Configurar un KRA

KRA (Key Recovery Agent). Este mecanismo consiste en que, mediante la delegación de un rol en un usuario concreto, se le otorga la capacidad de que pueda recuperar certificados que hayan sido perdidos o borrados accidentalmente, un ejemplo de utilización es el siguiente escenario. 

DiagramaVideo742

Donde un usuario dispone de un certificado de tipo EFS (Encrypting File System), este certificado es utilizado para cifrar archivos confidenciales, para esta operación se hace uso de la clave privada del certificado EFS, por lo que en caso de pérdida o borrado accidental el documento quedaría inaccesible, en este momento un usuario configurado como KRA (Key recovery Agent), podría recuperar el certificado y regresarlo al usuario para que pudiera volver a acceder al contenido. 

Requisitos 

Para la implementación de uno o varios usuarios de tipo KRA, es necesario: 

  • Un servidor con el rol Active Directory Certificate Services (CA) 
  • Configurar y publicar una plantilla de tipo Key Recovery Agent, para que los usuarios que deseemos puedan solicitar el certificado. 
  • Y almacenar las claves privadas de los certificados, es una opción que se tiene que activar dentro de la plantilla del certificado, en el caso de que los certificados se hayan enviado antes de activar esta opción es necesario renovarlos, para que sus claves privadas queden almacenadas. 

Funcionamiento 

Aunque la recuperación de certificados se puede realizar con un solo usuario, al ser una operación critica dentro de cualquier organización, lo mejor es realizarla en dos pasos y para ello hay que distinguir dos roles y asignarlos a usuarios distintos. 

  • Certificate Manager: Va a ser el encargado de recuperar las claves privadas del almacén de la autoridad certificadora, pero no va a poder desencriptarlas. 
  • Key recovery Agent: Es el usuario que no va a tener permitido obtener las claves, pero si desencriptarlas.  

Una vez que tenemos definidos y configurados ambos usuarios, el procedimiento sería el siguiente: 

DiagramaKRA
  1. El Certified Manager recupera las claves privadas del usuario objetivo mediante el comando:  
  2. Una vez que están recuperadas las claves privadas con el comando anterior y volcadas a un archivo lo ponemos a disposición del usuario KRA, este usuario puede desencriptar las claves privadas con el siguiente comando: 
  3. Y finalmente tendremos recuperado las claves privadas que necesita el usuario en formato PKCS#12 

Autor/a: Juan Manuel Díaz-Plaza Varón

Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS 

Centro: Tajamar 

Año académico: 2019-2020 

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.