Como implementar una CA de 2 Niveles sobre plataforma Microsoft.

1. ITSanchez, Compartiendo Conocimiento<br />ITSanchez<br />Documento: Infraestructura CA 2 Niveles <br />Fecha: TIME quot;
dd' de 'MMMM' de 'yyyyquot;
16 de diciembre de 2010<br />CONTENIDO<br /> TOC quot;
1-3quot;
OBJETIVO PAGEREF _Toc280281042 3<br />INTRODUCCION PAGEREF _Toc280281043 3<br />PRE-REQUISITOS PAGEREF _Toc280281044 5<br />VALIDEZ DE LOS CERTIFICADOS PAGEREF _Toc280281045 6<br />RESUMEN PAGEREF _Toc280281046 8<br />OBJETIVO<br />El presente documento tiene como objetivo establecer el diseño y las consideraciones para implementación de una Entidad Certificante Autorizada CA de dos niveles (RootCA/CA Issuing) utilizando las mejores prácticas y consideraciones para emitir certificados SSL privados. <br />INTRODUCCION<br />Este documento tiene por objetivo reflejar en alto nivel, el diseño de la solución de Infraestructura de CA que solo emitirá Certificados Digitales que serán utilizados por sitios webs seguros o a aplicaciones que lo requieran.<br />La solución de PKI propuesta se implementara tomando como guía algunas de las prácticas provistas por Microsoft.<br />En función de lo comentado se propone un modelo de 2 (dos) capas:<br />Capa 1: Root CA.<br />Capa2: CA Issuing.<br />Este modelo provee un mayor nivel de seguridad al proteger a la autoridad certificante de raíz (Root CA), aislándola de la red y manteniendo la misma fuera de línea.<br />El servidor que estar en línea será el responsable de la emisión de certificados ya sea vía Web, Auto enrolamiento (Autoenrollment) o vía la consola de gestión de Microsoft (Microsoft Management Console | MMC).<br />Para poder validar los certificados privados a través de internet se deben cumplir los siguientes requisitos:<br />Creación de un nuevo registro en el DNS público (Ej. ca.itsanchez.com.ar).<br />Se debe publicar por http puerto 80, el sitio del CA Issuing.<br />A continuación se detallaran los parámetros de configuración de cada uno de los componentes de la solución propuesta:<br />Instalación y configuración de un Enterprise Root CA.<br />Instalación de un Issuing CA<br />Emisión de certificados SSL.<br />El esquema funcional se muestra en la siguiente imagen:<br />Imagen 1<br />Para realizar la instalación se instalaron dos equipos con la siguiente configuración:<br />Sistema OperativoRolEn DominioEstadoWindows 2008 RTM SP2 Standard o R2RootCANoOfflineWindows 2008 RTM SP2 Enterprise 0 R2Issuing CASiOn Line<br />Tabla 1<br />PRE-REQUISITOS<br />Para dar comienzo a la implementación es necesario que el cliente realice las siguientes acciones: <br />Instalación del sistema operativo de los servidores contemplados dentro de la implementación <br />Instalación de actualizaciones de S.O. y seguridad en los servidores (físicos/virtuales) contemplados dentro de la implementación. <br />El equipo a utilizar como Root CA no tiene que formar parte del dominio (Windows 2008 Standard)<br />Unir el equipo a utilizar como Issuing CA (Windows 2008 Enterprise) al dominio.<br />Los servidores de CA deben estar instalados en particiones NTFS. Si el objetivo es tener una disponibilidad del 99,9% es recomendable utilizar una solución de tipo RAID 1 (Mirroring) para la partición del S.O. de los servidores físicos. <br />Es importante tener en cuenta la capacidad de almacenamiento en el caso de que los servidores estén pensados para emitir gran cantidad de certificados. Se recomienda un mínimo de 20Gb por servidor para las bases de certificados. <br />VALIDEZ DE LOS CERTIFICADOS<br />Configuración Root CA CAPolicy.inf:<br />[Version]Signature=quot;
$Windows NT$quot;
<br />[Certsrv_Server]<br />RenewalKeyLength=4096 <br />RenewalValidityPeriod=Years <br />RenewalValidityPeriodUnits=20 <br />[CRLDistributionPoint] <br />empty=true<br />[AuthorityInformationAccess] <br />empty=true<br />[PolicyStatementExtension]<br />Policies=AllIssuancePolicy<br />Critical=FALSE<br />[AllIssuancePolicy]<br />OID=2.5.29.32.0<br />URL=http://[url]/CPS<br />En este archivo estamos configurando la Root CA para generar un certificado de 4096 Bits con un periodo de validez de 20 años.<br />Configuración CA Issuing CAPolicy.inf:<br />[Version]Signature=quot;
$Windows NT$quot;
<br />[Certsrv_Server]<br />RenewalKeyLength=2048 <br />RenewalValidityPeriod=Years <br />RenewalValidityPeriodUnits=10 <br />CRLPeriod=DaysCRLPeriodUnits=14<br />CRLDeltaPeriod=DaysCRLDeltaPeriodUnits=2<br />[CRLDistributionPoint]URL=http://[url] /CDP/RootCA.crl<br />[AuthorityInformationAccess]URL=http://[url]/CDP/ca-root-01_RootCA.crtEn este archivo estamos configurando una CA Issuing para generar un certificado de 2048 Bits con un periodo de validez de 10 años.<br />RESUMEN<br />Se describen los requisitos que se deben cumplir para montar una entidad certificante de dos niveles sobe plataforma Microsoft.<br />Buenos Aires, TIME quot;
dd' de 'MMMM' de 'yyyyquot;
16 de diciembre de 2010<br />Guillermo Sánchez<br />Consultor IT<br />