Dentro de una red corporativa, habilitar HTTPS con una CA interna permite cifrar el tráfico y eliminar los avisos de seguridad en los navegadores sin depender de entidades públicas externas, manteniendo el control total sobre los certificados y su ciclo de vida.
Ventajas de emplear una CA interna
Una autoridad de certificación (CA) privada en Windows Server 2019 ofrece:
- Coste cero: no paga a proveedores externos por cada certificado.
- Control y auditoría: define las directivas de emisión, revocación y renovación.
- Emisión inmediata: genera certificados en minutos, incluso de forma automática.
- Flexibilidad: crea plantillas personalizadas para aplicaciones web, VPN, LDAPS o confianza de dispositivos.
Concepto de cadena de confianza
Para que un navegador declare «sitio seguro», debe construir correctamente la cadena de confianza:
- Certificado del servidor (CN o SAN coincidente con el FQDN).
- Certificado intermedio (si se utiliza una CA subordinada).
- Certificado raíz de la CA interna, presente en el almacén Entidades de certificación raíz de confianza del sistema operativo cliente.
Si falta cualquiera de estos elementos, aparecerá el candado rojo o la advertencia “La conexión no es privada”.
Distribuir la raíz de la CA a todos los equipos
Conseguir que miles de dispositivos confíen en su CA es sencillo si se usa Active Directory:
| Método | Ámbito | Ventaja principal | Recomendado para |
|---|---|---|---|
| GPO Trusted Root Certification Authorities | Dominios/OU | Automático y centralizado | Equipos unidos a AD |
| Script de inicio (CertUtil /addstore) | Equipos concretos | Flexible, sin reinicio | Laboratorios, DMZ |
| Distribución MDM (Intune, JAMF) | Dispositivos móviles | Soporta BYOD | iOS, Android |
| Instalación manual | Equipo individual | Sin infraestructura adicional | Pruebas puntuales |
Pasos básicos con GPO
- Abra Group Policy Management y cree (o edite) una GPO.
- Navegue a
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies. - Haga clic con el botón derecho en Trusted Root Certification Authorities > Import y seleccione el certificado .cer de la raíz.
- Vincule la GPO a la OU o dominio adecuados y ejecute
gpupdate /forceen los clientes.
Emitir un certificado de servidor correcto
El certificado SSL/TLS debe cumplir:
- Plantilla adecuada: por ejemplo, Web Server con los EKU
Server Authentication (1.3.6.1.5.5.7.3.1). - Nombre común (CN) o Subject Alternative Name (SAN) que coincida con https://miportal.corp.local (o un comodín si procede).
- Clave RSA ≥ 2048 bits o ECC equivalente.
Solicitud con la consola MMC
En el servidor IIS:
- Ejecute
mmc.exe> Certificates > Personal > Certificates. - All Tasks > Request New Certificate y seleccione la plantilla.
- Especifique los SAN deseados (Add… > DNS).
- Complete la solicitud y, si la plantilla lo permite, el certificado se emite al instante.
Solicitud con PowerShell (autoenrollment)
Get-Certificate `
-Template "WebServer" `
-DnsName "miportal.corp.local","www.miportal.corp.local" `
-CertStoreLocation Cert:\LocalMachine\My
Vincular el certificado en IIS
- Abra Internet Information Services (IIS) Manager.
- Seleccione el sitio > Bindings… > Add.
- Escoja Type = https, Port = 443, y el certificado recién emitido.
- Guarde y reinicie el sitio.
Flujo de confianza en la práctica
Una vez desplegados la raíz y el certificado del servidor:
- El cliente se conecta a https://miportal.corp.local.
- El servidor envía su certificado.
- El cliente busca la CA raíz en su almacén. Al hallarla, establece la sesión TLS y muestra el candado sin advertencias.
Verificación y solución de problemas
- PowerShell:
Invoke-WebRequest https://miportal.corp.local -UseBasicParsingdebe devolverStatusCode 200sin errores de certificado. - Chrome/Edge: pulse F12 > Security para ver la cadena de certificados.
- Event Viewer: consulte
Applications and Services Logs > Microsoft > Windows > CertificateServicesClient-Lifecycle-Systempara fallos de autoenrollment. - openssl: en un cliente Linux, ejecute
openssl s_client -connect miportal.corp.local:443 -showcertspara revisar la cadena.
Renovación y mantenimiento
Planear con antelación evita cortes de servicio:
- Duración del certificado: 1‑2 años es habitual; más corto favorece la seguridad.
- Auto‑renovación: habilite Autoenroll en la GPO para servidores y clientes.
- Supervisión: use System Center o Azure Monitor para alertar 30 días antes del vencimiento.
- CRL y AIA: asegure rutas HTTP normalmente accesibles incluso fuera de la red (VPN) si los certificados se utilizan de forma remota.
Automatizar la revocación y la publicación de CRL
Configure la CA para:
- Publicar la CRL cada 7‑14 días (
certutil -crl). - Habilitar Delta CRL para reflotar cambios en minutos.
- Replicar las CRL a varias ubicaciones (DFS, IIS redundante) para alta disponibilidad.
Buenas prácticas de seguridad de la CA
- Servidor offline: mantenga la CA raíz sin conexión y use una CA subordinada online.
- Restrinja acceso a la consola de la CA mediante Role-Based Administration.
- Habilite auditoría: registre la emisión y revocación de certificados.
- Aplicar parches: incluya la CA en su ciclo normal de actualizaciones de Windows.
Preguntas frecuentes
¿Puedo usar un certificado wildcard (*.corp.local) con mi CA interna?
Sí, si su plantilla lo permite. Sin embargo, valore la segmentación por servicio para limitar el impacto de una clave comprometida.
¿Qué ocurre con dispositivos que no están en el dominio?
Necesitan que importe manualmente la raíz o emplee MDM. Sin ella, seguirán viendo advertencias.
¿El mensaje “El nombre no coincide” aparece aunque la raíz sea confiable?
Ese error se debe a que el CN o los SAN del certificado no coinciden con la URL solicitada. Emita de nuevo el certificado con los nombres correctos.
¿Puedo forzar HTTPS en todo IIS?
Use HTTP Strict Transport Security (HSTS) en la cabecera de respuesta o la opción Require SSL en SSL Settings del sitio.
Conclusión
Configurar una CA interna en Windows Server 2019 para habilitar HTTPS es un proyecto asequible y altamente beneficioso para la seguridad. La clave del éxito reside en distribuir la raíz de confianza a todos los dispositivos, emitir certificados de servidor correctamente configurados y automatizar la renovación. Con estos pasos, los usuarios disfrutarán de conexiones cifradas sin advertencias ni fricciones.