none
Instalar Entidad Certificadora en el dominio RRS feed

  • Pregunta

  • Estimados

    He tenido una auditoria interna donde se ha verificado que las aplicaciones web que usamos internamente no viajan seguras (HTTP) y con un ataque de hombre en el medio pueden obtener las contraseñas. Para esto es necesario el uso de HTTPS.

    EL inconveniente se da que no puedo usar certificadops autofirmados pues en el navegador siempre tengo la advertencia de que no es seguro (a pesar que lo he instalado).

    La opcion que he visto es el uso de una entidad certificadora, peero no tengo experiencia en esto y es aqui donde me surgen un sin fin de dudas y/o temores:

    * ¿Es bueno instalar este servicio en un AD? ¿que ventajas / complicaciones puede traer esto?

    * ¿Me puede traer complicaciones con otros servicios?

    Si alguien ha tenido alguna experiencia con esto agradeceria mucho sus comentarios respondiendo mis preguntas.

    PD. Si saben como instalar el certificado autofirmado en todo el dominio para no tener la adevertenia en el navegador, haganmelo saber

    lunes, 27 de marzo de 2017 17:07

Todas las respuestas

  • Hola ccruzado, un certificado digital es análogo a un documento de identidad en muchos aspectos: hay una entidad que asegura que "tu eres quien dice" y lo asegura poniendo una firma (digital). El que observa el documento debe confiar en el que pone la firma ¿fui claro?

    Un certificado autofirmado simplemente dice algo así como "yo soy yo, porque lo afirmo yo" por lo tanto si tú no confías en la firma de "yo" lo tomarás como inválido

    Los únicos certificados autofirmados en los que puedes confiar, son los que están emitidos por las llamada Autoridad Certificadora Raíz, que sí son certificados autofirmados

    Por lo tanto si quieres que se confíe en un certificado autofirmado, éste además de estar en el usuario o máquina dependiendo del uso de la aplicación, debe estar en una carpeta de la consola MMC de certificados llamada "Root Certification Authorities"

    Entonces una opción, no es buena desde el punto de vista seguridad lo anterior, consulta a la auditoría para ver si te aceptan la solución

    Mucho mejor opción es crear realmente una infraestructura de clave pública con certificados, pero es algo mucho más complejo, y aunque parece fácil, no lo es

    Si no conoces te aconsejo que crees una ambiente de prueba, aunque sea virtual para que puedas familiarizarte con el tema

    Dejo un enlace como para que comiences con el tema

    Windows Server 2012: Instalación Simple de Autoridad Certificadora (Certificate Authority) Enterprise Root | WindowServer:
    https://windowserver.wordpress.com/2012/10/26/windows-server-2012-instalacin-simple-de-autoridad-certificadora-certificate-authority-enterprise-root/

    Pero cuidado que da para mucho más

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 27 de marzo de 2017 18:08
  • Muchas gracias, con los primeros parrafos me has aclarado aun mas el tema. Como mencionas veo muchas variables y complejidad en crear una infraestructura de claves publicas. Yo solo requiero este CA para las web internas que manejo en mi dominio.¿Hay alguna configuracion sencilla para esto? En verdad no quiero complicarme y me ayudaria mucho que me indicaras masomenos que es lo que me conviene ( creo Instalacion standalone) y como adquiero los certificados para mi sitio web.

    lunes, 27 de marzo de 2017 18:46
  • Sería muy largo y difícil hacer acá una explicación completa, es imposible, pero básicamente los pasos serían los siguientes, sin entrar en detalles

    1.- Instalar una Autoridad Certificadora Raíz de tipo Enterprise. Te va a ser mucho más fácil de configurar, y además se automatizarán muchas tareas, sobre todo la obtención de certificados, pues se integra con Active Directory

    2.- En el servidor web, crear una MMC con Certificados, tanto de usuario como de máquina

    3.- Desde Personal en la parte de máquina solicitar un certificado que sirva para "Server Authentication" e instalarlo

    4.- Revisar que ha quedado instalado, y exportarlo a un archivo

    5.- En el IIS, cambiar la autenticación a HTTPS y cargar el certificado correspondiente desde el archivo

    Trata de hacerlo en un ambiente de pruebas, y luego consulta si te trabas :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 27 de marzo de 2017 20:39
  • Muchas gracias por toda la paciencia Guillermo! mañana empiezo con mi maquina virtual y te cuento! Una ultima consulta: si creo una entidad CA es facil deshacerce de ella? o amarra muchos servicios y no hay vuelta atras?
    lunes, 27 de marzo de 2017 21:18
  • Deshacerse de la autoridad certificadora es muy fácil, lo difícil es dehacerse de los certificados

    En la realidad, antes de quitar una Autoridad Certificadora, se debe primero revocar todos los certificados emitidos, y actualizar su publicación. Dejar pasar un tiempo hasta estar seguro que nadie la consultará

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 27 de marzo de 2017 22:15