Servicios de certificados de Microsoft Active Directory (AD CS) mediante Azure Blob Storage

Implementación de un servicio de certificados de Active Directory Es una forma sencilla para que las empresas creen su infraestructura PKI. Sin embargo, tiene sus deficiencias, como

• Falta de despliegue en múltiples regiones
• Alta latencia en los puntos CDP y AIA

Para superar esto, las organizaciones necesitan implementar una infraestructura PKI específica para cada región, lo que puede ser más difícil de mantener e introduce complejidad a toda la infraestructura.

Pero al utilizar Azure, las organizaciones pueden implementar una infraestructura PKI que pueda operarse en todo el mundo con baja latencia y alta disponibilidad.

En este artículo le mostraremos cómo crear su propia arquitectura PKI en Azure.

Nota: Si es la primera vez que implementa una PKI, le recomiendo seguir Implementación de la jerarquía PKI de dos niveles de ADCS porque es un enfoque más directo y también toca los conceptos básicos.

Requisitos previos

• Una cuenta de Azure donde crearemos máquinas virtuales y almacenamiento de blobs
• Un nombre de dominio personalizado
• Una máquina virtual de Windows Server sin conexión, que será nuestra CA raíz

[NOTA: Este es un escenario de prueba. Por lo tanto, es posible que los puntos CDP y AIA no se ajusten a sus requisitos. Utilice valores adecuados a sus necesidades.]

Preparación de puntos CDP y AIA

Crearemos un almacenamiento de blobs que actuará como nuestros puntos CDP/AIA para nuestros PKI Infraestructura. También la asociaremos con nuestro dominio personalizado para redirigirla a nuestro blob.

Creación de Azure Blob Storage

1. Primero, necesitaremos iniciar sesión en nuestra cuenta de Azure y navegar a Cuentas de almacenamiento.

   

2. Crearemos una nueva cuenta de almacenamiento. Haz clic en "Crear" en la esquina superior izquierda.

   

3. Proporcione los detalles necesarios sobre los conceptos básicos. Para la redundancia, recomendaría al menos almacenamiento con redundancia de zona (ZRS).

   

4. En la pestaña Avanzado, deje todo en los valores predeterminados y haga clic en Siguiente

5. En la pestaña Redes, se recomienda tener acceso público desde las redes virtuales y direcciones IP seleccionadas, y seleccionar la red virtual donde se implementarán todas las máquinas virtuales. Si no existe ninguna red virtual, cree una.

   

6. En la pestaña Protección de datos, haga clic en Siguiente.
7. En la pestaña Cifrado, deje todo predeterminado y haga clic en Siguiente.
8. Proporcione las etiquetas relevantes y haga clic en Siguiente.
9. En la pestaña de revisión, puedes verificar que todo se vea bien y hacer clic en Crear.

Esto creará el almacenamiento de blobs. A continuación, lo asociaremos con nuestro dominio personalizado y nos aseguraremos de que sea accesible mediante HTTP.

Asignación de un dominio personalizado a Azure Blog Storage

Para este paso, necesitará un dominio personalizado. Una vez que inicie sesión, podrá acceder a la configuración de DNS.

1. En la configuración de DNS, navegue hasta Registros DNS e ingrese un registro CNAME.

2. Ahora necesitamos recuperar el nombre de host de su cuenta de almacenamiento. Para ello, podemos navegar Configuración > Puntos finales En el panel izquierdo, copie el sitio web estático en Sitio web estático. Debería ser algo como... https://pkitest.z13.web.core.windows.net (Https: //.z13.web.core.windows.net/)

   Quita el https:// y el / adicional. Se vería como pkitest.z13.web.core.windows.net, que es nuestro nombre de host.

3. Ahora, en la configuración de DNS, para el nombre de host del dominio personalizado, proporcione pkitest y para el nombre de host, proporcione el nombre de host del punto final de almacenamiento.

   

   Haga clic para crear un registro

4. Vaya a la cuenta de Azure Storage y haga clic en Networking bajo Seguridad + Redes y seleccione Dominio personalizado en la pestaña de arriba.

5. Proporcione el subdominio que ha creado.

   

6. Haga clic en Guardar. Tras la validación, recibirá una notificación.

   

Es necesario deshabilitar la transferencia segura

Para que este blob sea un punto CDP/AIA, necesitamos acceso HTTP al blog, por lo que tendríamos que desactivar la transferencia segura. Si se activa, el acceso HTTP no sería posible; nuestra PKI no podría usar este blob como punto CDP/AIA.

1. Navegue a Configuration bajo Configuración

2. Establecer Se requiere transferencia segura a Desactivado

   

3. Haga clic en Guardar

Prueba de accesibilidad de la cuenta de almacenamiento

Esta sección garantizará que nuestra cuenta de almacenamiento sea accesible a través de un dominio personalizado.

1. Primero, crearíamos un contenedor y cargaríamos un archivo en él.

2. Vaya a Contenedores en Almacenamiento de datos

   

3. En la esquina superior izquierda, haga clic en

4. Proporcione el nombre, configure el acceso de nivel público como un blob y haga clic en Crear

   Se creará el contenedor.

   

5. Haz clic en el nombre y navega dentro de él.

6. En la esquina superior izquierda, haga clic en

7. Seleccione cualquier archivo para probar (preferiblemente un archivo pdf o txt)

   

8. Haga clic en Cargar y, una vez cargado, debería estar disponible en el contenedor.

   

9. Ahora, intentaremos acceder al archivo usando un dominio personalizado. La URL debe ser

   http://<subdomain.customdomain>/<mycontainer>/<myblob>

   Entonces para nosotros el dominio debería ser

   http://pkitest.encryptionconsulting.com/pkitest/TestFile.pdf

   Asegúrese de que el archivo se abra en HTTP y que muestre el archivo o lo descargue.

   

Con esto concluye nuestra sección sobre la preparación de puntos CDP y AIA. A continuación, comenzaremos a crear nuestra PKI. Ahora puede eliminar el archivo de prueba del contenedor, ya que solo contendría el certificado y las CRL.

Creación de un controlador de dominio

Esta guía paso a paso utiliza un bosque de Servicios de dominio de Active Directory (AD DS) llamado encon.com. DC01 funciona como controlador de dominio.

Primero, implementaremos una máquina virtual en Azure. Asegúrese de que ambas direcciones IP sean estáticas.

Durante la implementación, asegúrese de que:

1. Las máquinas virtuales se implementan en la misma red virtual
2. Si se implementa en la misma región, asegúrese de que la subred sea la misma

3. La dirección IP pública es estática

   

4. Una vez creada la máquina virtual, navegue a Networking En Configuración y haga clic en Interfaz de red

   

   1. Vaya a Configuración de IP en configuraciones

   2. Haga clic en ipconfig1 en el menú y cambie la configuración privada de IP a estática desde dinámica.

      

   3. Haga clic en Guardar y vuelva a la máquina virtual.

Proporcione otros parámetros según sus necesidades y cree la máquina virtual.

Configuración de red

Una vez creada la máquina virtual, inicie sesión y siga los pasos a continuación

1. Inicie sesión en DC01 como usuario local
2. Haga clic en Contáctenos, tipo ncpa.cpl y presione ENTRAR
3. Haga clic en EthernetY haga clic en Propiedades bajo Actividad
4. Haga doble clic en Protocolo de Internet versión 4 (IPv4)
5. Solo cambia el Dirección del servidor DNS, y proporcionar el IPv4 privado de DC01

6. Para DNS alternativo, proporcione 8.8.8.8 o cualquier otro servicio de DNS público que desee.

   

7. Haga clic en Aceptar y reinicie la máquina virtual desde el Portal
8. Una vez reiniciado, inicie sesión en DC01 como usuario local
9. Haga clic en Contáctenos, tipo sysdm.cpl y presione ENTRAR
10. Cambiar el nombre de la PC a DC01 y reiniciar ahora cuando se le solicite.

Instalación de servicios de dominio de Active Directory y adición de un nuevo bosque

1. Abierto Administrador de servidoresPara ello, puede hacer clic en el Icono del Administrador del servidor en la barra de herramientas o haga clic en Contáctenos, luego haga clic en Administrador de servidores.
2. Haga clic en GestionarY haga clic en Agregar funciones y funciones
3. Antes de comenzar, haga clic en Siguiente
4. En Tipo de instalación, haga clic en Siguiente
5. En Selección de servidor, haga clic en Siguiente
6. En Roles del servidor, seleccione Servicios de dominio de Active Directory, haga clic Agrega característicasY haga clic en Siguiente
7. En Características, haga clic en Siguiente
8. En AD DS, haga clic en Siguiente
9. En Confirmación, haga clic en Instalar .

10. Después de la instalación, ya sea

    1. Haga clic en Promover este servidor a un controlador de dominio en el Asistente para agregar roles y funciones

       

    2. O haga clic en Promover este servidor a un controlador de dominio sobre las configuraciones posteriores a la implementación en las notificaciones

       

11. En Configuración de implementación, elija Agregar un nuevo bosque y proporcione el nombre de dominio raíz (“encon.com”)

    

12. En las opciones del Controlador de dominio, proporcione la contraseña del Modo de restauración de servicios de directorio y haga clic en Siguiente
13. En las opciones de DNS, haga clic en Siguiente
14. En Opciones adicionales, haga clic en Siguiente
15. En Rutas, haga clic en Siguiente
16. En Opciones de revisión, haga clic en Siguiente
17. En Verificación de requisitos previos, haga clic en Instalar
18. Una vez instalado, se finalizará la conexión remota.

19. Inicie sesión en DC01 como encon\

    

20. El DC01 ya está listo

Creación de una CA raíz sin conexión

La CA raíz independiente sin conexión no debe estar instalada en el dominio. Ni siquiera debe estar conectada a ninguna red.

Crearemos esta CA raíz localmente. La crearé en Proxmox, pero puede usar VMware o VirtualBox para esta instalación.

Después de instalar Windows Server 2019, siga los pasos a continuación

1. Inicie sesión en CA01 como CA01\Administrador.
2. Haga clic en Inicio, haga clic en Ejecutar y, a continuación, escriba notepad C:\Windows\CAPolicy.inf y presione ENTER.
3. Cuando se le solicite crear un nuevo archivo, haga clic en Sí.

4. Escriba lo siguiente como contenido del archivo.

   [Versión] Firma="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 ; recomendado 4096 RenewalValidityPeriod=Años RenewalValidityPeriodUnits=20 AlternateSignatureAlgorithm=0
   

5. Haga clic en Archivo y Guardar para guardar el archivo CAPolicy.inf en el directorio C:\Windows. Cierre el Bloc de notas.

Instalación de CA raíz sin conexión

1. Inicie sesión en CA01 como CA01\Administrador.
2. Haga clic en ContáctenosY haga clic en Administrador de servidores.
3. Haga clic en GestionarY haga clic en Agregar funciones y funciones
4. En la página Antes de comenzar, haga clic en Siguiente.
5. En la página Seleccionar roles de servidor, seleccione Servicios de certificados de Active DirectoryY haga clic en Siguiente.
6. En la página Introducción a los servicios de certificados de Active Directory, haga clic en Siguiente.
7. En la página Seleccionar servicios de rol, asegúrese de que autoridad de certificación se selecciona, entonces Siguiente.
8. En la página Especificar tipo de configuración, asegúrese de que esté seleccionado Independiente y luego haga clic en Siguiente.
9. En la página Especificar tipo de CA, asegúrese de que CA raíz está seleccionado y luego haga clic en Siguiente.
10. En la página Configurar clave privada, asegúrese de que Crear una nueva clave privada está seleccionado y luego haga clic en Siguiente.
11. Deje los valores predeterminados en la página Configurar criptografía para CA y haga clic en Siguiente.
12. En la página Configurar nombre de CA, en Nombre común de esta CA, borre la entrada existente y escriba Encon Root CA. Haga clic en Siguiente.
13. En la página Establecer período de validez, en Seleccionar período de validez para el certificado generado para esta CA, borre la entrada existente y escriba 20. Deje el cuadro de selección en Años. Haga clic en Siguiente.
14. Mantenga la configuración predeterminada en la página Configurar base de datos de certificados y haga clic en Siguiente.
15. Revise la configuración en la página Confirmar selecciones de instalación y luego haga clic en Instalar .
16. Revise la información en la página Resultados de la instalación para verificar que la instalación sea exitosa y haga clic en Cerrar.

Configuración posterior a la instalación en la CA raíz

1. Asegúrese de haber iniciado sesión en CA01 as CA01\Administrador.
2. Abra un símbolo del sistema. Para ello, puede hacer clic en Contáctenos, haga clic Ejecutar, tipo cmd y haga clic en OK.

3. Para definir el nombre distintivo de la partición de configuración de Active Directory, ejecute el siguiente comando desde un símbolo del sistema administrativo

   Certutil -setreg CA\DSConfigDN "CN=Configuration,DC=Encon,DC=com"

4. Definir Unidades de período CRL  y  Periodo de CRL, ejecute los siguientes comandos desde un símbolo del sistema administrativo:

   1. Certutil -setreg CA\CRLPeriodUnits 52
   2. Certutil -setreg CA\CRLPeriod "Weeks"
   3. Certutil -setreg CA\CRLDeltaPeriodUnits 0

5. Definir Unidades de período de superposición de CRL  y  Período de superposición de CRL, ejecute los siguientes comandos desde un símbolo del sistema administrativo:

   1. Certutil -setreg CA\CRLOverlapPeriodUnits 12
   2. Certutil -setreg CA\CRLOverlapPeriod "Hours"

6. Definir Unidades de período de validez Para todos los certificados emitidos por esta CA, escriba el siguiente comando y presione Intro. En este laboratorio, la CA emisora ​​empresarial debe tener una vigencia de 20 años para su certificado de CA. Para configurar esto, ejecute los siguientes comandos desde un símbolo del sistema administrativo:

   1. Certutil -setreg CA\ValidityPeriodUnits 20
   2. Certutil -setreg CA\ValidityPeriod "Years"

Configuración de puntos CDP y AIA

Existen varios métodos para configurar las ubicaciones del Acceso a la Información de la Autoridad (AIA) y del Punto de Distribución de la Lista de Revocación de Certificados (CDP). El AIA apunta a la clave pública de la autoridad de certificación (CA). Puede usar la interfaz de usuario (en las Propiedades del objeto CA), certutil o editar directamente el registro. El CDP es donde se mantiene la lista de revocación de certificados, lo que permite a los equipos cliente determinar si un certificado ha sido revocado. Este laboratorio contará con tres ubicaciones para el AIA y cuatro para el CDP.

Configuración de puntos AIA

El comando certutil es un método rápido y común para configurar el AIA. Este comando modifica el registro, así que asegúrese de ejecutarlo desde el símbolo del sistema como administrador. Al ejecutar el siguiente comando certutil, configurará una ubicación estática del sistema de archivos, una ubicación HTTP para el AIA y una ubicación de ruta de acceso a directorios ligera (LDAP). Ejecute el siguiente comando:

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pkitest.encryptionconsulting.com/pkitest/%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Nota: Necesita modificar la dirección http en la ubicación de AIA. Para este escenario, la dirección de nuestro contenedor http era http://pkitest.encryptionconsulting.com/pkitest/, que puede variar para usted.

Configuración de los puntos CDP

El comando certutil para configurar el CDP modifica el registro, así que asegúrese de ejecutar el comando desde un comando

certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n2:http://pkitest.encryptionconsulting.com/pkitest/%3%8%9.crl \n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"

Nota: Necesita modificar la dirección http en la ubicación del CDP. Para este escenario, la dirección de nuestro contenedor http era http://pkitest.encryptionconsulting.com/pkitest/, que puede variar para usted.

En un símbolo del sistema administrativo, ejecute los siguientes comandos para reiniciar los Servicios de certificados de Active Directory y publicar la CRL

certsvc de parada neta y certsvc de inicio neta

certutil-crl

Creación de CA emisora

Las CA empresariales deben estar unidas al dominio. Antes de instalar la CA emisora ​​empresarial (CA02), debe unir el servidor al dominio. A continuación, puede instalar el servicio de rol de autoridad de certificación en el servidor.

Primero, implementaremos una máquina virtual en Azure. Asegúrese de que ambas direcciones IP sean estáticas.

Durante la implementación, asegúrese de que:

1. Las máquinas virtuales se implementan en la misma red virtual
2. Si se despliega en el misma región, asegúrese de que la subred sea la misma

3. La dirección IP pública es estática

   

4. Una vez creada la máquina virtual, navegue a Networking En Configuración y haga clic en Interfaz de red



1. Vaya a Configuración de IP en configuraciones

2. Haga clic en ipconfig1 en el menú y cambie la configuración privada de IP a estática desde dinámica.

   

3. Haga clic en Guardar y vuelva a la máquina virtual.

Proporcione otros parámetros según sus necesidades y cree la máquina virtual.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Contáctanos

Configuración de red

1. Inicie sesión en CA02 como usuario local
2. Haga clic en Contáctenos, tipo ncpa.cply presione ENTRAR
3. Haga clic en EthernetY haga clic en Propiedades bajo Actividad
4. Haga doble clic en Protocolo de Internet versión 4 (IPv4)

5. Solo cambia el Dirección del servidor DNS, y proporcionar la IPv4 privada de DC01 (si ambos pertenecen a la misma región), o proporcionar la dirección IP pública de DC01 (si pertenecen a regiones diferentes)

   

6. Haga clic en Aceptar y reinicie la máquina virtual desde el Portal
7. Una vez reiniciado, inicie sesión en CA02 como usuario local
8. Haga clic en Contáctenos, tipo sysdm.cply presione ENTRAR

9. Cambiar el nombre de la PC a CA02 Indique el nombre de dominio en el dominio. Proporcione las credenciales para DC01 y espere hasta recibir un mensaje de confirmación.

   

10. Haga clic en reiniciar ahora cuando se le solicite.

Creación de CAPolicy en la emisión de CA

1. Inicie sesión en CA01 como CA01\Administrador.
2. Haga clic en Inicio, haga clic en Ejecutar y, a continuación, escriba notepad C:\Windows\CAPolicy.inf y presione ENTER.
3. Cuando se le solicite crear un nuevo archivo, haga clic en Sí.

4. Escriba lo siguiente como contenido del archivo.

   [Versión] Firma="$Windows NT$" [PolicyStatementExtension] Políticas=InternalPolicy [InternalPolicy] OID= 1.2.3.4.1455.67.89.5 URL= http://pkitest.encryptionconsulting.com/pkitest/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Años RenewalValidityPeriodUnits=10 LoadDefaultTemplates=0
   

5. Haga clic en Archivo y Guardar para guardar el archivo CAPolicy.inf en el directorio C:\Windows. Cierre el Bloc de notas.

Publicación de certificados de CA raíz y CRL en CA02

1. Inicie sesión en CA01 como administrador local
2. Vaya a C:\Windows\System32\CertSrv\CertEnroll

3. Copiar las CRL y los Certificados presentes

   

4. Pegue los archivos en la unidad C en CA02

   Nota: Si está utilizando RDP, puede copiar y pegar directamente

   

5. En CA02, para publicar el certificado CA raíz de Encon y la CRL en Active Directory, ejecute los siguientes comandos en un símbolo del sistema administrativo.

           certutil -f -dspublish "C:\CA01_Encon Root CA.crt" RootCA certutil -f -dspublish "C:\Encon Root CA.crl" CA01
       

6. Para agregar el certificado CA raíz de Fabrikam y la CRL en la tienda local CA02.Fabrikam.com, ejecute el siguiente comando desde un símbolo del sistema administrativo.

       certutil -addstore -f root "C:\CA01_Encon Root CA.crt" certutil -addstore -f root "C:\Encon Root CA.crl"
       

Instalación de CA emisora

1. Asegúrese de haber iniciado sesión como usuario de Encon en CA02

2. Haga clic en  Contáctenos, y luego haga clic en Administrador de servidores

3. Haga clic en GestionarY haga clic en Agregar funciones y funciones

4. Haga clic en Siguiente on Antes de que empieces

   

5. En Tipo de instalación, haga clic en Siguiente

   

6. On Selección de servidor, haga clic Siguiente

   

7. On Roles de servidor, escoger Servicios de certificados de Active Directory, hacer clic en Agrega características cuando se le solicite y haga clic Siguiente

   

8. On Caracteristicas, haga clic Siguiente

   

9. En AD CS, haga clic en Siguiente.

   

10. On Servicios de rolElegir Inscripción web de la autoridad de certificación, haga clic en Agrega características cuando se le solicite y haga clic en Siguiente

    

11. En Rol de servidor web (IIS) y Servicios de rol, haga clic en Siguiente

    

12. En Confirmación, haga clic en Instalar

    

Configuración de la CA emisora

1. Después de la instalación, ya sea

   1. Haga clic en Configurar los servicios de certificados de Active Directory en el servidor de destino en el Asistente para agregar roles y características

      

   2. O haga clic en Configurar los servicios de certificados de Active Directory en el Centro de notificaciones

      

2. En Credenciales, haga clic en Siguiente

   

3. En Servicios de rol, seleccione ambos Autoridad certificada al igual que Inscripción web de la autoridad de certificación

   

4. On Tipo de configuración, asegurar CA empresarial se elige y se hace clic Siguiente

   

5. En Tipo de CA, elija CA subordinada y haga clic en Siguiente

   

6. En Clave privada, elija Crear una nueva clave privada

   

7. En Criptografía, deje los valores predeterminados y haga clic en Siguiente

   

8. En Nombre de CA, proporcione el Nombre común como Encon Emisor CA y dejar todo el valor predeterminado.

   

9. En Solicitud de certificado, asegúrese de que la opción Guardar una solicitud de certificado en un archivo esté seleccionada y haga clic en Siguiente

   

10. En la base de datos de certificados, haga clic en Siguiente

    

11. En Confirmación después de revisar, haga clic en Configurar

    

12. La CA emisora ​​ya debería estar configurada. Haga clic en Cerrar.

    

13. Una vez configurada la CA emisora, aparecerá un archivo en la unidad C. Copie este archivo en la unidad C en la CA raíz.

    

Emitir certificado de CA emisora ​​Encon

1. Copiar el archivo de solicitud de CA emisora ​​a la unidad C de la CA raíz
2. Abrir símbolo del comando

3. Ejecuta el comando

   certreq -submit "C:\CA02.encon.com_encon-CA02-CA.req"

4. Seleccione CA raíz de la lista de autoridades de certificación

   

5. Una vez enviada una solicitud, recibirás un RequestID

   

6. Abierto Autoridad certificada desde Herramientas en el Administrador del servidor

   

7. Navegar a Solicitudes pendientes

   

8. Haga clic derecho en el RequestID que obtuvo al enviar la solicitud, haga clic en Todas las tareas y haga clic en Emitir

   

9. Una vez emitido, navegue al símbolo del sistema nuevamente y ejecútelo.

   certreq -retrieve 2 "C:\CA02.encon.com_Encon Issuing CA.crt"

10. Seleccione CA raíz de la lista de autoridades de certificación

    

11. Una vez recuperado, se muestra el mensaje de éxito.

    

12. Copiar el certificado emitido desde la CA raíz a CA02

    

13. Inicie sesión en CA02 como usuario de Encon y copie el certificado en la unidad C

14. Abierto Autoridad certificada desde Herramientas en el Administrador del servidor

    

15. Haga clic con el botón derecho en Encon Issuing CA, haga clic en Todas las tareas y haga clic en Instalar certificado de CA.

    

16. Vaya a la unidad C y seleccione Todos los archivos junto a Nombre de archivo hasta que el certificado copiado sea visible

    

17. Seleccione el certificado emitido y haga clic Abierto

    Haga clic derecho en Encon Issuing CA, haga clic en Todas las tareas y haga clic en Iniciar servicio

    

Configuración posterior a la instalación en la CA emisora

1. Asegúrese de haber iniciado sesión en CA02 as Usuario de Encon
2. Abra un símbolo del sistema. Para ello, puede hacer clic en Contáctenos, haga clic Ejecutar, tipo cmd y luego haz clic en OK.

3. Definir Unidades de período CRL y Periodo de CRL, ejecute los siguientes comandos desde un símbolo del sistema administrativo:

   1. Certutil -setreg CA\CRLPeriodUnits 1
   2. Certutil -setreg CA\CRLPeriod “Semanas”
   3. Certutil -setreg CA\CRLDeltaPeriodUnits 1
   4. Certutil -setreg CA\CRLDeltaPeriod “Días”

4. Definir Unidades de período de superposición de CRL y Período de superposición de CRL, ejecute los siguientes comandos desde un símbolo del sistema administrativo:

   1. Certutil -setreg CA\CRLOverlapPeriodUnits 12
   2. Certutil -setreg CA\CRLOverlapPeriod “Horas”

5. Definir Unidades de período de validez Para todos los certificados emitidos por esta CA, escriba el siguiente comando y presione Intro. En este laboratorio, la CA emisora ​​empresarial debe tener una vigencia de 20 años para su certificado de CA. Para configurar esto, ejecute los siguientes comandos desde un símbolo del sistema administrativo:

   1. Certutil -setreg CA\Unidades de período de validez 5
   2. Certutil -setreg CA\ValidityPeriod “Años”

Configuración de puntos CDP y AIA

Existen varios métodos para configurar las ubicaciones del Acceso a la Información de la Autoridad (AIA) y del Punto de Distribución de la Lista de Revocación de Certificados (CDP). El AIA apunta a la clave pública de la autoridad de certificación (CA). Puede usar la interfaz de usuario (en las Propiedades del objeto CA), certutil o editar directamente el registro.

El CDP es donde se mantiene la lista de revocación de certificados, lo que permite a los equipos cliente determinar si un certificado ha sido revocado. Este laboratorio contará con tres ubicaciones para el AIA y tres para el CDP.

Configuración de puntos AIA

El comando certutil es un método rápido y común para configurar el AIA. Este comando modifica el registro, así que asegúrese de ejecutarlo desde el símbolo del sistema como administrador.

Al ejecutar el siguiente comando certutil, se configurará una ubicación estática del sistema de archivos, una ubicación HTTP para el AIA y una ubicación de ruta de acceso a directorios ligera (LDAP). Ejecute el siguiente comando:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pkitest.encryptionconsulting.com/pkitest/%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11”

Nota: Necesita modificar la dirección http en la ubicación de AIA. Para este escenario, la dirección de nuestro contenedor http era http://pkitest.encryptionconsulting.com/pkitest/, que puede variar para usted.

Configuración de los puntos CDP

El comando certutil para configurar el CDP modifica el registro, así que asegúrese de ejecutar el comando desde un comando

certutil -setreg CA\CRLPublicationURLs “65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n2:http://pkitest.encryptionconsulting.com/pkitest/CertEnroll/%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10”

Nota: Necesita modificar la dirección http en la ubicación del CDP. Para este escenario, la dirección de nuestro contenedor http era http://pkitest.encryptionconsulting.com/pkitest/, que puede variar para usted.

Además, según el punto de CDP, la carpeta CertEnroll se encontrará dentro del contenedor pkitest en Azure Blob. Esto se debe a que la carpeta se copiará recursivamente desde la carpeta CertSrv al almacenamiento de blobs.

En un símbolo del sistema administrativo, ejecute los siguientes comandos para reiniciar los Servicios de certificados de Active Directory y publicar la CRL

certificados de parada neta vc & &certificados de inicio de red vc

certutil-crl

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Contáctanos

Carga de certificados y CRL al almacenamiento de blobs

Según nuestros puntos de CDP y AIA, los certificados estarían disponibles en el almacenamiento de blobs de Azure. Si ejecutamos PKIView.msc en la CA emisora, se producirán errores donde no se encuentren los certificados o las CRL.



Para resolver esto, necesitamos cargar

• Certificados de CA raíz
• CRL de CA raíz
• Emisión de certificados de CA

Las CRL de la CA emisora ​​se cargarán mediante un script que ejecutaremos a continuación.

Para cargar los archivos, cópielos desde sus respectivas máquinas y téngalos a mano en su equipo host. Puede encontrarlos en C:\Windows\System32\certsrv\CertEnroll tanto en la CA raíz como en la CA emisora.

Nota: No copie las CRL de la CA emisora.



Una vez copiado, siga los pasos a continuación

1. Navegue hasta la cuenta de almacenamiento y haga clic en el pkitest que creó

   

2. Haga clic en Tanques Flexibles en Almacenamiento de datos

   

3. Haga clic en la carpeta pkitest

4. Haga clic en Cargar en la parte superior izquierda

   

5. Haga clic en el icono de exploración y seleccione todos los archivos que desea cargar y haga clic en Abrir.

   

6. Marque Sobrescribir si los archivos ya existen y luego haga clic en Cargar

   

7. Después de cargar, todos los archivos deberían estar disponibles.

   

Una vez cargados los archivos, navegue a CA02 y abra PKIView.msc de nuevo. Ahora, los puntos CDP de la CA raíz y la emisora ​​deberían estar disponibles, pero el punto AIA seguiría mostrando un error, ya que no copiamos esos archivos a la carpeta pkitest.



Script para copiar las CRL de la CA emisora

Antes de comenzar, necesitamos descargar AzCopyUna vez descargada, extraiga la aplicación en C:\ para acceder a ella. Usaremos esta ubicación en nuestro script. Cambie la ruta del script si desea guardar la aplicación en otra ubicación.



Ahora también necesitarás una carpeta para guardar el código. Recomiendo crear una carpeta en la unidad C llamada AZCopyCode. Descarga el script de abajo y guárdalo allí. Necesitaremos hacer algunos cambios para que funcione.

Nota: Este código fue creado inicialmente por Iglesia de StreefSegún Windows Server 2022, este código funciona. He realizado algunos cambios y corregido algunos errores.

Código: https://github.com/Encryption-Consulting-LLC/AzCopyCode/blob/main/Invoke-UpdateAzureBlobPKIStorage.ps1

Github Gist para incrustar:

<script src=”https://gist.github.com/coffee-coded/4cbeb0de02628bc2da6b182dc11bad0b.js”></script>

Cambios de código

1. Navegue hasta la cuenta de almacenamiento y haga clic en el pkitest que creó

   

2. Haga clic en Tanques Flexibles en Almacenamiento de datos

   

3. Haga clic en la carpeta pkitest

4. Haga clic en "Token de acceso compartido" en Configuración. Asigne los permisos necesarios y elija una fecha de caducidad (preferiblemente un año).

   

5. Haga clic en Generar token SAS y copie el token SAS de Blob
6. Abra el código en el bloc de notas o en su editor de código preferido

7. Pegue el token SAS para la variable

   $azCopyDestinoSASKey

8. Vaya a las propiedades en Configuración, copie la URL y péguela para $azCopyDestination
9. Cambie las ubicaciones del registro y del archivo de registro si corresponde.
10. Cambie la ubicación de AzCopy en $azCopyBinaryPath si almacenó azcopy en otra ubicación.
11. Una vez realizados los cambios, guárdelos en C:\AZCopyCode\Invoke-UpdateAzureBlobPKIStorage.ps1
12. Abrir PowerShell en CA02
13. Vaya a C:\AZCopyCode
14. Ejecutar Invoke-UpdateAzureBlobPKIStorage.ps1

15. Una vez copiado, mostrará cuántos archivos se copiaron, con 100% y todos hechos con 0 Errores

    

16. Abra PKIView.msc y ahora no deberían verse errores.

    

17. La PKI en general debería ser saludable.

    

Localización de averías

Para este escenario, suponemos que recibirá un error.



Copia la URL haciendo clic derecho en la ubicación y copiándola en un bloc de notas. Debería verse así.

http://pkitest.encryptionconsulting.com/pkitest/Encon%20Root%20CA.crl%20

Si intenta abrirlo en el navegador, seguirá apareciendo un error, ya que hay un %20 al final, lo que indica un espacio. Para solucionarlo, es necesario cambiar los puntos CDP y AIA en la CA raíz y volver a crear la CA emisora.

Automatizar el script

Automatizaríamos este script usando el Programador de Tareas para ejecutarlo semanalmente. Puede ajustarlo según sus necesidades.

1. Abrir el Programador de tareas

2. Haga clic izquierdo en Programador de tareas (local) y haga clic en Crear una tarea básica

   

3. Proporcionar nombre y descripción para la tarea

   

4. El disparador de tareas está configurado para funcionar semanalmente

   

5. Seleccione la fecha y la hora en que se ejecutará el script

   

6. En Acción, seleccione Iniciar un programa y haga clic en Siguiente

   

7. En Inicio, un Programa, en Programa/Script escribir

   powershell -file "C:\AZCopyCode\Invoke-UpdateAzureBlobPKIStorage.ps1"

   

8. Haga clic en Sí en el mensaje

   

9. Marque el cuadro de diálogo Abrir propiedades y haga clic en Finalizar

   

10. Una vez completado, AZ Copy debería estar disponible en la biblioteca del Programador de tareas.

    

11. Haga clic derecho en Copiar AZ y haga clic en Ejecutar

12. Actualice y revise la pestaña Historial. La acción completada debería aparecer en el Historial.

    

Conclusión

Con esto finalizamos nuestra instalación de AD CS con Azure Blob Storage. Es más fácil de administrar, pero también logramos alta disponibilidad con Azure Blob Storage. Esto ayudará a las organizaciones a crear una PKI operativa en todo el mundo con una latencia mínima y un alto rendimiento, independientemente de su ubicación. Si tiene algún problema, no dude en contactarnos. info@encryptionconsulting.com