Documentación de Oracle Cloud Infrastructure

Configuración de la autoridad de certificación de Windows Server

Descubra cómo configurar ADCS en el servidor de ventanas.

Debe configurar la autoridad de certificación (CA) para almacenar la clave privada en el cluster de HSM. Para esta configuración, primero debe agregar el rol de servicios de certificados de Active Directory (ADCS) al servidor Windows. Después de agregar el rol ADCS, puede utilizar el proveedor de almacenamiento de claves (KSP) para crear y gestionar la clave privada de la autoridad de certificación en el cluster de HSM. KSP es una interfaz que conecta Windows Server al cluster de HSM.

Requisitos previos

Para configurar Windows Server como autoridad de certificación (CA) con el cluster de HSM, necesita los siguientes requisitos previos:
  • Un cluster de HSM activo.
  • Servicio de cliente de KMS dedicado de OCI que se ejecuta en el sistema operativo Windows Server.
  • Una cuenta de usuario criptográfico (CU) para la clave privada de la autoridad de certificación del gestor en el cluster.

Adición del rol de servicios de certificados de Active Directory

Para crear la CA de Windows Server, primero debe agregar el rol Active Directory Certificate Services (ADCS) al servidor Windows. El rol de ADCS permite utilizar el proveedor de KSP para crear y almacenar la clave privada de la CA en el cluster.

  1. En el menú Start (Inicio) de Windows, vaya a Windows Server (Servidor Windows) e inicie Server Manager (Gestor de servidores).
  2. Haga clic en Gestionar en la esquina superior derecha y, a continuación, seleccione Agregar roles y funciones.
  3. En la página Antes de empezar, lea la información y, a continuación, haga clic en Siguiente.
  4. En la página Select Installation Type, seleccione Role-based or feature-based installation (Seleccionar tipo de instalación), y haga clic en Next (Siguiente).
  5. En la página Select Destination server (Seleccionar servidor de destino), seleccione Select a server from the server pool (Seleccionar un servidor del grupo de servidores) y, a continuación, haga clic en Next (Siguiente).
  6. En la página Seleccionar roles de servidor, seleccione lo siguiente y, a continuación, haga clic en Siguiente.
    • Servicios de certificados de Active Directory
    • Agregar Funciones.
  7. En la página Servicios de certificados de Active Directory, haga clic en Siguiente. En la página Servicios de rol, seleccione lo siguiente:
    • Seleccione Autoridad de certificación.
  8. En la página Confirmar selecciones de instalación, verifique los detalles y, a continuación, haga clic en Instalar.
  9. Cuando finalice la instalación, haga clic en el enlace Configure Active Directory Certificate Services on the destination server (Configurar servicios de certificados de Active Directory en el servidor de destino).
  10. En la página Credenciales, verifique o cambie las credenciales y haga clic en Siguiente.
  11. En la página Servicios de rol, seleccione Autoridad de certificación y haga clic en Siguiente.
  12. En la página Tipo de configuración, seleccione CA independiente y haga clic en Siguiente.
  13. En la página Tipo de CA, seleccione CA raíz y haga clic en Siguiente.
  14. En la página Clave privada, seleccione Crear una nueva clave privada y haga clic en Siguiente.
  15. En la página Criptografía, especifique las siguientes opciones y haga clic en Siguiente:
    • Seleccionar un proveedor criptográfico: seleccione Proveedor de almacenamiento de claves de cavium.
    • Longitud de clave: seleccione una de las opciones de longitud de clave.
    • Seleccione el algoritmo hash para firmar certificados emitidos por esta CA: seleccione un algoritmo hash.
  16. En la página Nombre de CA, proporcione los siguientes detalles y haga clic en Siguiente.
    • Nombre Común.
    • Sufijo de nombre distintivo.
    • Vista previa del nombre distintivo.
  17. En la página Período de validez, introduzca el período de validez en años, meses, semanas o días y, a continuación, haga clic en Siguiente.
  18. En la página Base de Datos de Certificados, proporcione la ubicación del certificado y los logs y haga clic en Siguiente.
  19. En la página Configurar, haga clic en Configurar.
  20. En la página Resultados, haga clic en Cerrar.
    Nota

    Puede verificar si la CA se ha instalado correctamente ejecutando sc query certsvc desde la línea de comandos.

Firma de una CSR con una CA de Windows Server

Aprenda a firmar una CSR con la CA de Windows Server.

Utilice la autoridad de certificación (CA) del servidor Windows con el cluster de HSM para firmar una solicitud de firma de certificado (CSR).

Necesita una solicitud de firma de certificado (CSR) válida para completar esta tarea. Cree una CSR con uno de los métodos siguientes:

  • Abrir SSL
  • Administrador de Windows Server Internet Information Services (IIS)
  • CLI de Windows (mediante la utilidad certreq)

Complete los siguientes pasos para firmar una CSR con CA de Windows Server.

  1. Conéctese al servidor Windows e inicie el Administrador de Windows Server.
  2. En el panel de control del gestor de servidores, haga clic en Herramientas.
  3. Haga clic en Autoridad de certificación.
  4. En la página Autoridad de certificación, realice lo siguiente:
    1. Abra el menú Acciones, seleccione Todas las tareas y, a continuación, seleccione Enviar nueva solicitud.
    2. Seleccione el archivo CSR y haga clic en Open (Abrir).
    3. En la ventana Autoridad de certificación, seleccione Solicitudes pendientes y seleccione la solicitud pendiente.
    4. En el menú Acción, seleccione Todas las Tareas y, a continuación, seleccione Problema.
    5. En la ventana Autoridad de certificación, seleccione Solicitudes emitidas para ver el certificado firmado.
  5. Opcional Para exportar el certificado firmado, haga lo siguiente:
    1. En la ventana Autoridad de certificación, seleccione el certificado.
    2. Seleccione el separador Detalles y, a continuación, seleccione Copiar en archivo.
    3. Complete las instrucciones del asistente de exportación de certificados.
  6. Haga clic en Cerrar.