domingo, 18 de diciembre de 2011

Instalar una PKI y una PKI subordinada de AD en Windows Server 2008 R2

Me ha surgido la duda de instalar una PKI subordinada de empresa perteneciente a un Directorio Activo dependiendo de una CA/PKI que no era de empresa.

A parte de mover certificados .cer, .p7b, .crl de un lado para otro lo importante es la CRL (Lista de Revocación de Certificados).

No se puede crear una entidad subordinada si la principal no publica una CRL con todos sus certificados revocados para estar al día la una con la otra. Eso se hace en las propiedades de la "Autoridad Certificadora" principal en la pestaña "Extensiones" en la que hay que añadir la ruta web del archivo .crl o la ruta de carpeta compartida donde está ese mismo archivo.
En local está en:
      c:\windows\system32\certsrv\certenroll\.crl
en remoto en:
         http://-equipo-/certenroll/-archivo-.crl
      ó 
        \\-equipo-\certenroll\-archivo-.crl

Una vez hecho eso correctamente instalas la PKI subordinada, le solicitas el certificado a la PKI principal (lo obtienes por la inscripción web) y poco mas.... a trabajar


Bueno, tengo una duda con las todas las propiedades que he marcado en las "extensiones".... pero ya investigaré detalladamente que es cada uno de los checkbox que he marcado.

Un saludo.