Configurar un KRA
KRA (Key Recovery Agent). Este mecanismo consiste en que, mediante la delegación de un rol en un usuario concreto, se le otorga la capacidad de que pueda recuperar certificados que hayan sido perdidos o borrados accidentalmente, un ejemplo de utilización es el siguiente escenario.
Donde un usuario dispone de un certificado de tipo EFS (Encrypting File System), este certificado es utilizado para cifrar archivos confidenciales, para esta operación se hace uso de la clave privada del certificado EFS, por lo que en caso de pérdida o borrado accidental el documento quedaría inaccesible, en este momento un usuario configurado como KRA (Key recovery Agent), podría recuperar el certificado y regresarlo al usuario para que pudiera volver a acceder al contenido.
Requisitos
Para la implementación de uno o varios usuarios de tipo KRA, es necesario:
- Un servidor con el rol Active Directory Certificate Services (CA)
- Configurar y publicar una plantilla de tipo Key Recovery Agent, para que los usuarios que deseemos puedan solicitar el certificado.
- Y almacenar las claves privadas de los certificados, es una opción que se tiene que activar dentro de la plantilla del certificado, en el caso de que los certificados se hayan enviado antes de activar esta opción es necesario renovarlos, para que sus claves privadas queden almacenadas.
Funcionamiento
Aunque la recuperación de certificados se puede realizar con un solo usuario, al ser una operación critica dentro de cualquier organización, lo mejor es realizarla en dos pasos y para ello hay que distinguir dos roles y asignarlos a usuarios distintos.
- Certificate Manager: Va a ser el encargado de recuperar las claves privadas del almacén de la autoridad certificadora, pero no va a poder desencriptarlas.
- Key recovery Agent: Es el usuario que no va a tener permitido obtener las claves, pero si desencriptarlas.
Una vez que tenemos definidos y configurados ambos usuarios, el procedimiento sería el siguiente:
- El Certified Manager recupera las claves privadas del usuario objetivo mediante el comando:
- Una vez que están recuperadas las claves privadas con el comando anterior y volcadas a un archivo lo ponemos a disposición del usuario KRA, este usuario puede desencriptar las claves privadas con el siguiente comando:
- Y finalmente tendremos recuperado las claves privadas que necesita el usuario en formato PKCS#12
Autor/a: Juan Manuel Díaz-Plaza Varón
Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS
Centro: Tajamar
Año académico: 2019-2020