AD CS en Windows Server 2012 – Parte 2

Segunda parte de la CA. En esta parte vamos a instalar nuestro servidor web de inscripcion de certificados y de comprobacion de CRL en un segundo servidor que solo tendra dicho rol. Desde mi controlador de dominio y CA voy a administrar e instalar la inscripción web de certificados. Para ello añado el servidor miembro que va a funciona de Inscripcion web a mi dominio y luego desde Server Manager en mi servidor de Entidad selecciono Add other servers to manage.

Añado mi servidor

Pulso en Añadir Roles y Características

 

Selecciono el segundo servidor añadido anteriormente

Selecciono el rol de Servicios de Certificado

No selecciono ninguna caracteristica

Dentro de los servicios de rol escojo  Inscripción web de entidad de certificación y desmarco Entidad de certificación

 

Ahora me saca un warning diciendo que necesita configuracion, lo selecciono y pulso Configurar Active Directory Certificate Services

Introduzco las credenciales para acceder a mi Entidad Certificadora y Next

Selecciono el servicio de rol a configurar

S

Selecciono mi Entidad Certificadora

Lisa la configuración, ahora debo de modificar las propiedades de mi Entidad Certificadora para que las CRL y la informacion de entidad sean accesibles por http. Para ello voy a la consola de Entidad Certificadora y sobre la entidad, boton derecho Propiedades

Pestaña Extensiones, Selecciono CDP

Boton Añadir y Añado la URL igual que el ejemplo pero con el servidor que funciona como inscripcion web, es decir

http://FQDNServidorInscripcionWeb/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl

Selecciono la URL que he añadido

Marco las casillas (2 primeras)

Selecciono AIA en el desplegable

Añadir y añado la URL

http://FQDNServidorInscripcionWeb/CertEnroll/<ServerDNSName>_<CAName><CertificateName>.crt

Seleccionamos la opcion para incluirla en los certificados

Reiniciamos el servicio

Estas dos configuraciones de las CRL y CRT se podrian haber sustituido por los cmdlets:

certutil -setreg CA\CRLPublicationURLs “1:%WINDIR%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n2:http://FQDNServidorInscripcionWeb/certenroll/%%3%%8%%9.crl\n3:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=PublicKey Services,CN=Services,%%6%%10″

certutil -setreg CA\CACertPublicationURLs “1:%WINDIR%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2:http://FQDNServidorInscripcionWeb/certenroll/%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=PublicKey Services,CN=Services,%%6%%11″

Ahora vamos a pasar las CRL y CRT de mi entidad a su nueva ubicación en el Servidor que va a funcionar como inscripción Web. Para ello en el servidor que funciona como entidad voy a C:\Windows\System32\CertSrv\CertEnroll y copio el contenido al mismo directorio del servidor que funciona como Inscripción Web

Arranco PowerShell para verificar la ruta de publicación de las CRL

Comando: certutil -getregCA\CRLPublicationURLs , compruebo que en el punto 4 me da la URL correcta

Ejecuto MMC para sacar la consola de Infraestructura PKI

Añado el complemento

y compruebo que todo esta OK

Continuaremos con la parte3 ….

Leave a Reply

Your email address will not be published.