Instalar y configurar Entidad de Certificación CA en Windows Server 2012
Para poder utilizar Windows Azure Backup necesitamos una entidad certificadora para emitir certificados que identificará nuestros servidores registrados en nuestra cuenta de Windows Azure, creo que este paso está un poco de mas porque en una empresa por mucho que sea pequeña debe tener ya disponible esta entidad certificadora, pero si no la tienen pues aquí les dejo este proceso de instalación de los servicios de certificados de Active Directory.
Como les comentaba, para poder emitir este certificado que necesitamos para subir a Windows Azure lo podemos obtener de dos formas, la primera y mas fácil que veo es que utilicemos nuestra entidad certificadora que ya disponemos, y la segunda es utilizar la herramienta MakeCert.exe con la cual podemos emitir certificados X.509 a manera de prueba.
En el proceso veremos la instalación y configuración de ADCS en Windows Server 2012, pero si nuestra entidad se encuentra en otra versión de Windows no hay ningún problema podemos utilizar estos certificados, veamos el proceso…
Esta instalación la realizo en un DC (Domain Controller) pero lo mas recomendable es realizar la instalación un servidor miembro.
En nuestro Server Maneger procedemos a instalar el rol Active Directory Certifícate Services como ya conocemos el proceso de instalación de roles y características.
Agregamos las características que necesita ADCS para administrar.
Dando siempre en siguiente veremos una introducción al rol ADCS el cual es muy recomendable leer si no estamos muy familiarizados con el funcionamiento de este.
Aquí seleccionaremos los servicios de rol que operarán, por defecto selecciona Entidad Certificadora CA, podemos también seleccionar Inscripción web de entidad de certificación si pensamos emitir certificados vía web pero no es necesario para este caso pero si recomendable que lo hagan por si lo necesitamos mas adelante en nuestra organización.
ADCS necesita un servidor web operando por esto instala el rol de IIS, vemos una introducción del rol.
En este apartado podemos seleccionar los servicios de rol que serán instalados con IIS, podemos dejar por defecto los que selecciona.
Vemos un resumen de todo lo que instalaremos y podemos decirle Instalar.
Una vez instalados todos los roles y características que necesitamos para nuestra entidad certificadora, en el mismo asistente podemos comenzar a configurar la función, dando clic en el enlace Configurar Servicios de certificados de Active Directory en el servidor destino
Podemos especificar las credenciales que necesitaremos para configurar cada uno de los servicios del rol, si tenemos alguna duda de lo que obtenemos con cada servicio de rol podemos recurrir a la documentación.
Seleccionamos los servicios de rol que se configuraran a continuación.
Especificamos el tipo de instalación de la CA, podemos ver una breve introducción a las diferencias y que logramos con cada tipo de CA, CA empresarial y CA independiente, si necesitamos mas información podemos recurrir a TechNet, en este caso necesitamos una instalación tipo CA empresarial.
Hay dos pasos casi idénticos pero que tienen su diferencias, entre tipo de instalación de la CA y el tipo de CA, en este caso vemos las diferencias de un tipo de CA raíz y CA subordinada, seleccionamos la CA raíz para nuestra configuración.
Especificamos el tipo de la clave privada, si tenemos alguna duda con los pasos en todas las ventanas del asistente tenemos una documentación en la parte inferior que nos ayuda, seleccionamos Crear una clave privada nueva.
Llegamos a las opciones criptográficas, por defecto podemos dejar las que nos selecciona, una cosa importante es que uno de los requisitos de Windows Azure Backup es que la longitud de la clave debe ser mínimo 2048, la que nos selecciona por defecto.
Especificamos un nombre a la nueva CA, el sufijo de nombre distintivo y la vista previa la dejamos por defecto.
Llegamos a una parte de la configuración MUY importante, el periodo de validez para los certificados que generará nuestra CA, uno de los otros requisitos que necesita Windows Azure Backup para cargar estos certificados es que el periodo de validez del mismo no supere los 3 años a partir de la fecha que se emite, entonces que pasa, nosotros podemos tener nuestra CA que genera certificados a 5 años, pero esos certificados que emite por defecto no los podemos utilizar porque a la hora de cargar el certificado en Windows Azure nos daría un error, tendríamos que crear una nueva plantilla de certificado donde configuremos la fecha de validez inferior a 3 años y emitir un certificado para el servidor que utilizaremos con Windows Server Backup, este tema sería obligatorio ya que los mas común para el tiempo de validez de nuestra CA en muchos casos se utiliza 5 o mas años.
Especificamos las ubicaciones de las bases de datos donde se alojarán nuestros certificados.
Veremos una confirmación o resumen de todas las configuraciones que realizaremos en nuestra CA y podemos decirle Configurar.
Comienza la configuración de los roles, servicios de rol o características, esto puede tardar un poco.
Vemos la confirmación que todo se ha realizado correctamente de los dos servicios de rol que configuramos.
Podemos confirmar que el rol se ha completado abriendo el complemento Entidad certificadora que podemos encontrar en las herramientas de Server Manager y donde se verán los certificados revocados, emitidos, pendientes, error de solicitudes y plantillas de certificado.
Por ultimo, para ver los certificados que ha emitido nuestra CA, podemos abrir una Microsoft Management Console MMC en Ejecutar y cargar el complemento Certificados para el equipo local, en donde trabajaremos para exportar el certificado que necesitamos y veremos en el siguiente articulo porque este se fue bastante extenso.
Con esto ya tenemos lista nuestra entidad certificadora para los certificados que necesitamos cargar en nuestra suscripción de Windows Azure y así certificar que nuestros servidores son los únicos que puedan realizar copias de seguridad en este almacén de copia de seguridad de Windows Azure.
Una de las cosas muy importante y vuelvo a repetirlo dado a lo importante que es, el tema del periodo de validez de los certificados, si tenemos nuestra CA emitiendo certificados con un periodo de validez superior a 3 años debemos crear una nueva plantilla con la fecha solicitada y emitir este nuevo certificado, si tienen alguna duda con este proceso me la pueden hacer saber y con mucho gusto les explico mas detalladamente o decido si crear un articulo especialmente para este tema.
Muchas Gracias.
Jair Gómez Arias
MVP Packaging, Deployment & Servicing
Microsoft Community Specialist
@JairGomezA
http://jairgomezit.wordpress.com