Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ENTIDAD DE CERTIFICACIÓN EN
WINDOWS SERVER 2012 R2
NOVIEMBRE 2018
USO OFICIAL
USO OFICIAL
Edita:
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del
mismo mediante alquiler o préstamo públicos.
USO OFICIAL
USO OFICIAL
PRÓLOGO
El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos
de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y
agresiones, y donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de
derecho, la prosperidad económica, el estado de bienestar y el normal funcionamiento de la
sociedad y de las administraciones públicas.
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia
de riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por
el Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la
seguridad de las TIC, orientadas a la formación de personal experto, a la aplicación de políticas y
procedimientos de seguridad, y al empleo de tecnologías de seguridad adecuadas.
Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración, materializada en la
existencia de la serie de documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de
los medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de 22 de
junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 sobre
el Esquema Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad
fija los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración, y promueve la elaboración y difusión de guías de seguridad de las
tecnologías de la información y las comunicaciones por parte de CCN para facilitar un mejor
cumplimiento de dichos requisitos mínimos.
Noviembre de 2018
USO OFICIAL
USO OFICIAL
CCN-STIC-597 v1.1 Entidad de Certificación en Windows Server 2012 R2
ÍNDICE
1. INTRODUCCIÓN ......................................................................................................................................4
2. OBJETO .....................................................................................................................................................4
3. ALCANCE .................................................................................................................................................5
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA ............................................................................................6
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA ......................................................6
5. INTRODUCCIÓN A LOS SERVICIOS DE CIFRADO ...........................................................................7
5.1 PROVEEDORES DE SERVICIOS DE CIFRADO (CSP) ...................................................................8
5.1.1 ALGORITMOS Y LONGITUDES DE CLAVES .........................................................................11
5.1.1.1 MICROSOFT BASE CRYPTOGRAPHIC PROVIDER ..........................................................11
5.1.1.2 MICROSOFT STRONG CRYPTOGRAPHIC PROVIDER ....................................................11
5.1.1.3 MICROSOFT ENHANCED CRYPTOGRAPHIC PROVIDER ..............................................12
5.1.1.4 MICROSOFT ENHANCED RSA AND AES CRYPTOGRAPHIC PROVIDER ...................13
5.1.1.5 MICROSOFT BASE DSS CRYPTOGRAPHIC PROVIDER .................................................14
5.1.1.6 MICROSOFT BASE DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC PROVIDER ......14
5.1.1.7 MICROSOFT ENHANCED DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC
PROVIDER ...............................................................................................................................15
5.1.1.8 MICROSOFT DH SCHANNEL CRYPTOGRAPHIC PROVIDER ........................................16
5.1.1.9 MICROSOFT RSA SCHANNEL CRYPTOGRAPHIC PROVIDER ......................................17
5.1.1.10 MICROSOFT BASE SMART CARD CRYPTO PROVIDER. ...............................................18
5.1.1.11 ALGORITMOS SIMÉTRICOS ................................................................................................19
5.1.1.12 ALGORITMOS ASIMÉTRICOS .............................................................................................19
5.1.1.13 ALGORITMOS HASH .............................................................................................................20
5.1.1.14 ALGORITMOS DE INTERCAMBIO DE CLAVES ...............................................................20
5.1.1.15 MICROSOFT SOFTWARE KEY STORAGE PROVIDER ....................................................21
5.1.1.16 MICROSOFT SMART CARD KEY STORAGE PROVIDER ................................................21
6. ARQUITECTURA Y SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN DE
WINDOWS SERVER 2012 R2 ................................................................................................................22
6.1 COMPONENTES DE LOS SERVICIOS DE CERTIFICADOS .......................................................22
6.2 ROLES DISPONIBLES EN LAS DIFERENTES EDICIONES DE WINDOWS SERVER .............23
6.3 CONFIGURACIÓN DE LA SEGURIDAD DE LA ENTIDAD DE CERTIFICACIÓN...................24
6.4 RESTRICCIÓN DE LOS ADMINISTRADORES DE CERTIFICADOS .........................................27
6.5 AUDITORÍA DE EVENTOS DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN ...................27
6.6 SOPORTE DE VALIDACIÓN EXTENDIDA (EV) ..........................................................................29
7. NOVEDADES EN SERVICIOS DE SERVIDOR DE CERTIFICADOS EN WINDOWS SERVER
2012 Y WINDOWS SERVER 2012 R2 ...................................................................................................30
7.1 COMPATIBILIDAD DEL MODULO DE DIRECTIVAS CON EL SERVICIO DE INSCRIPCION
DE DISPOSITIVOS DE RED .............................................................................................................30
7.2 ATESTACIÓN DE CLAVE DE TPM ................................................................................................30
7.3 WINDOWS POWERSHELL PARA SERVICIOS DE SERVIDOR DE CERTIFICADOS ..............31
7.4 COMPATIBILIDAD CON LA RENOVACIÓN BASADA EN CLAVES........................................31
7.5 COMPATIBILIDAD CON PLANTILLAS DE CERTIFICADO.......................................................31
7.6 COMPATIBILIDAD CON LA RENOVACIÓN DE CERTIFICADOS CON LA MISMA CLAVE32
7.7 COMPATIBILIDAD CON NOMBRES DE DOMINIO INTERNACIONALIZADOS ....................32
7.8 MAYOR SEGURIDAD HABILITADA DE MANERA PREDETERMINADA EN EL SERVICIO
DE ROL ENTIDAD DE CERTIFICACIÓN ......................................................................................33
7.9 FORMATO PFX PROTEGIDO POR UN GRUPO ............................................................................33
7.10 LAS CLAVES PRIVADAS DE CA SE INCLUYEN EN LA IMAGEN DE COPIA DE
SEGURIDAD DE ESTADO DEL SISTEMA ....................................................................................33
ANEXOS
1. INTRODUCCIÓN
1. Este documento forma parte del conjunto de normas desarrolladas por el Centro
Criptológico Nacional para entornos basados en los productos y sistemas operativos de
Microsoft (CCN-STIC-500) siendo de aplicación para la Administración y de obligado
cumplimiento para los Sistemas que manejen información clasificada Nacional.
2. La serie CCN-STIC-500 se ha diseñado de manera incremental. Así que, dependiendo del
sistema, se aplicarán consecutivamente varias de estas guías. Por ejemplo, para un
servidor de Entidad de Certificación de empresa de Windows Server 2012 R2, las guías
que deberán aplicarse son:
– CCN-STIC-560A Windows Server 2012 R2 - Inst completa, DC o miembro.
– CCN-STIC-563 Implementación de IIS 8.5 sobre Windows Server 2012 R2 en
servidor miembro del dominio.
– La presente guía.
Nota: Estas guías están pensadas y diseñadas para entornos de máxima seguridad donde no existirá ningún tipo de
conexión con redes consideradas no seguras como puede ser Internet.
2. OBJETO
3. El propósito de este documento consiste en proporcionar los procedimientos para la
implementación, establecer la configuración y realizar tareas de administración
maximizando las condiciones de seguridad del servidor que actúe como Entidad de
Certificación de Microsoft Windows Server 2012 R2 en un servidor miembro de una
infraestructura de dominio.
4. La instalación, así como los procesos de administración, se ha diseñado para que la
implementación sea lo más restrictiva posible. Es posible que determinadas
funcionalidades del servidor de Entidad de Certificación requieran modificar algunas de
las configuraciones que se plantean a través de la presente guía.
5. Esta guía asume que el servidor de Entidad de Certificación se va a implementar sobre un
equipo con Windows Server 2012 R2 de 64 Bits en el cuál se ha seguido el proceso de
implementación definido en las guías CCN-STIC-560A y CCN-STIC-563.
6. Cumpliendo con estos requisitos previos, se puede iniciar la instalación del servidor de
Entidad de Certificación basado en Microsoft Windows Server 2012 R2.
7. Así mismo y por motivos de seguridad y reducción de la superficie de ataque, no se
contempla en esta guía la instalación del servicio Web de inscripción de certificados,
servicio respondedor en línea u otros servicios que no sean estrictamente necesarios para
el adecuado funcionamiento del servicio de la Entidad de Certificación en un entorno
privado.
8. Sin embargo y debido a la necesidad de verificar la revocación de certificados, por parte
de los equipos cliente y aplicaciones, será necesario instalar el servicio “Internet
Information Services (IIS)” para publicar la lista de revocación de certificados de la
Entidad de Certificación. Es por ello que antes de iniciar las tareas de instalación de la
presente guía, es necesario aplicar la guía de seguridad “CCN-STIC-563 Implementación
de IIS 8.5 sobre Windows Server 2012 R2 en servidor miembro de dominio”.
3. ALCANCE
9. La guía ha sido elaborada con el propósito de proporcionar información específica para
realizar una implementación del servidor de Entidad de Certificación de Microsoft
Windows Server 2012 R2 en una configuración restrictiva de seguridad. Se incluyen,
además, operaciones básicas de administración como la gestión de extensiones, creación
de plantillas de certificados, gestión de la seguridad de la Entidad de Certificación y
control de auditoría, además de aquellas acciones que deben ser llevadas a cabo para el
adecuado mantenimiento del servicio.
10. Esta guía de seguridad contempla dos escenarios de implementación: un primer escenario
con una única Entidad de Certificación raíz de tipo “Empresa” instalada en un servidor
miembro de un dominio de Directorio Activo y un segundo escenario con una Entidad de
Certificación raíz de tipo “Independiente” instalada en un servidor independiente y una
Entidad de Certificación subordinada de la primera, de tipo “Empresa” e instalada en un
servidor miembro de un dominio de Directorio Activo.
11. El escenario de una única Entidad de Certificación raíz de empresa tiene las siguientes
características técnicas:
– Un único bosque de Directorio Activo.
– Un único dominio dentro del bosque de Directorio Activo.
– Nivel funcional del bosque y del dominio en Windows Server 2012 Standard.
– Un controlador de dominio basado en Windows Server 2012 R2 Standard.
– Un servidor miembro del dominio basado en Windows Server 2012 R2 Standard.
– La instalación del servicio de Entidad de Certificación se realiza en modo limpio, es
decir, no se contemplan procedimientos de migración desde versiones anteriores.
– No se contemplan mecanismos de alta disponibilidad ni balanceo de carga en el
escenario planteado.
12. El escenario de dos entidades de certificación, una entidad raíz y otra subordinada tiene
las siguientes características técnicas:
– Un único bosque de Directorio Activo.
– Un único dominio dentro del bosque de Directorio Activo.
– Nivel funcional del bosque y del dominio en Windows Server 2012 Standard.
– Un controlador de dominio basado en Windows Server 2012 R2 Standard.
– Un servidor miembro del dominio basado en Windows Server 2012 R2 Standard.
– Un servidor independiente del dominio basado en Windows Server 2012 R2
Standard.
– La instalación del servicio de Entidad de Certificación se realiza en modo limpio, es
decir, no se contemplan procedimientos de migración desde versiones anteriores.
– No se contemplan mecanismos de alta disponibilidad ni balanceo de carga en el
escenario planteado.
28. La criptografía ayuda a proteger los datos que se transmiten en redes públicas y privadas,
así como aquellos que están almacenados en bases de datos o sistemas de información.
29. Los principales objetivos de la criptografía son los siguientes:
– Confidencialidad. Ayuda a proteger la identidad de un usuario o sistema y evita que
se lea la información transmitida.
– Integridad. Garantiza que la información transmitida no ha sido alterada en el
transcurso de la comunicación.
– Autenticación. Identifica de forma única la identidad del remitente o receptor de la
información, para garantizar a la otra parte que es quien dice ser.
– No repudio o sin rechazo. Evita que una parte involucrada en la comunicación niegue
el envío de un mensaje.
30. Para alcanzar estos objetivos, se puede usar una combinación de algoritmos y prácticas
conocidas como primitivas criptográficas para crear un esquema de cifrado.
– Cifrado de clave secreta (cifrado simétrico). Realiza la transformación de los datos
para impedir que puedan ser leídos por terceros. Este tipo de cifrado utiliza una clave
secreta compartida para cifrar y descifrar los datos. Los algoritmos de cifrado de
clave secreta son muy rápidos (comparados con los de clave pública) y resultan
adecuados para realizar transformaciones criptográficas en grandes flujos de datos.
– Cifrado de clave pública (cifrado asimétrico). Realiza la transformación de los datos
para impedir que puedan ser leídos por terceros. Este tipo de cifrado utiliza un par de
claves pública y privada para cifrar y descifrar los datos. La clave pública y la clave
privada están vinculadas matemáticamente; los datos cifrados con la clave pública
solo pueden descifrarse con la clave privada y los datos firmados con la clave
privada solo pueden comprobarse con la clave pública.
– Firmas digitales. Ayudan a comprobar que los datos se originan en una parte
específica mediante la creación de una firma digital única para esa parte. En este
proceso también se usan funciones hash.
– Valores hash de cifrado. Los algoritmos hash asignan valores binarios de longitud
arbitraria a valores binarios más pequeños de longitud fija, que se denominan valores
hash. Un valor hash es una representación numérica de un segmento de datos. Los
valores hash son únicos estadísticamente; el valor hash de una secuencia de dos bytes
distinta no será el mismo.
34. Sin embargo, los proveedores asociados con CNG (Crypto New generation) disponibles a
partir de los sistemas operativos Windows Vista y Windows Server 2008, separan la
implementación de algoritmos de cifrado del almacenamiento de las claves.
35. La siguiente lista muestra los proveedores de servicios de cifrado que actualmente están
disponibles y que se distribuyen como parte de Windows Vista y Windows Server 2008.
Nota: La información sobre proveedores de servicios de cifrado, así como algoritmos soportados y longitudes de
claves, ha sido extraída de la siguiente página Web de Microsoft MSDN https://msdn.microsoft.com/en-
us/library/windows/desktop/bb931380(v=vs.85).aspx. Es posible que las actualizaciones de seguridad modifiquen
las configuraciones de seguridad predeterminadas de los proveedores de servicios de cifrado o incluso invaliden
algoritmos que han sido considerados obsoletos.
Proveedor Descripción
Microsoft Enhanced RSA and AES Cryptographic Proveedor de cifrado mejorado de Microsoft que
Provider proporciona soporte de algoritmos de cifrado AES.
Microsoft Base DSS Cryptographic Provider Proporciona funcionalidades de Hash, firma digital
y verificación de la firma utilizando los algoritmos
Secure Hash Algorithm (SHA) y Digital Signature
Standard (DSS).
Microsoft DH Schannel Cryptographic Provider Soporta funcionalidad Hash, firma digital DSS,
generación de claves Diffie-Hellman (D-H),
intercambio de claves D-H. Además, soporta la
derivación de claves para los protocolos SSL 3.0 y
TLS 1.0
Proveedor Descripción
36. Cuando se instala una Entidad de Certificación, uno de los parámetros más importantes
que se debe seleccionar es el proveedor de servicios de cifrado (CSP) que va a utilizar
dicha Entidad de Certificación junto con la longitud de la clave pública, tal y como se
muestra en la siguiente imagen.
37. Más adelante, en esta guía, se mostrarán los pasos necesarios para instalar y configurar
correctamente un servidor de Entidad de Certificación basado en Windows Server 2012
R2 con los más altos niveles de seguridad.
Secure Socket Layer 3 SHA and MD5 (SSL3 Hash Cualquiera 288/288/288
SHAMD5)
Secure Socket Layer 3 SHA and MD5 (SSL3 Hash Cualquiera 288/288/288
SHAMD5)
Secure Socket Layer 3 SHA and MD5 (SSL3 Hash Cualquiera 288/288/288
SHAMD5)
Secure Socket Layer 3 SHA and MD5 (SSL3 Hash Cualquiera 288/288/288
SHAMD5)
38. A continuación, se muestran los algoritmos de cifrado soportados por los proveedores de
servicios de cifrado (CSP) de tipo CNG (Cryptography API Next Generation).
Advanced Encryption Standard (AES) ECB, CBC, CFB8, CFB128, GCM, 128/192/256
CCM, GMAC, CMAC, AES Key Wrap
RSA Data Security 2 (RC2) ECB, CBC, CFB8, CFB64 16 to 128 in 8 bit
increments
Digital Signature Algorithm (DSA) La implementación cumple con FIPS De 512 a 3072 en
186-3 para los tamaños de claves incrementos de 64
desde 1024 a 3072 bits. La bits
implementación cumple con FIPS
186-2 para los tamaños de claves
desde 512 a 1024 bits
Elliptic Curve Diffie-Hellman (ECDH) Incluye curvas que utilizan claves 256/384/521
públicas de 256, 384 y 521 bits, según
se especifica en SP800-56A
Elliptic Curve Digital Signature Incluye curvas que utilizan claves 256/384/521
Algorithm (ECDSA) públicas de 256, 384 y 521 bits, según
se especifica en FIPS 186-3
Elliptic Curve Diffie-Hellman (ECDH) Acuerdo de secretos e intercambio de P256, P384, P521
claves
Elliptic Curve Diffie-Hellman (ECDH) Acuerdo de secretos e intercambio de P256, P384, P521
claves
Entidad de Certificación No Si Si
Plantillas No Si Si
Archivado de claves No Si Si
Separación de roles No Si Si
Inscritos Leer e inscribir Los inscritos son clientes con autorización para solicitar
certificados certificados desde una CA. No es un rol de CA.
Instalar CA X
Configurar módulos X
de directivas y de
salida
Detener e iniciar el X
servicio Servicios
de certificados de
Active Directory
(AD CS)
Configurar X
extensiones
Configurar roles X
Renovar claves de X
CA
Definir agentes de X
recuperación de
claves (Key
Recovery Agent)
Configurar X
restricciones de
administrador de
certificados
Habilitar separación X
de roles
Emitir y aprobar X
certificados
Denegar X
certificados
Revocar X
certificados
Reactivar X
certificados en
suspensión
Habilitar, publicar o X
configurar
programaciones de
lista de revocación
de certificados
(CRL)
Recuperar claves X
archivadas
Configurar X
parámetros de
auditoría
Registros de X
auditoría
Copia de seguridad X
del sistema
Restaurar el X
sistema
Leer la base de X X X X
datos de CA
Leer información de X X X X
configuración de
CA
57. Los inscritos pueden leer las propiedades de las entidades de certificación y listas CRL, y
también pueden solicitar certificados. En una Entidad de Certificación de empresa, un
usuario debe tener permisos de lectura y de inscripción en la plantilla de certificados para
solicitar un certificado.
68. Si aplica esta configuración de directiva, aparecen los siguientes eventos en el sistema
operativo:
4871 Los servicios de certificación recibieron una solicitud para publicar la lista de
revocación de certificados (CRL).
4875 Los servicios de certificación recibieron una solicitud para apagar el servicio.
69. Más adelante, en esta misma guía, se mostrará como configurar paso a paso la auditoría
de una Entidad de Certificación.
73. Así mismo, los certificados de validación extendida ayudan a establecer la legitimidad de
una entidad y afrontar problemas relacionados con el phising, código dañino y otros tipos
de fraudes o suplantaciones de identidad.
74. En el siguiente enlace se puede descargar la última versión de la guía de emisión de
certificados de validación extendida que deben cumplir todas las Entidades de
Certificación públicas adscritas al CA Browser Forum: https://cabforum.org/extended-
validation/.
75. En entornos de ámbito privado, el servicio de Entidad de Certificación de Directorio
Activo de Windows Server 2012 R2 soporta la configuración de propiedades de
aplicación y la emisión de certificados con un O.I.D. específico para la validación
extendida.
Nota: Es importante señalar que una Entidad de Certificación privada sólo será de confianza para los equipos y
usuarios del dominio o para aquellos que hayan instalado localmente los certificados incluidos en la cadena de
certificación. En ningún caso, un certificado privado, aunque haya sido emitido con validación extendida, será
considerado de confianza para un usuario o equipo externo a la propia organización y, por lo tanto, se rige por los
mismos principios de confianza que cualquier otro certificado emitido por una Entidad de Certificación privada.
Nota: Si desea obtener mas información puede consultar las siguientes páginas Web de Microsoft Technet para el
cmdlet Backup-CARoleService https://technet.microsoft.com/library/dn440704(v=wps.630).aspx y el cmdlet
Restore-CARoleService https://technet.microsoft.com/library/dn440703(v=wps.630).aspx
Para la aplicación de la presente guía se ha generado una plantilla de seguridad que deberá ser
aplicada en la unidad organizativa donde se encuentren los servidores donde se vaya a
implementar el servicio de Entidad de Certificación de Directorio Activo (AD CS) de Windows
Server 2012 R2.
Esta plantilla aplica, por tanto, tanto a las entidades de certificación raíz de empresa como a las
entidades de certificación subordinadas de empresa.
Debe tener en cuenta el hecho de que, si implementa múltiples servicios sobre el servidor, se
deberán aplicar todas aquellas políticas que le correspondiera de las guías CCN-STIC.
CCN-STIC-597 Incremental Servidor Entidad de Certificacion
General
Configuración del equipo (habilitada)
Directivas
Configuración de Windows
Configuración de seguridad
Servicios del sistema
CertSvc (Modo de inicio: Automático)
Permisos
Auditoría
Auditoría
Permisos
Auditoría
Auditoría
Auditoría
Directiva Configuración
Directiva Configuración
Mostrar notificaciones No
Directiva Configuración
Mostrar notificaciones No
Directiva Configuración
Mostrar notificaciones No
Nombre Descripción
@%systemroot%\system32\certsrv.exe,-51 @%systemroot%\system32\certsrv.exe,-52
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Grupo @%systemroot%\system32\certsrv.exe,-61
@%systemroot%\system32\certsrv.exe,-53 @%systemroot%\system32\certsrv.exe,-54
Habilitado Verdadero
Programa %systemroot%\system32\certsrv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio CertSvc
Grupo @%systemroot%\system32\certsrv.exe,-61
@%systemroot%\system32\certsrv.exe,-57 @%systemroot%\system32\certsrv.exe,-58
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RpcSs
Grupo @%systemroot%\system32\certsrv.exe,-61
@%systemroot%\system32\certsrv.exe,-55 @%systemroot%\system32\certsrv.exe,-56
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RpcSs
Grupo @%systemroot%\system32\certsrv.exe,-61
notificaciones
conexiones de red
Configuración del usuario (habilitada)
Configuración no definida.
Para que los usuarios y equipos clientes de todo el dominio puedan solicitar, renovar y en
general, hacer uso de los servicios de la Entidad de Certificación, es necesario establecer ciertos
criterios para que dichos procesos sean transparentes y seguros para los usuarios de la
organización.
Es posible que en ciertos escenarios no se deseen permitir los procesos de inscripción
automática, para lo cual se deben establecer los permisos adecuados en las plantillas de
certificados y en los grupos del Directorio Activo.
CCN-STIC-597 Incremental Dominio
General
Configuración del equipo (habilitada)
Directivas
Configuración de Windows
Configuración de seguridad
Directivas de clave pública/Cliente de Servicios de servidor de certificados: configuración de inscripción automática
Directiva Configuración
Opción Configuración
Auditoría
Auditoría
Auditoría
Directiva Configuración
Directiva Configuración
Mostrar notificaciones No
Directiva Configuración
Mostrar notificaciones No
Directiva Configuración
Mostrar notificaciones No
Nombre Descripción
@%systemroot%\system32\certsrv.exe,-51 @%systemroot%\system32\certsrv.exe,-52
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Grupo @%systemroot%\system32\certsrv.exe,-61
@%systemroot%\system32\certsrv.exe,-53 @%systemroot%\system32\certsrv.exe,-54
Habilitado Verdadero
Programa %systemroot%\system32\certsrv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio CertSvc
Grupo @%systemroot%\system32\certsrv.exe,-61
@%systemroot%\system32\certsrv.exe,-57 @%systemroot%\system32\certsrv.exe,-58
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RpcSs
Grupo @%systemroot%\system32\certsrv.exe,-61
@%systemroot%\system32\certsrv.exe,-55 @%systemroot%\system32\certsrv.exe,-56
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RpcSs
Grupo @%systemroot%\system32\certsrv.exe,-61
notificaciones
conexiones de red
Configuración del usuario (habilitada)
Configuración no definida.
El presente anexo ha sido diseñado para ayudar a los operadores a implementar un servidor que
actúe como Entidad de Certificación raíz de empresa y que esté unido al dominio y en línea.
Antes de iniciar las operaciones de implementación es necesario disponer de un servidor
controlador de dominio Windows Server 2012 R2 que haya sido preparado siguiendo la guía de
seguridad CCN-STIC-560A y un servidor miembro del dominio con el servicio Web Internet
Information Services instalado y preparado siguiendo las guías CCN-STIC-560A y CCN-STIC-
563.
Con respecto a la preparación del servidor Internet Information Services (IIS) 8.5 y debido a que
existen diferentes opciones de implementación según su objetivo, en el caso de Entidades de
Certificación se deberá aplicar la guía CCN-STIC-563, comenzando por el apartados “ANEXO
D. PREPARATIVOS PARA LA INSTALACIÓN DE UN SERVIDOR INTERNET
INFORMATION SERVICES 8.5 SOBRE UN SERVIDOR MIEMBRO WINDOWS SERVER
2012 R2” y a continuación el apartado “ANEXO F. GUÍA PASO A PASO DE LA
INSTALACIÓN DE UN SERVIDOR WEB DINÁMICO CON ASP.NET 4.5”.
Cuando se hayan cumplido estos requerimientos, puede continuar con la implementación del
servicio de Entidad de Certificación de Directorio Activo (AD CS) tal y como se indica a
continuación.
1. Inicie sesión en el servidor Controlador de Dominio del dominio al que pertenece el servidor
que se va a instalar.
Nota: Debe iniciar sesión con una cuenta que sea Administrador del Dominio.
Paso Descripción
Nota: Para copiar ficheros en carpetas protegidas por el sistema, el sistema le solicitará una elevación de
privilegios. Haga clic en el botón “Continuar” e introduzca las credenciales de la cuenta con que ha
iniciado sesión, la cual debe ser al menos administrador de dominio.
Nota: En este ejemplo y durante todo el paso a paso, se utilizará la cuenta con privilegios de
administrador del dominio “DOMINIO\SDT”.
Paso Descripción
9. Pulse “Aceptar” para guardar los cambios y cerrar la ventana “Nuevo objeto: Unidad
organizativa”.
Paso Descripción
10. Inicie la consola de “Administración de directivas de grupo”. Para ello selecciónela mediante la
siguiente ruta:
“Inicio Herramientas administrativas Administración de directivas de grupo”
11. Escriba las credenciales de la cuenta de Administrador del dominio, anteriormente indicada,
cuando se las solicite el sistema.
12. A continuación, vincule el objeto de directiva de grupo “CCN-STIC-563 Incremental Servidores
IIS 8.5” a la nueva unidad organizativa “Servidores Entidad de Certificación”, haciendo clic con
el botón derecho sobre ella y, seleccionando “Vincular un GPO existente…”
Paso Descripción
13. Seleccione el objeto de directiva de grupo “CCN-STIC-563 Incremental Servidores IIS 8.5” y
pulse “Aceptar”.
Paso Descripción
16. Para que la aplicación de las directivas se realice en el orden correcto, asegúrese de que la
directiva “CCN-STIC-597 Incremental Servidor Entidad de Certificación” aparezca en primer
lugar. Para ello sitúese sobre la unidad organizativa “Servidores Entidad de Certificación” y, en
el panel derecho, seleccione la directiva “CCN-STIC-597 Incremental Servidor Entidad de
Certificación”. Haga clic sobre la flecha doble para que se sitúe con el número 1 de orden
vínculos, tal y como se muestra en la imagen.
17. Edite ahora la GPO recién creada haciendo clic con el botón derecho sobre ella y
seleccionando la opción “Editar”.
Paso Descripción
19. Con el botón derecho seleccione “Configuración de seguridad y pulse sobre la opción “Importar
directiva…”.
Paso Descripción
23. Cuando aparezca la advertencia del Firewall de Windows con seguridad avanzada, indicando
que se sobrescribirá la configuración, pulse el botón “Sí”.
Paso Descripción
27. A continuación, se va a configurar una directiva incremental que habilita los procesos de
inscripción automática y renovación automática de certificados para usuarios y equipos de todo
el dominio, siempre y cuando, la plantilla correspondiente así lo establezca en su configuración
de seguridad.
Nota: Si no desea que se habilite la inscripción y renovación automática de certificados, no ejecute los
siguientes pasos. Sin embargo, se recomienda habilitar esta funcionalidad ya que permite que, de forma
transparente para los usuarios y haciendo uso de Kerberos como protocolo de autenticación de usuarios y
equipos de Directorio Activo, se emitan y se renueven certificados en todo el dominio.
Independientemente de ello, en las plantillas de certificados se pueden establecer los requerimientos de
emisión de los certificados y la pertenencia a los grupos de seguridad para cada tipo de certificado.
28. Seleccione el nodo raíz del dominio de su organización y, haciendo clic con el botón derecho,
seleccione la opción “Crear un GPO en este dominio y vincularlo aquí…”.
29. Escriba, como nombre de la nueva política, “CCN-STIC-597 Incremental Dominio” y pulse el
botón “Aceptar”.
30. Sitúese sobre el contenedor correspondiente al dominio, seleccione la GPO recién creada y
pulsando sobre la doble flecha sitúe dicha GPO en el primer lugar en el orden de vínculos tal y
como muestra la imagen.
Paso Descripción
31. Despliegue el contenedor “Objetos de directiva de grupo” y haga clic derecho sobre la GPO
recién creada “CCN-STIC-597 Incremental Dominio” seleccionando la opción “Importar
configuración…”.
Paso Descripción
Paso Descripción
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el fichero “manifest.xml”. Éste es un fichero
oculto y debe mostrarse a través de “opciones de carpeta”, con la opción “Mostrar archivos, carpetas y
unidades ocultos”.
Paso Descripción
43. En la consola, localice el objeto que representa el servidor donde se instalará la Entidad de
Certificación y muévalo desde su ubicación hasta la unidad organizativa “Servidores Entidad de
Certificación”.
Paso Descripción
44. Seleccione el servidor con el botón derecho y haga clic en la opción “Mover…”.
Nota: En este ejemplo se está utilizando un servidor con nombre SVRCA. Es posible que en su
organización se utilicen otros nombres de servidores.
45. Seleccione la Unidad Organizativa “Servidores Entidad de Certificación” y haga clic en el botón
“Aceptar”.
46. Compruebe que el equipo está en la unidad organizativa “Servidores Entidad de Certificación”,
tal y como se muestra a continuación.
47. Inicie sesión en el equipo controlador de dominio con credenciales de administrador del
dominio.
48. Diríjase a la consola de servicios “DNS” situada en la siguiente ruta:
“Inicio Herramientas administrativas DNS”
49. El Control de Cuentas de Usuario le solicitará elevación de privilegios. Introduzca credenciales
de Administrador del dominio.
50. Navegue hasta el objeto con el nombre del dominio, mediante la siguiente ruta:
“<nombre de controlador de dominio> Zonas de búsqueda directa <Nombre de
dominio>”
Pulse con el botón derecho sobre él para seleccionar “Alias nuevo (CNAME)…”.
Paso Descripción
51. En la ventana “Nuevo registro de recursos”, escriba el nombre DNS del sitio web repositorio de
CRLs.
52. En el campo “Nombre de dominio completo (FQDN) para el host de destino:” deberá introducir
el FQDN del servidor Entidad de Certificación subordinada de empresa”.
Nota: En el ejemplo se introduce “SRVCA.dominio.local” que corresponde al FQDN del equipo usado
para este escenario.
Paso Descripción
53. Pulse “Aceptar” para cerrar la ventana “Nuevo registro de recursos” y compruebe que el objeto
CNAME se ha creado correctamente y que apunta al objeto de tipo HOST (A) correspondiente.
Paso Descripción
56. Navegue hasta el “Administrador de Internet Information Services (IIS)” mediante la siguiente
ruta:
“Administrador del servidor Herramientas Administrador de Internet Information
Services (IIS)”
Paso Descripción
57. Dentro del “Administrador de Internet Information Services (IIS)” navegue hasta el sitio
correspondiente mediante la siguiente ruta:
“<Nombre de la Entidad de Certificación> Sitios”
58. Sobre el sitio pulse botón derecho y seleccione lo siguiente:
“Administrar sitio web Iniciar”
Nota: Si la opción “Iniciar” se muestra inactiva, en gris, esto indica que el sitio está activo y no es
necesario iniciarlo.
61. Con el botón derecho seleccione el fichero denominado “CCN-STIC-597 Instalación CA raíz de
empresa - Paso 1.bat” y haga clic en “Ejecutar como administrador”.
Paso Descripción
62. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio que
se están utilizando para instalar el servidor Entidad de Certificación.
64. Pulse una tecla para iniciar el proceso de instalación y espere a que finalice.
Paso Descripción
66. Con el botón derecho seleccione el fichero denominado “CCN-STIC-597 Instalación CA raíz de
empresa - Paso 2.bat” y haga clic en “Ejecutar como administrador”.
67. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio que
se están utilizando para instalar el servidor Entidad de Certificación.
68. Se mostrará la siguiente pantalla. Asegúrese de que los ficheros y scripts se encuentran en el
directorio C:\.
Paso Descripción
70. A continuación, espere que finalice la instalación y pulse una tecla para continuar.
71. El proceso de instalación puede tardar varios minutos. Espere hasta que finalice
correctamente. No es necesario que reinicie el servidor, lo cual le es indicado en la ventana.
Paso Descripción
74. Aparecerá la siguiente pantalla. Pulse una tecla para comenzar la ejecución del script.
75. Pulse sobre una tecla para cerrar la pantalla y finalizar la instalación.
76. Inicie sesión en el equipo donde se ha instalado la Entidad de Certificación raíz de empresa.
Nota: Deberá iniciar sesión con una cuenta con persmisos de administrador del dominio.
78. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio.
Paso Descripción
80. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado de la Entidad de
Certificación configurada recientemente y, con el botón derecho del ratón selecciónela, y pulse
la opción “Propiedades”.
Paso Descripción
Paso Descripción
86. En “Agregar ubicación” coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la
combinación de teclas “Control + V” para pegar el contenido recién copiado.
Paso Descripción
87. En “Agregar ubicación” diríjase al comienzo de la línea de texto y sustituya el valor “<nombre
DNS del servidor>” por el nombre DNS completo que corresponderá al servidor web de
Entidad de Certificación y que se creará posteriormente en la Entidad de Certificación
subordinada. Pulse “Aceptar” para guardar los cambios.
Paso Descripción
89. El sistema reiniciará los “Servicios de certificados”. Pulse “Sí” para continuar.
Paso Descripción
Paso Descripción
Paso Descripción
96. En “Agregar ubicación” coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la
combinación de teclas “Control + V” para pegar el contenido recién copiado.
97. En “Agregar ubicación” diríjase al comienzo de la línea de texto y sustituya el valor “<nombre
DNS del servidor>” por el nombre DNS completo que corresponderá al servidor web de
Entidad de Certificación que se creará posteriormente (ANEXO E de la presente guía) en la
Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.
Paso Descripción
99. El sistema reiniciará los “Servicios de certificados”. Pulse “Sí” para continuar.
101. Inicie sesión en el equipo Entidad de Certificación raíz con credenciales de administrador de
dominio.
Paso Descripción
104. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado del servidor
Entidad de Certificados y con el botón derecho del ratón selecciónela y pulse sobre “Todas las
tareas Renovar certificado de CA…”.
105. Pulse “Sí” en la ventana que solicita confirmación de parada de servicios de certificados.
Paso Descripción
106. En la ventana “Renovar certificado de CA” seleccione “No” ante la pregunta de generar nuevas
claves y pulse “Aceptar”.
Nota: Si la entidad raíz es de empresa, no será necesario establecer ningún paso adicional, en caso de ser
una Entidad de Certificación independiente del dominio, además de haber tenido que encenderla para
realizar el proceso, será necesario extraer el fichero “.CRT” que se ha generado en la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll” y pegarlas en la misma ruta, pero en la Entidad de
Certificación subordinada de empresa.
El siguiente paso estará dedicado a preparar el sitio web para que mantenga el fichero “.crl”.
Paso Descripción
107. Inicie sesión en el equipo donde se va a instalar el servidor Entidad de Certificación raíz de
empresa con credenciales de administrador.
108. Acceda al “Administrador del servidor” mediante el icono correspondiente.
Paso Descripción
110. Navegue hasta el “Administrador de Internet Information Services (IIS)” mediante la siguiente
ruta:
“Administrador del servidor Herramientas Administrador de Internet Information
Services (IIS)”
111. Dentro del “Administrador de Internet Information Services (IIS)” navegue hasta el sitio
correspondiente mediante la ruta siguiente:
“<Nombre de la Entidad de Certificación> Sitios”
112. Sobre el sitio pulse botón derecho y seleccione lo siguiente:
“Administrar sitio web Iniciar”
Nota: Si la opción “Iniciar” se muestra inactiva en gris, esto indica que el sitio está activo y no es
necesario iniciarlo.
113. Pulse el botón derecho del ratón sobre el sitio y seleccione “Agregar directorio virtual…”.
Paso Descripción
114. En el campo “Alias” introduzca “CertEnroll” y en “Ruta de acceso física” la ruta en la que ha
copiado los ficheros extraídos de la Entidad de Certificación raíz en los pasos anteriores.
Paso Descripción
116. Pulse sobre el directorio virtual recién creado y haga doble clic sobre “Autenticación”.
El presente anexo ha sido diseñado para ayudar a los operadores a implementar los siguientes
servidores:
– Un servidor que actúe como Entidad de Certificación raíz independiente del dominio y
fuera de línea.
– Un servidor que actúe como Entidad de Certificación subordinada del citado servidor
raíz, en línea y miembro del dominio.
Antes de iniciar las operaciones de implementación es necesario disponer de los siguientes
elementos:
– Un servidor controlador de dominio Windows Server 2012 R2 que haya sido preparado
siguiendo la guía de seguridad CCN-STIC-560A.
– Un servidor independiente del dominio preparado siguiendo la guía CCN-STIC-560B.
– Un servidor miembro del dominio con el servicio Web Internet Information Services
instalado y preparado siguiendo las guías CCN-STIC-560A y CCN-STIC-563.
Con respecto a la preparación del servidor Internet Information Services (IIS) 8.5 y debido a que
existen diferentes opciones de implementación según su objetivo, en el caso de Entidades de
Certificación se deberá aplicar la guía CCN-STIC-563, comenzando por el apartados “ANEXO
D. PREPARATIVOS PARA LA INSTALACIÓN DE UN SERVIDOR INTERNET
INFORMATION SERVICES 8.5 SOBRE UN SERVIDOR MIEMBRO WINDOWS SERVER
2012 R2” y a continuación el apartado “ANEXO F. GUÍA PASO A PASO DE LA
INSTALACIÓN DE UN SERVIDOR WEB DINÁMICO CON ASP.NET 4.5”.
Cuando se hayan cumplido estos requerimientos, puede continuar con la implementación del
servicio de Entidad de Certificación de Directorio Activo (AD CS) tal y como se indica a
continuación.
Paso Descripción
5. El control de cuentas de usuario le solicitará las credenciales del administrador que se están
utilizando para instalar el servidor Entidad de Certificación.
6. Navegue por el menú de árbol de la izquierda hasta llegar a “Firewall de Windows con
seguridad avanzada – Objeto de directiva de grupo local” mediante la siguiente ruta:
“Directiva Equipo Local Configuración del equipo Configuración de Windows
Configuración de seguridad Firewall de Windows con Seguridad Avanzada”.
Pulse botón derecho sobre “Firewall de Windows con seguridad avanzada – Objeto de directiva
de grupo local” y seleccione “Importar directiva…”.
Paso Descripción
Paso Descripción
Nota: Se ha seleccionado como etiqueta ADCS, pero puede poner el nombre que considere, no es
transcendente.
Paso Descripción
12. El asistente para la creación del volumen comenzará. Debe hacer clic en “Siguiente >” en la
primera ventana. En la segunda, en la imagen, seleccione el tamaño a utilizar.
Paso Descripción
14. Ahora puede elegir el nombre del disco y desmarcar la opción “Dar formato rápido” para que se
realice un formateo completo. Presione “Siguiente >” para continuar.
15. En este momento se le muestra el resumen de la actuación a realizar. Pulse “Finalizar” para
realizar el formateo del disco.
16. Cierre todas las consolas, exploradores y demás ventanas que pudiera tener abiertas. Reinicie
el equipo antes de comenzar con ninguna instalación posterior, para asegurar que se aplican
las directivas, posibles cambios de letra de unidad, etc.
17. A continuación, debe ejecutar el paso 1 de la instalación del rol de entidad certificadora, con
elevación de privilegios, con el botón derecho seleccione el fichero denominado “CCN-STIC-
597 Servidor Independiente Instalacion CA raíz independiente– Paso 1.bat” situado en
C:\scripts y haga clic en “Ejecutar como administrador”.
Paso Descripción
19. El control de cuentas de usuario le solicitará de nuevo las credenciales del administrador local
se están utilizando para instalar la entidad certificadora raiz.
Nota: Como se indica en el propio script, se supone que tiene un disco D:\ dispuesto para el trabajo de
CA, si la letra del disco es distinta a “D:\” debería editar el fichero “CCN-STIC-597 Servidor
Independiente Instala rol CA.ps1”, ubicado en c:\scripts y realizar el cambio de la letra “D” por la de su
disco.
Paso Descripción
21. Durante la ejecución del script se emiten mensajes informativos. Pulse una tecla para continuar.
Paso Descripción
25. A continuación, diríjase a la carpeta C:\Scripts y ejecute con permisos de administrador el script
C:\Scripts\CCN-STIC-597 Servidor de Certificacion Raiz Independiente - Paso 1.bat. Este script
aplica al sistema la plantilla de servicios “C:\Scripts\ CCN-STIC-597 Plantilla Servidor de
Certificacion Raiz Independiente.inf”.
Nota: Una vez finalizado pulse cualquier botón para cerrar la pantala.
26. Puede consultar el fichero de texto generado para verificar la correcta instalación de la plantilla
de seguridad “C:\Scripts\ servicios_windows.log”, ignore el mensaje de advertencia siempre y
cuando el fichero indique que ha completado la tarea.
Paso Descripción
29. El control de cuentas de usuario le solicitará las credenciales del administrador que se están
utilizando para instalar el servidor Entidad de Certificación.
30. En el menú de la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
31. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado del servidor
Entidad de Certificación configurado recientemente, con el botón derecho del ratón
selecciónelo y pulse sobre “Propiedades”.
Paso Descripción
Paso Descripción
Paso Descripción
37. Coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la combinación de teclas
“Control + V” para pegar el contenido recién copiado.
38. En “Agregar ubicación” y pulsando la tecla “Inicio”, diríjase al comienzo de la línea de texto y
sustituya el valor “<nombre DNS del servidor>” por el nombre DNS completo que
corresponderá al servidor web de Entidad de Certificación que se creará posteriormente (Punto
7) en la Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.
Nota: En el ejemplo, se ha utilizado el nombre CRL.dominio.local.
40. El sistema reiniciará los “Servicios de certificados”. Pulse “Sí” para continuar.
Paso Descripción
Paso Descripción
Paso Descripción
47. Coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la combinación de teclas
“Control + V” para pegar el contenido recién copiado.
48. En “Agregar ubicación” y pulsando la tecla “Inicio” diríjase al comienzo de la línea de texto y
sustituya el valor “<nombre DNS del servidor>” por el nombre DNS completo que
corresponderá al servidor web de Entidad de Certificación que se creará posteriormente (Paso
7) en la Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.
Paso Descripción
50. El sistema reiniciará los “Servicios de certificados”. Pulse “Sí” para continuar.
Paso Descripción
52. El siguiente paso será establecer un período de caducidad para la lista de revocación de
certificados (CRL), si caduca la CRL, al no poder comprobar si un certificado está en vigor o
no, no será posible hacer uso de dicho certificado del mismo modo que si éste estuviera
caducado.
Para establecer el período de caducidad de las CRLs, en el “Administrador del Servidor” que
ya se había abierto para las configuraciones anteriores, se deberá navegar hasta alcanzar el
contenedor de “Certificados revocados” que se encuentra en la siguiente ruta:
“Administrador del Servidor Herramientas Entidad de certificación <nombre de
la Entidad de Certificación> Certificados revocados”
Pulse el botón derecho del ratón sobre el contenedor “Certificados Revocados” y seleccione
“Propiedades”.
53. En “Intervalo de publicación CRL” introduzca el intervalo que indica cada cuánto tiempo se
publicará la CRL. Establezca el intervalo de publicación y pulse “Aceptar” para cerrar la
ventana de “Propiedades: Certificados revocados”.
Nota: En el ejemplo, se ha indicado un periodo de validez igual al del certificado (20 años). Así mimo y
debido al propósito de esta entidad, no será necesario el uso de “Diferencias CRL” y, por tanto, se
mantendrá desmarcado como indica la figura.
Paso Descripción
54. En los “Servicios de certificados de Active Directory”, haga clic derecho de nuevo sobre
“Certificados revocados” y seleccione “Todas las tareas Publicar”.
55. Mantenga seleccionada la opción “Lista de revocación de certificados (CRL) nueva” y pulse
“Aceptar”.
56. Una vez cambiados estos parámetros será necesario emitir un certificado de la entidad raíz
actualizado. Para ello, sobre el objeto con el nombre de la Entidad de Certificación, pulse con
el botón derecho y seleccione “Todas las tareas Renovar certificado de CA…”.
Paso Descripción
57. Pulse “Sí” en la ventana que solicita confirmación de parada de servicios de certificados.
58. En la ventana “Renovar certificado de CA” seleccione “No” ante la pregunta de generar nuevas
claves y pulse “Aceptar”.
Nota: Este proceso comienza en segundo plano y puede tardar unos minutos. No debe cerrar la ventana
hasta que finalice el proceso.
Paso Descripción
Paso Descripción
64. Una vez abierto el “Editor del registro” expanda el menú hasta llegar a los parámetros de la
Entidad de Certificación mediante la siguiente ruta:
HKEY_LOCAL_MACHINE System CurrentControlSet Services CertSvc
Configuration <Nombre de la Entidad de Certificación>
65. En el panel de la derecha, localice el objeto “ValidityPeriodUnits” y haga doble clic sobre él.
66. Modifique el valor de “Información del valor” por el número decimal de años que se quiera
establecer como período de validez máximo para los certificados y pulse “Aceptar”.
Nota: En este caso el número de años que se establecerá al valor decimal es 10.
67. Cierre el “Editor del registro”. A partir de este momento se podrán emitir certificados con un
período de validez superior a dos años y con el máximo de años establecido mediante la
entrada de registro modificada.
Paso Descripción
68. Reinicie el servicio de la Entidad de Certificación raíz independiente. Para ello y sobre el objeto
con el nombre de la Entidad de Certificación, pulse con el botón derecho y seleccione “Todas
las tareas Detener servicio”.
69. Inmedientemente después, vuleva a iniciar el servicio. Para ello y sobre el objeto con el
nombre de la Entidad de Certificación, pulse con el botón derecho y seleccione “Todas las
tareas Iniciar servicio”.
70. Inicie sesión en el servidor Controlador de Dominio del dominio al que pertenece el servidor
que se va a instalar.
Nota: Debe iniciar sesión con una cuenta que sea Administrador del Dominio.
Paso Descripción
Nota: Para copiar ficheros en carpetas protegidas por el sistema, el sistema le solicitará una elevación de
privilegios. Haga clic en el botón “Continuar” e introduzca las credenciales de la cuenta con que ha
iniciado sesión, la cual debe ser al menos administrador de dominio.
74. Ejecute la consola administrativa “Usuarios y Equipos de Active Directory” desde el siguiente
menú:
“Inicio Herramientas Administrativas Usuarios y Equipos de Active Directory”
75. El control de cuentas de usuario le solicitará las credenciales del administrador del dominio.
Nota: En este ejemplo y durante todo el paso a paso, se utilizará la cuenta con privilegios de
administrador del dominio “DOMINIO\SDT”.
Paso Descripción
76. En la consola, cree una unidad organizativa denominada “Servidores Entidad de Certificación”
dependiendo de la unidad organizativa “Servidores”. Para ello, deberá desplegar el menú hasta
llegar a la unidad organizativa “Servidores” mediante la siguiente ruta: “Usuarios y equipos
de Active Directory <Dominio> Servidores”
Pulse sobre la unidad organizativa “Servidores” con el botón derecho del ratón y seleccione lo
siguiente: “Nuevo Unidad Organizativa”
77. Escriba “Servidores Entidad de Certificación” en el campo “Nombre:” como muestra la siguiente
figura.
78. Pulse “Aceptar” para guardar los cambios y cerrar la ventana “Nuevo objeto: Unidad
organizativa”.
Paso Descripción
79. Inicie la consola de “Administración de directivas de grupo”. Para ello selecciónela mediante la
siguiente ruta:
“Inicio Herramientas administrativas Administración de directivas de grupo”
80. Escriba las credenciales de la cuenta de Administrador del dominio anteriormente indicada
cuando se las solicite el sistema.
81. A continuación, vincule el objeto de directiva de grupo “CCN-STIC-563 Incremental Servidores
IIS 8.5” a la nueva unidad organizativa “Servidores Entidad de Certificación”, haciendo clic con
el botón derecho sobre ella y, seleccionando “Vincular un GPO existente…”
Paso Descripción
82. Seleccione el objeto de directiva de grupo “CCN-STIC-563 Incremental Servidores IIS 8.5” y
pulse “Aceptar”.
Paso Descripción
85. Para que la aplicación de las directivas se realice en el orden correcto, asegúrese de que la
directiva “CCN-STIC-597 Incremental Servidor Entidad de Certificación” aparezca en primer
lugar. Para ello sitúese sobre la unidad organizativa “Servidores Entidad de Certificación” y, en
el panel derecho, seleccione la directiva “CCN-STIC-597 Incremental Servidor Entidad de
Certificación”. Haga clic sobre la flecha doble hacia arriba para que se sitúe con el número 1 de
orden vínculos, tal y como se muestra en la imagen.
86. Edite ahora la GPO recién creada haciendo clic con el botón derecho sobre ella y
seleccionando la opción “Editar”.
Paso Descripción
Paso Descripción
91. Pulse con el botón derecho sobre “Firewall con seguridad avanzada – LDAP://CN…” y
seleccione la opción “Importar directiva…”.
92. Cuando aparezca la advertencia del Firewall de Windows con seguridad avanzada, indicando
que se sobrescribirá la configuración, pulse el botón “Sí”.
Paso Descripción
95. A continuación, se configurará una directiva incremental que habilitará los procesos de
inscripción automática y renovación automática de certificados para usuarios y equipos de todo
el dominio, siempre y cuando la plantilla correspondiente así lo establezca en su configuración
de seguridad.
Nota: Si no desea que se habilite la inscripción y renovación automática de certificados, no ejecute los
siguientes pasos. Sin embargo, se recomienda habilitar esta funcionalidad ya que permite que, de forma
transparente para los usuarios y haciendo uso de Kerberos como protocolo de autenticación de usuarios y
equipos de Active Directory, se emitan y se renueven certificados en todo el dominio.
Independientemente de ello, en las plantillas de certificados se pueden establecer los requerimientos de
emisión de los certificados y la pertenencia a los grupos de seguridad para cada tipo de certificado.
96. Seleccione el nodo raíz del dominio de su organización y, haciendo clic con el botón derecho
él, seleccione la opción “Crear un GPO en este dominio y vincularlo aquí…”.
Paso Descripción
97. Escriba, como nombre de la nueva política, “CCN-STIC-597 Incremental Dominio” y pulse el
botón “Aceptar”.
98. Sitúese sobre el contenedor correspondiente al dominio, seleccione la GPO recién creada y
pulsando sobre la doble flecha sitúe dicha GPO en el primer lugar en el orden de vínculos tal y
como muestra la imagen.
99. Despliegue el contenedor “Objetos de directiva de grupo” y haga clic derecho sobre la GPO
recién creada “CCN-STIC-597 Incremental Dominio” seleccionando la opción “Importar
configuración…”.
Paso Descripción
101. Haga clic en “Siguiente >” en “Hacer copia de seguridad de GPO”, ya que no será necesario
hacer una copia de seguridad.
102. Haga clic en “Examinar…” y seleccione la ubicación de la copia de seguridad “C:\Scripts\CCN-
STIC-597 Incremental Dominio”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el fichero “manifest.xml”. Este es un fichero
oculto y por lo tanto debe mostrar en las opciones de carpeta (“Vista \ Opciones \ Ver” en el menú
superior del explorador de archivos) la opción “Mostrar archivos, carpetas y unidades ocultos”.
Paso Descripción
Paso Descripción
109. El control de cuentas de usuario le solicitará las credenciales de un administrador del dominio.
110. En la consola, localice el objeto que representa el servidor donde se instalará la Entidad de
Certificación y muévalo desde su ubicación hasta la unidad organizativa “Servidores Entidad de
Certificación”.
111. Seleccione el servidor con el botón derecho y haga clic en el menú “Mover…”.
Nota: En este ejemplo, se está utilizando un servidor con nombre SVRCASUB. Es posible que en su
organización se utilicen otros nombres de servidores.
Paso Descripción
114. Establezca un nombre DNS para el repositorio web de CRLs que se definió en el apartado 4
del presente anexo. Para ello, diríjase a la consola de servicios “DNS” situada en el menú
“Inicio”:
“Inicio Herramientas administrativas DNS”
Paso Descripción
116. Navegue hasta el objeto con el nombre del dominio, mediante la ruta siguiente:
“<Nombre de controlador de dominio> Zonas de búsqueda directa <Nombre de
dominio>”.
Pulse con el botón derecho sobre él y seleccione “Alias nuevo (CNAME)…”.
Paso Descripción
117. En la ventana “Nuevo registro de recursos” escriba el nombre DNS del repositorio de CRLs
que se definió en el apartado 4 del presente anexo.
118. En el campo “Nombre de dominio completo (FQDN) para el host de destino:” deberá
introducir el FQDN del servidor Entidad de Certificación subordinada de empresa.
Paso Descripción
119. Pulse “Aceptar” para cerrar la ventana “Nuevo registro de recursos” y compruebe que el
objeto CNAME se ha creado correctamente y que apunta al objeto de tipo HOST (A)
correspondiente.
Paso Descripción
Paso Descripción
123. Navegue hasta el “Administrador de Internet Information Services (IIS)” mediante la siguiente
ruta:
“Administrador del servidor Herramientas Administrador de Internet Information
Services (IIS)”
124. Dentro del “Administrador de Internet Information Services (IIS)”, navegue hasta el sitio
correspondiente mediante la siguiente ruta:
“<Nombre de la Entidad de Certificación> Sitios”
125. Sobre el sitio pulse botón derecho y seleccione “Administrar sitio web Iniciar”.
Nota: Si la opción “Iniciar” se muestra inactiva en gris, esto indica que el sitio está activo y no es
necesario iniciarlo.
Paso Descripción
129. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio que
se están utilizando para instalar el servidor Entidad de Certificación.
Paso Descripción
131. Pulse una tecla para iniciar el proceso de instalación y espere a que finalice.
Paso Descripción
136. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio que
se están utilizando para instalar el servidor Entidad de Certificación.
Paso Descripción
138. Pulse una tecla para iniciar el proceso de instalación y espere a que finalice.
139. A continuación, espere a que finalice la instalación y pulse una tecla para continuar.
Paso Descripción
140. El proceso de instalación puede tardar varios minutos. Espere hasta que finalice
correctamente. No es necesario que reinicie el servidor, lo cual le es indicado en la ventana.
Nota: El primer mensaje de Advertencia hace referencia ha: No se pudo iniciar la actualización
automática de los componentes instalados. Error: 0x80070422” se puede ignorar. Avisa de la no
disponibilidad del servicio de actualizaciones, que fue desactivado en el proceso de instalación del
servidor Windows bajo la guía CCN-STIC-560. El segundo mensaje de Advertencia hace referencia al
archivo C:\Scripts\CASUB.req el cual debe usarse para obtener el certificado de la CA primaria.
Paso Descripción
144. Copie este fichero para llevarlo al servidor independiente Entidad de Certificación raíz.
Nota: Para realizar copias de una máquina a otra y teniendo en cuenta que no son accesibles entre ellas,
se deberá utilizar un dispositivo externo tipo disco duro o pendrive tanto si se trata de una máquina física
como de una máquina virtual con acceso a dispositivos externos de almacenamiento tipo USB. En el caso
de Hyper-V se podrán emplear dispositivos virtuales de almacenamiento.
Paso Descripción
145. Ejecute la consola “Administración de equipos” desde “Menú inicio > Herramientas
Administrativas > Administración de equipos”.
146. Introduzca, cuando se le solicite, la cuenta y contraseña de un administrador con los privilegios
suficientes para poder administrar el dominio.
Nota: En esta guía se utiliza el administrador del dominio SDT, creado para ello. Puede utilizar el que
habitualmente use Ud.
Paso Descripción
147. Seleccione “Administración de discos”. Una vez dentro, seleccione el espacio de disco o el
disco físico preparado para alojar los datos web con el botón derecho del ratón y pulse sobre
“Nuevo volumen simple…”.
Nota: Se ha seleccionado como etiqueta CASUB, pero puede poner el nombre que considere, no es
transcendente.
148. El asistente para la creación del volumen comenzará. Debe hacer clic en “Siguiente >” en la
primera ventana. En la segunda, en la imagen, puede seleccionar el tamaño a utilizar.
Paso Descripción
150. Ahora introduzca una etiqueta para el nuevo volumen y desmaque la opción “Dar formato
rápido”. Presione “Siguiente >” para continuar.
Paso Descripción
152. Cierre todas las consolas, exploradores y demás ventanas que pudiera tener abiertas. Reinicie
el equipo antes de comenzar con ninguna instalación posterior, para asegurar que se aplican
las directivas, posibles cambios de letra de unidad, etc.
153. Inicie sesión en el equipo independiente Entidad de Certificación raíz con credenciales de
administrador local.
154. Copie el fichero de solicitud de certificado generado en el apartado anterior en el directorio
“C:\Scripts”.
Nota: En el ejemplo, el fichero se denomina “CASUB.req”.
Paso Descripción
158. Pulse botón derecho sobre el nombre de la Entidad de Certificación y seleccione “Todas las
tareas Enviar solicitud nueva…”.
160. Sitúese sobre el contenedor “Solicitudes pendientes” y podrá comprobar que la solicitud ya
está registrada en la consola de certificados. Pulse con el botón derecho sobre la solicitud y
seleccione “Todas las tareas Emitir”.
Paso Descripción
161. Sitúese sobre el contenedor “Certificados emitidos” y haciendo clic derecho sobre el certificado
emitido recientemente, seleccione “Abrir”.
162. Una vez abierta la ventana “Certificado”, diríjase a la pestaña “Detalles” y pulse sobre “Copiar
en archivo…”.
Paso Descripción
Paso Descripción
Paso Descripción
167. Pulse “Aceptar” en el mensaje que confirma que la exportación se ha realizado correctamente.
Paso Descripción
170. Extraiga todos los ficheros (“.crt”, “.crl”, “.p7b”) para posteriormente copiarlos en el servidor
Entidad de Certificación subordinada de empresa que se ha instalado en el punto 7 del
presente anexo.
Nota: Para realizar copias de una máquina a otra y teniendo en cuenta que no son accesibles entre ellas,
se deberá utilizar un dispositivo externo tipo disco duro o pendrive tanto si se trata de una máquina física
como de una máquina virtual con acceso a dispositivos externos de almacenamiento tipo USB. En el caso
de Hyper-V se podrán emplear dispositivos virtuales de almacenamiento.
172. Inicie sesión en el equipo Entidad de Certificación subordinada de empresa con credenciales
con permisos de administrador de dominio.
173. Copie los ficheros generados en el apartado anterior en el directorio “C:\Scripts”.
174. Copie los 2 ficheros con extensiones “.crt” y “.crl” en la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll”.
Paso Descripción
176. Una vez copiados los ficheros, puede cerrar la ventana del “Explorador de Windows”.
177. Debido a la seguridad aplicada en el servidor y a pesar de que los servicios web de Entidad de
Certificación están instalados, la dirección virtual que apuntará hacia los ficheros recién
copiados no se habrá creado automáticamente. Por esta razón, se va a establecer dicha
dirección de forma manual a través del “Administrador de Internet Information Services”. Para
ello, abra el “Administrador del servidor” a través del icono correspondiente.
Paso Descripción
179. Navegue hasta “Administrador de Internet Information Services” mediante la siguiente ruta:
“Administrador del servidor Herramientas “Administrador de Internet Information
Services (IIS)”
180. Dentro del “Administrador de Internet Information Services”, navegue hasta el sitio web
mediante la siguiente ruta:
“<Nombre del servidor Entidad de Certificación> Sitios”
181. Pulse el botón derecho del ratón sobre el sitio y seleccione “Agregar directorio virtual…”.
182. En el campo “Alias” introduzca “CertEnroll” y en la ruta de acceso física, la ruta en la que ha
copiado los ficheros extraídos de la Entidad de Certificación raíz en los pasos anteriores.
Paso Descripción
184. Pulse sobre el directorio virtual recién creado y localice el icono de “Autenticación”.
185. Pulse doble clic sobre “Autenticación” y una vez abierto el menú seleccione “Autentificación
anónima”. Pulse “Habilitar” en el menú “Acciones”.
186. A continuación, se habilitará la opción “Compartir impresoras y archivos para redes Microsoft”,
Para ello, abra el “Administrador del servidor” a través del icono correspondiente.
Paso Descripción
188. Sitúese sobre Servidor Local y pulse en la dirección IP, que sería en este caso 192.168.10.2.
189. Sitúese sobre Ethernet, pulse botón derecho y haga clic en “Propiedades”.
Paso Descripción
191. Habilite “Compartir y archivos para redes Microsoft”, tal y como se muestra en la imagen, y
pulse Aceptar.
Paso Descripción
193. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio que
se están utilizando para instalar el servidor Entidad de Certificación.
194. A continuación, se procederá a instalar el certificado de CA. Pulse una tecla para comenzar la
ejecución del script
195. Pulse “Aceptar” en el mensaje de advertencia para localizar el certificado que se había copiado
previamente en “%SYSTEMROOT%\System32\CertSrv\CertEnroll”.
Nota: Si no le aparece este mensaje, es posible que ya se esté Confiando en la Entidad Certificadora raíz
independiente.
Paso Descripción
196. Navegue, por tanto, hasta llegar al fichero de certificado de la CA raíz mediante la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll” y pulse “Abrir”.
Nota: En caso de que no figure ningún fichero, esto se debe a que no se está listando el tipo de extensión
correspondiente. Seleccione el tipo de fichero adecuado en la parte inferior de la ventana “Buscar
certificado para <CA raíz>”. En el ejemplo, el fichero a elegir es “SVRCA_SVRCA_CA(1).crt”.
197. Una vez finalizada la instalación y configuración pulse una tecla para cerrar la ventana.
Paso Descripción
198. Inicie sesión en el equipo en dónde está instalado el servidor de Entidad de Certificación
subordinada de empresa con credenciales de administrador.
Nota: Deberá iniciar sesión con la cuenta de administrador.
200. El control de cuentas de usuario le solicitará las credenciales del administrador que se están
utilizando en el acceso a la administración del servidor.
201. En el menú de la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
202. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado del servidor
Entidad de Certificación configurado recientemente y con el botón derecho del ratón seleccione
“Propiedades”.
Paso Descripción
Paso Descripción
Paso Descripción
208. Coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la combinación de teclas
“Control + V” para pegar el contenido recién copiado.
209. En “Agregar ubicación”, diríjase al comienzo de la línea de texto y sustituya el valor “<nombre
DNS del servidor>” por el nombre DNS completo que corresponderá al servidor web de
Entidad de Certificación que se creó anteriormente (Punto 7) en la Entidad de Certificación
subordinada. Pulse “Aceptar” para guardar los cambios.
Paso Descripción
211. El sistema reiniciará los “Servicios de certificados”. Pulse “Sí” para continuar.
Paso Descripción
Paso Descripción
218. Coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la combinación de teclas
“Control + V” para pegar el contenido recién copiado.
219. En “Agregar ubicación”, diríjase al comienzo de la línea de texto y sustituya el valor “<nombre
DNS del servidor>” por el nombre DNS completo que corresponderá al servidor web de
Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios:
Paso Descripción
221. El sistema reiniciará los “Servicios de certificados”. Pulse “Sí” para continuar.
Paso Descripción
223. El siguiente paso será establecer un período de caducidad para la lista de revocación de
certificados (CRL), si caduca la CRL y al no poder comprobar si un certificado está en vigor o
no, no será posible hacer uso de dicho certificado del mismo modo que si éste estuviera
caducado.
Para establecer el período de caducidad de las CRLs, en el “Administrador del Servidor” que
ya se había abierto para las configuraciones anteriores, se deberá navegar hasta alcanzar el
contenedor de “Certificados revocados” que se encuentra en la siguiente ruta:
“Administrador del Servidor Herramientas Entidad de certificación <nombre de
la Entidad de Certificación> Certificados revocados”
Pulse el botón derecho del ratón sobre el contenedor “Certificados Revocados” y seleccione
“Propiedades”.
224. En “Intervalo de publicación CRL” introduzca el intervalo que indica cada cuánto tiempo se
publicará la CRL. Establezca el intervalo de publicación y pulse “Aceptar” para cerrar la
ventana de “Propiedades: Certificados revocados”.
Nota: En el ejemplo, se ha indicado un periodo de validez igual al del certificado (20 años). Así mimo y
debido al propósito de esta entidad, no será necesario el uso de “Diferencias CRL” y, por tanto, se
mantendrá desmarcado como indica la figura.
Paso Descripción
225. En los “Servicios de certificados de Active Directory”, haga clic derecho de nuevo sobre
“Certificados revocados” y seleccione “Todas las tareas Publicar”.
226. Mantenga seleccionada la opción “Lista de revocación de certificados (CRL) nueva” y pulse
“Aceptar”.
El siguiente anexo describe paso a paso una serie de labores administrativas básicas en el empleo
de entidades de certificación y la emisión de certificados solicitados por los equipos clientes de
dicha entidad.
Paso Descripción
5. Pulse con el botón derecho del ratón sobre la Entidad de Certificación y seleccione
“Propiedades”.
Paso Descripción
7. A continuación, pulse el botón derecho del ratón sobre la Entidad de Certificación, en el menú
“Todas las tareas Detener servicio”.
8. Una vez que el servicio esté parado, en la ventana de “Administrador del servidor” pulse en el
menú “Acción > Todas las tareas > Iniciar servicio” para iniciarlo de nuevo.
9. A partir de este momento, el sistema capturará los eventos que hayan sido seleccionado, tal y
como muestra la siguiente imagen.
Nota: Para visualizar los eventos de la Entidad de Certifiación, vaya al menú inicio: “Inicio >
Herramientas administrativas > Visor de eventos”. Una vez dentro navegue por el árbol de la izquierda
hasta llegar al apartado de seguridad y a través de la siguiente ruta: “Visor de eventos (local) > Registro
de Windows > Seguridad”. Puede consultar los diferentes tipos de eventos que genera una Entidad de
Certificación a través de la guía “CCN-STIC-590 Recolección y consolidación de eventos con Windows
Server 2012 R2”.
Paso Descripción
5. Pulse el botón derecho del ratón sobre la Entidad de Certificación y seleccione “Propiedades”.
6. En la ventana “Propiedades” modifique los parámetros necesarios para alcanzar los objetivos
de su entorno y pulse “Aceptar” para guardar los cambios.
Tal y como se ha indicado anteriormente, uUna vez modificados los diferentes parámetros de la
Entidad de Certificación, para que éstos se reflejen en los certificados ya emitidos, será necesario
renovar dichos certificados o emitir nuevos certificados.
A la hora de realizar la renovación del certificado, el sistema solicitará si se quieren crear nuevas
claves pública y privada para el certificado. Si bien es cierto que, con un nivel de cifrado
suficiente es difícil que se pueda llegar a romper las claves, es más seguro regenerar las claves
porque este procedimiento le otorga al atacante menos tiempo para romper la seguridad, aunque
el coste administrativo se ve aumentado.
El algoritmo de cifrado con el que se están emitiendo los certificados es muy seguro, esto hace
que el conjunto de claves sea prácticamente irrompible, en el entorno que ocupa a esta guía no se
volverán a emitir claves privadas y públicas nuevas para evitar tener que emitir de nuevo todos
los certificados que comparten confianza con la entidad.
Paso Descripción
5. Sobre el nombre de la Entidad de Certificación, con el botón derecho del ratón seleccione
“Todas las tareas Renovar certificado de CA…”.
Paso Descripción
7. En la ventana “Renovar certificado de CA” seleccione “No” ante la pregunta de generar nuevas
claves y pulse “Aceptar”.
Nota: Este proceso comienza en segundo plano y puede tardar unos minutos. No debe cerrar la ventana
hasta que finalice el proceso.
Paso Descripción
5. Sobre el nombre de la Entidad de Certificación, con el botón derecho del ratón seleccione
“Todas las tareas Renovar el certificado de CA…”.
Paso Descripción
7. En la ventana “Renovar certificado de CA” seleccione “No” ante la pregunta de generar nuevas
claves y pulse “Aceptar”.
Nota: Este proceso comienza en segundo plano y puede tardar unos minutos. No debe cerrar la ventana
hasta que finalice el proceso.
Nota: La nueva solicitud de certificado se alojará en la ruta indicada en el mensaje que figura en la zona
inferior de la ventana “Solicitud de certificado de CA”; en el ejemplo, “C:\Scripts”.
10. Inicie sesión en el servidor independiente de la Entidad de Certificación raíz con credenciales
de administrador local.
Paso Descripción
14. En el menú de la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
15. Sobre el nombre de la Entidad de Certificación, con el botón derecho del ratón seleccione
“Todas las tareas Enviar solicitud nueva…”.
Paso Descripción
16. En la ventana “Abrir archivo de solicitud”, seleccione la solicitud que se acaba de copiar y pulse
“Abrir”.
18. Sitúese sobre el contenedor “Certificados emitidos” y haciendo clic derecho sobre el certificado
emitido recientemente, seleccione “Abrir”.
Paso Descripción
19. Una vez abierta la ventana “Certificado”, diríjase a la pestaña “Detalles” y pulse sobre “Copiar
en archivo…”.
Paso Descripción
22. En “Archivo que se va a exportar” pulse examinar para establecer la ubicación y el nombre del
archivo que se va a exportar.
Paso Descripción
24. Pulse “Aceptar” en el mensaje que confirma que la exportación se ha realizado correctamente.
Paso Descripción
26. Extraiga el fichero con extensión “.p7b” para, posteriormente copiarlo en el servidor de la
Entidad de Certificación subordinada de empresa.
Nota: Para realizar copias de una máquina a otra y teniendo en cuenta que no son accesibles entre ellas,
se deberá utilizar un dispositivo externo tipo disco duro o pendrive USB tanto si se trata de una máquina
física como de una máquina virtual con acceso a dispositivos externos de almacenamiento tipo USB. En
el caso de Hyper-V se podrán emplear dispositivos virtuales de almacenamiento.
Paso Descripción
28. Inicie sesión en el equipo Entidad de Certificación subordinada de empresa con credenciales
de administrador.
29. Copie el fichero generado en el apartado anterior en el directorio “C:\Scripts”.
Nota: En el ejemplo “CArenovacion.p7b”. Si la carpeta “C:\Scripts” no está generada, créela.
32. En el menú de la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
33. Pulse botón derecho sobre el nombre de la Entidad de Certificación y seleccione “Todas las
tareas Instalar el certificado de CA…”.
Paso Descripción
34. Pulse “Sí” en la ventana que solicita confirmación de parada de servicios de certificados.
35. Navegue hasta el fichero de certificado que ha copiado recientemente a “C:\Scripts” y pulse
“Abrir”.
Paso Descripción
5. Para configurar las CRLs, pulse el botón derecho del ratón sobre el contenedor “Certificados
Revocados” y seleccione “Propiedades”.
Paso Descripción
7. En los “Servicios de certificados de Active Directory”, haga clic derecho de nuevo sobre
“Certificados revocados” y seleccione “Todas las tareas Publicar”.
Paso Descripción
5. Para configurar las CRLs, pulse el botón derecho del ratón sobre el contenedor “Certificados
Revocados” y seleccione “Propiedades”.
Paso Descripción
7. En los “Servicios de certificados de Active Directory”, haga clic derecho de nuevo sobre
“Certificados revocados” y seleccione “Todas las tareas Publicar”.
Paso Descripción
11. A continuación, copie el fichero con extensión “.crl” que se ha generado en la ruta
“%SYSTEMROOT%\System32\CertSvr\CertEnroll” a un dispositivo externo para
posteriormente copiarlo en el servidor Entidad de Certificación subordinada de empresa.
Nota: Para realizar copias de una máquina a otra y teniendo en cuenta que no son accesibles entre ellas,
se deberá utilizar un dispositivo externo tipo disco duro o pendrive USB tanto si se trata de una máquina
física como de una máquina virtual con acceso a dispositivos externos de almacenamiento tipo USB. En
el caso de Hyper-V se podrán emplear dispositivos virtuales de almacenamiento.
13. Copie el fichero con extensión “.crl”, que se ha generado y exportado en el paso anterior en la
ruta “%SYSTEMROOT%\System32\CertSvr\CertEnroll” a un dispositivo externo para
posteriormente copiarlo en el servidor Entidad de Certificación subordinada de empresa.
Esta sección define los pasos a seguir para generar plantillas a través de una plantilla base y se
realizarán a través de una Entidad de Certificación raíz de empresa o de una Entidad de
Certificación subordinada de empresa que permita que sean accesibles para los clientes que
vayan a realizar la solicitud.
Para más información sobre plantillas de certificados puede visitar el siguiente enlace:
https://technet.microsoft.com/en-us/library/cc730826(v=ws.10).aspx
Paso Descripción
6. Una vez abierto el “Editor del registro” expanda el menú hasta llegar a los parámetros de la
Entidad de Certificación mediante la siguiente ruta:
HKEY_LOCAL_MACHINE System CurrentControlSet Services CertSvc
Configuration <Nombre de la Entidad de Certificación>
Paso Descripción
7. En el panel de la derecha, localice el objeto “ValidityPeriodUnits” y haga doble clic sobre él.
8. Modifique el apartado “Información del valor” por el número máximo de años que se quiera
establecer como período de validez máximo para las plantillas y pulse “Aceptar”.
9. Cierre el “Editor del registro”. A partir de este momento se podrán emitir certificados con un
período de validez superior a dos años y con el máximo de años establecido mediante la
entrada de registro modificada.
Paso Descripción
Nota: La lista de plantillas que aparece en el menú derecho contiene las plantillas de certificado que
están disponibles para su solicitud. Existe un repositorio con más tipos de plantillas de certificados que se
pueden parametrizar para posteriormente publicar. Solamente las plantillas que aparecen en esta lista
estarán accesibles para que los clientes realicen la solicitud del certificado.
Paso Descripción
6. Sitúese sobre el contenedor “Plantillas de certificado”, pulse el botón derecho del ratón sobre
él y seleccione “Administrar” para acceder al resto de plantillas de certificado.
Paso Descripción
8. Una plantilla base no debe ser modificada debido a que se perdería la parametrización por
defecto de dicha plantilla. Por tanto, se duplicará una plantilla para personalizar tanto sus
parámetros como el nombre de la plantilla. Para ello, en la “Consola de plantillas de
certificado” seleccione una plantilla y pulsando el botón derecho del ratón sobre ella seleccione
“Plantilla Duplicada”.
Paso Descripción
10. Se abrirá la ventana de “Propiedades de plantilla nueva” donde se podrá definir los diferentes
parámetros para adecuar la plantilla al tipo de certificado necesario.
En la pestaña “General” se puede establecer un nombre para la plantilla, así como definir el
período de validez o la posibilidad de publicar el certificado en el directorio activo.
Nota: En el ejemplo se mantienen los períodos y se cambia el nombre a “Prueba Servidor Web”. Nótese
que a menos que se modifique, el campo “Nombre de plantilla” omite los espacios. Este hecho se deberá
tener en cuenta en caso de utilizar herramientas de comandos como “certutil.exe”, ya que, si se invoca la
plantilla con el “Nombre para mostrar de la plantilla”, dará error. El período de validez máximo que se
puede establecer en una plantilla de certificado es de dos años. Sin embargo, si se modifica la entrada de
registro tal como se ha hecho en el apartado anterior, sería posible establecer un periodo mayor, hasta
alcanzar el número definido en dicha entrada.
Nota: En el ejemplo se marcará la opción de “Permitir que la clave privada se pueda exportar”.
Paso Descripción
Paso Descripción
14. En la pestaña “Seguridad”, se puede definir qué usuarios tendrán permiso para operar sobre
los certificados, en caso de que se quisiera que el equipo de ejemplo, fuera capaz de recibir el
certificado tras su solicitud y que esta recepción se recibiera de forma automática (sin que el
administrador tuviera la obligación de administrar la entrega), se debe añadir el grupo “Equipos
del dominio” y darle los permisos que le permitan las opciones “Inscribirse” e “Inscripción
automática”. Para ello, pulse el botón “Agregar”.
Paso Descripción
16. Sitúese sobre el grupo añadido recientemente “Equipos del dominio” y marque las dos
opciones “Inscribirse” e “Inscripción automática”. Pulse “Aceptar” para cerrar la ventana de
“Propiedades”.
Nota: En el ejemplo se marcan las opciones “Inscribirse” e “Inscripción automática” para el grupo de
directorio activo “Equipos del dominio”. En este caso particular, al haber marcado en el paso 13 la
opción “Aprobación del administrador de certificados de Entidad de Certificación”, aunque, por
permisos, los equipos del dominio deben poder recibir el certificado de forma automática, requerirán por
parte del administrador la entrega del certificado tras la solicitud.
La plantilla aún no está disponible para poder solicitarla. Para poder utilizar la plantilla deberá
completar el apartado siguiente “5.3 PUBLICACIÓN DE UNA PLANTILLA DE
CERTIFICADOS EN LA ENTIDAD DE CERTIFICACIÓN”.
Paso Descripción
6. Sitúese sobre el contenedor “Plantillas de certificado”, pulse el botón derecho del ratón y
seleccione “Nuevo Plantilla de certificado que se va a emitir” para acceder al resto de
plantillas de certificado.
Paso Descripción
1. Inicie sesión en el servidor que actúa como cliente solicitante del servidor Entidad de
Certificación.
Nota: Deberá iniciar sesión con una cuenta con privilegios de administración.
Paso Descripción
3. Pulse con el boton derecho sobre “mmc.exe” y seleccione la opción “Ejecutar como
administrador”.
Paso Descripción
7. Según el tipo de certificado, se deberá seleccionar el tipo de cuenta de la que se quiere abrir la
consola de certificados. Esta elección dependerá del tipo de certificado que se quiera solicitar.
Pulse “Finalizar” para continuar.
Nota: En el ejemplo se selecciona “Mi cuenta de usuario”, ya que se solicita un certificado de usuario de
autenticación del cliente.
Paso Descripción
8. Pulse “Aceptar” para abrir la consola de certificados y despliegue el menú en árbol situado a la
izquierda hasta llegar al contenedor “Personal” mediante la siguiente ruta:
“Raíz de consola Certificados: usuario actual Personal”
Pulse con el botón derecho del ratón sobre “Personal” y seleccione “Todas las tareas
Solicitar un nuevo certificado…”.
Paso Descripción
Paso Descripción
Nota: En caso de que el usuario no tuviera los permisos mencionados, sería necesario realizar una serie
de pasos adicionales en la Entidad de Certificación. Estos pasos serán descritos en el apartado siguiente:
“Emisión de certificados”.
Paso Descripción
1. Inicie sesión en el servidor que actúa como cliente solicitante del servidor Entidad de
Certificación.
Nota: Deberá iniciar sesión con una cuenta con privilegios de administración.
Paso Descripción
5. Pulse doble clic sobre certificados de servidor y en el menú “Acciones” situado a la derecha
seleccione “Crear certificado de dominio…”.
Nota: Los datos introducidos que refleja la captura son a modo de ejemplo.
Paso Descripción
Paso Descripción
Nota: En este caso, el certificado se inscribe de forma automática. El siguiente paso describe los pasos a
seguir en caso de que un certificado solicitado no se inscriba automáticamente.
Paso Descripción
4. En el menú situado a la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
Paso Descripción
7. Sitúese sobre el contenedor “Certificados emitidos”. Podrá comprobar que el certificado recién
emitido aparece en la lista y será distribuido al cliente solicitante.
Paso Descripción
4. En el menú situado a la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
Paso Descripción
7. Una vez abierta la ventana “Certificado”, diríjase a la pestaña “Detalles” y pulse sobre “Copiar
en archivo…”.
Paso Descripción
Nota: El certificado se exportará sin la clave privada, ya que para el propósito no es necesario. Incluso
cuando es posible exportar la clave privada, si el propósito del certificado no lo requiere, es más seguro
evitar exportar el certificado con su clave privada. En el caso de que sí fuera necesaria la exportación de
la clave privada (un servicio ajeno a Windows no compatible con el Directorio Activo, por ejemplo), el
sistema solicitará el establecimiento de una contraseña (necesaria en la posterior importación).
Paso Descripción
10. En “Archivo que se va a exportar” pulse examinar para establecer la ubicación y el nombre del
archivo que se va a exportar. Pulse “Siguiente” para continuar.
Paso Descripción
12. Pulse “Aceptar” en el mensaje que confirma que la exportación se ha realizado correctamente.
Paso Descripción
3. Pulse con boton derecho sobre “mmc.exe” y seleccione la opción “Ejecutar como
administrador.
Paso Descripción
7. Según el tipo de certificado, se deberá seleccionar el tipo de cuenta de la que se quiere abrir la
consola de certificados. Esta elección dependerá del tipo de certificado que se quiera solicitar.
Pulse “Finalizar” para continuar.
Nota: En el ejemplo se selecciona “Mi cuenta de usuario”, ya que se solicita un certificado de usuario de
autenticación del cliente.
Paso Descripción
8. Pulse “Aceptar” para abrir la consola de certificados y despliegue el menú en árbol situado a la
izquierda hasta llegar al contenedor “Personal” mediante la siguiente ruta:
“Raíz de consola Certificados: usuario actual Personal”
Pulse con el botón derecho del ratón sobre “Personal” y seleccione “Todas las tareas
Importar…”.
Paso Descripción
Paso Descripción
Paso Descripción
Paso Descripción
4. En el menú situado a la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
Paso Descripción
Nota: En caso de haber escogido cualquier otro motivo de revocación (como en el ejemplo), al intentar
deshacer la revocación aparecerá el siguiente mensaje:
Paso Descripción
3. Pulse con boton derecho sobre “mmc.exe” y seleccione la opción “Ejecutar como
administrador.
Paso Descripción
7. Según el tipo de certificado, se deberá seleccionar el tipo de cuenta de la que se quiere abrir la
consola de certificados. Esta elección dependerá del tipo de certificado que se quiera solicitar.
Pulse “Finalizar” para continuar.
Nota: En el ejemplo se selecciona “Mi cuenta de usuario”, ya que se solicita un certificado de usuario de
autenticación del cliente.
Paso Descripción
8. Pulse “Aceptar” para abrir la consola de certificados y despliegue el menú en árbol situado a la
izquierda hasta llegar al contenedor “Personal” mediante la siguiente ruta:
“Raíz de consola Certificados: usuario actual Personal”
Pulse con el botón derecho del ratón sobre el certificado y seleccione “Todas las tareas
Renovar certificado con clave nueva…”.
Nota: En caso de querer conservar la misma clave sería posible a través del menú superior, manteniendo
seleccionado el certificado y haciendo clic sobre “Acción > Todas las tareas > Operaciones avanzadas >
Renovar certificado con la misma clave”.
Paso Descripción
Paso Descripción
4. En el menú situado a la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
6. Pulse el botón derecho del ratón sobre la Entidad de Certificación y seleccione “Todas las
tareas Realizar copia de seguridad de la Entidad de Certificación…”.
7. En el “Asistente para copia de seguridad de Entidad de Certificación” pulse “Siguiente >” para
continuar.
Paso Descripción
Nota: En el ejemplo no es posible seleccionar una copia incremental de la base de datos porque no existe
ninguna copia completa anterior.
Paso Descripción
11. Establezca una contraseña escribiéndola por duplicado en los campos correspondientes y
pulse “Siguiente >”
Paso Descripción
4. En el menú situado a la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
Paso Descripción
6. Pulse el botón derecho del ratón sobre la Entidad de Certificación y seleccione “Todas las
tareas Restaurar la Entidad de Certificación…”.
7. En el “Asistente para copia de seguridad de Entidad de Certificación” pulse “Siguiente >” para
continuar.
Paso Descripción
Paso Descripción
12. Ante el mensaje que indica que la operación se completó y que se iniciará el servicio de nuevo
pulse “Sí”.
1. Inicie sesión en En uno de los controladores de dominio, inicie sesión con una cuenta
un controlador que tenga privilegios de administración del dominio.
de dominio.
2. Verifique que Ejecute el “Administrador de directivas de grupo” mediante la siguiente
está creada la ruta:
directiva “CCN- “Inicio Herramientas administrativas Administración de
STIC-597 directivas de grupo”
Incremental
Despliegue el menú en árbol hasta llegar a la unidad organizativa
Servidor
“Servidores Entidad de Certificación”. Verifique que la política “CCN-
Entidad de
STIC-597 Incremental Servidor Entidad de Certificación” está creada y
Certificación”.
vinculada en el primer lugar de orden de vínculo.
3. Verifique los Haga clic derecho sobre la directiva y seleccione “Editar” para ejecutar
servicios del el “Editor de Administración de directivas de grupo”.
sistema de la Verifique que la directiva tiene los siguientes valores en servicios del
directiva “CCN- sistema. Para ello, navegue hasta:
STIC-597
Directiva CCN-STIC-597 Incremental Servidor Entidad de
Incremental
Certificación Configuración del equipo Directivas
Servidor
Configuración de Windows Configuración de seguridad
Entidad de
Servicios del Sistema
Certificación”.
Nota: Si lo desea puede pulsar sobre el título “Permiso” para ordenar la lista
por servicios configurados.
8. Verifique la Haga clic derecho sobre la directiva y seleccione “Editar” para ejecutar
configuración el “Editor de Administración de directivas de grupo”.
de inscripción Verifique que la directiva tiene los siguientes valores en la
automática de configuración de inscripción automática. Para ello, navegue hasta:
certificados en
Directiva CCN-STIC-597 Incremental Dominio Configuración
la política
del equipo Directivas Configuración de Windows
“CCN-STIC-
Configuración de seguridad Directivas de clave pública
597
Incremental Haga doble clic sobre el objeto “Cliente de Servicios de servidor de
Dominio”. certificados – Inscripción automática” y compruebe los valores
correspondientes a la inscripción automática.
Nota: Estas reglas de entrada aparecerán duplicadas debido a que se crean a través de
políticas de grupo, pero también a través de la instalación del rol de Entidad de
Certificación. Dicha duplicidad es correcta e indicará que la aplicación de reglas se ha
aplicado adecuadamente.
1. Inicie sesión en un En uno de los controladores de dominio, inicie sesión con una
controlador de cuenta que tenga privilegios de administración del dominio.
dominio.
2. Verifique que está Ejecute el “Administrador de directivas de grupo” a través de la
creada la directiva siguiente ruta:
“CCN-STIC-597 “Inicio Herramientas administrativas Administración de
Incremental directivas de grupo”
Servidor Entidad
Despliegue el menú en árbol hasta llegar a la unidad organizativa
de Certificación”.
“Servidores Entidad de Certificación”. Verifique que la política “CCN-
STIC-597 Incremental Servidor Entidad de Certificación” está
creada y vinculada en el primer lugar de orden de vínculo.
3. Verifique los Haga clic derecho sobre la directiva y seleccione “Editar” para
servicios del ejecutar el “Editor de Administración de directivas de grupo”.
sistema de la Verifique que la directiva tiene los siguientes valores en servicios
directiva “CCN- del sistema. Para ello, navegue hasta:
STIC-597
Directiva CCN-STIC-597 Incremental Servidor Entidad de
Incremental
Certificación Configuración del equipo Directivas
Servidor Entidad
Configuración de Windows Configuración de seguridad
de Certificación”.
Servicios del Sistema
5. Verifique la Verifique que la directiva tiene los siguientes valores en las reglas
correcta de entrada del Firewall de Windows con seguridad avanzada. Para
aplicación de la ello, navegue hasta:
configuración de Directiva CCN-STIC-597 Incremental Servidor Entidad de
las reglas de Certificación Configuración del equipo Directivas
entrada de firewall Configuración de Windows Configuración de seguridad
de la política Firewall de Windows con seguridad avanzada Firewall de
CCN-STIC-597 Windows con seguridad avanzada Reglas de entrada
Incremental
Compruebe que están creadas estas reglas, su estado, su acción y
Servidor Entidad
su puerto local.
de Certificación”.
Nota: Estas reglas de entrada aparecerán duplicadas debido a que se crean a través de
políticas de grupo, pero también a través de la instalación del rol de Entidad de
Certificación. Dicha duplicidad es correcta e indicará que la aplicación de reglas se ha
aplicado adecuadamente.