PKI

Public Key Infrastructure

Parte II: MS - AD CS
Active Directory Certificate Services
 Arquitecturas PKI corporativas
CA root
Jerárquica CA root
cert cert cert Bridge PKI
CA sub
cert cert

CA sub
cert

usuarios PKI
Relaciona a las
PKI corporativas
Cert cruzada Mesh

Cada PKI corporativa

puede adoptar su propio
modelo de arquitectura
PKI
 Despliegue de Servicios de Certificación

La PKI corporativa (en este caso standalone) puede integrarse de alguna de las maneras consideradas antes.

CA externa (TTP – Trusted Third Party)

(TA - Trusted Authority)
Ej: Verisign

CA (Certificate Authority)
■ Acepta/rechaza solicitudes
■ Verifica info del solicitante y si la
operación está permitida
■ Valida certificados
■ Revoca y publica la CRL (Certification
ROLES

Revocation List)

RA (Registration Authority)
■ Autoriza peticiones al CA o Sub-CA
■ No publica certificados
■ Descarga validación básica de la CSR
■ Protege a la CA de la exposición directa
 PKI – Root CA

Root CA es el nivel más alto de la jerarquía

en el que todos los clientes de la
organización confían.

Ya sea en una PKI integrada o standalone

siempre debe existir una root CA.

Toda otra CA es considerada CA

subordinada.

La CA suele utilizar un HSM (Hardware security

module) como procesador de cifrado dedicado,
diseñado para proteger el ciclo de vida de las claves
de cifrado (administración, procesamiento y
almacenamiento seguro de claves criptográficas)
dentro de un dispositivo protegido con sello
inviolable.

https://safenet.gemalto.es/data-encryption/hardware-security-modules-hsms/
 AD CS (Active Directory Certificate Services)

Todos los roles de servicios AD CS (Active Directory Certificate Services) corren en todas
las ediciones de W2K12: Datacenter, Enterprise, Essentials (Server Mgr); y Foundation
(con PShell):

1) CA Certification Authority: Emite y administra CERTs. Se pueden vincular varias

CA para formar una arquitectura PKI (jerárquica, mesh ó bridge)

Seleccionar
2) CA Web Enrollment: Interface para solicitar y renovar CERTs, recuperar CRL, etc.

3) Online Responder: ofrece datos de comprobación de revocación CERTs

(OSCP - Online Certificate Status Protocol)

4) Network Device Enrollment Service: Emite y administra CERTs para routers y

otros dispositivos sin cuentas de red (SCEP - Simple Certificate Enrollment Protocol)

5) Certificate Enrollment Policy Web Service: Brinda información sobre inscripción

Directivas
CERTs automática basada en directivas para usuarios y equipos
6) Certificate Enrollment Web Service: inscripción CERTs automática basada en
directivas para usuarios y equipos
 RSA – Estándares criptográficos PKCS
Versión Nombre Comentarios
PKCS#1 2.1 Estándar criptográfico RSA Ver RFC 3447. Define el formato del cifrado RSA.
Un protocolo criptográfico que permite a dos partes sin conocimiento previo
Intercambio de claves
PKCS#3 1.4 una de la otra establecer conjuntamente una clave secreta compartida,
Diffie-Hellman
utilizando un canal de comunicaciones inseguro.
Recomendaciones para la implementación de criptografía basada en
contraseñas, que cubren las funciones de derivación de claves, esquemas de
PKCS#5 2.0 Cifrado basado en contraseñas
encriptación, esquemas de autenticación de mensajes, y la sintaxis ASN.1 que
identifica las técnicas. Ver RFC 2898 y PBKDF2.
Ver RFC 2315. Para firmar y/o cifrar mensajes en PKI y distribución de
Sintaxis del mensaje
PKCS#7 1.5 certificados (p.ej. como respuesta a un mensaje PKCS#10). Base de S/MIME,
criptográfico
ahora basado en la RFC 3852
Sintaxis de la información
PKCS#8 1.2 Ver RFC 5208.
de clave privada
Tipos de atributos
PKCS#9 2.0
seleccionados
Ver RFC 2986. Formato de los mensajes enviados a una Autoridad de
PKCS#10 1.7 Solicitud de certificación
certificación para solicitar la certificación de una clave pública. Ver CSR.
Cryptographic Token Interface Define un API genérico de acceso a dispositivos criptográficos (ver HSM).
PKCS#11 2.20
o cryptoki Interfaz de dispositivo criptográfico
Sintaxis de intercambio de Formato de fichero usado comúnmente para almacenar claves privadas con
PKCS#12 1.0
información personal su certificado de clave pública protegido mediante clave simétrica.
Define un estándar que permite a los usuarios de dispositivo criptográficos
Formato de información de identificarse con aplicaciones independientemente de la implementación del
PKCS#15 1.1
dispositivo criptográfico PKCS#11 cryptoki u otro API. RSA ha abandonado las partes relacionadas con
la tarjeta IC de este estándar, subsumidas por el estándar ISO/IEC 7816-15. 1
 AD CS – Documentos básicos CA

 CP (Certificate Policy)
 Define los objetivos y alcances de la CA (qué hacer).
Responsabilidades de todos los participantes, propósito de los CERT,
cuestiones legales
 CPS (Certificate Practice Statement)
 Guías técnicas de procedimiento para la operación de la CA (detalles
de como hacer lo que especifica la CP). Configuración servidor ,
algoritmos, emisión, renovación, recuperación y revocación.
 Estándares UIT-T X.509
 UIT-T X.509 [RFC 5280, actualizada por RFC 6818]
 Certificate and CRL Profile [RFC 3280]
 Online Certificate Status Protocol [RFC 2560]
 Time Stamp Protocol [RFC 3161]
AD CS – Agregar Roles y Características
 AD CS – Agregar Roles y Características
Power Shell  Get-WindowsFeature

Se puede instalar el Rol AD CS con Server Manager o PShell.

■ Verificar los roles instalados con Get-WindowsFeature
■ En la columna “Install State” debe aparecer como “Available.”
■ Si un rol requiere GUI, agregar —IncludeManagementTools. Si no, se instala pero sin GUI .

Get-WindowsFeature muestra todos los roles. Para evitar búsqueda y scroll, usar filtro:
Get-WindowsFeature | where {$_.name -like "adcs*" -or $_.name -like "ad-c*"}

PS C:\Users\Administrador> Get-WindowsFeature | where {$_.name -like "adcs*" -or

$_.name -like "ad-c*"}
Display Name Name Install State
------------ ---- -------------
[ ] Servicios de certificados de Active Directory AD-Certificate Available
[ ] Entidad de certificación ADCS-Cert-Authority Available
[ ] Inscripción web de entidad de certificación ADCS-Web-Enrollment Available
[ ] Respondedor en línea ADCS-Online-Cert Available
[ ] Servicio de inscripción de dispositivos de red ADCS-Device-Enrollment Available
[ ] Servicio web de directiva de inscripción de ... ADCS-Enroll-Web-Pol Available
[ ] Servicio web de inscripción de certificados ADCS-Enroll-Web-Svc Available
AD CS – Agregar Roles y Características
Inicio
AD CS – Agregar Roles y Características
Servicios de Rol
AD CS – Agregar Roles y Características
Incluir GUI si aplica al rol
AD CS – Agregar Roles y Características
Continuar
AD CS – Agregar Roles y Características
Continuar Servidor IIS
AD CS – Agregar Roles y Características
Confirmación
AD CS – Agregar Roles y Características
Instalación de las características
AD CS – Agregar Roles y Características
Resultado de la instalación
Administrador del Servidor
Warnings
AD CS – Agregar Roles y Características
Configuración de la instalación realizada
AD CS – Agregar Roles y Características
Configuración de la instalación realizada
 AD CS – Configuración
Credenciales – Privilegios de administrador
AD CS – Configuración
Entidad de Certificación CA
 AD CS – Configuración
Entidad de Certificación CA - CA Standalone
 AD CS – Configuración
Entidad de Certificación CA - CA Root

Recomendaciones:
• CA raíz offline (menos expuesta a riesgos).
• Duración de los certificados mayor que los
de la CA subordinada.
 AD CS – Configuración
Entidad de Certificación CA - Clave CA
 AD CS – Configuración
Entidad de Certificación CA - Opciones de Cifrado - CSP

Por defecto SHA1. Windows no aceptará certificados con SHA1 en 2017. Como mínimo, SHA256.
 AD CS – Configuración
Entidad de Certificación CA - Todas las Opciones de Cifrado

Seleccionar la que corresponda

al HSM

De lo
contrario, se
“cuelga”
TILDAR !
PS# Install-AdcsCertificationAuthority AllowAdministratorInteraction
 AD CS – Configuración
Entidad de Certificación CA - Nombre - Issuer
 AD CS – Configuración
Entidad de Certificación CA - Validez de la Clave de la CA
 AD CS – Configuración
Entidad de Certificación CA - Ubicación Bases de Datos
 AD CS – Configuración
Entidad de Certificación CA - Confirmación
 AD CS – Configuración
Entidad de Certificación CA - Configurando
 AD CS – Configuración
Entidad de Certificación CA - Resultados
 AD CS – Configuración
Inscripción Web de la CA - Configuración
 AD CS – Configuración
Inscripción Web de la CA - Confirmación
 AD CS – Configuración
Inscripción Web de la CA - Resultados
 AD CS – Configuración
Respondedor en línea de la CA - Configuración
 AD CS – Configuración
Inscripción Web de la CA - Confirmación /Resultados
 AD CS – Configuración
NDES- Configuración

NDES es la implementación MS de SCEP (Simple Certificate Enrollment Protocol). Protocolo PKI que
usa tecnologías PKCS#10 y #7 sobre HTTP para solicitar y emitir CERTs a través de diferentes
dispositivos y fabricantes.
Para usar NDES (SCEP) en Windows Server 2012 (ADCS PKI), agregar este rol al servidor que provee
CA Web Enrollment

NDES (Network Devices Enrollment Services

 AD CS – Configuración
NDES- Cuenta de servicio NDES (grupo IIS_IUSRS)

NDES exige una cuenta de usuario AD (Active Directory), que sea miembro del grupo local IIS_IUSRS
 AD CS – Configuración
NDES- Crear cuenta de servicio NDES
 AD CS – Configuración
NDES- Especificar la cuenta de servicio NDES
 AD CS – Configuración
RA (Autoridad de Registro) - Configuración
 AD CS – Configuración
RA (Autoridad de Registro) - Opciones de Cifrado
 AD CS – Configuración
RA (Autoridad de Registro) - Configuración de Cifrado
 AD CS – Configuración
RA (Autoridad de Registro) - Confirmación
 AD CS – Configuración
RA (Autoridad de Registro) - Conclusión y resultados
 AD CS – Verificación
Configuración completa – Roles y Características
 AD CS – Verificación
Configuración completa – Certificados emitidos a la RA

Debe verificarse la existencia de los certificados de la RA en el almacen “personal”

del servidor NDES
 AD CS – Configuraciones adicionales
Password Challenge para MSCEP

MSCEP (Microsoft SCEP) exige por defecto una password challenge única, generada dinámicamente para cada dispositivo a
enrolar.
Es decir que no se puede registrar ningún dispositivo sin intervención del administrador.
Para deshabilitar la password challenge en la registry:
Click Start – enter -- regedit.
Cambiar el valor de EnforcePassword por defecto (1) a (0)
Computer->HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Cryptography->MSCEP->EnforcePassword.
AD CS – Base de Datos CA
Backup y Restore
AD CS – Base de Datos CA
Backup y Restore
AD CS – Base de Datos CA
Backup y Restore
 PROCEDIMIENTOS

PROCEDIMIENTOS
 Sincronismo CA

Uno de los fundamentos PKI es el tiempo. El reloj del sistema define si un certificado es inválido.

ntp server 192.168.0.1

ntp source f0/1
ntp update-calendar !! Opcional: actualización única del reloj de hardware

ntp authenticate !! Opcional: servidor NTP con autenticación

ntp authentication-key 1 md5 <key-1>
ntp authentication-key 2 md5 <key-2>
ntp authentication-key 2 md5 <key-2>
ntp trusted-key 1 – 3

access-list 1 permit host 192.168.0.1 !! Opcional: ACL para permitir a un server específico.

ntp access-group peer 1

ntp master <stratum-number> !! Opcional: servidor NTP autoritario

 PKI – Solicitud y Emisión Certificado

Privada

Certificate Signing Request

CLIENTE
PKCS #10
Pública + PKCS#7

Cliente PKI
Genera/guarda un par
clave público-privado
(RSA, DSA o ECDSA)

CA/RA

X.509
 Procedimientos
Registración de Dispositivos de red NDES (SCEP)

WORKFLOW
1.- Obtener copia y validar el certificado de la CA (para generar un canal cifrado confiable)
 HTTP GET.  Certificado CA, codificación binaria (X.509). (Verificar hash por otro canal).
2.- Generar el CSR y enviarlo en forma segura a la CA
 HTTP GET (message= <URL codificada>; text= <PKCS#7 >; firmado y cifrado PKCS#10)
 HTTP Response (Reject/Pending/Success)
3.- Sondear (poll) al servidor SCEP (NDES de la CA) para chequear la emisión del certificado
4.- Re-registrar (re-enroll) para obtener nuevo certificado antes de la expiración del actual.
5.- Recuperar la CRL cuando sea necesario (o CDP)

http://W2K12-CA/CertSrv/mscep_admin
URI Automático/directo
http://192.168.250.18/CertSrv/mscep_admin

http://192.168.250.18/certsrv/certrqxt.asp URI Manual / offline

PKCS#7 => formato firma/cifrado + metadatos (algoritmos)

Hash  fingerprint
PKCS#10 => formato del CSR
https://www.cisco.com/c/es_mx/support/docs/security-vpn/public-key-infrastructure-pki/116167-technote-scep-00.pdf
 Procedimientos
Registración de Dispositivos de red NDES (SCEP) - CSR

FORMATO DE LA PETICIÓN CSR

 Procedimientos
Registración de Dispositivos de red NDES (SCEP) - Emitido

FORMATO DE LA RESPUESTA AL CSR

 Procedimiento: Descarga automática NDES
1) Requerimiento del administrador NDES

http://W2K12-CA/CertSrv/mscep_admin
http://192.168.250.18/CertSrv/mscep_admin
 Procedimiento: Descarga automática NDES
1) Requerimiento del administrador NDES

La contraseña que se solicita durante la registración (enroll), la cual debería utilizarse en caso de solicitar la
revocación del certificado, es la que se indica durante el requerimiento de inscripción.
 Procedimiento: Descarga automática
2) Configuración en el cliente (router)

Generar una clave de 1024 bits con label (rótulo):

A(config)# crypto key generate rsa modulus 1024 label A

Crear un ip host para utilizar el nombre de la CA en lugar de la IP (o configurar un DNS):

A(config)# ip host W2K12-CA 192.168.250.18

Configurar el trustpoint (en este caso se llama “trust”):

A(config)# crypto pki trustpoint trust
A(ca-trustpoint)# enrollment mode ra
A(ca-trustpoint)# enrollment url http://W2K12-CA:80/certsrv/mscep/mscep.dll URI CA
A(ca-trustpoint)# serial-number
A(ca-trustpoint)# subject-name CN=A
A(ca-trustpoint)# revocation-check none
A(ca-trustpoint)# rsakeypair A

Un “trustpoint” representa una CA de confianza (pública o privada)

 Procedimiento: Descarga automática
3) Autenticación en el cliente (router)

Descargar el certificado de la CA:

A(config)# crypto pki authenticat trust Truspoint= trust

Certificate has the following attributes:

Fingerprint MD5: 6F736326 D69BCE25 0D79900E 441F5DB0
Fingerprint SHA1: E616ACA8 6B793FC0 18BCE6F7 5C362008 32049C90
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.

A#show crypto pki certificates | i W2K12 Verificar el certificado

cn=W2K12-CA-CA-1
file:////W2K12-CA/CertEnroll/W2K12-CA-CA-1.crl
Storage: nvram:W2K12-CA-CA-#6.cer
cn=W2K12-CA-CA-1
cn=W2K12-CA-CA-1
Storage: nvram:W2K12-CA-CA-#A407CA.cer
 Procedimiento: Descarga automática
4) Registración (enroll) en el cliente (router)

Petición del certificado del cliente (router):

A(config)# crypto pki enrol trust Truspoint= trust
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
401DD707304065DD Obtenida vía web
Re-enter password:
% The subject name in the certificate will include: CN=A
% The subject name in the certificate will include: A.cth.moc
% The serial number in the certificate will be: FGL151726PZ
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose trust' commandwill show the fingerprint.
Feb 22 17:28:56.285: CRYPTO_PKI: Certificate Request Fingerprint MD5: 1B08F1B67AA91267 868F8C69 CDEB3CC6
Feb 22 17:28:56.285: CRYPTO_PKI: Certificate Request Fingerprint SHA1: AFDB3315659940AE 8992FEEF 6693F76F
83BB9AE3
Procedimiento: Descarga automática
5) Emitir el certificado pendiente en la CA
 Procedimiento: Descarga automática
6) Recepción de certificado en el cliente (router)

Después de unos minutos, el certificado es recibido por el cliente (router). En realidad es el router el que polea a la CA
para verificar el estado):
Feb 22 17:44:53.339: %PKI-6-CERTRET: Certificate received from Certificate Authority
A#show cry pki certificates
Certificate
Status: Available
Certificate Serial Number (hex): 3100000009B8F2FB0322C5913C000000000009
Certificate Usage: General Purpose
Issuer:
cn=W2K12-CA-CA-1
Subject:
Name: A.cth.moc
Serial Number: FGL151726PZ
cn=A
hostname=A.cth.moc
serialNumber=FGL151726PZ
CRL Distribution Point:
file:////W2K12-CA/CertEnroll/W2K12-CA-CA-1.crl
Validity Date:
start date: 17:38:12 AR Feb 22 2018
end date: 17:48:12 AR Feb 22 2019
Associated Trustpoints: trust
 Procedimiento: Descarga automática
6bis) Para evitar el challenge-password

Se puede evitar que se solicite la password durante el proceso de

registración del dispositivo modificando el registro de la CA.
No obstante, durante el prompt igualmente debe ingresarse ENTER
para la password y la repetición.
Ingresar la password en la configuración del truspoint y los otros
parámetros que aparecen el el cuadro de diálogo.

B(ca-trustpoint)# password D6B66FD8F9380172

 Procedimiento: Descarga manual NDES
1) Configuración en el cliente (router)

Generar una clave de 1024 bits con label (rótulo):

A(config)# crypto key generate rsa modulus 1024 label A

Configurar el trustpoint (en este caso se llama “trust”:

A(config)# crypto pki trustpoint trust
A(ca-trustpoint)# enrollment mode ra
A(ca-trustpoint)# enrollment terminal Copy & Paste
A(ca-trustpoint)# subject-name CN=A
A(ca-trustpoint)# revocation-check none
A(ca-trustpoint)# rsakeypair A
 Procedimiento: Descarga manual NDES
2) Exportar el Certificado de la CA

Descargar el archivo CA.der abrir y

copiar el contenido en base 64
 Procedimiento: Descarga manual NDES
3) Importar certificado CA  crypto pki authenticate

A(config)#crypto pki authenticate trust

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

contenido en base 64
-----BEGIN CERTIFICATE-----
MIIDCzCCAfOgAwIBAgIQclOqpST5WpFD6dCUmKCkBzANBgkqhkiG9w0BAQsFADAY
MRYwFAYDVQQDEw1XMksxMi1DQS1DQS0xMB4XDTE4MDIyMjAxMzMzMVoXDTIzMDIy
…….
VnA7Xy/fNQVO6OgHfZgxnS34Gs5nitJGN74mOd4FgQIFqs4WaHPJpk2AZ3MstI9P
/RCN18jJWU03iMLpuok+tukecRSWPQELEq+coLQmHAk5axxHVwCZby1O5m/Qy0PP
L3qDdlXR8Z+Ioqu/cej1
-----END CERTIFICATE-----

Certificate has the following attributes:

Fingerprint MD5: 6F736326 D69BCE25 0D79900E 441F5DB0
Fingerprint SHA1: E616ACA8 6B793FC0 18BCE6F7 5C362008 32049C90

% Do you accept this certificate? [yes/no]: yes

Trustpoint CA certificate accepted.
Los Fingerprint concuerdan con los descargados automáticamente
% Certificate successfully imported
MD5: 6F736326 D69BCE25 0D79900E 441F5DB0
SHA1: E616ACA8 6B793FC0 18BCE6F7 5C362008 32049C90
 Procedimiento: Descarga manual NDES
4) Generar el enroll en el cliente (router)
A(config)#crypto pki enroll trust
% Start certificate enrollment ..
% The subject name in the certificate will include: A.cth.moc
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: FGL151726PZ
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:

contenido en base 64
MIIBjjCB+AIBADAuMSwwEgYDVQQFEwtGR0wxNTE3MjZQWjAWBgkqhkiG9w0BCQIW
CUEuY3RoLm1vYzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEArfHZndW8e0yi
…..
v1ey/2v1qeYyAgtwQjCrpDVwJ8X0SscBtx5+NjgxW0/2OkqJX2vgfdhEBrh65ZKp
1q7cSYR+vPTMV4fRxSf6AOdHKABvdWmF/ksjEwH0wfz3Axg2aEc8b1/J7n89XAR2
eBSxGe52dubdmDSgy9RC5sVg

---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no

CSR (Certificate Request) para presentar al MS Certificate Server

 Procedimiento: Descarga manual NDES
5) Solicitar el certificado del cliente a la CA

http://192.168.250.18/certsrv/certrqxt.asp

Pegar el contenido en base 64

 Procedimiento: Descarga manual NDES
5) Solicitar el certificado del cliente a la CA (continuación)
Procedimiento: Descarga manual NDES
6) Emitir el certificado desde la CA
Procedimiento: Descarga manual NDES
7) Descargar el certificado del servidor IIS de la CA
 Procedimiento: Descarga manual NDES
8) Importar el certificado en el cliente (router)

Copiar todo (Begin -> End

-----BEGIN CERTIFICATE-----
MIIDSTCCAjGgAwIBAgITMQAAAApPtM2ja7/neAAAAAAACjANBgkqhkiG9w0BAQsF
ADAYMRYwFAYDVQQDEw1XMksxMi1DQS1DQS0xMB4XDTE4MDIyMjIyMjU1MFoXDTE5
MDIyMjIyMzU1MFowMDEUMBIGA1UEBRMLRkdMMTUxNzI2UFoxGDAWBgkqhkiG9w0B
….
hvcNAQELBQADggEBAAieBp6FsoEm4mBXu+0f0H1yNNfd2Y6z6WRD1zadK2bUJnjN
6ML/Yccw0izP3gWFH6M+XMAL634Lrc7WQlOTXYEhvH7RGDw8xy93Mpw7FDeH2283
sIVpvLhOYOxe9uZRBSWFtyTjoOnlxFoCTunnpPOQwto+f6BRLN5HsT2qcddpENB2
ekImr8OhJ480l6GZ6iwt0MMQmfJJIeHYQ0dRb3Ww49K0BQJ3m9LlB7tQ+I2l+LfQ
R6olQCzHouwKbdCl374Dm5aqroeR3Q82lcj+79WhZEATO9d8krvYKgCa0gBpuESI
h8tS/TrdrzHa7hI6CSMmeX3xuSMD/cCYZhrHkg0=
-----END CERTIFICATE-----
 Procedimiento: Descarga manual NDES
8) Importar el certificado en el cliente (router)

A(config)#crypto pki import trust certificate

Enter the base 64 encoded certificate.

End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----
MIIDSTCCAjGgAwIBAgITMQAAAApPtM2ja7/neAAAAAAACjANBgkqhkiG9w0BAQsF

Pegar todo (Begin -> End

ADAYMRYwFAYDVQQDEw1XMksxMi1DQS1DQS0xMB4XDTE4MDIyMjIyMjU1MFoXDTE5
MDIyMjIyMzU1MFowMDEUMBIGA1UEBRMLRkdMMTUxNzI2UFoxGDAWBgkqhkiG9w0B
….
hvcNAQELBQADggEBAAieBp6FsoEm4mBXu+0f0H1yNNfd2Y6z6WRD1zadK2bUJnjN
6ML/Yccw0izP3gWFH6M+XMAL634Lrc7WQlOTXYEhvH7RGDw8xy93Mpw7FDeH2283
sIVpvLhOYOxe9uZRBSWFtyTjoOnlxFoCTunnpPOQwto+f6BRLN5HsT2qcddpENB2
ekImr8OhJ480l6GZ6iwt0MMQmfJJIeHYQ0dRb3Ww49K0BQJ3m9LlB7tQ+I2l+LfQ
R6olQCzHouwKbdCl374Dm5aqroeR3Q82lcj+79WhZEATO9d8krvYKgCa0gBpuESI
h8tS/TrdrzHa7hI6CSMmeX3xuSMD/cCYZhrHkg0=
-----END CERTIFICATE-----
Enter
% Router Certificate successfully imported
 Procedimiento: Descarga manual NDES
9) Verificación

A# show crypto pki certificaes

A#sh cry pki trustpoints status

Trustpoint trust:

Ambos certificaados importados

Issuing CA certificate configured:
Subject Name:

manualmente en base 64
CA
cn=W2K12-CA-CA-1
Fingerprint MD5: 6F736326 D69BCE25 0D79900E 441F5DB0
Fingerprint SHA1: E616ACA8 6B793FC0 18BCE6F7 5C362008 32049C90

Router General Purpose certificate configured:

Subject Name:
Router
hostname=A.cth.moc,serialNumber=FGL151726PZ
Fingerprint MD5: BDA0FF4D 1BC5F76B 61EAD5D9 6EA92D88
Fingerprint SHA1: 342B2DF9 5A5A2D21 2374B253 280D46F0 44805E2E
State:
Keys generated ............. Yes (General Purpose, non-exportable)
Issuing CA authenticated ....... Yes
Certificate request(s) ..... Yes
Aplicación: Túnel Ipsec – RSA-SIG
 Aplicación: Túnel Ipsec – RSA-SIG
hostname A
!
clock timezone AR -3 0
!
ip domain name cth.moc
ip host W2K12-CA 192.168.250.18
ip name-server 8.8.4.4
! !
crypto pki trustpoint trust interface Loopback0
enrollment mode ra ip address 172.16.30.254 255.255.255.0
enrollment url http://W2K12- !
CA:80/certsrv/mscep/mscep.dll interface Tunnel1
serial-number description TUNEL HACIA ROUTER B ->
subject-name CN=A 172.16.31.0/24
revocation-check none ip address 10.0.0.1 255.255.255.252
rsakeypair A load-interval 30
! keepalive 10 3
crypto isakmp policy 10 tunnel source FastEthernet0/1
encr aes tunnel mode ipsec ipv4
group 5 tunnel destination 192.168.250.76
! tunnel protection ipsec profile PROF
crypto ipsec transform-set TS esp-aes esp-sha-hmac !
! ip route 0.0.0.0 0.0.0.0 192.168.250.254
crypto ipsec profile PROF ip route 172.16.31.0 255.255.255.0 Tunnel1
set transform-set TS !
ntp server 209.81.9.7

Configuración del hostname B en la página de notas

 ERROR: Clave insegura

Si permitimos que el router genere la clave en el momento de la registración (enroll) lo hará por defecto con
un par de 512 bits. Lo mismo si lo hacemos manualmente sin indicar la longitud de la clave.
La solicitud del Certificado se envía a la CA y la misma permanece en la carpeta de SOLICITUDS
PENDIENTES.
Cuando se intente emitir el certificado, surgirá el error, y el certificado NO SE EMITE.
 ERROR: Permisos insuficientes

Si el administrador de certificados (en este caso “certman”) no

posee permitso de Administrar CA, no se le permite el login para
gestionar el certificado.
 BACKUP SLIDES

BACKUP
 AD CS CA
Otros servicios CA Web enrollment
 Formatos de los certificados

Formato PEM
Formato común en el que las CA emiten los certificados. Contiene ‘—–BEGIN CERTIFICATE—–” y “—–END CERTIFICATE—–” .
Se pueden incluir varios certificados PEM, y aún la clave privada en un archivo, uno a continuación del otro.
La mayoría de los OS y aplicaciones (eg:- Apache) esperan que los certificados y la clave privada residan en archivos separados.
> Son archivos ASCII codificados en Base64
> Extensiones .pem, .crt, .cer, .key
> Apache y otros servidores usan certificados en formato PEM

Formato DER
Es la versión binaria de certificado PEM ASCII. Pueden incluirse todo tipo de certificados y claves privadas en formato DER.
> Archivos en formato binario
> Extensiones .cer & .der
> DER se usa en Java

P7B/PKCS#7
Contienen “—–BEGIN PKCS—–” y “—–END PKCS7—–”. Solo pueden contener certificados y cadenas de certificados (no claves
privadas).
> Archivos ASCII codificados en Base64
> Extensiones .p7b, .p7c
> Plataformas que los soportan: Windows OS, Java Tomcat

PFX/PKCS#12
Sons archivos cifrados que se usan para almacenar el certificado de un servidor, todo certificado intermedio y clave privada.
> Archivos en formato binario
> Extensiones .pfx, .p12
> Típicamente utilizados por Windows OS para importar / exportar certificados y claves privadas
 Conversión de certificados
Notepad: SSL estándar (x.509)  PKCS#7

Convertir el formato base64 estándar al formato PKCS#7:

1. Guardar el certificado en notepad y salvar el fichero con la extension .cer

2. Hacer doble clic en el archivo.
3. Seleccionar el tabulador Detalles.
4. Hacer clic en Copiar a archivo.
5. Hacer clic en Siguiente.
6. En el Asistente para exportación de certificados, elegir la opción para "Estándar de sintaxis
de cifrado de mensajes: certificados PKCS #7" y marcar la casilla "Si es posible, incluir todos
los certificados en la ruta de acceso de certificación".
7. Clic en Siguiente.
8. Seleccionar ruta y nombre del fichero.
9. Clic en Siguiente.
10. Clic en Finalizar.

El archivo se guardará en formato PKCS 7 con la extensión de archivo .p7b

 Conversión de certificados
openssl: PEM

PEM

PEM  DER
—————————————————————————————————–
$ openssl x509 -outform der -in certificate.pem -out certificate.der
—————————————————————————————————–

PEM  P7B
———————————————————————————————————————————
$ openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CAcert.cer
———————————————————————————————————————————-

PEM  PFX
———————————————————————————————————————————————
$ openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -
certfile CAcert.crt
———————————————————————————————————————————————
 Conversión de certificados
openssl: DER, P7B, PFX

DER  PEM
————————————————————————————————–
$ openssl x509 -inform der -in certificate.cer -out certificate.pem
————————————————————————————————–

P7B  PEM
————————————————————————————————-
$ openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
————————————————————————————————-
P7B  PFX
—————————————————————————————————————————
$ openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
$ openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CAcert.cer
—————————————————————————————————————————

PFX  PEM
——————————————————————————————–
$ openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
——————————————————————————————–
NOTA: Al convertir PFX  PEM, openssl coloca todos los certificados y claves privadas en un único
archivo. Es necesario abrir el archivo con un editor de texto y copiar cada certificado y clave privada
(incluyendo las sentencias BEGIN/END) a su propio archivo de texto individual y salvarlos como
certificados Clientecert.cer, CAcert.cer, privateKey.key, respectivamente.
 REFERENCIAS LINKS

Using Microsoft Windows Certificate Authority (CA) Certificates on Cisco IOS

http://greenwireit.com/it-tech-support-articles/microsoft-windows-certificate-authority-ca-
certificates-cisco-ios/

Microsoft NDES and Cisco IOS – part 1 y 2

https://ntsystems.it/post/microsoft-ndes-and-cisco-ios-part-1
https://ntsystems.it/post/microsoft-ndes-and-cisco-ios-part-2