosoAdministrador con la contraseña Passw0rd.
  • 1. En el Editor Directiva de Grupo administración, expanda equipo ventanas de configuración de políticas de configuración de seguridad ajustes públicos clave políticas/confianza raíz autoridades de certificación.
  • 2. En el menú Acción, haga clic en importar.
  • 3. En el Asistente para importación de certificados, haga clic en siguiente.
  • 4. En el archivo para importar la página, haga clic en examinar.
  • 5. En SubCALabFiles, haga clic en Contoso RootCA.cer y haga clic en abrir.
  • 6. En el archivo para importar la página, haga clic en siguiente.
  • 7. En la página almacén de certificados, haga clic en siguiente.
  • 8. En el completar el Asistente para importación de certificados página, haga clic en finalizar.
  • 9. En el cuadro de diálogo Asistente para importación de certificados, haga clic en Aceptar.
  • 10. Cierre el Editor de administración de directiva de grupo.
  • 11. Administración de directivas de grupo de cierre.

Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 16

Implementación de una PKI básica en Windows Server 2012 R2

  • La configuración de las directivas de cuenta de usuario está ahora completa. La próxima vez que se aplica la configuración de directiva de directiva de grupo, la política se aplicará para la cuenta. Ejercicio 3: Gestionar el certificado de EnvironmentIn este ejercicio, usted seguirá probar la implementación de la infraestructura de clave privada contoso.com para que esté todo funcionando. Además, usted se asegurará de que usted puede administrar los certificados emitidos mediante Windows PowerShell.Test el equipo certificado autoenrollmentIn esta tarea, usted se asegurará de que Servidor1 obtiene un certificado de equipo mediante la Directiva de inscripción automática.
    • Asegúrese de que está conectado a Servidor1 como ContosoAdministrador con la contraseña Passw0rd.
    • 1. Pulse la tecla de Windows + X y seleccione símbolo del sistema (Administrador).
    • 2. En el símbolo del sistema, escriba el comando siguiente y presione Entrar.
    • Gpupdate /force
    • 3. Espere a que la actualización completar y luego cierre la ventana símbolo del sistema.
    • 4. Pulse la tecla de Windows + X y seleccione Ejecutar.
    • 5. En el cuadro de diálogo Ejecutar, escriba MMC y presione Entrar.
    • 6. En Console1, en el menú Archivo, haga clic en Agregar o quitar complementos.
    • 7. En Agregar o quitar complementos, seleccione certificados y haga clic en Agregar.
    • 8. En el cuadro de diálogo complemento certificados, seleccione cuenta de equipo y haga clic en siguiente.
    • 9. En el cuadro de diálogo Seleccionar equipo, haga clic en finalizar.
    • 10. En Agregar o quitar complementos, haga clic en Aceptar.
    • 11. En Console1, expanda certificados (equipo Local), Personal, certificados.
    • Cuenta que existe un certificado emitido a Server1.contoso.com por ContosoSubCA.
    • 12. Cierre Console1.

    La inscripción automática de certificados de usuario de prueba

    En esta tarea, te asegurarás de cuando un usuario inicia una sesión en un equipo, obtendrán un certificado de usuario mediante la Directiva de inscripción automática.

    • Asegúrese de que está conectado al cliente1 como ContosoAdministrador con la contraseña Passw0rd.
    • 1. Pulse la tecla de Windows + X y seleccione símbolo del sistema (Administrador).
    • 2. En el símbolo del sistema, escriba los comandos siguientes, presionando entrar después de cada línea.
    • Gpupdate /force
    • cerrar sesión

    Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 18

    Implementación de una PKI básica en Windows Server 2012 R2

    • 3. Inicie sesión como ContosoBenSmith con la contraseña Passw0rd.
    • 4. En la pantalla de inicio, escriba MMC y de los resultados, seleccione MMC.
    • 5. En Console1, en el menú Archivo, haga clic en Agregar o quitar Snap-in.
    • 6. En Agregar o quitar complementos, seleccione certificados y haga clic en Agregar.
    • 7. En Agregar o quitar complementos, haga clic en Aceptar.
    • 8. En Console1, expanda usuario corriente certificados, Personal, certificados.
    • Cuenta que existe un certificado emitido a Ben Smith por ContosoSubCA.
    • 9. Cierre Console1.
    • 10. Cierre la sesión cliente1 y luego inicie sesión en cliente1 como ContosoAdministrador con la contraseña Passw0rd.

    Emitir y comprobar el certificado comodín para IIS

    En esta tarea, usted inscribirse Server1 para obtener un certificado comodín y configure IIS para utilizar el certificado en el sitio web predeterminado.

    • Asegúrese de que está conectado a Servidor1 como ContosoAdministrador con la contraseña Passw0rd.
    • 1. Abra Internet Explorer y luego vaya a https://Server1.contoso.com.
    • La página web no se encuentra como usted no ha configurado todavía para utilizar un certificado.
    • 2. Cierre Internet Explorer.
    • 3. En la pantalla de inicio, escriba IIS y presione Entrar.
    • 4. En Administrador de Internet Information Services (IIS), haga clic en Server1.
    • 5. En el cuadro de diálogo Administrador de Internet Information Services (IIS), haga clic en no.
    • 6. En Servidor1 Inicio, haga doble clic en certificados de servidor.
    • 7. En certificados de servidor, en acciones, haga clic en crear certificado de dominio.
    • 8. En la página de propiedades de nombre distinguido, completar el formulario con la siguiente información y haga clic en siguiente.
    Artículo Valor
    Nombre común *. contoso.com
    Organización Contoso Ltd.
    Unidad organizativa Tecnología de la información
    Ciudad/localidad Redmond
    Estado/provincia WA
    País/región NOS

    Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 19

    Implementación de una PKI básica en Windows Server 2012 R2

    • 9. En la página de la entidad emisora de certificados en línea, haga clic en seleccionar.
    • Si no hay selección, salir del asistente y luego repita los pasos 7 a 9.
    • 10. En la página seleccione entidad emisora de certificados, seleccione ContosoSubCA y haga clic en Aceptar.
    • 11. En nombre descriptivo, escriba Contoso-comodín y a continuación, haga clic en finalizar.
    • 12. En Administrador de Internet Information Services (IIS), vaya al sitio Web de Server1/sitios/Default.
    • 13. En el panel acciones, haga clic en enlaces.
    • 14. En los enlaces de sitio, haga clic en Agregar.
    • 15. En añadir sitio vinculantes, en tipo, seleccione https, en certificado SSL, seleccione Contoso-comodín y haga clic en Aceptar.
    • 16. En los enlaces de sitio, haga clic en cerrar.
    • 17. Abra Internet Explorer y luego vaya a https://Server1.contoso.com.
    • Ahora se mostrará la Página Web.
    • 18. Cierre Internet Explorer.

    Revocar un certificado de usuario

    En esta tarea, se revoca el certificado de usuario para Ben Smith. Esto se realizaría si el certificado fue comprometido y debe ser revocado o ha caducado.

    • Asegúrese de que está conectado a la SubCA como ContosoAdministrador con la contraseña Passw0rd.
    • 1. En Administrador de servidores, en herramientas, haga clic en entidad emisora de certificados.
    • 2. En certsrv, expanda certificados de autoridad/ContosoSubCA/emitida la certificación.
    • Todos los certificados emitidos, los certificados de equipo, usuario y servidor Web – se muestran. Cada uno de los certificados tiene un único ID de solicitud y número de serie.
    • 3. Haga clic en el certificado solicitado por ContosoBenSmith y luego en el menú Acción, haga clic en todas las tareas, revocar el certificado.
    • Tenga en cuenta que se requiere una razón para la revocación y la fecha y hora se pueden establecer en el pasado.
    • 4. En el cuadro de diálogo de revocación de certificados, en el código de motivo, seleccione Superseded y haga clic en sí.
    • 5. En certsrv, expanda certificados revocados/ContosoSubCA/autoridad de certificación.
    • Se muestra el certificado revocados.
    • La acción de revocación puede realizarse también en Windows PowerShell mediante el comando certutil – revocar <serial number="">.</seria[Reason]l>

    Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 20

    Implementación de una PKI básica en Windows Server 2012 R2

    • En el entorno de laboratorio, no tienes una aplicación que utiliza el certificado, y no desea esperar el plazo editorial de CRL comprobar el efecto. En cambio, se publicar la CRL y luego ver que el certificado está ahora en la CRL.
    • 6. En certsvr, haga clic en certificados revocados y luego en el menú Acción, haga clic en todas las tareas, publicar.
    • 7. En el cuadro de diálogo publicar CRL, haga clic en Aceptar.
    • 8. Cambiar a cliente1 y luego inicie sesión como ContosoAdministrador con la contraseña Passw0rd.
    • 9. Abra Internet Explorer y luego vaya a http://subca.contoso.com/certsrv.
    • 10. En el cuadro de diálogo seguridad de Windows, entrar con la contraseña Passw0rd ContosoAdministrador! y haga clic en Aceptar.
    • 11. En Internet Explorer, haga clic en descargar un CA, cadena de certificados, CRL o certificado.
    • 12. En Internet Explorer, haga clic en descargar CRL base más reciente y haga doble clic en abrir.
    • 13. En el cuadro de diálogo de lista de revocación de certificados, haga clic en la ficha de lista de revocación.
    • 14. De certificados revocados, seleccione la entrada.
    • Este es el certificado de usuario que han revocado.
    • 15. Haga clic en aceptar.

    Renovar un certificado de equipo.

    En esta tarea, se renovará el certificado de equipo para servidor1. Server1 es se colocan en un lugar que no tendrá acceso a SubCA y le preocupa que el certificado puede expirar antes de que sea capaz de renovarlo. Desea extender la vida útil tanto como sea posible (limite por las restricciones de la plantilla).

    • Asegúrese de que está conectado a Servidor1 como ContosoAdministrador con la contraseña Passw0rd.
    • 1. En la pantalla de inicio, escriba MMC y seleccione MMC de los resultados.
    • 2. En Console1, en el menú Archivo, haga clic en Agregar o quitar complementos.
    • 3. En Agregar o quitar complementos, seleccione certificados y haga clic en Agregar.
    • 4. En el cuadro de diálogo complemento certificados, seleccione cuenta de equipo y haga clic en siguiente.
    • 5. En el cuadro de diálogo Seleccionar equipo, haga clic en finalizar.
    • 6. En Agregar o quitar complementos, haga clic en Aceptar.
    • 7. En Console1, expanda certificados (equipo Local), Personal, certificados.
    • 8. Seleccione Server1.contoso.com y luego en el menú Acción, haga clic en todas las tareas, operaciones avanzadas, renovar este certificado con la misma clave.
    • 9. En el cuadro de inscripción de certificados, haga clic en siguiente.
    • 10. En la página de solicitud de certificados, haga clic en inscribir.
    • 11. En los resultados de instalación de certificado, haga clic en finalizar.

    Laboratorio creado por HynesITe, Inc. Para preguntas o comentarios, envíe un correo electrónico a support@hynesite.biz página | 21

    Implementación de una PKI básica en Windows Server 2012 R2

    • Se ha extendido la fecha de caducidad. En el entorno de laboratorio no se verá una modificación que está renovando el certificado el mismo día que se emitió originalmente.
    • Utilizando Windows PowerShell, es posible fácilmente y rápidamente ver certificados de lo que va expirar dentro de un período de tiempo utilizando el comando Get-ChildItem-efectuar recursividad | donde {$_.notafter-le (get-date). AddDays(75)} | selecciona la huella dactilar, tema en el cert: ubicación en Windows PowerShell. En este ejemplo se mostrarán todos los certificados que expiran en los próximos 75 días.
    • 12. Cierre Console1.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *