Instalar una PKI y una PKI subordinada de AD en Windows Server 2008 R2

Me ha surgido la duda de instalar una PKI subordinada de empresa perteneciente a un Directorio Activo dependiendo de una CA/PKI que no era de empresa.

A parte de mover certificados .cer, .p7b, .crl de un lado para otro lo importante es la CRL (Lista de Revocación de Certificados).

No se puede crear una entidad subordinada si la principal no publica una CRL con todos sus certificados revocados para estar al día la una con la otra. Eso se hace en las propiedades de la "Autoridad Certificadora" principal en la pestaña "Extensiones" en la que hay que añadir la ruta web del archivo .crl o la ruta de carpeta compartida donde está ese mismo archivo.

En local está en:
      c:\windows\system32\certsrv\certenroll\.crl
en remoto en:
         http://-equipo-/certenroll/-archivo-.crl
      ó 
        \\-equipo-\certenroll\-archivo-.crl

Una vez hecho eso correctamente instalas la PKI subordinada, le solicitas el certificado a la PKI principal (lo obtienes por la inscripción web) y poco mas.... a trabajar

Bueno, tengo una duda con las todas las propiedades que he marcado en las "extensiones".... pero ya investigaré detalladamente que es cada uno de los checkbox que he marcado.

Un saludo.

Failover Cluster en Windows Server 2008 R2

Buenas tardes.


Me he puesto a probar un tema muy interesante que es el "Cluster de conmutación por error" o "Failover Cluster".


Y he realizado una serie de vídeos mostrando como se hace.
Si, reconozco que son unos cuantos... y que aparecen temas no muy conocidos como:

• Cluster
• Quorum
• LUN
• iSCSI
• Latido
• Nodos
• Mayoría de Nodos y Disco
• Target o destino iSCSI
• Discos virtuales (.vhd)
• Alta disponibilidad

Pero me ha gustado bastante trastear con ello.

Lo ideal hubiese sudo hacer un cluster de virtualización con el HyperV, pero para eso necesitaba al menos dos máquinas reales que soportasen HyperV y mas o menos con la misma configuración de hardware además de un tercer equipo que fuese DC y una SAN con soporte iSCSI lo cual no estaba a mi disposición.

Así que lo que he hecho ha sido utilizar máquinas virtuales:

• Nodo 1 con Windows Server 2008 R2
• Nodo 2 con Windows Server 2008 R2
• DC con windows Server 2008 R2 que a la vez hacía de almacenamiento SAN utilizando el "Target iSCSI 3.3 de Microsoft".
• Hacer un cluster en el que pongo en alta disponibilidad el servicio DFS.

Bueno, cuelgo los videos.....

1. Preparo el entorno con los roles y características necesarios
2. Creo el cluster utilizando el asistente de "Clusteres de conmutación por error"
3. Creo el destino iSCSI y LUN para el disco de QUORUM y lo añado al cluster para ponerlo en modo "Mayoría de Nodos y disco"
4. Después de eso añado las LUN de los dos servicios DFS que quiero poner en alta disponibilidad y pruebo un poco a ver como pasa el almacenamiento de un NODO al otro según van fallando o pasa algo.
5. Configuro dos veces el servicio DFS, lo pruebo y simulo fallos en el servicio para ver como los dos nodos pasan de estar en estado ACTIVO/ACTIVO a ACTIVO/ERROR o ERROR/ACTIVO.... incluso los dos en error y luego ver como se puede volver a recuperar el servicio. Ver como se pasa el servicio de un nodo a otro o cualquier cosa que se os ocurra.

Espero que os guste.

Un saludo.

Video 1
Video 2
Video 3
Video 4
Video 5

Sitio Web IIS con SSL/HTTPS y encabezados de host. Windows Server 2003

En principio parece que no se puede tener un varios sitios web seguros (HTTPS) utilizando SSL y el mismo puerto (443) y la misma ip.

Pero no es del todo cierto.
Cumpliendo una serie de condiciones se puede hacer tanto en Windows Server 2003 Sp2 como en Windows Server 2008.

Windows Server 2003

1- Si se quiere tener varios sitios 443 con https se necesita un certificado comodín. Por ejemplo, *.imsi.com Sólo tienes que solicitarle del primer sitio web https que crees y obtenerlo de tu PKI.

2- Se generan los sitios web en los que aplicar el certificado....

• https://desarrollo.imsi.com/
(donde solicitaremos el certificado *.imsi.com)

• http://seguro.imsi.com/
(luego le aplicamos el certificado)

• Etc.

Con ese único certificado puedes asegurar varios sitios web. El 2003 no permite desde la consola aplicar ese certificado a varios sitios como si fuese el encabezado de host (el Windows Server 2008 ya lo permite)

Por lo que necesitas aplicar esa configuración mediante el script adsutil
El script adsutil.vbs está en la carpeta c:\inetpub\adminscripts\.

cscript.exe adsutil.vbs set /w3svc/1630906790/SecureBindings ":443:desarrollo.imsi.com"
cscript.exe adsutil.vbs set /w3svc/1735288564/SecureBindings ":443:seguro.imsi.com"

Y ya funciona. De todas maneras en los dominios que hayas creado el certificado luego tienes que ir a sus Propiedades--> Seguridad de Directorios--> Certificado de Servidor --> Asignar un certificado ya existente y seleccionar *.imsi.com





Es posible que funcione con cualquier dominio aunque no terminen en imsi.com.... el problema es que en los sitios que no pertenezan a ese dominio dará el error de certificado no válido y saldrá el escudo rojo de aviso de que hay un problema.


Parte de la información la he obtenido de:
http://technet.microsoft.com/es-es/library/cc781546.aspx

Esta es la consola de Administración del Internet Information Server mostrando que se puede tener varios sitios funcionando en el puerto 443.
Ahhhhh, el encabezado de host que muestra la consola no es el encabezado de host del puerto 443, es el del puerto 80.

La prueba de que realmente podemos asegurar dos sitios (o más) lo tenemos en las siguiente imágenes:

Sitio web https://desarrollo.imsi.com/
Sitio web https://seguro.imsi.com/ También he probado que pasa si creo otro sitio web con https (443) con otro encabezado de host que no sea *.imsi.com... pues con el localhost también permite hacerlo aunque obviamente da el error del certificado que he mencionado antes.
lo que no impide entrar a la página https://localhost/

Espero que os sirva.

Otro día haré un artículo con el Windows Server 2008. Aunque el proceso es mucho mas fácil ya que el sí permite hacerlo a través de la consola gráfica.

Windows 7

Si. Ya había visto a la gente descargarse una versión del windows 7 del Torrent... pero no había sentido la necesidad de hacerlo.

Pero ayer han puesto a disposición de los usuarios de MSDN, Technet Plus, MVP, etc l descarga de la versión beta 7.000 así que no me he podido resistir.

Ya estoy probando la instalación del Windows 7. Ya se han escrito muchas líneas sobre el nuevo sistema operativo que va a sustituir inmediatamente a mi tan querido Vista. La gente va a saltar directamente del XP al Windows 7.

Venga. Voy a utilizar mi suscripción a Technet Plus para la descarga.

DNS. Entender como funciona Internet. III de III

Tercera parte. Después de crear las zonas primarias, las secundarias, los registros de tipo A, CNAME, NS, SOA y NX y de modificar las propiedades de transferencias de zona, servidores de nombre y propiedades del registro SOA creamos un nuevo servidor DNS que va a contener la delegación a cada uno de los tres servidores primarios que ya teníamos configurados.

También hemos añadido el nuevo servidor DNS como sugerencia raiz de los otros 3 servidores para que así se resuelvan las peticiones DNS desde cualquier ordenador. Lo hemos verificado con la herramienta PING (Se podría haber usado nslookup).

He dividido el curso en tres partes. (cada video dura aproximandamente 15 minutos)

I - Instalación y creación de zonas principales. Tipos de registros.
II - Creación de zonas secundarias. Transferencias de zonas.
III - Delegación de zonas. Sugerencias raiz.






Si quieres descargar el video lo tienes disponible en el siguiente enlace:

Una pequeña presentación de varios conceptos de DNS..

DNS. Resolucion de Nombres

View SlideShare presentation or Upload your own. (tags: cname nombres)

DNS. Entender como funciona Internet, II de III

Segunda parte en la que creamos las zonas secundarias y damos permiso en los servidores que mantienen las zonas primarias para la transferencia de zona.
He dividido el curso en tres partes. (cada video dura aproximandamente 15 minutos)

I - Instalación y creación de zonas principales. Tipos de registros.
II - Creación de zonas secundarias. Transferencias de zonas.
III - Delegación de zonas. Sugerencias raiz.





Si quieres descargar el video lo tienes disponible en el siguiente enlace:

DNS. Entender como funciona Internet. I de III

He realizado este videotutorial para entender un poco mas el funcionamiento de los servidores DNS en internet.
Para ello he realizado el ejemplo de la siguiente imagen

En el cual he intentado reproducir un internet en pequeño desde la zona .com (desde la zona . también se prodría haber hecho).

He dividido el curso en tres partes. (cada video dura aproximandamente 15 minutos)

I - Instalación y creación de zonas principales. Tipos de registros.
II - Creación de zonas secundarias. Transferencias de zonas.
III - Delegación de zonas. Sugerencias raiz.


Quizás es un poco repetitivo, pero así se afianzan conceptos.
Está creado utilizando windows 2003 Server y Windows Server 2008.


Si hay cualquier error u omisión espero vuestros comentarios.

Si quieres descargar el video lo tienes disponible en el siguiente enlace:

Seguridad en la red

Los días 2 y 3 de octubre de 2008 se ha impartido el curso de seguridad en la red en el telecentro del ayuntamiento de Medio Cudeyo.
Se ha intentado reflejar la situación actual de internet y el cibercrimen para que el usuario finál sea consciente de las posibilidades que ofrece internet a los ciberdelincuentes.


Parece que los asistentes han salido un poco asustados. Eso supongo que servirá para concienciar del único método de estar seguro en internet..... "EL SENTIDO COMUN".

Si quieres ver la presentación en línea:

200810 Seguridad En La Red

View SlideShare presentation or Upload your own. (tags: seguridad internet)

Para descargar la presentación abra el siguiente enlace:

En ella he incluido dos documentos de la Agencia de Protección de Datos que me han parecido muy interesantes.