Agregar una CA secundaria EJBCA a una CA raíz independiente de Microsoft

Esta guía de integración proporciona instrucciones para agregar una CA subordinada EJBCA a una CA raíz independiente de Microsoft (servidor no unido a Active Directory).

A continuación, se proporcionan los pasos necesarios para configurar un servidor de Servicios de certificados de Microsoft que se ejecuta como una CA raíz independiente para firmar una solicitud de firma de certificado de CA subordinada EJBCA.

Introducción

Los servidores Microsoft Windows pueden ejecutar un servicio de autoridad de certificación. Esta función se denomina Servicios de certificados de Active Directory. La autoridad de certificación (CA) puede ejecutarse como una CA empresarial (integrada con Microsoft Active Directory) o como una CA independiente (no integrada con Microsoft Active Directory). El servicio de CA también puede configurarse como una CA raíz, el ancla de confianza para una PKI, o como una CA subordinada.

Una diferencia clave entre la configuración de la CA empresarial de Microsoft y la CA independiente es que la CA empresarial puede usar plantillas de certificado. El uso de plantillas de certificado de los Servicios de Certificados de Microsoft para configurar CA subordinadas que no sean de Microsoft está bien documentado. Esto no ocurre con la CA raíz independiente de Microsoft.

Al intentar inscribir una CA subordinada que no sea de Microsoft con una CA independiente raíz de Microsoft, el certificado de CA creado normalmente tiene los siguientes problemas con los campos x509:

  • El período de validez utiliza el valor predeterminado de un año.

  • El punto de distribución de CRL (CDP) no se aplica al certificado

  • La AIA que contiene la URL de OCSP o el punto de certificado de CA para la creación de rutas no se aplica al certificado

  • El uso de clave para una CA no se aplica al certificado

  • Restricciones básicas El tipo de sujeto se configura como Entidad final en lugar de CA

El siguiente procedimiento se aplica a un servidor Microsoft configurado como una CA raíz independiente que firmará la solicitud de certificado de la autoridad de certificación EJBCA.

Requisitos

A continuación se enumeran los requisitos previos o supuestos para la integración.

  • Una CA subordinada configurada como una CA externa en EJBCA y una solicitud de firma de certificado (CSR) generada que incluye la cadena de certificados de CA raíz en formato PKCS7 (P7B o P7C) utilizando las instrucciones en Firma de una CA externa .

  • Un servidor Microsoft Server 2019 existente con servicios de certificación configurados como una CA raíz sin conexión independiente.

  • Se utilizará un punto de distribución de CRL (CDP) para la CA raíz en un servidor separado y está fuera del alcance de este procedimiento.

  • Se utilizará un localizador de servicio OCSP de acceso a información de autoridad (AIA) para la CA raíz en un servidor separado y está fuera del alcance de este procedimiento.

Implementar una CA subordinada EJBCA en línea bajo un servidor de CA raíz independiente de Microsoft

A continuación se explica cómo implementar una CA subordinada EJBCA en línea bajo un servidor de CA raíz independiente de Microsoft en los siguientes pasos:

Todas las configuraciones se realizan en el servidor CA raíz sin conexión independiente de Microsoft Windows.

Paso 1: Configurar el punto de distribución de certificados y el acceso a la información de autoridad para OCSP

Configure el punto de distribución de certificados y el acceso a la información de autoridad para OCSP en los siguientes pasos.

Configurar CDP para la CA raíz

Para configurar CDP para la CA raíz:

  1. Abra el Administrador de servidor de Microsoft Windows.

  2. Haga clic en la opción de menú Herramientas y seleccione Autoridad de certificación .

  3. Haga clic derecho en el nombre del servidor y seleccione Propiedades .

  4. Seleccione la pestaña Extensiones .

  5. En el campo Seleccionar extensión , seleccione Punto de distribución CRL (CDP) .

  6. Eliminar todas las ubicaciones excepto C:\Windows\*

  7. En la sección Especificar ubicaciones desde las cuales los usuarios pueden obtener una lista de revocación de certificados (CRL) , haga clic en Agregar .

  8. En el campo Ubicación , ingrese la ubicación de la URL del CDP (es decir, http://hostname.domain/path/>) y haga clic en Aceptar .

  9. Seleccione Incluir en la extensión CDP de los certificados emitidos .

  10. Haga clic en Aplicar y luego haga clic en No cuando se le solicite reiniciar el servicio.

Configurar AIA con OCSP para la CA raíz

Para configurar el acceso a la información de autoridad (AIA) con OCSP para la CA raíz:

  1. En el campo Seleccionar extensión , seleccione Acceso a la información de autoridad (AIA) .

  2. Eliminar todas las ubicaciones excepto C:\Windows\*

  3. En la sección Especificar ubicaciones desde las cuales los usuarios pueden obtener el certificado para esta CA , haga clic en Agregar .

  4. En el campo Ubicación , ingrese la ubicación de la URL del localizador OCSP (es decir, http://hostname.domain/path/>) y haga clic en Aceptar .

  5. Seleccione Incluir en la extensión del protocolo de estado de certificado en línea (OCSP) .

  6. Haga clic en Aplicar y luego haga clic en cuando se le solicite reiniciar el servicio.

Paso 2: Configurar el módulo de políticas

Para garantizar que el Módulo de políticas esté configurado de modo que las solicitudes de certificado se establezcan como pendientes, haga lo siguiente:

  1. Continúe trabajando en la ventana de propiedades de la herramienta Autoridad de certificación.

  2. Haga clic en la pestaña Módulo de políticas y, a continuación, haga clic en Propiedades .

  3. Seleccione la opción "Establecer el estado de la solicitud de certificado como pendiente". El administrador debe emitir el certificado explícitamente y luego hacer clic en "Aceptar" .

  4. Haga clic en Aplicar y luego haga clic en cuando se le solicite reiniciar el servicio.

Paso 3 - Establecer período de validez

Para cambiar la validez de todos los certificados emitidos por Microsoft Standalone Offline Root CA:

  1. Abra un símbolo del sistema como administrador.

  2. Introduzca los siguientes comandos para establecer el período de validez de todos los certificados emitidos por RootCA y para reiniciar el servicio:

    certutil -setreg CA\ValidityPeriodUnits 10
    certutil -setreg CA\ValidityPeriod Years
    Restart-Service certsvc

Paso 4 - Enviar solicitud de inscripción de certificado

Firme la solicitud de firma de certificado (CSR) de CA subordinada EJBCA:

  1. En la ventana de la herramienta de administración de la autoridad de certificación , haga clic con el botón derecho en el nombre de la autoridad de certificación y seleccione Todas las tareas > Enviar nueva solicitud.

  2. En la esquina inferior derecha, cambie el tipo de archivo a Todos los archivos (*.*) .

  3. Seleccione el archivo csr de CA subordinada EJBCA y haga clic en Abrir .

  4. Seleccione la carpeta Solicitudes pendientes y anote el ID de solicitud para la nueva solicitud.

Paso 5: Configurar el uso de la clave x509 para solicitudes pendientes

Utilizando la utilidad certutil.exe de Microsoft Windows Server, modifique el uso de clave para la solicitud pendiente.

  1. Abra un símbolo del sistema y realice los siguientes pasos:

    # Change to the C:\Users\Administrator\Documents directory
     
    cd C:\Users\Administrator\Documents directory
     
     
    #Create hex file to set key usage for SubCAs
    echo 03 02 01 86 > key_usage.txt
     
    #certutil -setextension <pending_request_id> <key_usage_oid> <critical_flag> @<path_to_hex_file>
    # Remember to change the request id to the one noted in the previous step
     
    certutil -setextension <pending_request_id> 2.5 . 29.15 1 @C :\Users\Administrator\Documents\key_usage.txt

  2. Confirme los cambios en la ventana de la herramienta de gestión de la autoridad de certificación .

  3. Seleccione la carpeta Solicitudes pendientes y haga clic derecho en la solicitud de certificado pendiente.

  4. Seleccionar todas las tareas ... Ver atributos/extensiones .

  5. Haga clic en la pestaña Extensión .

  6. Seleccione la extensión de Uso de clave y confirme lo siguiente:

    • Las columnas Crítico y Habilitado están configuradas en .

    • El uso de la clave está configurado en Firma digital, Firma de certificado, Firma de CRL fuera de línea, Firma de CRL (86) .

  7. Haga clic en Aceptar .

Paso 6: Modificar la restricción básica x509 para la solicitud pendiente

Utilizando la utilidad certutil.exe de Microsoft Windows Server, modifique las restricciones básicas para la solicitud pendiente.

  1. Abra un símbolo del sistema y realice los siguientes pasos:

    # Change to the C:\Users\Administrator\Documents directory
    cd C:\Users\Administrator\Documents directory
    # Create hex file to set basic constraint to Subject Type=CA and No path constraint echo 30 03 01 01 FF > basic.txt
    # If you want Type=CA and Path Length Constraint= 0 echo 30 06 01 01 FF 02 01 00 > basic.txt
    # certutil -setextension <pending_request_id> <key_usage_oid> <critical_flag> @<path_to_hex_file>
    # Remember to change the request id to the one noted in the previous step
    certutil -setextension <pending_request_id> 2.5 . 29.19 1 @C :\Users\Administrator\Documents\basic.txt

  2. Confirme los cambios en la ventana de la herramienta de gestión de la autoridad de certificación .

  3. Seleccione la carpeta Solicitudes pendientes y haga clic derecho en la solicitud de certificado pendiente.

  4. Seleccionar Todas las tareas>Ver atributos/Extensiones .

  5. Haga clic en la pestaña Extensión .

  6. Seleccione la extensión Restricciones básicas y confirme lo siguiente:

    • Las columnas Crítico y Habilitado están configuradas en .

    • Las restricciones básicas se establecen en:

      • Tipo de sujeto=CA

      • Restricción de longitud de ruta=Ninguna

  7. Haga clic en Aceptar .

Paso 7: Confirmar las URL de CDP y AIA para la solicitud pendiente

Para confirmar que las configuraciones CDP y OCSP anteriores están presentes en la solicitud de certificado pendiente.

  1. En la ventana de la herramienta de administración de la autoridad de certificación , seleccione la carpeta Solicitudes pendientes y haga clic con el botón derecho en la solicitud de certificado pendiente.

  2. Seleccionar Todas las tareas>Ver atributos/Extensiones .

  3. Haga clic en la pestaña Extensión .

  4. Seleccione la extensión Puntos de distribución CRL y confirme que el CDP configurado previamente esté presente.

  5. Seleccione la extensión de acceso a información de autoridad y confirme que la AIA configurada previamente esté presente.

  6. Haga clic en Aceptar .

Paso 8 - Emitir certificado

Para emitir el certificado de CA subordinada EJBCA.

  1. En la ventana de la herramienta de administración de la autoridad de certificación , seleccione la carpeta Solicitudes pendientes y haga clic con el botón derecho en la solicitud de certificado pendiente.

  2. Seleccionar Todas las tareas>Emitir .

Paso 9 - Guardar el certificado

Para guardar el certificado de CA subordinada EJBCA:

  1. En la ventana de la herramienta de administración de la autoridad de certificación , seleccione la carpeta Certificados emitidos y haga doble clic en el certificado emitido.

  2. Haga clic en la pestaña Detalles .

  3. Haga clic en Copiar a archivo y luego en Siguiente.

  4. Seleccione la opción Estándar de sintaxis de mensajes criptográficos - Certificados PKCS #7 (.P7b) .

  5. Seleccione la opción Incluir todos los certificados en la ruta de certificación si es posible .

  6. Haga clic en Siguiente .

  7. Seleccione la ruta y el nombre del archivo y haga clic en Siguiente y luego en Finalizar .

  8. En el panel de confirmación La exportación fue exitosa , haga clic en Aceptar .

  9. Haga clic en Finalizar .

A continuación, utilice este certificado para completar el procedimiento de CA externa EJBCA descrito en Firma de una CA externa .