none
Generación certificados Windows Server 2012 RRS feed

  • Pregunta

  • Hola,

    Existe la posibilidad de un certificado de dominio, es decir, que el usuario final se instale un único certificado para todo los servicios?? Si existe, como se crearía??

    Gracias.

    martes, 14 de abril de 2015 10:51

Respuestas

  • Hola Juan Pedro MS,

    Colaborando con el equipo, tenemos la siguiente respuesta:

    "Puede consultar el siguiente artículo respecto de como crear un certificado de dominio en IIS 7,
    Adicional, tomemos en cuenta lo siguiente:

    Con la característica de certificado con firma de IIS, no se puede establecer el nombre común (CN) para el certificado, y por lo tanto no se puede crear un certificado unido a su elección de subdominio.
    Una forma de evitar el problema es utilizar makecert.exe, que se incluye con el 2.0 SDK .Net. En mi servidor es en:
    C: \ Archivos de programa \ Microsoft.Net \ SDK \ v2.0 64bit \ Bin \ makecert.exe<u5:p> </u5:p>

    Puede crear una autoridad de firmas y almacenarlo en el repositorio de certificados LocalMachine siguientes (estos comandos deben ejecutarse desde una cuenta de administrador o en un símbolo del sistema elevado):
    makecert.exe -n "CN = Mi Compañía de Desarrollo Root CA, O = Mi Compañía,
     OU = Desarrollo, L = Wallkill, S = NY, C = US "-pe -SS Root LocalMachine -sr
     intercambio -sky -m 120 -a sha1 -len 2048 -r<u5:p> </u5:p>

    A continuación, puede crear un certificado unido a su subdominio y firmado por su nueva autoridad:
    (Nótese que el valor del parámetro -en debe ser el mismo que el valor CN usada para generar su autoridad anteriormente.)
    makecert.exe -n "CN = mysubdomain.mydomain.com" -pe -SS Mi -sr LocalMachine
     -m intercambio -sky 120 -en "My Development Company Root CA" -is Root
     -ir LocalMachine -a sha1 -eku 1.3.6.1.5.5.7.3.1"

    También preguntarte, ¿para que utilizarás el certificado? el único error que puede presentarse es que el certificado no sea valido pero eso no impide su funcionamiento como se describe en la imagen, si necesita un certificado valido, tendra que recurrir a una entidad certificadora externa

    "

    Gracias por usar los foros de TechNet.

    Marco

    _____


    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.


    • Editado Moderador M miércoles, 29 de abril de 2015 13:30
    • Marcado como respuesta Juan Pedro MS miércoles, 6 de mayo de 2015 11:07
    miércoles, 29 de abril de 2015 13:27

Todas las respuestas

  • Hola Juan,

    En cierta medida se puede. Con una Entidad Certificadora podes generar certificados válidos para el dominio. Pero a que servicios te refieres?

    Si necesitas instalar una CA (Certificaton Authority) o entidad certificadora para generar los certificados en tu dominio ésta es una buena guía:

    https://windowserver.wordpress.com/2013/04/12/windows-server-2012-instalando-una-autoridad-certificadora-raz-root-certification-authority-de-tipo-standalone/

    Saludos,

    • Propuesto como respuesta Moderador M miércoles, 15 de abril de 2015 22:09
    • Marcado como respuesta Moderador M viernes, 17 de abril de 2015 18:08
    • Desmarcado como respuesta Moderador M martes, 21 de abril de 2015 14:44
    miércoles, 15 de abril de 2015 13:30
  • Hola, muchas gracias por la respuesta.

    Esa guía ya la había visto y me sirvió de mucha ayuda, la verdad.

    Te voy a intentar exponer lo que necesitamos. A ver si me explico:

    Nosotros lo que intentamos es usar un sistema de certificación equivalente a OpenSSL, pero con Microsoft (ya que todo el software que utilizamos en de Microsoft), para emitir certificados propios SSL, que instaláramos en los equipos ajenos/externos al dominio, dado que son varios servicios y, en principio, no quisieramos tener que instalar x certificados, sino ver si existe la posibilidad de instalar un único certificado de dominio de forma que valga para todos los servicios actuales o futuros (no nos valdría la opción de nombres alternativos en un mismo certificado porque si damos de alta un servicio nuevo tendríamos que generar de nuevo el certificado y desplegarlo de nuevo y quisieramos, en la medida de lo posible, evitar este punto también.). Esto por lo que me ha parecido entender, en teoría se puede hacer con OpenSSL, pero desconocemos si se puede y como hacer con Microsoft. No se si sabrías comentarme algo al respecto.

    Muchas gracias de antemano.

    lunes, 20 de abril de 2015 8:14
  • Hola Juan Pedro MS,

    Colaborando con el equipo, tenemos la siguiente respuesta:

    "Puede consultar el siguiente artículo respecto de como crear un certificado de dominio en IIS 7,
    Adicional, tomemos en cuenta lo siguiente:

    Con la característica de certificado con firma de IIS, no se puede establecer el nombre común (CN) para el certificado, y por lo tanto no se puede crear un certificado unido a su elección de subdominio.
    Una forma de evitar el problema es utilizar makecert.exe, que se incluye con el 2.0 SDK .Net. En mi servidor es en:
    C: \ Archivos de programa \ Microsoft.Net \ SDK \ v2.0 64bit \ Bin \ makecert.exe<u5:p> </u5:p>

    Puede crear una autoridad de firmas y almacenarlo en el repositorio de certificados LocalMachine siguientes (estos comandos deben ejecutarse desde una cuenta de administrador o en un símbolo del sistema elevado):
    makecert.exe -n "CN = Mi Compañía de Desarrollo Root CA, O = Mi Compañía,
     OU = Desarrollo, L = Wallkill, S = NY, C = US "-pe -SS Root LocalMachine -sr
     intercambio -sky -m 120 -a sha1 -len 2048 -r<u5:p> </u5:p>

    A continuación, puede crear un certificado unido a su subdominio y firmado por su nueva autoridad:
    (Nótese que el valor del parámetro -en debe ser el mismo que el valor CN usada para generar su autoridad anteriormente.)
    makecert.exe -n "CN = mysubdomain.mydomain.com" -pe -SS Mi -sr LocalMachine
     -m intercambio -sky 120 -en "My Development Company Root CA" -is Root
     -ir LocalMachine -a sha1 -eku 1.3.6.1.5.5.7.3.1"

    También preguntarte, ¿para que utilizarás el certificado? el único error que puede presentarse es que el certificado no sea valido pero eso no impide su funcionamiento como se describe en la imagen, si necesita un certificado valido, tendra que recurrir a una entidad certificadora externa

    "

    Gracias por usar los foros de TechNet.

    Marco

    _____


    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.


    • Editado Moderador M miércoles, 29 de abril de 2015 13:30
    • Marcado como respuesta Juan Pedro MS miércoles, 6 de mayo de 2015 11:07
    miércoles, 29 de abril de 2015 13:27