Desplegar una CA Subordinada

AD CS

Nuestra infraestructura debería contar con el servicio de AD CS para emitir certificados de confianza en nuestro dominio y asi incrementar la seguridad de nuestra infraestructura.

Cuando se instala el rol de AD CS tenemos la opción de instalar los siguientes servicios:

  • Certification Authority: Se encarga de la emisión y gestión de los certificados.
  • Certificate Enrollment Policy Web Service: Los usuarios tienen la posibilidad de obtener información sobre las políticas de enrollment de certificados. Se usa en clientes que no son miembros del dominio.
  • Certificate Enrollment Web Service: Permite a los usuarios conectar a la Entidad Certificadora a través de un navegador web y solicitar certificados.
  • Certification Authority Web Enrollment: Nos permite conectarnos a la CA a través de un navegador para emitir certificados.
  • Network Device Enrollment Service: Permite emitir certificados a dispositivos de nuestra red.
  • Online Responder: Su función es comprobar el estado de validez de los certificados de los usuarios y equipos del dominio, haciéndoles saber que el certificado NO valido ha sido revocado.

Root CA

Contaremos con una Entidad Certificadora Raíz en nuestro dominio que se puede desplegar de dos formas:

  • CA Root Standalone: No se integra en directorio activo y tampoco cuenta con plantillas predefinidas. No utilizara el directorio activo como medio de enrollment. Deberá configurarse una política de grupo en cada equipo cliente para recibir certificados auto firmados de ésta CA
  • CA Root Enterprise: Se integra en Directorio Activo y lo utiliza como medio para emitir certificados, que a su vez, se almacenaran en ésta CA. Los equipos confiaran automáticamente en esta CA.

Lo conveniente seria tener la CA Root (Standalone) apagada y asegurada bajo llave para que nadie pueda atacar la CA Root y usar los certificados para hacerse pasar por un usuario o equipo del domino y así robar información valiosa del dominio.

Subordinate CA

Para ello contamos con CAs Subordinadas con el objetivo de que sean a éstas a las que los usuarios y equipos del domino hagan las solicitudes y no a la CA Root.

Desplegar una CA Subordinada

Para desplegar una CA Subordinada, debemos emitir y firmar un certificado de tipo «Subordinate Certification Authority» desde la CA Root, a las máquinas que harán de CA Subordinada.

Certificado de tipo Entidad Certificadora Subordinada
Diagrama básico de infraestructura de certificados.
Resultado de la infraestructura después de desplegar la CA Subordinada.

Para comprobar su funcionalidad, solo debemos apagar la CA Root, pedir un certificado desde un equipo cliente y comprobar la cadena de confianza. Notaremos que el certificado es emitido por la CA Subordinada que a su vez, estará firmado por la CA Root.

Certificado emitido para el usuario "Test 1"
-CA Root: test-TEST-CA-CA
-Subordinate CA: test-TEST-SRV-CA
-Cliente: Test 1

Autor/a: Christopher Barte Rivera

Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS 

Centro: Tajamar 

Año académico: 2019-2020 

LinkedIn: https://www.linkedin.com/in/christopher-barte-rivera-70a645196/

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.