{"id":3206,"date":"2016-08-24T08:17:00","date_gmt":"2016-08-24T11:17:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3206"},"modified":"2016-08-24T20:18:11","modified_gmt":"2016-08-24T23:18:11","slug":"active-directory-certificate-services-ad-cs","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3206","title":{"rendered":"Active Directory Certificate Services (AD CS)"},"content":{"rendered":"<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images2016\/ActiveDirectoryCertificateServicesADCS_11D74\/Certificate.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"border-top: 0px; border-right: 0px; border-bottom: 0px; margin-left: 0px; border-left: 0px; display: inline; margin-right: 0px\" border=\"0\" alt=\"www.radians.com.ar\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images2016\/ActiveDirectoryCertificateServicesADCS_11D74\/Certificate_thumb.jpg\" width=\"404\" align=\"left\" height=\"221\" \/><\/a> Hoy vamos a ver algunas cosas de Windows Server 2012, mas puntualmente sobre Certificados y que cambios presenta esta nueva versi\u00f3n. Debemos tener en cuenta que es sobre una versi\u00f3n preliminar y puede tener cambios en futuras versiones.<\/p>\n<p align=\"justify\"><font size=\"2\">Los Servicios de certificado de Active Directory (AD CS) en Windows Server 2012 ofrecen nuevas caracter\u00edsticas y funcionalidades en comparaci\u00f3n con las versiones anteriores. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Esta funcionalidad (AD CS) nos proporciona servicios personalizables para emitir y administrar certificados de infraestructura de clave p\u00fablica (PKI) que frecuentemente utilizamos en sistemas de seguridad de software que emplean tecnolog\u00edas de clave p\u00fablicas. La funci\u00f3n de servidor de AD CS incluye seis servicios de rol:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">Entidad emisora de certificados (CA)<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Inscripci\u00f3n en Web<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Respondedor en l\u00ednea<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Servicio de inscripci\u00f3n de dispositivos de red<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Servicio Web de directiva de inscripci\u00f3n de certificados<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Servicio Web de inscripci\u00f3n de certificados<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Las nuevas funciones disponibles en la versi\u00f3n de Windows Server 2012 de AD CS, incluyen:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">Integraci\u00f3n con el administrador del servidor<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Capacidades de implementaci\u00f3n y administraci\u00f3n de Windows PowerShell \u00ae<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Todos los servicios de rol de AD CS ejecutar\u00e1n en cualquier versi\u00f3n de Windows Server 2012<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Todos los servicios de rol de AD CS se pueden ejecutar en Server Core<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Apoyo a la renovaci\u00f3n autom\u00e1tica de certificados de dominio no se uni\u00f3 a los equipos<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Aplicaci\u00f3n de renovaci\u00f3n de certificado con la misma clave<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Soporte para nombres de dominio internacionales<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Mayor seguridad habilitada de forma predeterminada en el servicio de rol de CA<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">La Integraci\u00f3n con el administrador del servidor es por medio de la consola Server Manager que nos proporciona una interfaz gr\u00e1fica de usuario centralizada para instalar y administrar la funci\u00f3n de servidor de AD CS y su papel de seis servicios.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Esto nos da un valor agregado, el feature AD CS y sus servicios est\u00e1n integrados en Server Manager, y nos permite instalar el servicio de rol de AD CS en el men\u00fa Administrar utilizando Agregar Roles y caracter\u00edsticas. Una vez que a\u00f1adimos la funci\u00f3n de servidor, AD CS aparece en la consola de administrador de servidor como uno de los roles que se pueden administrar. Esto proporciona una ubicaci\u00f3n central desde donde podemos implementar y administrar AD CS y los servicios de rol. Adem\u00e1s, el nuevo Manager Server nos permite administrar varios servidores desde una \u00fanica ubicaci\u00f3n y puede ver los servicios de rol de AD CS instalados en cada servidor, revisar eventos relacionados y realizar tareas de administraci\u00f3n en cada servidor. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">El metodo de la instalaci\u00f3n de AD CS es similar a la de la versi\u00f3n anterior, excepto que para la divisi\u00f3n del proceso de instalaci\u00f3n binaria y el proceso de configuraci\u00f3n. Previamente la instalaci\u00f3n y configuraci\u00f3n era un sencillo asistente. En el nuevo proceso de instalaci\u00f3n, primero debemos instalar los archivos binarios y, a continuaci\u00f3n, podemos iniciar el Asistente de configuraci\u00f3n de AD CS para configurar los servicios de rol que ya tienen sus archivos binarios instalados. Para quitar la funci\u00f3n de servidor de AD CS, si lo podemos hacer directamente desde Quitar Roles y funciones en el men\u00fa de administraci\u00f3n. Tambi\u00e9n, podemos configurar todos los servicios de rol de AD CS o quitar sus configuraciones utilizando los cmdlets de AD CS desde Windows PowerShell. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Todas las versiones de Windows Server 2012 le permiten instalar todos los servicios de rol de AD CS, antiguamente no era as\u00ed. En la versi\u00f3n Enterprise y Datacenter pod\u00edamos utilizar todos los features, en la est\u00e1ndar era limitado, y en la versi\u00f3n Web directamente no pod\u00edamos implementarlo. En Windows Server 2012, las seis versiones tienen disponibles los servicios de AD CS. Los seis de los servicios de rol de Windows Server 2012 AD CS se pueden instalar y ejecutar en las instalaciones Server Core de Windows Server 2012 o las opciones de instalaci\u00f3n m\u00ednima interfaz de servidor.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Un tema muy importante, los denominados Servicios de Web de inscripci\u00f3n de certificados es una caracter\u00edstica que fue agregada en Windows 7 y Windows Server 2008 R2. Esta caracter\u00edstica permite que las solicitudes de certificados en l\u00ednea provienen de dominios no confiables de servicios de dominio de Active Directory (AD DS) o incluso de los equipos que no est\u00e1n Unidos a un dominio. AD CS en Windows Server 2012 se basa en los servicios de Web de inscripci\u00f3n de certificados mediante la adici\u00f3n del feature de renovaci\u00f3n autom\u00e1tica de certificados para los equipos que forman parte de los dominios de confianza AD DS o no unidos a un dominio.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Esto es esencial para los administradores que ya no necesitan renovar manualmente certificados para equipos que son miembros de grupos de trabajo o posiblemente unieron a un dominio de AD DS diferente o un bosque.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">En definitiva, los Servicios de Certificate Server Web siguen funcionando como lo hac\u00edan antes, pero ahora los equipos que est\u00e1n fuera del dominio pueden renovar sus certificados mediante su certificado existente para la autenticaci\u00f3n.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">AD CS en Windows Server 2012 introduce las plantillas de certificado 4 versi\u00f3n. Estas plantillas tienen varias diferencias de versiones anteriores. Las Plantillas de certificado de la versi\u00f3n 4 nos ofrecen:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">Soporte de proveedores de servicios criptogr\u00e1ficos (CSP) y proveedores de servicios clave (KSPs).<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">pueden establecerse para exigir la renovaci\u00f3n con la misma clave.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">s\u00f3lo est\u00e1n disponibles para su uso por 8 versi\u00f3n previa de Windows \u00ae y Windows Server 2012.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Especifique la autoridad de certificaci\u00f3n m\u00ednima y sistemas operativos de cliente que se puede utilizar la plantilla de certificado.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Para ayudar a los administradores a separar qu\u00e9 caracter\u00edsticas son compatibles con la versi\u00f3n de sistema operativo, la ficha <strong>compatibilidad<\/strong> fue agregada a la ficha de propiedades de plantilla de certificado. La nueva ficha de <strong>compatibilidad<\/strong> permite a los administradores establecer diferentes combinaciones de sistemas operativos para la certificaci\u00f3n de autoridad y certificado de clientes y ver s\u00f3lo las opciones que funcionar\u00e1n con las versiones de cliente. Hay que tener en cuenta que los clientes anteriores a Windows 8 y Windows Server 2012 no ser\u00e1 capaces de tomar ventaja de las nuevas plantillas de la versi\u00f3n 4.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Tambi\u00e9n con AD CS en Windows Server 2012 aumenta la seguridad al exigir la renovaci\u00f3n de un certificado con la misma clave. Esto permite que el mismo nivel de seguridad de la clave original para mantenerse durante todo su ciclo de vida. Windows Server 2012 apoya generar claves protegidas Trusted Platform Module (TPM) mediante proveedores de almacenamiento de claves basada en TPM (KSPs). La ventaja de utilizar KSP basada en TPM es la no exportabilidad de las claves respaldadas por el mecanismo anti-martilleo (anti-hammering mechanism) del TPMs. Los administradores pueden configurar plantillas de certificado, por lo que Windows 8 y Windows Server 2012 podr\u00e1n dar mayor prioridad a KSPs basada en TPM para generar claves. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Algo que debemos tener en cuenta es que al Introducir el n\u00famero de identificaci\u00f3n personal (PIN) incorrectamente demasiadas veces activa la l\u00f3gica anti-martilleo de TPM; que es un m\u00e9todo de software o hardware que aumenta la dificultad y el costo frente a un ataque de fuerza bruta en un cierto tiempo.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Esta funci\u00f3n permite a un administrador aplicar la renovaci\u00f3n con la misma clave, que puede reducir los costes administrativos (cuando las claves se renuevan autom\u00e1ticamente) y aumentar la seguridad de la clave (cuando las claves se almacenan utilizando KSPs basada en TPM).<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Lo distinto es que los clientes que reciben certificados de plantillas que est\u00e1n configuradas con la misma clave de renovaci\u00f3n deben renovar sus certificados utilizando la misma clave o renovaci\u00f3n se producir\u00e1 un error. Adem\u00e1s, esta opci\u00f3n s\u00f3lo est\u00e1 disponible para clientes de certificado de Windows 8 y Windows Server 2012. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Nombres internacionalizados son nombres que contengan caracteres que no pueden representarse en ASCII. AD CS en Windows Server 2012 admite nombres de dominio internacionalizados (IDN) en varios escenarios.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Ahora se admiten los siguientes escenarios IDN<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">Inscripci\u00f3n de certificados para equipos que utilicen nombres de dominio internacionalizados<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Generar y enviar una solicitud de certificado con un IDN utilizando la herramienta de l\u00ednea de comandos certreq.exe<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Publicaci\u00f3n de listas de revocaci\u00f3n de certificados (CRL) y Protocolo de estado de certificados en l\u00ednea (OCSP) publicaci\u00f3n en servidores utilizando nombres de dominio internacionalizados<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">La interfaz de usuario de <strong>certificado<\/strong> admite nombres de dominio internacionalizados<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">El complemento MMC de certificados tambi\u00e9n permite nombres de dominio internacionalizados en <strong>Propiedades de certificado<\/strong><\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Cuando se recibe una solicitud de certificado por una autoridad de certificaci\u00f3n (CA), puede aplicarse cifrado para la solicitud de la entidad emisora de certificados a trav\u00e9s de la RPC_C_AUTHN_LEVEL_PKT. En Windows Server 2008 R2 y versiones anteriores, esta opci\u00f3n no estaba habilitada de forma predeterminada en la CA. En una CA de Windows Server 2012, esta configuraci\u00f3n de seguridad mejorada est\u00e1 activada de forma predeterminada.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">La CA exige mayor seguridad en las peticiones que se env\u00edan a la misma. Este mayor nivel de seguridad requiere el cifrado de los paquetes de solicitud de un certificado, por lo que no pueden ser interceptados y le\u00eddos. Sin esta opci\u00f3n habilitada, cualquier persona con acceso a la red puede leer paquetes enviaron desde la CA y utilizando un analizador de red. Esto significa que podr\u00eda estar expuesto a informaci\u00f3n que puede ser considerado una violaci\u00f3n de la privacidad, tales como los nombres de los que solicitan los usuarios o equipos, los tipos de certificados para que ellos se reclutaron, las claves p\u00fablicas involucradas y as\u00ed sucesivamente. Dentro de un dominio o bosque, la p\u00e9rdida de estos datos no puede ser una preocupaci\u00f3n para la mayor\u00eda de las organizaciones. Sin embargo, si los atacantes obtienen acceso para el tr\u00e1fico de red, estructura interna de la empresa y actividad podr\u00eda ser recopilado, que podr\u00eda utilizarse para m\u00e1s de ingenier\u00eda social dirigida o phishing ataques.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Espero que les sea de utilidad y de inter\u00e9s; les dejo unos links con material adicional. Pr\u00f3ximamente estar\u00e9 viajando a USA para participar del Staff del TechEd, con lo cual voy a estar complicado con los tiempos pero podre traer informaci\u00f3n fresca y certera acerca de Windows Server 2012 y de Windows 8. Hasta ahora no pod\u00eda publicar material al respecto, pero ya si, con lo cual tengo mucho material que ir\u00e9 publicando con el pasar de los d\u00edas.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Saludos, Roberto Di Lello.<\/font><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hoy vamos a ver algunas cosas de Windows Server 2012, mas puntualmente sobre Certificados y&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[158],"tags":[266,243],"class_list":["post-3206","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-windows-server-2012","tag-certificados","tag-windows-server-2012-r2"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3206","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3206"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3206\/revisions"}],"predecessor-version":[{"id":3207,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3206\/revisions\/3207"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3206"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3206"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}