Microsoft CA
Información general
Esta guía de usuario integrada con MS CA (Microsoft Certificate Authority) se ha elaborado utilizando las versiones de software y firmware que se indican a continuación:
- SO: Windows Server 2019 (español)
- Autoridad de certificación MS: 10.0
- Firmware HSM: 5.0.26.0 (o superior)
- Cliente HSM: 4.7.30 (o superior)
Requisitos
- Conectividad con el HSM (puerto TCP 4433).
- Software cliente HSM instalado (consulte el tema de Windows).
- Servicio HSM iniciado.
- Cuenta Windows con permisos de administración local.
- Credenciales de la partición HSM donde se creará o utilizará la clave privada.
- Es posible que tenga que reiniciar Windows (para cargar la configuración de la máquina local).
Configuración de CA con HSM
Instalación y configuración de MS CA con generación de claves en HSM.
-
Configure los parámetros MS CAPI con las credenciales de la partición HSM en la consola GUI (Dinamocon).
- Configure la dirección IP, el usuario y la contraseña de una partición en el HSM. La clave privada se generará en esta partición.
- Seleccione la opción Activar GNC.
- Pulse el botón Aplicar.
Nota
Mantenga desmarcada la opción Configuración de máquina local y marcada la opción Modo de compatibilidad CNG.
Configuración de MS CAPI -
Habilitar los parámetros MS CAPI en una máquina local en la consola GUI (Dinamocon).
Active la opción Configuración de máquina local. Haga clic en el botón Aplicar.
Nota
Mantenga marcada la opción Configuración de máquina local y también la opción Modo de compatibilidad CNG.
Configuración de MS CAPI, máquina local -
En el Panel de control del Administrador de Windows Server, inicie la instalación de CA haciendo clic en Agregar funciones y características.
Cuadro de mandos Administrador de servidores -
Seleccione el tipo de instalación basado en funciones o basado en características para el equipo local.
Instalación de la base de roles 
Selección del servidor -
Seleccione la función Servicios de certificados de Active Directory y confirme con _Añadir función.
Seleccione Servicios de certificados de Active Directory 
Lista de herramientas para ADCS -
Confirme la lista de Características mostrada (no es necesario volver a seleccionar). Haga clic en Siguiente.
-
Lea la nota de advertencia del instalador. Tenga en cuenta que el nombre de dominio del ordenador y la configuración no se pueden cambiar una vez que se ha instalado CA. Haga clic en Siguiente.
-
Seleccionar otros servicios a instalar en Active Directory Certificate Services. Se pueden seleccionar otras opciones según las necesidades de cada entorno. A efectos de integración de HSM, sólo se requiere la Autoridad de Certificación. Haga clic en Siguiente.
Otros servicios para ADCS -
Confirme el resumen de la información sobre funciones, características y servicios. Haga clic en Instalar
Confirmar la instalación -
Una vez finalizada la instalación, debe configurarse la CA. Esto puede hacerse en la pantalla de finalización de la instalación o en el área de notificación del panel de control del Administrador de servidores.
Finalización de la instalación Durante la configuración puede ser útil dejar la consola CLI
hsmcon.exe(línea de comandos) que muestra en tiempo real la actividad del HSM (opciónRegistros/Seguimiento) y verificar que se generará y utilizará la clave privada. -
Compruebe y confirme las credenciales de Windows que se utilizarán en el servicio.
Confirmación de credenciales para el servicio -
Seleccione los servicios que desea configurar. A efectos de integración de HSM, solo se requiere la Autoridad de Certificación.
Servicios por configurar -
Especifique el tipo de configuración de CA. En esta guía asumimos el tipo de CA independiente.
-
Especifique el tipo de CA. En esta guía asumimos el tipo de CA raíz.
-
Especifique el tipo de clave privada como Crear una nueva clave privada.
Tipo de clave privada -
DinamoEn las opciones de cifrado, seleccione el proveedor de algoritmos HSM RSA como proveedor criptográfico:
Dinamo RSA# Proveedor criptográficoHSM
Seleccione el tamaño de la clave y el algoritmo hash para firmar los certificados según la definición de su entorno específico. Por ejemplo, clave RSA de 4096 bits y algoritmo hash SHA256.
Proveedor criptográfico -
Especifique el nombre común de la CA. Este nombre se utilizará en todos los certificados emitidos por la CA.
AC Nombre común -
Especifique el periodo de validez de los certificados emitidos por la CA. Por ejemplo 01 año.
-
Especifique las ubicaciones de almacenamiento, registro y base de datos de la CA.
-
Compruebe y confirme la información de configuración de la CA.
Confirmación de la configuración de CA -
El servicio ADCS generará una clave privada RSA en el HSM y completará el proceso de configuración.
Confirmación de la configuración de CA -
En el gestor de CA(Autoridad de Certificación) puede comprobar la información y los detalles de la CA.
Menú de propiedades del gestor de CA 
Detalles del CA En HSM debería mostrar la generación de la clave privada y su uso por ADCS durante el proceso de configuración de la CA. En el ejemplo de registro siguiente, la clave RSA se generó con el nombre
DBB0823FF3A4C57A993829E486C81038. Esta es la clave privada de la CA. Se recomienda hacer una copia de seguridad de la HSM.Registros HSM2021/02/23 22:51:53 000074BA 00043EA3 87444AC1 msca auth ok, 10.61.53.163, 6|10.61.53.163 10.61.53.60:4433 - 2021/02/23 22:51:53 000074BA 00043EA4 87444AC1 new key DBB0823FF3A4C57A993829E486C81038, t: 11, a: 01000001, c: 31|10.61.53.163 10.61.53.10:2433 msca 2021/02/23 22:51:54 000074BA 00043EA5 87444AC1 R_COOR trying to setup E5E584C71B5C8991 04|10.61.53.163 10.61.53.60:4433 msca 2021/02/23 22:51:54 000074BA 00043EA6 87444AC1 R_COOR prepared E5E584C71B5C8991 04|10.61.53.163 10.61.53.60:4433 msca 2021/02/23 22:51:54 000074BA 00043EA7 87444AC1 DBB0823FF3A4C57A993829E486C81038 created|10.61.53.163 10.61.53.60:4433 msca ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^ . . . 2021/02/23 22:51:54 000074BE 00043EBF 493E887F msca auth ok, 10.61.53.163, 6|10.61.53.163 10.61.53.60:4433 - 2021/02/23 22:51:54 000074BE 00043EC0 493E887F rsa DBB0823FF3A4C57A993829E486C81038!teeawBSSAaMjsmTpTSGY1rjnfXjAxoZn74RFrZFQ8L0=, c: 31|10.11.23.363 10.61.53.60:4433 msca . . . 2021/02/23 22:51:54 000074C2 00043ED7 DDCC7585 msca auth init, c: 31|10.61.53.163 10.61.53.60:4433 - 2021/02/23 22:51:54 000074C2 00043ED8 DDCC7585 msca auth ok, 10.61.53.163, 6|10.61.53.163 10.61.53.60:4433 - 2021/02/23 22:51:54 000074C2 00043ED9 DDCC7585 rsa DBB0823FF3A4C57A993829E486C81038!teeawBSSAaMjsmTpTSGY1rjnfXjAxoZn74RFrZFQ8L0=, c: 31|10.11.23.363 10.61.53.60:4433 msca 2021/02/23 22:51:54 000074C2 00043EDA DDCC7585 e-conn: 10.61.53.163|10.61.53.163 10.61.53.60:4433 msca . . . 2021/02/23 22:51:54 000074C4 00043EE4 972B2404 msca auth init, c: 31|10.61.53.163 10.61.53.60:4433 - 2021/02/23 22:51:54 000074C4 00043EE5 972B2404 msca auth ok, 10.61.53.163, 6|10.61.53.163 10.61.53.60:4433 - 2021/02/23 22:51:54 000074C4 00043EE6 972B2404 rsa DBB0823FF3A4C57A993829E486C81038!teeawBSSAaMjsmTpTSGY1rjnfXjAxoZn74RFrZFQ8L0=, c: 31|10.11.23.363 10.61.53.60:4433 mscaLos detalles de la clave privada de la CA pueden comprobarse en la consola del HSM.
Nota
ADCS solicita explícitamente que la clave generada sea exportable.
Atributos claveDinamo - Remote Management Console v. 4.7.29.0 2018 (c) Dinamo Networks HSM 10.61.53.60 e - Engine 5.0.27.0 (DCD) - TCA0000000 - ID msca Keys/Objects - Attributes Name (HSM) : DBB0823FF3A4C57A993829E486C81038 Type : rsa4096 Temporary : no Exportable : yes Encrypted : yes Blocked : no Usage-profile : signature generation/verification State : ACTIVE Mask : SIGN, VERIFY, CERTIFICATE_SIGN, CRL_SIGN Initial date : 2021-02-23 22:51:54 GMT Activation date : 2021-02-23 22:51:54 GMT Archive date : none Compromise date : none Compromise occurrence date : none Deactivation date : none Last change date : 2021-02-23 22:51:54 GMT Original creation date : 2021-02-23 22:51:54 GMT Process start date : none Protect stop date : none Public exponent(hex) : 010001 Key size : 4096 bits CKA_KEY_TYPE : 0 CKA_CLASS : 3 CKA_EXTRACTABLE : yes CKA_SENSITIVE : no CKA_NEVER_EXTRACTABLE : no CKA_LOCAL : no CKA_CERTIFICATE_TYPE : 0 CKA_MODULUS : C0AA6E046A40F003B7B3BCF17D862A656F7D0C2C8ADC794E2ABE0B0A695736A5CBF90F0294B6C8 75DD35E6C10C10AA7A40CA1FF28F01A5103F0BDA6B3CFF1B3CC4E3365D47EB831D4BC0907AC78A D47B1206686E984A86CAD2B29226181D3F702363C6983942DF1833EC1EA702781C7783D014778E DB80D04834959B3F9126C8E5AD1D4F020CFE3EAF39147701F88C5A0DCE5029DE388F17DF3A8608 AC48816F4552EDB6F3C09D254608D216D1205BD69CB6B97B1E5E1835A30B018D2D3E881128E8F2 E1281EFE65D4C35C5E54FF643F40AF41D4528E944C3ECEA0B0ACC7DC7AC2C96A2BE6FB2A5C6890 A497D35BD77FF73557A31E2DC7E5AA298A0E805253DC5DF3327DD78A23F0B0C72283DD9D7D6605 D961A151BEA8145833DF21BE92D821DD11EE07EFF67ACCECB1C49C478D1C4CF81F51D300A03255 AE2429245BCCB49423F525E6787BABF1AB95BFB930B1F50E9AFA0C083D57E57ABC747DC135AE71 4BA22BBC22C00669575397071E1FC2B2395BDDDD53F7D021C954467EECF3C36CF6C75C1604577A 6789D87421F929099EB2E99AD7C735454E52D74ED962B980F414BF96334F380A6776813C3B9624 4288F9D1D696D7B9B19534B21217026C5517691AE997C7839BE64AE0EE0BD22F7C295E318D71A9 7F620348C4E117F20D941D541401B78EA6F6110420F348EDF1B0822274F33C78F37CFC6171BC85 42C2A64793P~Ä ³ CKA_PUBLIC_EXPONENT : 010001 CKA_PUBLIC_KEY_INFO : CKA_EC_PARAMS : CKA_SUBJECT : CKA_ISSUER : CKA_SN : CKA_TOKEN : yes CKA_MODIFIABLE : yes CKA_MODULUS_BITS : 4096 CKA_PRIVATE : yes CKA_DERIVE : yes CKA_WRAP : yes CKA_UNWRAP : yes CKA_SIGN : yes CKA_VERIFY : yes CKA_ENCRYPT : no CKA_DECRYPT : no CKA_OBJECT_ID : HSM_OBJ_VERSION : 2 HSM_OBJ_TYPE : 11 HSM_OBJ_ATTR : 16777217 HSM_OBJ_LEN : 2875 HSM_OBJ_ID : msca/DBB0823FF3A4C57A993829E486C81038 HSM_OBJ_PVALUE : 736E28329D4D74AF195A6A0F041C24AA464CD87E CKA_LABEL : CKA_ID : CKA_SIGN_RECOVER : no CKA_VERIFY_RECOVER : no CKA_APPLICATION : CKA_TRUSTED : no CKA_JMIDP_SEC_DOMAIN : 0 CKA_CERT_CATEGORY : 0 CKA_KEY_GEN_MECHANISM : 0 CKA_WRAP_WITH_TRUSTED : no HSM_ASSOCIATE : Actions: 1 - Block 2 - Edit Metadata 3 - PKCS#10 CSR 0 - Main Menu Option :