Configuración de Windows Server como entidad de certificación (CA) con AWS CloudHSM - AWS CloudHSM
Requisitos previosCrear entidad de certificación de Windows ServerFirmar una CSR

Configuración de Windows Server como entidad de certificación (CA) con AWS CloudHSM

En una infraestructura de clave pública (PKI), una entidad de certificación (CA) es una entidad de confianza que emite certificados digitales. Estos certificados digitales vinculan una clave pública a una identidad (una persona u organización) mediante criptografía de clave pública y firmas digitales. Para operar una CA, debe preservar la confianza mediante la protección de las claves privadas que firman los certificados emitidos por la CA. Puede almacenar las claves privadas en un HSM de su clúster de AWS CloudHSM y usar el HSM para realizar las operaciones de firma criptográfica.

En este tutorial, va a usar Windows Server y AWS CloudHSM para configurar una entidad de certificación. Tiene que instalar el software de cliente de AWS CloudHSM para Windows en el servidor de Windows y agregar después la función Servicios de certificados de Active Directory (AD CS) a Windows Server. Al configurar esta función, utiliza un proveedor de almacenamiento de claves (KSP) de AWS CloudHSM para crear y almacenar la clave privada de la entidad de certificación en su clúster de AWS CloudHSM. El KSP es el puente que conecta el servidor de Windows con el clúster de AWS CloudHSM. En el último paso, usted firma una solicitud de firma de certificado (CSR) con su entidad de certificación de Windows Server.

Para obtener más información, consulte los temas siguientes:

Paso 1: configurar los requisitos previos

Para configurar Windows Server como entidad de certificación (CA) con AWS CloudHSM, necesita lo siguiente:

  • Un clúster de AWS CloudHSM activo que tenga como mínimo un HSM.

  • Una instancia de Amazon EC2 que ejecute un sistema operativo Windows Server y que tenga instalado el software de cliente de AWS CloudHSM para Windows. Este tutorial usa Microsoft Windows Server 2016.

  • Un usuario criptográfico (CU) que sea el propietario y administre la clave privada de la entidad de certificación en el HSM.

Para configurar los requisitos previos de una entidad de certificación de Windows Server con AWS CloudHSM

  1. Realice los pasos que se indican en Introducción. Al lanzar el cliente de Amazon EC2, elija una AMI de Windows Server. Este tutorial usa Microsoft Windows Server 2016. Cuando haya completado estos pasos, dispondrá de un clúster activo con al menos un HSM. También tendrá una instancia de cliente de Amazon EC2 que ejecuta Windows Server con el software de cliente de AWS CloudHSM para Windows instalado.

  2. (Opcional) Añada más HSM a su clúster. Para obtener más información, consulte Agregar un HSM a un clúster de AWS CloudHSM.

  3. Conéctese a su instancia de cliente. Para obtener más información, consulte Conexión a su instancia en la Guía del usuario de Amazon EC2.

  4. Cree un usuario de criptografía (CU) mediante la administración de usuarios de HSM con la CLI de CloudHSM o administración de usuarios de HSM con la utilidad de administración de CloudHSM (CMU) . Realice un seguimiento del nombre de usuario y la contraseña del CU. Los necesitará para completar el paso siguiente.

  5. Establezca las credenciales de inicio de sesión del HSM, utilizando el nombre de usuario y la contraseña del CU que creó en el paso anterior.

  6. En el paso 5, si utilizó el Administrador de credenciales de Windows para configurar las credenciales de HSM, descargue psexec.exe de SysInternals para ejecutar el siguiente comando como NT Authority\SYSTEM:

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Sustituya <USERNAME> y <PASSWORD> por las credenciales de HSM.

Para crear una entidad de certificación de Windows Server con AWS CloudHSM, vaya a Crear entidad de certificación de Windows Server.

Paso 2: crear una CA de Windows Server con AWS CloudHSM

Para crear una entidad de certificación de Windows Server, usted agrega el rol Servicios de certificados de Active Directory (AD CS) a Windows Server. Al configurar esta función, utiliza un proveedor de almacenamiento de claves (KSP) de AWS CloudHSM para crear y almacenar la clave privada de la entidad de certificación en el clúster de AWS CloudHSM.

nota

Al crear tu entidad de certificación de Windows Server, puedes optar por crear una entidad de certificación o una entidad de certificación subordinada. Normalmente, usted toma esta decisión en función del diseño de su infraestructura de clave pública y las políticas de seguridad de su organización. En este tutorial se explica cómo crear una entidad de certificación raíz para simplificar.

Para agregar el rol AD CS a Windows Server y crear la clave privada de la entidad de certificación

  1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte Conexión a su instancia en la Guía del usuario de Amazon EC2.

  2. En su servidor de Windows, inicie Administrador del servidor.

  3. En el panel Administrador del servidor, elija Agregar roles y características.

  4. Lea la información de Antes de comenzar y, a continuación, elija Siguiente.

  5. En Installation Type, elija Instalación basada en características o en roles. A continuación, elija Next.

  6. En Selección de servidor, elija Seleccionar un servidor del grupo de servidores. A continuación, elija Next.

  7. En Roles de servidor, haga lo siguiente:

    1. Seleccione Servicios de certificados de Active Directory.

    2. En Agregar características necesarias para Servicios de certificados de Active Directory, elija Agregar características.

    3. Elija Siguiente para finalizar la selección de roles de servidor.

  8. En Características, acepte los valores predeterminados y, a continuación, elija Siguiente.

  9. En AD CS, haga lo siguiente:

    1. Elija Siguiente.

    2. Seleccione Entidad de certificación y, a continuación, elija Siguiente.

  10. En Confirmación, lea la información de confirmación y, a continuación, elija Instalar. No cierre la ventana.

  11. Elija el enlace Configurar Servicios de certificados de Active Directory en el servidor de destino resaltado.

  12. En Credenciales, compruebe o cambie las credenciales mostradas. A continuación, elija Next.

  13. En Servicios de rol, seleccione Entidad de certificación. A continuación, elija Next.

  14. En Tipo de instalación, seleccione CA independiente. A continuación, elija Next.

  15. En Tipo de CA, seleccione CA raíz. A continuación, elija Next.

    nota

    Puede optar por crear una entidad de certificación raíz o una entidad de certificación subordinada en función del diseño de su infraestructura de clave pública y las políticas de seguridad de su organización. En este tutorial se explica cómo crear una entidad de certificación raíz para simplificar.

  16. En Clave privada, seleccione Crear una nueva clave privada. A continuación, elija Next.

  17. En Criptografía, haga lo siguiente:

    1. En Seleccionar un proveedor de servicios criptográficos, seleccione una de las opciones del proveedor de almacenamiento de claves de Cavium en el menú. Estos son los proveedores de almacenamiento de claves de AWS CloudHSM. Por ejemplo, puede elegir el proveedor de almacenamiento de claves de RSA#Cavium.

    2. En Longitud de la clave, elija una de las opciones de la longitud de la clave.

    3. En Seleccione el algoritmo de hash para firmar los certificados emitidos por esta CA, elija una de las opciones del algoritmo de hash.

    Elija Siguiente.

  18. En Nombre de CA, haga lo siguiente:

    1. (Opcional) Edite el nombre común.

    2. (Opcional) Escriba un sufijo de nombre distinguido.

    Elija Siguiente.

  19. En Periodo de validez, especifique un periodo en años, meses, semanas o días. A continuación, elija Next.

  20. En Base de datos de certificados, puede aceptar los valores predeterminados o, de forma opcional, cambiar la ubicación y el registro de la base de datos. A continuación, elija Next.

  21. En Confirmación, consulte la información acerca de su entidad de certificación; a continuación, elija Configurar.

  22. Elija Cerrar y, a continuación, seleccione Cerrar de nuevo.

Ahora tiene una entidad de certificación de Windows con AWS CloudHSM. Para aprender a firmar una solicitud de firma de certificado (CSR) con su entidad de certificación, vaya a Firmar una CSR.

Paso 3: firmar una solicitud de firma de certificado (CSR) con la CA de Windows Server con el AWS CloudHSM

Puede usar la entidad de certificación de Windows Server con AWS CloudHSM para firmar una solicitud de firma de certificado (CSR). Para completar estos pasos, necesita una CSR válida. Puede crear una CSR de varias formas, incluidas las siguientes:

  • Mediante OpenSSL

  • Mediante el Administrador de Internet Information Services (IIS) de Windows Server

  • Mediante el complemento de certificados en la consola de administración de Microsoft

  • Mediante la utilidad de la línea de comandos certreq en Windows

Los pasos para crear una CSR quedan fuera del alcance de este tutorial. Al tener una CSR, puede firmarla con su entidad de certificación de Windows Server.

Para firmar una CSR con su entidad de certificación de Windows Server

  1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte Conexión a su instancia en la Guía del usuario de Amazon EC2.

  2. En su servidor de Windows, inicie Administrador del servidor.

  3. En el panel Administrador del servidor, en la esquina superior derecha, elija Herramientas, Entidad de certificación.

  4. En la ventana Entidad de certificación, elija el nombre de su equipo.

  5. En el menú Acción, elija Todas las tareas, Enviar nueva solicitud.

  6. Seleccione el archivo de la CSR y, a continuación, elija Abrir.

  7. En la ventana Entidad de certificación, haga doble clic en Solicitudes pendientes.

  8. Seleccione la solicitud pendiente. A continuación, en el menú Acción, elija Todas las tareas, Emitir.

  9. En la ventana entidad de certificación, haga doble clic en Solicitudes emitidas para ver el certificado firmado.

  10. (Opcional) Para exportar el certificado firmado a un archivo, complete los pasos siguientes:

    1. En la ventana Entidad de certificación, haga doble clic en el certificado.

    2. Elija la pestaña Detalles y, a continuación, elija Copiar en archivo.

    3. Siga las instrucciones en el Asistente para exportar certificados.

Ahora tiene una entidad de certificación de Windows Server con AWS CloudHSM y un certificado válido firmado por la entidad de certificación de Windows Server.