Hoy vamos a ver algunas cosas de Windows Server 2012, mas puntualmente sobre Certificados y que cambios presenta esta nueva versión. Debemos tener en cuenta que es sobre una versión preliminar y puede tener cambios en futuras versiones.
Los Servicios de certificado de Active Directory (AD CS) en Windows Server 2012 ofrecen nuevas características y funcionalidades en comparación con las versiones anteriores.
Esta funcionalidad (AD CS) nos proporciona servicios personalizables para emitir y administrar certificados de infraestructura de clave pública (PKI) que frecuentemente utilizamos en sistemas de seguridad de software que emplean tecnologías de clave públicas. La función de servidor de AD CS incluye seis servicios de rol:
-
Entidad emisora de certificados (CA)
-
Inscripción en Web
-
Respondedor en línea
-
Servicio de inscripción de dispositivos de red
-
Servicio Web de directiva de inscripción de certificados
-
Servicio Web de inscripción de certificados
Las nuevas funciones disponibles en la versión de Windows Server 2012 de AD CS, incluyen:
-
Integración con el administrador del servidor
-
Capacidades de implementación y administración de Windows PowerShell ®
-
Todos los servicios de rol de AD CS ejecutarán en cualquier versión de Windows Server 2012
-
Todos los servicios de rol de AD CS se pueden ejecutar en Server Core
-
Apoyo a la renovación automática de certificados de dominio no se unió a los equipos
-
Aplicación de renovación de certificado con la misma clave
-
Soporte para nombres de dominio internacionales
-
Mayor seguridad habilitada de forma predeterminada en el servicio de rol de CA
La Integración con el administrador del servidor es por medio de la consola Server Manager que nos proporciona una interfaz gráfica de usuario centralizada para instalar y administrar la función de servidor de AD CS y su papel de seis servicios.
Esto nos da un valor agregado, el feature AD CS y sus servicios están integrados en Server Manager, y nos permite instalar el servicio de rol de AD CS en el menú Administrar utilizando Agregar Roles y características. Una vez que añadimos la función de servidor, AD CS aparece en la consola de administrador de servidor como uno de los roles que se pueden administrar. Esto proporciona una ubicación central desde donde podemos implementar y administrar AD CS y los servicios de rol. Además, el nuevo Manager Server nos permite administrar varios servidores desde una única ubicación y puede ver los servicios de rol de AD CS instalados en cada servidor, revisar eventos relacionados y realizar tareas de administración en cada servidor.
El metodo de la instalación de AD CS es similar a la de la versión anterior, excepto que para la división del proceso de instalación binaria y el proceso de configuración. Previamente la instalación y configuración era un sencillo asistente. En el nuevo proceso de instalación, primero debemos instalar los archivos binarios y, a continuación, podemos iniciar el Asistente de configuración de AD CS para configurar los servicios de rol que ya tienen sus archivos binarios instalados. Para quitar la función de servidor de AD CS, si lo podemos hacer directamente desde Quitar Roles y funciones en el menú de administración. También, podemos configurar todos los servicios de rol de AD CS o quitar sus configuraciones utilizando los cmdlets de AD CS desde Windows PowerShell.
Todas las versiones de Windows Server 2012 le permiten instalar todos los servicios de rol de AD CS, antiguamente no era así. En la versión Enterprise y Datacenter podíamos utilizar todos los features, en la estándar era limitado, y en la versión Web directamente no podíamos implementarlo. En Windows Server 2012, las seis versiones tienen disponibles los servicios de AD CS. Los seis de los servicios de rol de Windows Server 2012 AD CS se pueden instalar y ejecutar en las instalaciones Server Core de Windows Server 2012 o las opciones de instalación mínima interfaz de servidor.
Un tema muy importante, los denominados Servicios de Web de inscripción de certificados es una característica que fue agregada en Windows 7 y Windows Server 2008 R2. Esta característica permite que las solicitudes de certificados en línea provienen de dominios no confiables de servicios de dominio de Active Directory (AD DS) o incluso de los equipos que no están Unidos a un dominio. AD CS en Windows Server 2012 se basa en los servicios de Web de inscripción de certificados mediante la adición del feature de renovación automática de certificados para los equipos que forman parte de los dominios de confianza AD DS o no unidos a un dominio.
Esto es esencial para los administradores que ya no necesitan renovar manualmente certificados para equipos que son miembros de grupos de trabajo o posiblemente unieron a un dominio de AD DS diferente o un bosque.
En definitiva, los Servicios de Certificate Server Web siguen funcionando como lo hacían antes, pero ahora los equipos que están fuera del dominio pueden renovar sus certificados mediante su certificado existente para la autenticación.
AD CS en Windows Server 2012 introduce las plantillas de certificado 4 versión. Estas plantillas tienen varias diferencias de versiones anteriores. Las Plantillas de certificado de la versión 4 nos ofrecen:
-
Soporte de proveedores de servicios criptográficos (CSP) y proveedores de servicios clave (KSPs).
-
pueden establecerse para exigir la renovación con la misma clave.
-
sólo están disponibles para su uso por 8 versión previa de Windows ® y Windows Server 2012.
-
Especifique la autoridad de certificación mínima y sistemas operativos de cliente que se puede utilizar la plantilla de certificado.
Para ayudar a los administradores a separar qué características son compatibles con la versión de sistema operativo, la ficha compatibilidad fue agregada a la ficha de propiedades de plantilla de certificado. La nueva ficha de compatibilidad permite a los administradores establecer diferentes combinaciones de sistemas operativos para la certificación de autoridad y certificado de clientes y ver sólo las opciones que funcionarán con las versiones de cliente. Hay que tener en cuenta que los clientes anteriores a Windows 8 y Windows Server 2012 no será capaces de tomar ventaja de las nuevas plantillas de la versión 4.
También con AD CS en Windows Server 2012 aumenta la seguridad al exigir la renovación de un certificado con la misma clave. Esto permite que el mismo nivel de seguridad de la clave original para mantenerse durante todo su ciclo de vida. Windows Server 2012 apoya generar claves protegidas Trusted Platform Module (TPM) mediante proveedores de almacenamiento de claves basada en TPM (KSPs). La ventaja de utilizar KSP basada en TPM es la no exportabilidad de las claves respaldadas por el mecanismo anti-martilleo (anti-hammering mechanism) del TPMs. Los administradores pueden configurar plantillas de certificado, por lo que Windows 8 y Windows Server 2012 podrán dar mayor prioridad a KSPs basada en TPM para generar claves.
Algo que debemos tener en cuenta es que al Introducir el número de identificación personal (PIN) incorrectamente demasiadas veces activa la lógica anti-martilleo de TPM; que es un método de software o hardware que aumenta la dificultad y el costo frente a un ataque de fuerza bruta en un cierto tiempo.
Esta función permite a un administrador aplicar la renovación con la misma clave, que puede reducir los costes administrativos (cuando las claves se renuevan automáticamente) y aumentar la seguridad de la clave (cuando las claves se almacenan utilizando KSPs basada en TPM).
Lo distinto es que los clientes que reciben certificados de plantillas que están configuradas con la misma clave de renovación deben renovar sus certificados utilizando la misma clave o renovación se producirá un error. Además, esta opción sólo está disponible para clientes de certificado de Windows 8 y Windows Server 2012.
Nombres internacionalizados son nombres que contengan caracteres que no pueden representarse en ASCII. AD CS en Windows Server 2012 admite nombres de dominio internacionalizados (IDN) en varios escenarios.
Ahora se admiten los siguientes escenarios IDN
-
Inscripción de certificados para equipos que utilicen nombres de dominio internacionalizados
-
Generar y enviar una solicitud de certificado con un IDN utilizando la herramienta de línea de comandos certreq.exe
-
Publicación de listas de revocación de certificados (CRL) y Protocolo de estado de certificados en línea (OCSP) publicación en servidores utilizando nombres de dominio internacionalizados
-
La interfaz de usuario de certificado admite nombres de dominio internacionalizados
-
El complemento MMC de certificados también permite nombres de dominio internacionalizados en Propiedades de certificado
Cuando se recibe una solicitud de certificado por una autoridad de certificación (CA), puede aplicarse cifrado para la solicitud de la entidad emisora de certificados a través de la RPC_C_AUTHN_LEVEL_PKT. En Windows Server 2008 R2 y versiones anteriores, esta opción no estaba habilitada de forma predeterminada en la CA. En una CA de Windows Server 2012, esta configuración de seguridad mejorada está activada de forma predeterminada.
La CA exige mayor seguridad en las peticiones que se envían a la misma. Este mayor nivel de seguridad requiere el cifrado de los paquetes de solicitud de un certificado, por lo que no pueden ser interceptados y leídos. Sin esta opción habilitada, cualquier persona con acceso a la red puede leer paquetes enviaron desde la CA y utilizando un analizador de red. Esto significa que podría estar expuesto a información que puede ser considerado una violación de la privacidad, tales como los nombres de los que solicitan los usuarios o equipos, los tipos de certificados para que ellos se reclutaron, las claves públicas involucradas y así sucesivamente. Dentro de un dominio o bosque, la pérdida de estos datos no puede ser una preocupación para la mayoría de las organizaciones. Sin embargo, si los atacantes obtienen acceso para el tráfico de red, estructura interna de la empresa y actividad podría ser recopilado, que podría utilizarse para más de ingeniería social dirigida o phishing ataques.
Espero que les sea de utilidad y de interés; les dejo unos links con material adicional. Próximamente estaré viajando a USA para participar del Staff del TechEd, con lo cual voy a estar complicado con los tiempos pero podre traer información fresca y certera acerca de Windows Server 2012 y de Windows 8. Hasta ahora no podía publicar material al respecto, pero ya si, con lo cual tengo mucho material que iré publicando con el pasar de los días.
Saludos, Roberto Di Lello.
Tecnologías relacionadas
- Active Directory Certificate Services Overview
- MS WIKI: Active Directory Certificate Services (AD CS) Overview
- Windows Server 2008 R2 Active Directory Overview
- Blog de PKI de Windows
- Active Directory Certificate Services (AD CS) Public Key Infrastructure (PKI) Frequently Asked Questions (FAQ)
- MS WIKI: Windows PKI Documentation Reference and Library
Buenos dias, disculpa que te escriba sin conocerte, pero en verdad necesito ayuda urgente.
Soy de panamá y se hizo una separación de un servidor de correo en el cual estaban 2 empresas.
La empresa principal quedo en el servidor viejo win server 2003 y exchange
La empresa secundaria en el servidor nuevo win server 2003
El problema es que en el servidor nuevo se están quejando los usuarios que no refresca la lista general de contactos
ya le hice rebuild y se le colocó 1 hora como parámetro de refresco y no refresca la lista de contactos generales.
La unica forma es que ellos antes de envbiar un correo manualmente pidan refrescar la lista pero eso no lo podemos hacer ya que son muchos ususrios que se necesitan migrar y queria sdaber si habia alkgo un script a algo que se le pueda colocar para que cuando e usuario se firme se ejecute para bajarle la lista de contactos al usuario
GRACIAS.
Hola investigando me consegui con un reporte de error 3033 donde me dice que la media esta tardando mucho y el tiempo de espera de esa media para gewnerar el reporte de advertencia es de 9 minutos
Esto me lleva a que el sincronizador de active directory no esta funcioinando
Me puedes ayudar en eso?
/racias y saludos
Enviado desde mi BlackBerry de Claro Panamá
Antonio,disculpa mi demora en contestar pero justo sali de vacaciones y a mi vuelta estuve medio complicado con los tiempos. No hay problema con contactarme, de hecho es la idea. Si puedo ayudarte bienvenido.
Me suena raro tu error. Tenes algun evento asociado? revisa los eventos de sistema a ver si hay algo raro. Por otro lado, el servidor se conecta bien con el DC???
Te paso un par de notas que por ahi aplican a tu ambiente:
* Enterprise firewall configuration for Exchange ActiveSync Direct Push Technology http://support.microsoft.com/kb/905013
* Event ID 3033 When Using ActiveSync http://forums.msexchange.org/m_1800403327/mpage_1/key_/tm.htm#1800559266
Por otro lado, no se porque desconfias del AD, pero puedes probar la replicacion con el comando repadmin /showreps ahi podras ver si funciona o no. Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!
Buenos dias!!!!!!!!!!!!! tengo una duda/problema!
Instale la consola de WSUS en w2k8 r2. Pero nada mas veo el equipo controlador de dominio :S
Se que por medio de GPO se puede pero no tengo idea de como se hace, pueden ayudarme? Se los agradeceria demasiado
Saludos
Victor Camacho, disculpa mi demora en contestar pero estuve en el TechEd en USA y estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. Te cuento que lo que queres hacer es muy sencillo, podes utilizar WSUS en donde configuras donde bajas los fixes, y configuras por politicas cuando instalas y como (si requiere reiniciar o no).
Te paso algunos links donde hablo del tema:
* WSUS SP1 Configuracion {HOWTO} http://www.radians.com.ar/blog/?p=296
* Configuracion de WSUS via Group Policies {HOWTO} http://www.radians.com.ar/blog/?p=485
* Implementacion Windows Update Services 3.0 Service Pack 1 {ScreenCast HOWTO} http://www.radians.com.ar/blog/?p=430
* Configurando Windows Update Server 3.0 Service Pack 1 {ScreenCast HOWTO} http://www.radians.com.ar/blog/?p=436
* Windows Server Update Services 3.0 (WSUS v3.0) Instalación Step-By-Step http://www.radians.com.ar/blog/?p=98
* Windows Server Update Services 3.0 (WSUS v3.0) Instalación Step-By-Step http://www.radians.com.ar/blog/?p=98
* WSUS SP1 Configuracion {HOWTO}http://www.radians.com.ar/blog/?p=296
Espero te sean de utilidad. Saludos! Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!
Muchisimas gracias Roberto.
Enviado desde mi BlackBerry de Claro Panamá
Por nada, un placer haber podido ayudar. Cualquier cosa seguimos en contacto. Saludos.
Hola Roberto Como va?.
Disculpa que te joda. Pero quería consultarte o pedirte un consejo sobre lo siguiente. Por un intento de entrar en un puesto muy interesante, me metí a hacer un curso de server 2012 online, en It college. con la opción de certificar. Pero me encuentro con que no es algo tan básico, y al no saber nada de servidores, me encuentro con chino básico. Al ver que me pasaba esto decidí tratar de investigar y así llegué acá. Por otro lado estoy tratando de bajarme el windows server e instalarlo en una maquina virtual para ir probando. Pero la verdad es que me siento muy en la nada y no me quiero ni imaginar el tema de dar los examenes y la certificación. Qué podría hacer? Qué me recomendas?.
Igual entiendo que mucho más no puedo hacer, pero con intentar buscar consejos no pierdo nada.
Desde ya muchas gracias. Muy bueno tu blog.
Saludos
Mariano G., disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.
Buenisima la iniciativa. Esta bueno que lo hagas online, pero la verdad una pena que no encontraste el blog antes. comentame cual es el curso que estas realizando? a que MOC corresponde? te cuento, fijate segun la curricula que aca en el blog hay un monton de material, no se si todo pero si una gran parte. Hay como instalar un windows server, como promoverlo a Domain controller, como se utilizan las consolas de administracion, que diferencias hay entre las versiones de WS, como funcionan los dns, como funcionan los DHCP, como administrar nuestro dominio con politicas de grupo. Realmente hay mucho material, ya son 7 años colaborando con la comunidad y tenes desde notas a videos.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”
Seguimos en contacto! Saludos y gracias!