Guía paso a paso para la implementación de la jerarquía PKI de dos niveles de ADCS

Introducción y descripción general del laboratorio de pruebas

Hay cinco computadoras/máquinas involucradas en este laboratorio de jerarquía PKI de dos niveles que utiliza Microsoft ADCS.

1. Hay un controlador de dominio (DC01) que también ejecuta el Servicio de Nombres de Dominio (DNS) integrado en Active Directory. Este equipo también proporcionará la ubicación del Protocolo Ligero de Acceso a Directorios (LDAP) para el CDP y el punto AIA para la configuración de MSPKI.
2. Una CA raíz fuera de línea independiente (CA01).
3. Una CA emisora ​​empresarial (CA02).
4. Un servidor web (SRV1) (HTTP CDP/AIA) y
5. Una computadora cliente con Windows 10 (Win10).

Virtual Machine	Roles	Tipo de SO	Dirección IP	máscara de subred	Servidor DNS preferido
DC01.encryptionconsulting.com	DC y DNS – LDAPCDP/AIA	Windows Server 2019	192.168.1.10	255.255.255.0	192.168.1.10
CA01	CA raíz independiente sin conexión	Windows Server 2019	NA	NA	NA
CA02.encryptionconsulting.com	CA emisora ​​empresarial	Windows Server 2019	192.168.1.12	255.255.255.0	192.168.1.10
SRV1.encryptionconsulting.com	Servidor web – HTTP CDP/AIA	Windows Server 2019	192.168.1.13	255.255.255.0	192.168.1.10
WIN10.encryptionconsulting.com	Computadora cliente de Windows	Windows 10	192.168.1.14	255.255.255.0	192.168.1.10

Pasos principales

Hay ocho pasos principales en esta guía paso a paso, como se enumeran a continuación (cada uno incluye varias subtareas).

1. Instalar el bosque de Active Directory
2. Preparar el servidor web para la publicación de CDP y AIA
3. Instalar la CA raíz independiente sin conexión
4. Realice los pasos de configuración posteriores a la instalación en la CA raíz fuera de línea independiente
5. Instalar CA emisora ​​subordinada
6. Realizar la configuración posterior a la instalación en la CA emisora ​​subordinada
7. Instalar y configurar el respondedor en línea
8. Verificar el estado de la jerarquía MSPKI

Actividad 1. Bosque de Active Directory

Tarea 1: Instalar un nuevo bosque mediante el Administrador de servidor

Para instalar el bosque EncryptionConsulting.com:

1. Vaya a Portal.azure.com e inicie sesión DC01 as DC01\Administrador.
2. Abierto Administrador de servidores. Seleccione Comenzar, haga clic  Herramientas administrativas y haga clic en Administrador de servidores.
3. En el árbol de la consola, haga clic derecho Gestionar y haga clic en Agregar roles & Caracteristicas
4. En la pestaña Antes de comenzar  página, haga clic Siguiente.
5. En la pestaña Seleccionar tipo de instalación, haga clic Basado en roles o basado en características
6. On Selección de servidor, seleccione un servidor del grupo de servidores y haga clic en Luego haga clic Siguiente
7. En la pestaña Seleccionar roles de servidor página, seleccione Servicios de dominio de Active Directory. Haga clic en  Siguiente.
   1. Si se lo solicita el Asistente para agregar roles, haga clic  Agregar funciones requeridas y haga clic en Siguiente.
8. En la pestaña Caracteristicas página, haga clic en siguiente.
9. En la pestaña Servicios de dominio de Active Directory página, haga clic Siguiente.
10. En la pestaña Confirmar selecciones de instalación página, haga clic Instalar .
11. Cuando haya terminado, haga clic en el hipervínculo para Promocionar este servidor a un controlador de dominio

12. En la pestaña Bienvenido al Asistente de instalación de servicios de dominio de Active Directory página, haga clic Siguiente.
13. En la pestaña Configuración de implementación página, seleccione Agregar un nuevo bosque, Especificar Dominio raíz del bosque página, en FQDN del dominio raíz del bosque, tipo Consultoría de cifrado.comY haga clic en Siguiente.

14. En la pestaña Establecer el nivel funcional del bosque página, en el Nivel funcional forestal menú desplegable, seleccione Windows Server 2016 y haga clic en Siguiente

En la pestaña Contraseña de administrador del modo de restauración de servicios de directorio página, escriba y confirme la contraseña del modo de restauración y luego haga clic en SiguienteEsta contraseña debe usarse para iniciar AD DS en el modo de restauración del servicio de directorio para tareas que deben realizarse sin conexión.

servidor DNS Está seleccionado de forma predeterminada para que la infraestructura DNS de su bosque se pueda crear durante la instalación de AD DS. En nuestro caso, usaremos DNS integrado en Active Directory, por lo que hemos seleccionado instalar DNS.

15. En el Adicional página, haga clic Siguiente.

Si no se asigna ninguna dirección IP estática para el adaptador de red, aparecerá un mensaje de advertencia que le recomendará configurar direcciones estáticas.

El asistente muestra un mensaje que indica que no se puede crear una delegación para el servidor DNS. Haga clic en Sí para continuar.

16. En la pestaña Ubicación de la base de datos, archivos de registro y SYSVOL página, haga clic Siguiente.

17. En la pestaña Verificación de requisitos previos página, revise sus selecciones y haga clic instalar Servicios de dominio de Active Directory.

18. Espere un tiempo hasta que se complete la instalación y se reinicie el sistema.

NOTA: Si está utilizando DNS integrado en Active Directory, la dirección IP para el Servidor DNS preferido Para el primer controlador de dominio del bosque, la dirección de bucle invertido se establece automáticamente en 127.0.0.1. Esto garantiza que la dirección IP del primer controlador de dominio se resuelva en DNS incluso si se modifica la dirección IP estática del servidor.Si prefiere configurar la dirección IP real del servidor DNS en lugar de la dirección de bucle invertido, reemplácela con 192.168.1.10 después del reinicio.

Tarea 2: Servidor web HTTP: Publicación CDP y AIA

1. Inicie sesión en SRV1 como administrador local.
2. Haga clic en  Comenzar, tipo cpl sist., y presione ENTER. Haga clic CAMBIAR.
3. In Miembro de, seleccione  Dominioy luego escriba Consultoría de cifrado.com Haga clic en  OK.
4. In de seguridad de windows, introducir el nombre de usuario más antigua y la contraseña Para la cuenta de administrador del dominio. Haga clic en OK.
5. Deberías ser bienvenido a la Consultoría de cifrado Dominio Clic OK.
6. Cuando se le indique que es necesario reiniciar, haga clic en OK. Haga clic en  Cerrar. Haga clic en  reiniciar ahora.

Tarea 3: Instalar la función de servidor web (IIS)

1. Ingrese a Consultoría de cifrado.com as Administrador de cifrado. (Asegúrese de cambiar de usuario para iniciar sesión como Conceptos de cifrado\Administrador)
2. Abra el Administrador del servidor.
3. Haga clic derecho en Roles y Luego seleccione Agregar roles.
4. En la pestaña Página antes de comenzar selecciona Siguiente.
5. En la página Seleccionar tipo de instalación, seleccione Instalación basada en roles o basada en características

6. On Seleccione el servidor de destino, seleccione un servidor del grupo de servidores y haga clic en EncryptionConsulting.com, entonces clic Siguiente

7. En la pestaña Seleccionar roles de servidor selección de página Servidor web (IIS) y haga clic en Siguiente

8. En la pestaña Seleccionar características página, haga clic Next
9. En la pestaña Servidor web (IIS) página, haga clic Siguiente

10. Deje los valores predeterminados en el Seleccionar servicios de rol página y luego haga clic en Siguiente.

11. On Confirmar selecciones de instalación página, haga clic Instalar .

12. En la pestaña Resultados de la instalación página, haga clic Cerrar

Tarea 5: Crear la carpeta CertEnroll y otorgar permisos NTFS y para compartir al grupo de publicadores de certificados

Su tarea es compartir y configurar los permisos Share y NTFS para la carpeta CertEnroll.

1. Inicie sesión en Consultoría de cifrado.com as Administrador de cifrado.
2. Haga clic en  Comenzar y seleccione  Módulo para abrir Explorador de windows Y luego ir a C: drive
3. Crea una carpeta llamada Inscripción en el certificado en la raíz de C: drive
4. Haga clic derecho en el Inscripción en el certificado carpeta y seleccione Propiedades.

5. En la pestaña Página de propiedades de CertEnroll selecciona Compartir Pestaña para configurar permisos para compartir.
6. Haga clic en el elemento Opción de uso compartido avanzado y Luego seleccione Compartir esta carpeta.
7. Haga clic en Permisos y Luego haga clic Agregar la extensión de .
8. On Seleccionar página Usuarios o Grupos, Ingrese los nombres de los objetos a seleccionar, tipo Editores de certificados de cifrado, y haga clic en
9. En la pestaña Permisos para CertEnroll cuadro de diálogo, seleccione Editores de certificados grupo y luego en el Permitir selección de columna CAMBIAR Permiso. Haga clic OK dos veces para volver a Las propiedades de CertEnroll .
10. Seleccione la Forma para Seguridad . Puede   y hacer clic en  Editar para configurar los permisos NTFS.
11. On Permisos para CertEnroll clic en la página Agregar la extensión de .Ventanas
12. On Seleccionar página Usuarios o Grupos, bajo la sección Introduzca los nombres de los objetos a seleccionar, introduzca Editores de certificados de cifrado, y haga clic en OK.
13. En la pestaña Permisos para CertEnroll resaltado de página, los editores de certificados grupo, y luego bajo el Permitir selección de columna modificar Permiso Haga clic DE ACUERDO.

14. En la pestaña Propiedades de CertEnroll página, haga clic OK.

Tarea 6: Crear un directorio virtual CertEnroll en IIS

1. Asegúrese de haber iniciado sesión en Consultoría de cifrado.com as Administrador de cifrado.
2. Haga clic en  Comenzar, Herramientas administrativas, y luego seleccione  Gerente de Servicios de Información de Internet (IIS).
3. En la pestaña Conexiones, expandir SRV1 y luego expandir Páginas Web.
4. Haga clic derecho en Sitio web predeterminado  y seleccione  Agregar directorio virtual.
5. On Agregar directorio virtual , in alias, tipo Inscripción en el certificado. En la Camino fisico, tipo C:\CertenrollY haga clic en OK.

6. En la pantalla Conexiones panel, debajo del Sitio web predeterminado, asegurar la Inscripción en el certificado Se ha seleccionado el directorio virtual.
7. En la pantalla Inicio de CertEnroll panel, haga doble clic en Navegación por directorios.
8. En la pantalla Acciones clic en el panel Active .

Tarea 7: Habilitar el doble escape en el servidor IIS

Permitir el doble escape hace posible que el servidor web aloje CRL Delta.

1. Asegúrese de haber iniciado sesión en Consultoría de cifrado.com as Administrador de cifrado.
2. Abra el símbolo del sistema. Para ello, haga clic en Comenzar, haga clic  Ejecutary luego escriba cmd. Haga clic en  OK.
3. Luego escribe cd %windir%\system32\inetsrv\  y presione ENTER.

4. Escriba el siguiente comando y presione Intro.

   Appcmd establece la configuración “Sitio web predeterminado” /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True

5. Reinicie el servicio IIS. Para ello, escriba iisreset y presione ENTER.

Tarea 8: Crear CNAME (pki.EncryptionConsulting.com) en DNS

1. Asegúrese de haber iniciado sesión en Consultoría de cifrado.com as Administrador de cifrado.
2. Abra la consola DNS. Puede hacerlo haciendo clic en Comienzo, clic Ejecutary luego escriba dnsmgmt.msc. Haga clic en  DE ACUERDO.
3. Expandir Zonas de búsqueda directa, seleccione y luego haga clic derecho Consultoría de cifrado.com zona. Haga clic Nuevo alias (CNAME).
4. In Nombre de alias (usa el dominio principal si se deja en blanco), tipo PKI. En el Nombre de dominio completo (FQDN) para el host de destino Tipo de campo EncryptionConsulting.com. y haga clic en OK.

Nota: Incluya el alias final "." en el FQDN del paso anterior. En un entorno de producción, este alias puede resolverse en un balanceador de carga que distribuye las solicitudes a cualquier número de servidores web que contengan los certificados de la CA y las CRL.

Actividad 2: Instalar la CA raíz independiente sin conexión

La CA raíz independiente sin conexión no debe instalarse en el dominio. De hecho, ni siquiera debe estar conectada a ninguna red.

Tarea 1: Crear un CAPolicy.inf para la CA raíz fuera de línea independiente

Para crear un CAPolicy.inf para la CA raíz fuera de línea independiente:

1. Inicie sesión en CA01 como CA01\Administrador.
2. Haga clic en  Comenzar, haga clic en Correr, y luego escribe bloc de notas C:\Windows\CAPolicy.inf y presione ENTER.
3. Cuando se le solicite crear un nuevo archivo, haga clic en Sí.

4. Escriba lo siguiente como contenido del archivo.

   [Versión] Firma="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 ; recomendado 4096 RenewalValidityPeriod=Años RenewalValidityPeriodUnits=20 AlternateSignatureAlgorithm=0
   

Haga clic en Archivo y Guardar para guardar el archivo CAPolicy.inf en el directorio C:\Windows.

Advertencia CAPolicy.inf con la extensión .inf. Escriba .inf al final del nombre del archivo y seleccione las opciones descritas. El archivo se guardará como archivo de texto y no se utilizará durante la instalación de CA.

5. Cerrar el Bloc de notas.

NOTA: Asegúrese de cambiar el nombre del equipo a “CA01”. Windows > Ejecutar > sysdm.cpl > Cambie el nombre del equipo y reinicie el equipo.

Tarea 2: Instalación de la CA raíz independiente sin conexión

Para instalar la CA raíz independiente sin conexión:

1. Inicie sesión en CA01 como CA01\Administrador.
2. Haga clic en  Comenzar, haga clic  Herramientas administrativas, y luego haga clic en Administrador de servidores.
3. Haga clic derecho en Roles y haga clic en Agregar roles.
4. En la pestaña Antes de comenzar clic en la página Siguiente.
5. En la pestaña Instalación Tipo página, elige Instalación basada en roles o funciones y haga clic en Siguiente.
6. En la pestaña selección de servidor página, clic siguiente.
7. En la pestaña Seleccionar roles de servidor selección de página Servicios de certificados de Active DirectoryY haga clic en Siguiente.

8. En la página de selección de funciones, haga clic en Siguiente.
9. En la pestaña Introducción a los servicios de certificados de Active Directory página, haga clic Siguiente.
10. En la pestaña Seleccionar servicios de rol página, asegúrese de que autoridad de certificación se selecciona y luego Siguiente.

11. En la página de confirmación, haga clic en instalar

12. Haga clic en configurar “Servicios de certificados de Active Directory en el servidor de destino”.
13. En la pestaña Especificar credenciales para configurar roles y servicios página, la credencial debe ser CA01\Administrador, luego haga clic en Siguiente.
14. En la pestaña Seleccionar Rol, servicios a configurar página, elige Autoridad de certificación, y haga clic en Siguiente.
15. En la pestaña Especificar el tipo de configuración página, asegúrese de que Standalone está seleccionado y luego haga clic en Siguiente.
    • Nota: La opción Empresa está desactivada porque el servidor CA01 no está unido al dominio de Active Directory.

16. En la pestaña Especificar el tipo de CA página, asegúrese de que CA raíz está seleccionado y luego haga clic en Siguiente.

17. En la pestaña Configurar clave privada página, asegúrese de que Crear una nueva clave privada está seleccionado y luego haga clic en Siguiente.

18. Deje los valores predeterminados en el Configurar criptografía para CA página y luego haga clic en Siguiente.
    • Importante:En un entorno de producción, deberá configurar el CSP, el algoritmo hash y la longitud de la clave para cumplir con los requisitos de compatibilidad de la aplicación.

19. On Página Configurar nombre de CA, bajo el nombre común para esta CA, borre la entrada existente y escriba CA raíz de EncryptionConsulting. Hacer clic Siguiente.
    • No hay té Sufijo de nombre distinguido Es opcional para una CA raíz. Esto se configurará más adelante.

20. En la pestaña Establecer período de validez página, debajo Seleccione el período de validez del certificado generado para esta CA, borre la entrada existente y luego escriba 20. Deje el cuadro de selección establecido en Años. Hacer clic Siguiente.

21. Mantenga la configuración predeterminada en el Configurar la base de datos de certificados página y luego haga clic en Siguiente.

22. En la pestaña Confirmar selecciones de instalación página, revise la configuración y luego haga clic en Configurar.

23. Revisa la información sobre el Resultados de la instalación página para verificar que la instalación sea exitosa y luego haga clic en Cerrar.

Actividad 3: Realizar la configuración posterior a la instalación para la CA raíz

1. Asegúrese de haber iniciado sesión en CA01 as CA01\Administrador.
2. Abra un símbolo del sistema. Para ello, puede hacer clic en Comenzar, haga clic  Ejecutar, tipo cmd y haga clic en OK.
3. Para definir el nombre distintivo de la partición de configuración de Active Directory, ejecute el siguiente comando desde un símbolo del sistema administrativo:
   • Certutil -setreg CA\DSConfigDN “CN=Configuración,DC=EncryptionConsulting,DC=com”
4. Definir Unidades de período CRL  más antigua y Periodos de CRL, ejecute los siguientes comandos desde un símbolo del sistema administrativo:
   • Certutil -setreg CA\CRLPeriodUnits 52
   • Certutil -setreg CA\CRLPeriod “Semanas”
   • Certutil -setreg CA\CRLDeltaPeriodUnits 0
5. Definir Unidades de período de superposición de CRL más antigua y Período de superposición de CRL, ejecute los siguientes comandos desde un símbolo del sistema administrativo:
   • Certutil -setreg CA\CRLOverlapPeriodUnits 12
   • Certutil -setreg CA\CRLOverlapPeriod “Horas”
6. Definir Unidades de período de validez Para todos los certificados emitidos por esta CA, escriba el siguiente comando y presione Intro. En este laboratorio, la CA emisora ​​empresarial debe tener una vigencia de 10 años para su certificado de CA. Para configurar esto, ejecute los siguientes comandos desde un símbolo del sistema administrativo:
   • Certutil -setreg CA\Unidades de período de validez 10
   • Certutil -setreg CA\ValidityPeriod “Años”

Tarea 1: Habilitar la auditoría en la CA raíz

La auditoría de CA depende del sistema Acceso a objetos de auditoría Para habilitar. Las siguientes instrucciones describen cómo usar la Política de Seguridad Local para habilitar la auditoría de acceso a objetos.

1. Haga clic en  Comenzar, haga clic  Herramientas administrativasY seleccione Política de seguridad local.
2. Expandir Políticas locales y luego seleccione  Política de auditoría.
3. Haga doble clic Acceso a objetos de auditoría y luego seleccione  Éxito más antigua y Fracaso Luego haga clic OK.

4. Cerrar el editor de políticas de seguridad local.

5. Habilite la auditoría de la CA seleccionando el grupo de eventos que desea auditar en el complemento MMC de la entidad de certificación o configurando la clave de registro AuditFilter. Para configurar la auditoría de todos los eventos relacionados con la CA, ejecute el siguiente comando desde un símbolo del sistema administrativo:

   Certutil -setreg CA\AuditFilter 127

Tarea 2: Configurar el AIA y el CDP

Existen varios métodos diferentes para Configuración del acceso a la información de autoridad (AIA) y del punto de distribución de la lista de revocación de certificados (CDP) Ubicaciones. Puede usar la interfaz de usuario (en las Propiedades del objeto CA), certutil o editar directamente el registro. El AIA se utiliza para apuntar a la clave pública de la autoridad de certificación (CA) de Windows Server. El CDP es donde... revocación de certificado Se mantiene una lista que permite a los equipos cliente determinar si un certificado ha sido revocado. En este laboratorio, habrá tres ubicaciones para el AIA y cuatro para el CDP.

Tarea 3: Configurar el AIA

Usar el comando certutil es un método rápido y común para configurar el AIA. Al ejecutar el siguiente comando, se configurará una ubicación estática del sistema de archivos, una ruta de acceso a directorios ligera (LDAP) y una ubicación HTTP para el AIA. El comando certutil para configurar el AIA modifica el registro, así que asegúrese de ejecutarlo desde el símbolo del sistema como administrador. Ejecute el siguiente comando:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt”

Después de ejecutar ese comando, ejecute el siguiente comando para confirmar su configuración:

certutil -getreg CA\URLs de publicación de certificados CA

Si buscas en el registro, en la siguiente ruta: HKEY_LOCAL_MACHINE\Sistema\CurrentControlSet\Servicios\CertSvc\Configuración\EncryptionConsulting CA raízPuede confirmar las CACertPublicationURLs abriendo el valor REG_MULTI_SZ. Debería ver lo siguiente:

1. C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2. ldap:///CN=%7,CN=AIA,CN=Servicios de clave pública,CN=Servicios,%6%11
3. http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt

También puedes ver esto en la consola CA (certsrv). Para abrir la consola, haga clic en Comenzar, haga clic  Herramientas administrativasY haga clic en Autoridad de certificación. En el panel de navegación, expanda el Autoridad de certificación (local). Haga clic con el botón CA raíz de EncryptionConsulting y haga clic en Propiedades. En la pestaña Prórrogas de tiempo para presentar declaraciones de impuestos pestaña, debajo Seleccionar extensión, haga clic  Acceso a la información de la autoridad (AIA) y verá la representación gráfica de la configuración de AIA.

Tarea 4: Configurar el CDP

El comando certutil para configurar el CDP modifica el registro, así que asegúrese de ejecutar el comando desde un comando

certutil -setreg CA\CRLPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n2:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl”

Después de ejecutar ese comando, ejecute el siguiente comando certutil para verificar su configuración:

certutil -getreg CA\CRLPublicationURLs

En la ubicación del registro:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\EncryptionConsulting CA raíz  Puedes abrir el valor REG_MULTI_SZ y ver la configuración de estos valores:

1. C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl

   10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

2. http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl

También puede ver esto en la consola de CA (certsrv). Para abrir la consola, haga clic en Comenzar, haga clic  Herramientas administrativasY haga clic en autoridad de certificaciónEn el panel de navegación, asegúrese de que Autoridad de certificación (local) se expande. Haga clic derecho CA raíz de EncryptionConsultng y haga clic en Propiedades. Por Prórrogas de tiempo para presentar declaraciones de impuestos pestaña, debajo Seleccionar extensión, haga clic  Punto de distribución de CRL (CDP) y verá la representación gráfica de la configuración del CDP.

En un símbolo del sistema administrativo, ejecute los siguientes comandos para reiniciar los Servicios de certificados de Active Directory y publicar la CRL

certificados de parada neta vc

certificados de inicio de red vc

certutil-crl

Actividad 4: Instalar la CA emisora ​​empresarial

Tarea 1: Unir CA02 al dominio

Para unir CA02 al dominio:

1. Inicie sesión en CA02 como administrador local.
2. Haga clic en  Comenzar, tipo cpl sist., y presione ENTER. Haga clic CAMBIAR.
3. En la pantalla nombre del equipo, tipo CA02 y haga clic en OK.
4. Cuando se le indique que necesita reiniciar la computadora, haga clic en OK. Haga clic en  Cerrar. Haga clic en  reiniciar ahora.
5. Después de reiniciar CA02, inicie sesión como administrador local.
6. Haga clic en  Comenzar, tipo cpl sist., y presione ENTER. Haga clic CAMBIAR.
7. In Miembro de, seleccione  Dominioy luego escriba Consultoría de cifrado.como. Haga clic en  OK.
8. In de seguridad de windows, introducir el nombre de usuario más antigua y la contraseña Para la cuenta de administrador del dominio. Haga clic en OK.
9. Deberías ser bienvenido al dominio EncryptionConsulting. Haz clic. OK.
10. Cuando se le indique que es necesario reiniciar, haga clic en OK. Haga clic en  Cerrar. Haga clic en  reiniciar ahora.

Tarea 2: Crear CAPolicy.inf para la CA emisora ​​empresarial

1. Inicie sesión en Consultoría de cifrado.com as ENCRYPTIONCONSU\Administrador. (Asegúrese de cambiar de usuario para iniciar sesión como ENCRYPTIONCONSU\Administrador)
2. Haga clic en  Comenzar, seleccione  Correr, y luego escribe bloc de notas C:\Windows\CAPolicy.inf y presione ENTER.
3. Cuando se le solicite crear un nuevo archivo, haga clic en Sí.

4. Escriba lo siguiente como contenido del archivo.

   [Version]
   Signature="$Windows NT$"
   [PolicyStatementExtension]
   Policies=InternalPolicy
   [InternalPolicy]
   OID= 1.2.3.4.1455.67.89.5
   URL=http://pki.EncryptionConsulting.com/cps.txt
   [Certsrv_Server]
   RenewalKeyLength=2048
   RenewalValidityPeriod=Years
   RenewalValidityPeriodUnits=10
   LoadDefaultTemplates=0
   AlternateSignatureAlgorithm=0
   

5. Haga clic en  Presente la Bancarrota del  más antigua y Guardar para salvar el CAPolicy.inf archivar bajo C: \ Windows directorio

   Importante: Asegúrese de que el CAPolicy.inf se guarda como un inf archivo. El archivo no se utilizará si se guarda con cualquier otra extensión de archivo.

6. Cerrar el Bloc de notas

Tarea 3: Publicar el certificado de CA raíz y la CRL

1. Asegúrese de haber iniciado sesión en CA02. Consultoría de cifrado.com as Consultoría de cifrado\Administrador.
2. Copie los archivos del certificado de CA raíz (CA01_EncryptionConsulting Root CA.crt) y la CRL de CA raíz (EncryptionConsulting Root CA.crl) del directorio C:\Windows\System32\CertSrv\CertEnroll del servidor interno CA01 a un medio extraíble (A:).

3. En CA02, para publicar el certificado de CA raíz y la CRL de EncryptionConsulting en Active Directory, ejecute los siguientes comandos en un símbolo del sistema administrativo. Asegúrese de sustituir la letra de unidad correcta de su medio extraíble (por A:) en los siguientes comandos:

   certutil -f -dspublish “A:\CA01_EncryptionConsulting CA raíz.crt” CA raíz

   certutil -f -dspublish “A:\EncryptionConsulting Root CA.crl” CA01

4. Para publicar el certificado de CA raíz de EncryptionConsulting y la CRL en http://pki.EncryptionConsulting.com/CertEnroll, copie el certificado de CA raíz de EncryptionConsulting y la CRL en el directorio \\srv1.EncryptionConsulting.com\C$\CertEnroll. Ejecute los siguientes comandos desde un símbolo del sistema administrativo. Asegúrese de sustituir la letra de unidad correcta de su medio extraíble (por A:).

   copiar “C:\CA01_EncryptionConsulting Root CA.crt” \\SRV1.EncryptionConsulting.com\C$\CertEnroll\

   copiar “C:\EncryptionConsulting Root CA.crl” \\SRV1.EncryptionConsulting.com\C$\CertEnroll\

5. Para agregar el certificado de CA raíz y la CRL de EncryptionConsulting al almacén local de CA02.com, ejecute el siguiente comando desde un símbolo del sistema administrativo. Asegúrese de sustituir la letra de unidad correcta de su medio extraíble (por A:) en los siguientes comandos:

   • certutil -addstore -f root “A:\CA01_ EncryptionConsulting Root CA.crt”
   • certutil -addstore -f root “A:\EncryptionConsulting CA.crl”

Actividad 5: Instalar CA emisora ​​subordinada

CA emisora ​​subordinada en CA02. EncryptionConsulting.com

1. Asegúrese de haber iniciado sesión en CA02.EncryptionConsulting.com como administrador de EncryptionConsulting.
2. Abierto Administrador de servidores.
3. Haga clic con el botón Roles y luego seleccione  Agregar roles.
4. En la pestaña Antes de comenzar selección de página Siguiente.

5. En la pestaña Instalación Tipo página, elige Instalación basada en roles o funciones y haga clic en Siguiente
6. En la pestaña selección de servidor página, clic
7. En la pestaña Página Seleccionar roles de servidor selecciona Servicios de certificados de Active DirectoryY haga clic en Siguiente.

8. En la pestaña Seleccionar características página, haga clic Siguiente.

9. Sobre la Introducción a Servicios de certificados de Active Directory página, haga clic Siguiente.

10. En la pestaña Seleccionar la página de servicios de rol, seleccione  autoridad de certificación más antigua y Inscripción web de la autoridad de certificación. Si ves el Asistente para agregar roles, haga clic  Agregar servicios de rol requeridos. Hacer clic Siguiente.

11. En la pestaña Rol de servidor web IIS página, haga clic Siguiente.
12. Deje los Servicios de rol como predeterminados y haga clic en Siguiente.
13. En la página de confirmación, revise los detalles y haga clic en Instalar .

14. Haga clic en "configurar Servicios de certificados de Active Directory en el servidor de destino.
15. En la página Especificar credenciales para configurar roles y servicios, la credencial debe ser Administrador de cifrado, luego haga clic en Siguiente.
16. En la pestaña Seleccionar servicios de rol Para configurar la página, Seleccione Autoridad de certificación e Inscripción web de autoridad de certificación Luego haga clic en Siguiente.

17. En la pestaña Especificar el tipo de configuración página, asegúrese de que Empresa está seleccionado y luego haga clic en Siguiente.

18. En la pestaña Especificar el tipo de CA página, seleccione CA subordinada y haga clic en Siguiente

19. En la pestaña Configurar clave privada página, asegúrese de que Crear una nueva clave privada está seleccionado y luego haga clic en Siguiente.

20. Deje los valores predeterminados en el Configurar criptografía para CA página, luego haga clic en Siguiente.
    Importante: Al instalar en un entorno de producción, el CSP, el algoritmo hash y la longitud de clave seleccionados deben ser compatibles con los requisitos de compatibilidad de la aplicación.

21. On Configurar el nombre de CA página, borre la entrada existente para el cuadro Nombre común para esta CA e ingrese EncryptionConsulting CA emisora, luego seleccione Siguiente.

    Nota: El sufijo de nombre distintivo se completa automáticamente y no debe modificarse.

22. En la pestaña Solicitar certificado de una CA principal página, seleccione Guardar una solicitud de certificado en un archivo en la máquina de destino opción y luego haga clic Siguiente.

23. Deje los valores predeterminados en el Configurar la base de datos de certificados página y luego haga clic en Siguiente.

24. En la pestaña Confirmar selecciones de instalación página, haga clic configurar.

25. Revisa la información sobre el Resultados de la instalación página para verificar que la instalación sea exitosa y luego haga clic en Cerrar.

    • Se espera el siguiente mensaje de advertencia: “La instalación de los Servicios de certificados de Active Directory está incompleta. Para completar la instalación, utilice el archivo solicitado “C:CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req” para obtener un certificado de la CA principal. A continuación, utilice el complemento de la entidad de certificación de Windows Server para instalar el certificado. Para completar este procedimiento, haga clic con el botón derecho en el nodo con el nombre de la CA y, a continuación, haga clic en Instalar certificado de CA. La operación se completó correctamente. 0x0 (WIN32: 0)”.

26. Copie C:\ CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req a su medio extraíble. Por ejemplo, si desea copiar a una disquetera con la letra A:, ejecute el siguiente comando desde el símbolo del sistema:

    • copiar “C:\CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req” A:\

Tarea 1: Enviar la solicitud y emitir el certificado de CA emisor de consultoría de cifrado

Para enviar la solicitud de certificado y emitir el certificado solicitado:

1. Asegúrese de haber iniciado sesión en CA01 como CA01\Administrador. Coloque el medio extraíble con la solicitud de certificado en CA01.
2. En CA01, abra un símbolo del sistema administrativo. Luego, envíe la solicitud con el siguiente comando (suponiendo que A: es la letra de la unidad de su dispositivo extraíble):
   • certreq -enviar “A:CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req”
   • Nota: Preste atención a la ID de solicitud Número que se muestra tras enviar la solicitud. Lo utilizará al recuperar el certificado.
3. En la pantalla Lista de autoridades de certificación cuadro de diálogo, asegúrese de que CA raíz de EncryptionConsulting se selecciona y luego se hace clic OK
4. Abra la consola de la autoridad de certificación. Para ello, haga clic en Comenzar, haga clic  Herramientas administrativasY haga clic en autoridad de certificación.
5. En la pantalla certsrv [Autoridad de certificación (local)] Cuadro de diálogo, en el árbol de la consola, expanda CA raíz de EncryptionConsulting.
6. Haga clic en  solicitudes pendientesEn el panel de detalles, haga clic derecho en la solicitud que acaba de enviar, haga clic en Todas las tareasY haga clic en Problema.

7. Regrese al símbolo del sistema administrativo para aceptar el certificado emitido ejecutando el siguiente comando. Asegúrese de sustituir la letra de unidad correspondiente de su medio extraíble por A: así como el RequestID correcto para 2:
   • certreq -retrieve 2 “A:\ CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.crt”
8. En la pantalla Cuadro de diálogo Lista de autoridades de certificación caja, asegúrese de que CA raíz de EncryptionConsulting se selecciona y luego se hace clic OK.

Tarea 2: Instalar el certificado de CA emisora ​​de Encryption Consulting en CA02

Para instalar el certificado e iniciar el servicio de autoridad de certificación del servidor de Windows en CA02:

1. Asegúrese de haber iniciado sesión en CA02.EncryptionConsulting.com como EncryptionConsu\Administrator. Coloque el medio extraíble con el certificado emitido para CA02.EncryptionConsulting.com en CA02.
2. Abra la consola de la autoridad de certificación.
3. En la pantalla Autoridad de certificación árbol de consola, clic derecho EncryptionConsulting CA emisoraY haga clic en Instalar certificado CA.
4. En la pantalla Seleccione el archivo para completar la instalación de CA, navegue hasta su medio extraíble. Asegúrese de que esté mostrando Todos los archivos (*. *) y haga clic en el CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA certificado. Haga clic Abierto.
5. En el árbol de la consola, haga clic derecho EncryptionConsulting CA emisora, haga clic  Todas las tareasY haga clic en Iniciar servicio.
6. En el árbol de la consola, expanda EncryptionConsulting CA emisora y haga clic en Plantillas de certificadoObserve que no se muestran certificados en el panel de detalles. Esto se debe a que CAPolicy.inf especificó no instalar las plantillas predeterminadas en la línea Cargar plantillas predeterminadas=0.

Actividad 6: Realizar tareas de configuración posteriores a la instalación en la CA emisora ​​subordinada

Hay varias opciones que configurar para completar la instalación de la CA emisora. Estas son similares a las tareas necesarias para completar la configuración de la CA raíz.

Tarea 1: Configurar la revocación de certificados y los períodos de validez de los certificados de CA

Para configurar la revocación de certificados y los períodos de validez de los certificados de CA:

1. Asegúrese de haber iniciado sesión en CA02.EncryptionConsulting.com como EncryptionConsu\Administrator.

2. Configure los ajustes de CRL y Delta CRL ejecutando el siguiente comando desde un símbolo del sistema administrativo:

   • Certutil -setreg CA\CRLPeriodUnits 1
   • Certutil -setreg CA\CRLPeriod “Semanas”
   • Certutil -setreg CA\CRLDeltaPeriodUnits 1
   • Certutil -setreg CA\CRLDeltaPeriod “Días”

3. Defina la configuración de superposición de CRL ejecutando el siguiente comando desde un símbolo del sistema administrativo:

   • Certutil -setreg CA\CRLOverlapPeriodUnits 12
   • Certutil -setreg CA\CRLOverlapPeriod “Horas”

4. El valor predeterminado del Periodo de Validez en el registro es de 2 años. Ajuste esta configuración según sus necesidades de vigencia del certificado de entidad emitido por la CA emisora ​​de EncryptionConsulting. Se recomienda no configurar periodos de validez superiores a la mitad de la vigencia total del certificado de la CA emisora ​​de EncryptionConsulting, cuya validez se emitió durante 10 años. Para limitar los certificados emitidos a 5 años, ejecute los siguientes comandos desde un símbolo del sistema administrativo:

   • Certutil -setreg CA\Unidades de período de validez 5
   • Certutil -setreg CA\ValidityPeriod “Años”

Tarea 2: Habilitar la auditoría en la CA emisora

La auditoría de CA depende del sistema Acceso a objetos de auditoría Para habilitar. Las siguientes instrucciones describen cómo usar la Política de Seguridad Local para habilitar la auditoría de acceso a objetos.

1. Haga clic en  Comenzar, haga clic  Herramientas administrativasY seleccione Política de seguridad local.
2. Expandir Políticas locales y luego seleccione  Política de auditoría.
3. Haga doble clic Acceso a objetos de auditoría y luego seleccione  Éxito más antigua y Fracaso Luego haga clic OK.

5. Cerrar el editor de políticas de seguridad local.

6. Habilite la auditoría de la CA seleccionando el grupo de eventos que desea auditar en el complemento MMC de la entidad de certificación o configurando la clave de registro AuditFilter. Para configurar la auditoría de todos los eventos relacionados con la CA, ejecute el siguiente comando desde un símbolo del sistema administrativo:

   Certutil -setreg CA\AuditFilter 127

Tarea 3: Configurar el AIA

Usar el comando certutil es un método rápido y común para configurar el AIA. Al ejecutar el siguiente comando, se configurará una ubicación estática del sistema de archivos, una ruta de acceso a directorios ligera (LDAP) y una ubicación HTTP para el AIA. El comando certutil para configurar el AIA modifica el registro, así que asegúrese de ejecutarlo desde el símbolo del sistema como administrador. Ejecute el siguiente comando:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt”

Después de ejecutar ese comando, ejecute el siguiente comando para confirmar su configuración:

certutil -getreg CA\URLs de publicación de certificados CA

Si buscas en el registro, en la siguiente ruta: HKEY_LOCAL_MACHINE\Sistema\CurrentControlSet\Servicios\CertSvc\Configuración\ EncryptionConsulting CA emisoraPuede confirmar las CACertPublicationURLs abriendo el valor REG_MULTI_SZ. Debería ver lo siguiente:

1. C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2. ldap:///CN=%7,CN=AIA,CN=Servicios de clave pública,CN=Servicios,%6%11
3. http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt

También puedes ver esto en la consola CA (certsrv). Para abrir la consola, haga clic en Comenzar, haga clic  Herramientas administrativasY haga clic en Autoridad de certificación. En el panel de navegación, expanda el Autoridad de certificación (local). Haga clic con el botón CA raíz de EncryptionConsulting y haga clic en Propiedades. En la pestaña Prórrogas de tiempo para presentar declaraciones de impuestos pestaña, debajo Seleccionar extensión, haga clic  Acceso a la información de la autoridad (AIA) y verá la representación gráfica de la configuración de AIA.

Desde un símbolo del sistema administrativo, ejecute el siguiente comando para copiar el certificado de CA emisora ​​de EncryptionConsulting a la ubicación HTTP AIA:

copiar “c:\Windows\System32\certsrv\certenroll\CA02.EncryptionConsulting.com_EncryptionConsulting Issuing CA.crt” \\srv1.EncryptionConsulting.com\c$\certenroll\

Tarea 4: Configurar el CDP

El comando certutil para configurar el CDP modifica el registro, así que asegúrese de ejecutarlo desde el símbolo del sistema como administrador. Ejecute el siguiente comando:

certutil -setreg CA\CRLPublicationURLs “65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl\n65:\\srv1.EncryptionConsulting.com\CertEnroll\%3%8%9.crl”

Después de ejecutar ese comando, ejecute el siguiente comando certutil para verificar su configuración:

certutil -getreg CA\CRLPublicationURLs

En la ubicación del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ EncryptionConsulting CA emisora Puedes abrir el valor REG_MULTI_SZ y ver la configuración de estos valores:

1. C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl
2. ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
3. http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl
4. \\srv1.EncryptionConsulting.com\CertEnroll\%3%8%9.crl

También puede ver esto en la consola de CA (certsrv). Para abrir la consola, haga clic en Comenzar, haga clic  Herramientas administrativasY haga clic en autoridad de certificaciónEn el panel de navegación, asegúrese de que Autoridad de certificación (local) se expande. Haga clic derecho CA raíz de EncryptionConsulting y haga clic en Propiedades. Por Prórrogas de tiempo para presentar declaraciones de impuestos pestaña, debajo Seleccionar extensión, haga clic  Punto de distribución de CRL (CDP) y verá la representación gráfica de la configuración del CDP.

En un símbolo del sistema administrativo, ejecute los siguientes comandos para reiniciar los Servicios de certificados de Active Directory y publicar la CRL.

certsvc de parada neta y certsvc de inicio neta

certutil-crl

Actividad 7: Instalar y configurar el servicio de rol de respuesta en línea

Tarea 1: Instalar el servicio de rol de respuesta en línea en SRV1

1. 1. Asegúrese de haber iniciado sesión en SRV1.EncryptionConsulting.com como EncryptionConsu\Administrator.
   2. Abra el Administrador del servidor.
   3. Haga clic derecho en RolesY haga clic en Agregar roles.
   4. En la pestaña Antes de comenzar página, luego seleccione Siguiente.
   5. En la pestaña Seleccione el tipo de instalación página, seleccione Instalación basada en funciones o funciones y haga clic en Siguiente.
   6. En la pestaña Selección de servidor página, haga clic Siguiente.
   7. En la pestaña Seleccionar roles de servidor página, seleccione Servicios de certificados de Active Directory y haga clic en Siguiente.

8. En la pestaña Caracteristicas página, haga clic Siguiente.
9. On Introducción a la página de Servicios de certificados de Active Directory, haga clic  Siguiente.
10. En la pestaña Seleccionar servicios de rol , limpiar las autoridad de certificación,  y luego seleccione  Respondedor en línea. Haga clic en  Siguiente.
    • Nota: No desea instalar una autoridad de certificación en SRV1.EncryptionConsulting.com, por lo que debe desmarcar esa casilla de verificación.
    • Si Agregue servicios de rol y funciones requeridas para Online Responder Aparece la página, haga clic en Agregar servicios de rol requeridos y haga clic en Siguiente. Entonces, en el Servidor web (IIS), haga clic  Siguiente.

11. En la pestaña Confirmar selecciones de instalación página, haga clic Instalar . Haga clic en  Cerrar cuando se complete la instalación.

12. Haga clic en "Configurar los servicios de certificados de Active Directory en el servidor de destino“, en la página de credenciales, asegúrese de Administrador de cifrado se menciona, luego haga clic en Siguiente.

13. En la pestaña Seleccione Rol, Servicios a configurar página, seleccione “Respondedor en línea” y hacer clic en Siguiente.

14. En la pestaña confirmación página, verifique los detalles y haga clic Siguiente.

Tarea 2: Agregar la URL de OCSP a la CA emisora ​​de consultoría de cifrado

Para agregar la URL de OCSP a la CA emisora ​​de EncryptionConsulting:

1. 1. Asegúrese de haber iniciado sesión en CA02. EncryptionConsulting.com como EncryptionConsu\Administrator.
   2. En la pantalla Consola de la autoridad de certificación, en el árbol de la consola, haga clic con el botón derecho en EncryptionConsulting Emisión de CAY haga clic en Propiedades.
   3. En la pestaña Prórrogas de tiempo para presentar declaraciones de impuestos pestaña, debajo Seleccionar extensión, seleccione  Acceso a la información de la autoridad (AIA)Y haga clic en Agregar la extensión de .
   4. In Ubicación, tipo http://srv1.EncryptionConsulting.com/ocsp
   5. y haga clic en OK.
   6. Seleccione  Incluir en la extensión del protocolo de estado de certificado en línea (OCSP).
      • Nota: Un error común en la configuración es seleccionar ambas casillas de verificación en la pestaña Extensiones, lo cual es incorrecto. Asegúrese de que Incluir en la extensión del protocolo de estado de certificado en línea (OCSP) La casilla de verificación es la única seleccionada.

7. Haga clic en  OK. Cuando se lo solicite el autoridad de certificación Cuadro de diálogo para reiniciar los Servicios de certificados de Active Directory, haga clic en Sí.

   Importante:  La CA emisora ​​de EncryptionConsulting ahora incluirá la URL http://srv1.EncryptionConsulting.com/ocsp como parte de la extensión de Acceso a la Información de Autoridad (AIA) en todos los certificados nuevos, renovados o reinscritos. Sin embargo, los certificados inscritos por la CA emisora ​​de EncryptionConsulting antes de este cambio no tendrán esta URL.

Tarea 3: Configurar y publicar el certificado de firma de respuesta de OCSP en la CA emisora ​​de Encryption Consulting

Para configurar el certificado de firma de respuesta OCSP:

1. En CA02. EncryptionConsulting.com, asegúrese de haber iniciado sesión como EncryptionConsu\Administrator.
2. En la pantalla autoridad de certificación consola, asegúrese de que la CA emisora ​​de EncryptionConsulting esté expandida en el árbol de la consola.
3. Haga clic derecho en Plantillas de certificado y haga clic en Gestionar. Plantillas de certificado Abre y muestra las plantillas de certificado almacenadas en Active Directory.
4. En el panel de detalles (panel central), haga clic derecho Firma de respuesta de OCSP y haga clic en Propiedades.
5. En la pestaña Seguridad haga clic en la pestaña Agregar la extensión de . Haga clic en  Tipos de objetos.
6. En la pantalla Tipos de objetos cuadro de diálogo, seleccione Ordenadores y haga clic en OK.
7. In Introduzca los nombres de los objetos a seleccionar, tipo SRV1 y haga clic en Verificar nombres. Haga clic en  OK.
8. Asegúrese de que  SRV1 se selecciona y en el Permitir columna, asegúrese de que la Leer más antigua y Inscríbase Los permisos están seleccionados. Haga clic en OK.
9. Cerrar la consola MMC de Plantillas de certificado.
10. In servicio de certificados consola, clic derecho Plantillas de certificado, A continuación, seleccione New  y luego seleccione  Plantilla de certificado para emitir.
11. En la pantalla Habilitar plantillas de certificado cuadro de diálogo, haga clic en Firma de respuesta de OCSP y el clic OK.

Tarea 4: Configurar la configuración de revocación en el respondedor en línea

Para configurar la configuración de revocación:

1. En SRV1.EncryptionConsulting.com, asegúrese de haber iniciado sesión como EncryptionConsu\Administrator.
2. Abra el Administrador del servidor y navegue hasta Accesorios Y haga clic en "Gestión de respuesta en línea".
3. Haga clic con el botón Configuración de revocación y haga clic en Agregar configuración de revocación.
4. En la pestaña Introducción a la adición de una configuración de revocación clic en la página Siguiente.

5. In Nombre, introduzca EncryptionConsulting CA emisoraY haga clic en Siguiente.

6. En la pestaña Seleccionar la ubicación del certificado de CA página asegúrese de que Seleccione un certificado para una CA empresarial existente está seleccionado, luego haga clic Siguiente.

9. Deje los valores predeterminados en el Seleccionar certificado de firma página y luego haga clic en Siguiente.

10. En la pestaña Proveedor de revocación página, haga clic Proveedor.

11. Revise las opciones enumeradas para que OCSP Responder elimine las CRL en forma de ubicaciones LDAP y HTTP.

    • Nota: Según sus necesidades, puede seleccionar LDAP o HTTP como la ubicación principal para que OCSP Responder descargue las CRL. Puede cambiar el orden de las URL LDAP y HTTP usando subir or Bajar Deje los valores predeterminados tal como aparecen.

12. Limpiar el Actualizar las CRL en función de sus períodos de validez. En la Actualizar, CRL en este intervalo de actualización (min) caja, tipo 15 y haga clic en OK. Haga clic en  Acabado.

    • Nota: Modificar esta configuración para descargar las CRL a una velocidad superior a su vencimiento normal permite que el respondedor de OCSP descargue rápidamente las nuevas CRL en lugar de usar la fecha de vencimiento normal de la última CRL descargada. Las necesidades de producción pueden variar según el valor seleccionado.
13. En la consola de la Autoridad de Certificación, expanda Configuración de matriz y haga clic en SRV1.
14. Revisar  Estado de configuración de revocación En el panel central, asegúrese de que exista un certificado de firma y que el estado sea correcto. El proveedor está utilizando correctamente la configuración actual.

Tarea 5: Configurar la política de grupo para proporcionar la URL de OCSP para la CA emisora ​​de EncryptionConsulting

Esta configuración solo sería necesaria para permitir que los titulares de certificados existentes aprovechen un nuevo respondedor OCSP sin tener que volver a inscribir nuevos certificados con la URL OCSP requerida agregada a ellos.

1. Asegúrese de haber iniciado sesión en DC01. EncryptionConsulting.com como EncryptionConsu\Administrator.
2. Abra un símbolo del sistema administrativo y ejecute los siguientes comandos:
   • cd \
   • certutil-config “ca02.Consultoría de cifrado.com\EncryptionConsulting CA emisora” -ca.cert EncryptionConsultingissuingca.cer
3. Haga clic en  Comenzar, haga clic  Ejecutary luego escriba gpmc.msc. Presione ENTER.
4. Expandir Forest, expandir Dominios, ampliar EncryptionConsulting.com, y luego expandir Objetos de directiva de grupo.
5. Haga clic con el botón Política de dominio predeterminada, luego haga clic en Editar.
6. En  Configuración del equipo, expandir Políticas, expandir Configuración de Windows, expandir Configuración de seguridad, y luego expandir Políticas de clave pública.
7. Haga clic con el botón Autoridades intermedias de certificaciónY haga clic en Importar.
8. En la pestaña Bienvenido al Asistente para importación de certificados página, haga clic Siguiente.

9. En la pantalla Nombre de archivo, tipo C:\EncryptionConsultingissuingca.cerY haga clic en Siguiente.

10. En la pestaña Tienda de certificados página, haga clic Siguiente.
11. En la pestaña Cómo completar el Asistente para importar certificados, haga clic  Acabado y haga clic en OK.

12. En el árbol de la consola, seleccione Autoridades intermedias de certificación
13. En el panel de detalles, haga clic derecho EncryptionConsulting Emisión de certificado CA, luego haga clic en Propiedades.
14. En la pestaña OCSP pestaña, en Agregar el URL entrar http://srv1.EncryptionConsulting.com/ocspY haga clic en Agregar el URL. Haga clic en  OK.

15. Cierre el Editor de administración de políticas de grupo y luego cierre la consola de administración de políticas de grupo.

Actividad 8: Verificar el estado de la jerarquía MSPKI

Tarea 1: Win10

1. Inicie sesión en WIN10 como administrador local.
2. Haga clic en  Comenzar, tipo sysdm.cpl, y pulse ENTRAR. Haga clic en  CAMBIAR. (Asegúrese de que el nombre de la computadora ya esté configurado como WIN10 – de lo contrario, cámbialo)
3. In Miembro de, seleccione  Dominioy luego escriba Consultoría de cifrado.com. Haga clic en  OK.
4. In de seguridad de windows, introducir el Nombre de usuario más antigua y la contraseña Para la cuenta de administrador del dominio. Haga clic en OK.
5. Deberías ser bienvenido al dominio EncryptionConsulting. Haz clic. OK.
6. Cuando se le indique que es necesario reiniciar, haga clic en OK. Haga clic en  Cerrar. Haga clic en  reiniciar ahora.

Tarea 2: Verificar el estado de la PKI con Enterprise PKI

Para utilizar la consola Enterprise PKI para comprobar el estado de la PKI:

1. En CA02. EncryptionConsulting.com, asegúrese de haber iniciado sesión como EncryptionConsu\Administrator.
2. Abra el Administrador del servidor.

3. En el árbol de la consola, debajo de Roles más antigua y Servicios de certificados de Active Directory, haga clic  PKI empresarial.

   • Alternativamente, puede ejecutar Enterprise PKI ejecutando PKIView.msc desde un símbolo del sistema administrativo.
4. Haga clic con el botón PKI empresarial y haga clic en Administrar contenedores de AD.

5. En la pestaña Certificados NTAuth pestaña, verifique que el certificado de CA emisora ​​de EncryptionConsulting aparezca con un estado de OK.
6. En la pestaña Contenedor AIA pestaña, verifique ambos CA raíz de EncryptionConsulting y  EncryptionConsulting CA emisora Los certificados están presentes con un estado de OK.
7. En la pestaña Contenedor CDP pestaña, verificar CRL base de CA raíz de EncryptionConsulting, EncryptionConsulting Base de CA emisora, y  CRL deltas están presentes con un estado de OK.
8. On Contenedor de autoridades de certificación, verificar CA raíz de EncryptionConsulting El certificado está presente con un estado de OK.
9. On Contenedor de servicios de inscripción, verificar EncryptionConsulting CA emisora El certificado está presente con un estado de OK.

Tarea 3: Configurar la distribución de certificados en la CA emisora ​​de Encryption Consulting

Para publicar un certificado para las computadoras de la empresa:

1. En CA02. com, asegúrese de haber iniciado sesión como EncryptionConsu\Administrator.
2. En la pantalla autoridad de certificación consola, asegúrese de que Consultoría de cifrado Emisión de CA se expande.
3. Haga clic con el botón Plantillas de certificado selecciona New y seleccione  Plantilla de certificado para emitir.
4. En la pestaña Habilitar plantillas de certificado cuadro de diálogo, haga clic en Autenticación de la estación de trabajo, página y luego haga clic OK.

Tarea 4: Obtener un certificado mediante WIN10 y verificar el estado de la PKI

Para obtener un certificado para WIN10 y verificar el estado de la PKI:

1. Inicie sesión en Win10.com como EncryptionConsu\Administrator. (Asegúrese de cambiar de usuario para iniciar sesión como EncryptionConsu\Administrator).
2. Haga clic en  Comenzar, tipo mmc, y luego presione ENTER.
3. Haga clic en  Presente la Bancarrota del Y haga clic en Añadir / quitar complemento.
4. Haga clic en  Certificados, luego haga clic en Agregar la extensión de . Seleccione  Cuenta de computadoraY haga clic en Acabado. Haga clic en OK.

5. Expandir Certificados, botón derecho del ratón Personal, haga clic  Todas las tareasY haga clic en Solicitar nuevo certificado.
6. En la pestaña Antes de empezar página, haga clic Siguiente.
7. En la pestaña Seleccionar política de inscripción de certificados página, haga clic Siguiente.
8. Seleccione  Autenticación de la estación de trabajoY haga clic en Inscríbase. Cuando el certificado esté inscrito, haga clic en Inscríbase.

9. En el árbol de la consola, expanda PersonalY haga clic en CertificadosEn el panel de detalles, haga clic derecho en el  Consultoría de cifrado.com certificado, haga clic Todas las tareasY haga clic en Exportar.
10. En la pestaña Bienvenido al Asistente para exportación de certificados página, haga clic Siguiente.

11. En la pestaña Exportar clave privada, haga clic  Siguiente. (No, no exportar la clave privada seleccionada por defecto).

12. En la pestaña Formato de archivo de exportación página, haga clic en Siguiente. [El binario codificado DER X.509 (.CER) es la selección predeterminada].
13. En la pestaña Archivo para exportar página, tipo C:\win10Y haga clic en Siguiente.
14. En la pestaña Cómo completar el Asistente para exportar certificados página, haga clic luego AcabadoY haga clic en OK.

15. Abra un símbolo del sistema y ejecute los siguientes comandos: (Para abrir un símbolo del sistema, haga clic en Comenzar, tipo cmd, y luego presione ENTER)

    • cd\
    • certutil -URL C:\win10.cer

16. En la herramienta de recuperación de URL, realice los siguientes pasos, en el Recuperar :

    • Seleccione  OCSP (de AIA) opción y luego haga clic Recuperar. Confirme que muestra el estado como Verificadas.
    • Seleccione  CRL (de CDP) opción y luego haga clic Recuperar. Confirme que muestra el estado como Verificadas.
    • Seleccione la Forma para Certificados (de AIA) opción y luego haga clic Recuperar. Confirme que muestra el estado como Verificadas.
17. Haga clic en  Exit para cerrar la herramienta de recuperación de URL.
18. Desde el símbolo del sistema, ejecute el siguiente comando para verificar exhaustivamente el estado de recuperación y revocación de la cadena de certificados.
    • certutil -verificar -urlfetch c:\win10.cer
19. Revise la salida y asegúrese de que todos los estados de recuperación y revocación de la cadena se hayan verificado exitosamente.