Planeación de la implementación del certificado de servidor

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Antes de implementar certificados de servidor, debe planear los siguientes elementos:

• Planear la configuración básica del servidor

• Planear el acceso al dominio

• Planeamiento de la ubicación y el nombre del directorio virtual en el servidor web

• Planeamiento de un registro de alias DNS (CNAME) para el servidor web

• Planeamiento de la configuración de CAPolicy.inf

• Planeamiento de la configuración de las extensiones CDP y AIA en CA1

• Planeamiento de la operación de copia entre la entidad de certificación y el servidor web

• Planeamiento de la configuración de la plantilla de certificado de servidor en la entidad de certificación

Planeamiento de la configuración básica del servidor

Después de instalar Windows Server 2016 en los equipos que planea usar como entidad de certificación y servidor web, debe cambiar el nombre del equipo y asignar y configurar una dirección IP estática para el equipo local.

Para más información, consulte la guía de red principal de Windows Server 2016.

Planeamiento del acceso al dominio

Para iniciar sesión en el dominio, el equipo debe ser miembro del dominio y la cuenta de usuario se debe crear en AD DS antes del intento de inicio de sesión. Además, la mayoría de los procedimientos de esta guía requieren que la cuenta de usuario sea miembro de los grupos Administradores de empresas o Administradores de dominio en Usuarios y equipos de Active Directory, por lo que debe iniciar sesión en la entidad de certificación con una cuenta que tenga la pertenencia a grupos adecuada.

Para más información, consulte la guía de red principal de Windows Server 2016.

Planeamiento de la ubicación y el nombre del directorio virtual en el servidor web

Para proporcionar acceso a la CRL y al certificado de entidad de certificación a otros equipos, debe almacenar estos elementos en un directorio virtual en el servidor web. En esta guía, el directorio virtual se encuentra en el servidor web WEB1. Esta carpeta está en la unidad "C:" y se denomina "pki". Puede localizar el directorio virtual en el servidor web en cualquier ubicación de carpeta adecuada para la implementación.

Planeamiento de un registro de alias DNS (CNAME) para el servidor web

Los registros de recursos de alias (CNAME) a veces se denominan registros de recursos de nombre canónico. Con estos registros, puede usar más de un nombre para señalar a un solo host, lo que facilita tareas como el hospedaje de un servidor FTP (Protocolo de transferencia de archivos) y un servidor web en el mismo equipo. Por ejemplo, los nombres de servidor conocidos (ftp, www) se registran con los registros de nombres de alias (CNAME) que se asignan al nombre de host DNS (Sistema de nombres de dominio), como WEB1, para el equipo servidor que hospeda estos servicios.

En esta guía se proporcionan instrucciones para configurar el servidor web para hospedar la lista de revocación de certificados (CRL) para la entidad de certificación (CA). Dado que también puede usar el servidor web con otros fines, como hospedar un sitio FTP o web, es recomendable crear un registro de recursos de alias en DNS para el servidor web. En esta guía, el registro CNAME se denomina "pki", pero puede elegir un nombre adecuado para la implementación.

Planeamiento de la configuración de CAPolicy.inf

Antes de instalar AD CS, debe configurar CAPolicy.inf en la entidad de certificación con información correcta para la implementación. Un archivo CAPolicy.inf contiene la siguiente información:

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Debe planear los siguientes elementos para este archivo:

• Dirección URL. El archivo CAPolicy.inf de ejemplo tiene un valor de dirección URL de https://pki.corp.contoso.com/pki/cps.txt. Esto se debe a que el servidor web de esta guía se denomina WEB1 y tiene un registro de recursos CNAME DNS de pki. El servidor web también está unido al dominio corp.contoso.com. Además, hay un directorio virtual en el servidor web denominado "pki" donde se almacena la lista de revocación de certificados. Asegúrese de que el valor que proporcione para la dirección URL en el archivo CAPolicy.inf apunta a un directorio virtual en el servidor web del dominio.

• RenewalKeyLength. La longitud de clave de renovación predeterminada para AD CS en Windows Server 2012 es 2048. La longitud de clave que seleccione debe ser lo más larga posible al mismo tiempo que sigue ofreciendo compatibilidad con las aplicaciones que quiere usar.

• RenewalValidityPeriodUnits. El archivo CAPolicy.inf de ejemplo tiene un valor RenewalValidityPeriodUnits de 5 años. Esto se debe a que la duración esperada de la entidad de certificación es de aproximadamente diez años. El valor de RenewalValidityPeriodUnits debe reflejar el período de validez general de la entidad de certificación o el número más alto de años para los que desea proporcionar la inscripción.

• CRLPeriodUnits. El archivo CAPolicy.inf de ejemplo tiene un valor CRLPeriodUnits de 1. Esto se debe a que el intervalo de actualización de ejemplo de la lista de revocación de certificados de esta guía es de 1 semana. En el valor de intervalo que especifique con esta configuración, debe publicar la CRL en la entidad de certificación en el directorio virtual del servidor web donde almacena la CRL y proporcionar acceso a ella para los equipos cuyo proceso de autenticación está en curso.

• AlternateSignatureAlgorithm. CaPolicy.inf implementa un mecanismo de seguridad mejorado mediante la implementación de formatos de firma alternativos. No debe implementar esta configuración si todavía tiene clientes de Windows XP que requieren certificados de esta entidad de certificación.

Si no planea agregar ninguna CA subordinada a la infraestructura de clave pública más adelante y, si desea evitar la adición de cualquier CA subordinada, puede agregar la clave PathLength al archivo CAPolicy.inf con un valor de 0. Para agregar esta clave, copie y pegue el código siguiente en el archivo:

[BasicConstraintsExtension]
PathLength=0
Critical=Yes

Importante

No se recomienda cambiar ninguna otra configuración en el archivo CAPolicy.inf a menos que tenga un motivo específico para hacerlo.

Planeamiento de la configuración de las extensiones CDP y AIA en CA1

Al configurar el punto de distribución de la lista de revocación de certificados (CRL) y las opciones del acceso a información de entidad emisora (AIA) en CA1, necesita el nombre del servidor web y el nombre de dominio. También necesita el nombre del directorio virtual que cree en el servidor web donde se almacenan la lista de revocación de certificados (CRL) y el certificado de entidad de certificación.

La ubicación de CDP que debe especificar durante este paso de implementación tiene este formato:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.

Por ejemplo, si el servidor web se denomina WEB1 y el registro CNAME del alias DNS para el servidor web es "pki", el dominio es corp.contoso.com y el directorio virtual se denomina pki, la ubicación de CDP es:

http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

La ubicación de AIA que debe especificar tiene este formato :

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.

Por ejemplo, si el servidor web se denomina WEB1 y el registro CNAME del alias DNS para el servidor web es "pki", el dominio es corp.contoso.com y el directorio virtual se denomina pki, la ubicación de AIA es:

http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt

Planeamiento de la operación de copia entre la entidad de certificación y el servidor web

Para publicar la CRL y el certificado de entidad de certificación desde la CA en el directorio virtual del servidor web, puede ejecutar el comando certutil -crl después de configurar las ubicaciones de CDP y AIA en la CA. Asegúrese de configurar las rutas de acceso correctas en la pestaña Extensiones de la propiedades de CA antes de ejecutar este comando con las instrucciones de esta guía. Además, para copiar el certificado de entidad de certificación empresarial en el servidor web, debe haber creado el directorio virtual en el servidor web y configurado la carpeta como una carpeta compartida.

Planeamiento de la configuración de la plantilla de certificado de servidor en la entidad de certificación

Para implementar certificados de servidor inscritos automáticamente, debe copiar la plantilla de certificado denominada Servidor RAS e IAS. De forma predeterminada, esta copia se denomina Copia de Servidor RAS e IAS. Si desea cambiar el nombre de esta copia de plantilla, planee el nombre que desea usar durante este paso de implementación.

Nota

Las tres últimas secciones de implementación de esta guía, que le permiten configurar la inscripción automática de certificados de servidor, actualizar la directiva de grupo en los servidores y comprobar que los servidores han recibido un certificado de servidor válido de la entidad de certificación, no requieren pasos de planeamiento adicionales.