Saltar al contenido

Verificar la salud del Certificate Authority en Windows Server con PKIVIEW

En este breve tutorial para hoy repasaremos diferentes formas de verificar la salud de nuestra infraestructura PKI o Publick Key Infrastructure, utilizando para ello herramientas como pkiview u otras formas como a través de la consola de administración Certification Authority.

Antes de continuar es importante destacar que para utilizar la herramienta PKIVIEW desde un servidor o sistema donde no está instalado AD CS (Active Directory Certificate Services), deberemos utilizar RSAT o Remote Server Administration Tools.

Comprobar nuestra Entidad de Certificación en Windows Server

PKIView

Entre las herramientas de administración del sistema o del servidor (Server Manager) no encontraremos pkiview. Para lanzarlo desde nuestro sistema operativo Windows Server 2012 R2 como en el ejemplo, abriremos una ventana “ejecutar” y escribiremos:

pkiview.msc

O bien lo buscaremos desde el menú inicio.

En la ventana que aparece, podremos ver en el panel izquierdo la CA raíz junto a las subordinadas correspondientes registradas en el Active Directory. Pulsando sobre Enterprise PKI (izquierda) veremos la salud de las CA registradas.

También podemos con el botón secundario abrir la opción Manage CA para administrar las propiedades de la PKI.

Si haces clic sobre una CA en el panel izquierdo verás información sobre el certificado asociado, información sobre el AIA (Authority Information Access), la ubicación de la CRL (Certificate Revocation List), la ubicación del CDP (CRL Distribution Point y la ubicación para el DeltaCRL.

Un indicador amarillo significará un problema no crítico, mientras que una marca roja significará que o bien el problema es crítico, o que la CA está fuera de linea.

Nos permite por otro lado gestionar los almacenes de certificados de AD y CRL. Bastará con hacer clic derecho sobre Enterprise PKI > Manage AD Containers.

La pestaña NTAuthCertificates lista aquellas CA que pueden emitir certificados para protocolo RADIUS y tarjetas inteligentes. El resto de pestañas, nos permiten revisar y ver/eliminar entradas en cada categoría. Para añadir nuevas entradas, es necesario usar la linea de comandso junto con certutil.

Otros controles de la PKI

A modo informativo os dejo un recordatorio de como es posible acceder a las propiedades de la CA a nivel local para cada servidor de nuestra PKI.

Certsrv

Abriremos un cuadro de diálogo y escribiremos:

certsrv.msc

De esta manera podemos ver los certificados emitidos, pendientes de firma, revocados, solicitudes fallidas y también controlar las plantillas en base a las que se firman los CSR.

certsrv.msc

A este mismo apartado podemos llegar de otras formas, por ejemplo abriendo “Ejecutar” o buscar:

mmc.exe

Añadiendo después “certification authority”.

Finalmente, podemos usar el Server Manager para acceder a esta misma herramienta (Tools).

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: