none
Infraestructura PKI RRS feed

  • Pregunta

  • Hola a todos, he implantado una infraestructura de PKI en la empresa donde trabajo, Tengo un servidor en grupo de trabajo con una CA stand alone, y una CA subordinada (de la anterior) dentro del directorio activo.

    y el/los problema/as que tengo es el siguiente/es:

    1. En la consola de la infraestructura de la clave pública, la CA stand alone me sale con un aspa roja, y me hace lo mismo en la subordinada, en la AIA y en CDP también, 
    2. Como hice alguna prueba, en la subordinada me vienen 2 certificados uno #0 y un #1, quiero eliminar el #0 de la CA y no se como hacerlo
    3. El certificado de la CA subordinada está haciendo referencia a la AIA y CDP que a priori están dando problemas según la consola de la pki.

    Dicho todo esto, se puede solventar de alguna manera?

    Si no se puede solventar, y aunque he creado unos pocos certificados (para algunos linux) si tuviese que deshacer todo y hacerlo otra vez, podría llevarme los certificados ya creados?

    La idea es que acabe funcionando bien para poder montar una infraestructura 802.1x

    Gracias por vuestro tiempo 


    Life is so hard

    miércoles, 11 de enero de 2017 11:53

Respuestas

  • Hola Pimen

    1. Muchas causas posibles, seguramente no haz configurado adecuadamente el CDP

    2. Los certificados emitidos no se pueden eliminar, lo que hay que hacer es revocarlos. Esto es así porque de otra forma el resto podría considerarlo válido, en cambio si verifica la CRL se da cuenta que ese certificado no va más

    3. Mismo comentario que en 1.

    Revisa estos enlaces que tienen el paso a paso para la configuración que buscas, con una CA Raíz Standalone, y una CA subrodinada Enterprise

    Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone | WindowServer:
    https://windowserver.wordpress.com/2013/04/12/windows-server-2012-instalando-una-autoridad-certificadora-raz-root-certification-authority-de-tipo-standalone/

    Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de Tipo Enterprise (Integrada con Active Directory) | WindowServer:
    https://windowserver.wordpress.com/2013/04/19/windows-server-2012-instalando-una-autoridad-certificadora-subordinada-de-tipo-enterprise-integrada-con-active-directory/

    Consejo, prueba primero todo en un ambiente de pruebas sin tocar el productivo, ya que sacándolo hay rastros que van a quedar

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Pimen martes, 17 de enero de 2017 16:17
    miércoles, 11 de enero de 2017 15:01
  • No hay forma que los certificados de una CA, los considere como emitidos propios otra CA, si comprendo bien a qué te refieres :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Pimen martes, 17 de enero de 2017 16:17
    lunes, 16 de enero de 2017 19:42
  • Ok, muchas gracias!!!

    Life is so hard

    • Marcado como respuesta Pimen martes, 17 de enero de 2017 16:17
    martes, 17 de enero de 2017 16:16

Todas las respuestas

  • Hola Pimen

    1. Muchas causas posibles, seguramente no haz configurado adecuadamente el CDP

    2. Los certificados emitidos no se pueden eliminar, lo que hay que hacer es revocarlos. Esto es así porque de otra forma el resto podría considerarlo válido, en cambio si verifica la CRL se da cuenta que ese certificado no va más

    3. Mismo comentario que en 1.

    Revisa estos enlaces que tienen el paso a paso para la configuración que buscas, con una CA Raíz Standalone, y una CA subrodinada Enterprise

    Windows Server 2012: Instalando una Autoridad Certificadora Raíz (Root Certification Authority) de Tipo Standalone | WindowServer:
    https://windowserver.wordpress.com/2013/04/12/windows-server-2012-instalando-una-autoridad-certificadora-raz-root-certification-authority-de-tipo-standalone/

    Windows Server 2012: Instalando una Autoridad Certificadora Subordinada de Tipo Enterprise (Integrada con Active Directory) | WindowServer:
    https://windowserver.wordpress.com/2013/04/19/windows-server-2012-instalando-una-autoridad-certificadora-subordinada-de-tipo-enterprise-integrada-con-active-directory/

    Consejo, prueba primero todo en un ambiente de pruebas sin tocar el productivo, ya que sacándolo hay rastros que van a quedar

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Pimen martes, 17 de enero de 2017 16:17
    miércoles, 11 de enero de 2017 15:01
  • Gracias, este post lo había visto ya...

    Y si, lo recomendable es probar antes en un entorno de pruebas pero...

    Bueno, lo interesante. Puedo llevarme los certificados ya creados a la nueva CA si la monto???


    Life is so hard

    lunes, 16 de enero de 2017 16:14
  • No hay forma que los certificados de una CA, los considere como emitidos propios otra CA, si comprendo bien a qué te refieres :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Pimen martes, 17 de enero de 2017 16:17
    lunes, 16 de enero de 2017 19:42
  • Ok, muchas gracias!!!

    Life is so hard

    • Marcado como respuesta Pimen martes, 17 de enero de 2017 16:17
    martes, 17 de enero de 2017 16:16