PRACTICA 2.1. Administracin de llaves pblicas.

-Configurar una entidad certificadora (servidor) con base en el estndar X.509

para llaves pblicas.

Practica: Llaves
1. En primer lugar asegurarnos de que los nombres del servidor y del grupo
del trabajo son los que habamos elegido y que tambin nos aseguramos
de agregar el sufijo de dominio.

2. Comenzamos por instalar los servicios DS CA en el servidor SRV-RootCA,

para ello haremos uso del Administrador del Servidor:

3. Seleccionamos la opcin de Agregar Servicios de Certificate Services de

Active Directory

4. En este servidor ser necesario instalar los servicios web de la entidad

emisora para poder hacer solicitudes de los certificados de las entidades
subordinadas mediante esta interface, por lo tanto debemos de marcar
la opcin Inscripcin Web de Entidad de Certificacin.

5. Para que funcionen los servicios web de la CA es necesario instalar

tambin el IIS y el asistente as nos lo hace saber. Simplemente hacemos
clic sobre Agregar servicios de funcin Requeridos y
automticamente se instalar el IIS configurado con todos los
componentes necesarios para que podamos usar los servicios web de la
CA.

6. Configuracin inicial la CA Raiz. Como podemos ver al continuar con el

asistente dado que este servidor no pertenece a un dominio solamente
nos permite hacer una instalacin Independiente (Stand-Alone)

7. La siguiente pregunta es el tipo de CA a implementar. Seleccionamos CA

Raiz.

8. La siguiente cuestin hace referencia a el certificado que vamos a usar.

Si es la primera vez que instalamos una CA tendremos que crear una
nueva clave privada. Si por el contrario, ya disponemos de una clave
privada anterior de nuestra CA y lo que estamos haciendo es
restaurndola tendremos que usar la opcin de usar una clave existente.

9. Y llegamos a la parte donde decidiremos los servicios criptogrficos a

utilizar. Para crear una clave privada es necesario definir el CSP
(Proveedor de Servicios de Cifrado) que usaremos, as como la longitud
de caracteres que tendr la clave y el algoritmo de funciones de Hash.
Nosotros usaremos los valores por defecto para el CSP y para el
algoritmo de Hash, pero dado que este va a ser una CA Raz vamos a
cambiar la longitud de clave a 4096. Recordemos que cuanto mayor sea
la clave a usar mayor seguridad estaremos implementando pero
tambin mayor capacidad de clculo necesitaremos para cifrar y
descifrar. En las entidades raz es conveniente agregar claves largas
para sus certificados dado que habitualmente estos certificados suelen
tener mayor vigencia que cualquier otro.

10.A continuacin asignamos un nombre por el cual queremos que se

reconozca a nuestra CA.

11.y establecemos la duracin del certificado. A mayor duracin de un

certificado mayor vulnerabilidad. Para los entornos de baja o media
seguridad es suficiente con 10 aos. Para entornos ms sensibles es
conveniente bajar esta duracin. Tambin debemos de ser conscientes
de las fechas de renovacin de estos certificados y tambin de que los
certificados que emitan las CAs no tengan una vigencia mayor a la del
certificado de la CA. Para que esto no suceda es recomendable renovar
los certificados de las CAs cuando llegan al 50% de su vida til.

12.asignamos la ruta donde queremos almacenar la base de datos y sus

archivos log:

13.A continuacin aceptamos los valores por defecto de la instalacin del IIS
y comenzamos con la instalacin.

14.Una vez terminada la instalacin ya dispondremos de nuestra CA Raz

operativa.

15.Primeras acciones a realizar una vez completado el proceso de

instalacin:
16.Respaldar la clave privada de nuestra CA: Esto nos permitir recrear
nuestra CA en caso de desastre.
17.Accedemos a la herramienta de administracin de nuestra CA usando el
complemento Certification Authority que encontraremos en las
herramientas administrativas. haciendo clic con el botn derecho sobre
el nombre de nuestra entidad y accediendo a Todas las Tareas del men
contextual seleccionamos Realizar copia de seguridad de la entidad de
certificacin.

18.haremos uso del asistente para hacer una copia de respaldo del
certificado privado de nuestra CA: En este punto no haremos todava
copia de seguridad de la base de datos. Lo haremos una vez que se
hayan emitido los certificados de las CAs subordinadas.

19.es importante que asignemos una contrasea al archivo:

20.El archivo generado debe de almacenarse en lugar seguro y separado

del servidor. En caso de desastre de nuestro servidor podremos recrear
nuestra CA mediante este certificado.

REPORTE DE PRACTICA:

Nombre de la Prctica:
Tema:

Administracin de llaves pblicas

Objetivo: configuracin,bla bla bla

DEFINICIONES:
1. Llave publica
2. Estndar X.509 para llaves pblicas.
Roles de los Integrantes del equipo.
Integrante

Rol

Breve
descripcin
actividades realizadas.

Lder
de
practica
Tcnico
Tcnico
Documentador
Material Utilizado (hw/sw/consumibles)
Computadora
.
.
.
Etc.
Desarrollo de la prctica
Copielosapsosanteriores y su respectiva ventana
Resultados

Observaciones.

Conclusiones

de

las

NOTA: Este archivo

ser el Nombre de
nmero de equipo
ejemplo siguiente:

ser enviado por correo electrnico el nombre del archivo

este archivo incluye el nombre de la materia abreviado,
y nombre de la practica abreviado como lo muestra el
SI_EQ1_2_1.doc