Solicitar un certificado de una entidad de certificación local

  • Artículo

Publicada: noviembre de 2009

Se aplica a: Forefront Threat Management Gateway (TMG)

Si los certificados de servidor son para uso interno, puede crear una entidad de certificación local (CA) en vez de comprar un certificado comercial.

Para configurar una entidad de certificación local

  1. Abra el Panel de control.

  2. Haga doble clic en Agregar o quitar programas.

  3. Haga clic en Agregar o quitar componentes de Windows.

  4. Haga doble clic en Servidor de aplicaciones.

  5. Haga doble clic en Internet Information Services (IIS).

  6. Haga doble clic en Servicio World Wide Web.

  7. Seleccione Páginas Active Server.

  8. Haga clic en Aceptar para cerrar el cuadro de diálogo Servicio World Wide Web, haga clic en Aceptar para cerrar el cuadro de diálogo Internet Information Services (IIS) y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Servidor de aplicaciones.

  9. Seleccione Servicios de servidor de certificados. Lea el mensaje de advertencia sobre el nombre del equipo y su pertenencia a un dominio. En el cuadro de diálogo de la advertencia, haga clic en si desea continuar y, a continuación, haga clic en Siguiente en la página Componentes de Windows.

  10. En la página Tipo de entidad de certificación, elija una de las siguientes opciones y haga clic en Siguiente:

    • CA raíz de la empresa. Se debe instalar una entidad de certificación raíz de empresa en un miembro del dominio. La entidad de certificación raíz de empresa emitirá certificados automáticamente cada vez que se los soliciten los usuarios autorizados (reconocidos por el controlador de dominio).

    • Entidad de certificación raíz independiente. Una entidad de certificación raíz independiente necesita que el administrador emita cada certificado solicitado.

  11. En la página Identificación de la entidad de certificación, escriba un nombre común para la entidad de certificación, compruebe el sufijo de nombre completo, seleccione un período de validez y, a continuación, haga clic en Siguiente.

  12. En la página Configuración de la base de datos de certificados, revise la configuración predeterminada. Compruebe las ubicaciones de la base de datos. Haga clic en Siguiente.

  13. En la página Finalización del Asistente para componentes de Windows, revise la información de resumen y haga clic en Finalizar.

Nota

Este procedimiento también instala los servicios que permiten a los equipos obtener los certificados a través de una página web. Si prefiere utilizar un enfoque distinto para obtener los certificados de los equipos, no es necesario que realice las instalaciones de IIS (Internet Information Server) ni de las páginas Active Server (ASP) que se describen en este procedimiento.

Debe publicar el sitio web de la entidad de certificación para permitir el acceso a él. Para limitar el acceso al sitio web, puede publicar únicamente las carpetas específicas del sitio web necesarias para un grupo específico de usuarios, en lugar de publicar un servidor completo para todos los usuarios. Para obtener más información acerca de la publicación de web, vea Planeación de publicación.

Para instalar un certificado de servidor

  1. Abra Internet Explorer.

  2. En el menú, seleccione Herramientas y, a continuación, Opciones de Internet.

  3. Seleccione la ficha Seguridad y, en Seleccionar una zona para ver o modificar la configuración de seguridad, haga clic en Sitios de confianza.

  4. Haga clic en el botón Sitios para que se abra el cuadro de diálogo Sitios de confianza.

  5. En Agregar este sitio web a la zona de, proporcione el nombre del sitio web del servidor de certificados (http://dirección IP del servidor de entidad de certificación/certsrvname) y, a continuación, haga clic en Agregar.

  6. Haga clic en Cerrar para que se cierre el cuadro de diálogo Sitios de confianza y, a continuación, haga clic en Aceptar para cerrar Opciones de Internet.

  7. Vaya a la dirección:

    http://dirección IP del servidor de la entidad de certificación/certsrv

  8. Solicite un certificado.

  9. Seleccione Solicitud de certificado avanzada.

  10. Seleccione Crear y enviar una solicitud a esta entidad.

  11. Complete el formulario y seleccione Certificado de autenticación de servidor en la lista desplegable Tipo. Para evitar que el cliente reciba un mensaje de error al intentar establecer la conexión, es vital que el nombre común especificado para el certificado coincida con el nombre del servidor publicado, como se indica a continuación:

    • En un entorno de publicación de servidor, escriba el nombre de dominio completo (FQDN) para el servidor que está publicando en Nombre común.

      Nota

      Si desea ver una explicación de las opciones disponibles en la página Solicitud de certificado avanzada, consulte el artículo sobre el uso de páginas web de Servicios de Certificate Server en Windows Server 2003 (https://www.microsoft.com).

    • En un entorno de publicación de web, para solicitar un certificado del equipo Forefront TMG, escriba el nombre de host que los clientes externos escribirán en su explorador web para obtener acceso al sitio web; por ejemplo, news.adatum.com.

    • En un entorno de publicación de web, si instala también un certificado de servidor en el servidor web, además del certificado necesario en el equipo Forefront TMG, el nombre común debe ser el nombre de host que utiliza el equipo Forefront TMG para enviar mensajes de solicitud HTTP al servidor web mediante la regla de publicación de web. Este nombre debe poder resolverse en forma de dirección IP del servidor web y debe ser el mismo que el FQDN del servidor web, por ejemplo, webserver1.adatum.com.

  12. Seleccione Almacenar el certificado en el almacén de certificados del equipo local y envíe la solicitud haciendo clic en Enviar. Lea el mensaje de advertencia que aparece y haga clic en .

  13. Si ha instado una entidad de certificación raíz independiente, realice los pasos siguientes en el equipo de la entidad de certificación. En una entidad de certificación raíz de empresa, estos pasos están automatizados.

    1. Haga clic en Inicio, Todos los programas, Herramientas administrativas y, a continuación, en Entidad de certificación para abrir el complemento Entidad de certificación de Microsoft Management Console (MMC).

    2. Expanda el nodo NombreCA, donde NombreCA es el nombre de su entidad de certificación.

    3. Haga clic en el nodo Solicitudes pendientes, haga clic con el botón secundario en su solicitud, seleccione Todas las tareas y, a continuación, seleccione Emitir.

  14. En el equipo Forefront TMG, vuelva a la página web http://dirección IP del servidor de la entidad de certificación/certsrv y, a continuación, haga clic en Ver estado de solicitud pendiente.

  15. Haga clic en su solicitud y elija Instalar este certificado.

  16. Siga estos pasos para comprobar que el certificado de servidor se ha instalado correctamente.

    1. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y, a continuación, haga clic en Aceptar.

    2. En la ventana Console1, haga clic en el menú Archivo y luego en Agregar o quitar complemento.

    3. En el cuadro de diálogo Agregar o quitar complemento, seleccione Certificados y, a continuación, haga clic en Agregar.

    4. En la página Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.

    5. En la página Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.

    6. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.

    7. En el árbol de la consola, amplíe el nodo Certificados (equipo local), expanda Personal, haga clic en Certificados y, a continuación, haga doble clic en el nuevo certificado de servidor. En la ficha General, deberá figurar la siguiente nota: Tiene una clave privada correspondiente a este certificado. En la ficha Ruta de certificado, deberá verse una relación jerárquica entre su certificado y la entidad de certificación (CA), así como la siguiente nota: Este certificado es correcto.

    8. Cierra la ventana Console1.

Nota

Este procedimiento debe realizarse en un equipo que requiera un certificado digital. En el caso de la publicación de web, este sería, como mínimo, el equipo Forefront TMG, aunque podría incluirse también el equipo del servidor web. En el caso de la publicación de servidor, se trataría únicamente del equipo del servidor que se está publicando. Si instaló una entidad de certificación raíz independiente en lugar de una entidad de certificación raíz de empresa, también se deben realizar determinadas acciones en la entidad de certificación.

En un equipo Forefront TMG, el certificado de servidor de la entidad de certificación debe guardarse en el almacén personal de certificados del equipo de Forefront TMG. El certificado raíz de la entidad de certificación debe guardarse en el almacén Entidades de certificación raíz de confianza del equipo de Forefront TMG.

Para que un equipo cliente confíe en los certificados de servidor que ha instalado desde una entidad de certificación local, este equipo tiene que tener instalado el certificado raíz de la entidad de certificación. Siga este procedimiento en cualquier equipo cliente que requiera el certificado raíz. Tenga en cuenta que también puede transferir el certificado raíz en un medio como, por ejemplo, un disco, e instalarlo a continuación en el equipo cliente.

Para instalar un certificado raíz

  1. Abra Internet Explorer.

  2. En el menú, seleccione Herramientas y, a continuación, Opciones de Internet.

  3. Seleccione la ficha Seguridad y haga clic en Personalizar nivel para abrir el cuadro de diálogo Configuración de seguridad. En el menú desplegable Restablecer configuración personal, establezca el valor en Media, haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de seguridad y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.

    Nota

    No es posible instalar el certificado cuando la configuración de seguridad tiene el valor Alta.

  4. Vaya a la dirección:

    http:// dirección IP del servidor de la entidad de certificación/certsrv

  5. Haga clic en Descargar certificado de entidad de certificación, cadena de certificados o lista de revocación de certificados. En la página siguiente, haga clic en Descargar certificado de entidad de certificación. Este es el certificado raíz de la entidad de certificación que debe instalarse en el equipo Forefront TMG. En el cuadro de diálogo Descarga de archivos, haga clic en Abrir.

  6. En el cuadro de diálogo Certificado, haga clic en Instalar certificado para iniciar el Asistente para importación de certificados.

  7. En la página de bienvenida del Asistente para importación de certificados, haga clic en Siguiente. En la página Almacén de certificados, seleccione Colocar todos los certificados en el siguiente almacén y haga clic en Examinar. En el cuadro de diálogo Seleccionar almacén de certificados, seleccione Mostrar almacenes físicos. Expanda Entidades de certificación raíz de confianza, seleccione Equipo local y, a continuación, haga clic en Aceptar. En la página Almacén de certificados, haga clic en Siguiente.

  8. En la página Finalización del Asistente para importación de certificados, revise los detalles y haga clic en Finalizar.

  9. Siga estos pasos para comprobar que el certificado raíz se ha instalado correctamente.

    1. Abra el complemento Certificados (equipo local) de Microsoft Management Console (MMC).

    2. Expanda el nodo Entidades de certificación raíz de confianza, haga clic en Certificados y compruebe que el certificado raíz está en su lugar.

    Nota

    También puede instalar los certificados en un equipo desde el complemento de MMC Certificados (Equipo local). Sin embargo, esto solo proporciona acceso a las entidades de certificación del mismo dominio.