Verificar la salud del Certificate Authority en Windows Server con PKIVIEW

En este breve tutorial para hoy repasaremos diferentes formas de verificar la salud de nuestra infraestructura PKI o Publick Key Infrastructure, utilizando para ello herramientas como pkiview u otras formas como a través de la consola de administración Certification Authority.

Antes de continuar es importante destacar que para utilizar la herramienta PKIVIEW desde un servidor o sistema donde no está instalado AD CS (Active Directory Certificate Services), deberemos utilizar RSAT o Remote Server Administration Tools.

Comprobar nuestra Entidad de Certificación en Windows Server

PKIView

Entre las herramientas de administración del sistema o del servidor (Server Manager) no encontraremos pkiview. Para lanzarlo desde nuestro sistema operativo Windows Server 2012 R2 como en el ejemplo, abriremos una ventana «ejecutar» y escribiremos:

pkiview.msc

O bien lo buscaremos desde el menú inicio.

En la ventana que aparece, podremos ver en el panel izquierdo la CA raíz junto a las subordinadas correspondientes registradas en el Active Directory. Pulsando sobre Enterprise PKI (izquierda) veremos la salud de las CA registradas.

También podemos con el botón secundario abrir la opción Manage CA para administrar las propiedades de la PKI.

Si haces clic sobre una CA en el panel izquierdo verás información sobre el certificado asociado, información sobre el AIA (Authority Information Access), la ubicación de la CRL (Certificate Revocation List), la ubicación del CDP (CRL Distribution Point y la ubicación para el DeltaCRL.

Un indicador amarillo significará un problema no crítico, mientras que una marca roja significará que o bien el problema es crítico, o que la CA está fuera de linea.

Nos permite por otro lado gestionar los almacenes de certificados de AD y CRL. Bastará con hacer clic derecho sobre Enterprise PKI > Manage AD Containers.

La pestaña NTAuthCertificates lista aquellas CA que pueden emitir certificados para protocolo RADIUS y tarjetas inteligentes. El resto de pestañas, nos permiten revisar y ver/eliminar entradas en cada categoría. Para añadir nuevas entradas, es necesario usar la linea de comandso junto con certutil.

Otros controles de la PKI

A modo informativo os dejo un recordatorio de como es posible acceder a las propiedades de la CA a nivel local para cada servidor de nuestra PKI.

Certsrv

Abriremos un cuadro de diálogo y escribiremos:

certsrv.msc

De esta manera podemos ver los certificados emitidos, pendientes de firma, revocados, solicitudes fallidas y también controlar las plantillas en base a las que se firman los CSR.

A este mismo apartado podemos llegar de otras formas, por ejemplo abriendo «Ejecutar» o buscar:

mmc.exe

Añadiendo después «certification authority».

• 

Finalmente, podemos usar el Server Manager para acceder a esta misma herramienta (Tools).