Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configure Windows Server como entidad de certificación (CA) con AWS CloudHSM
<a name="third-ca-toplevel"></a>

AWS CloudHSM ofrece soporte para configurar Windows Server como entidad de certificación (CA) mediante el SDK de cliente 3 y el SDK de cliente 5. Los pasos para usar estas herramientas variarán en función de la versión del SDK de cliente en la que se descargue actualmente. Las siguientes secciones proporcionan información a cada SDK. 

**Topics**
+ [Client SDK 5 con CA de Windows Server](win-ca-overview-sdk5.md)
+ [SDK de cliente 3 con Windows Server como CA](win-ca-overview-sdk3.md)

# Configuración de Windows Server como una autoridad de certificación (CA) con Client SDK 5
<a name="win-ca-overview-sdk5"></a>

En una infraestructura de clave pública (PKI), una entidad de certificación (CA) es una entidad de confianza que emite certificados digitales. Estos certificados digitales vinculan una clave pública a una identidad (una persona u organización) mediante criptografía de clave pública y firmas digitales. Para operar una CA, debe preservar la confianza mediante la protección de las claves privadas que firman los certificados emitidos por la CA. Puede almacenar las claves privadas en un HSM de su clúster de AWS CloudHSM y usar el HSM para realizar las operaciones de firma criptográfica.

En este tutorial, utilizará Windows Server y AWS CloudHSM configurará una CA. Tiene que instalar el software de cliente de AWS CloudHSM para Windows en el servidor de Windows y agregar después la función Servicios de certificados de Active Directory (AD CS) a Windows Server. Al configurar esta función, se utiliza un proveedor de almacenamiento de AWS CloudHSM claves (KSP) para crear y almacenar la clave privada de la CA en el AWS CloudHSM clúster. El KSP es el puente que conecta el servidor Windows con el clúster AWS CloudHSM . En el último paso, usted firma una solicitud de firma de certificado (CSR) con su entidad de certificación de Windows Server.

Para obtener más información, consulte los temas siguientes:

**Topics**
+ [Paso 1: configurar los requisitos previos](#win-ca-prerequisites-sdk5)
+ [Paso 2: Cree una CA de Windows Server con AWS CloudHSM](#win-ca-setup-sdk5)
+ [Paso 3: firme una solicitud de firma de certificado (CSR) con su CA de Windows Server con AWS CloudHSM](#win-ca-sign-csr-sdk5)

## Paso 1: configurar los requisitos previos
<a name="win-ca-prerequisites-sdk5"></a>

Para configurar Windows Server como entidad de certificación (CA) con AWS CloudHSM, necesita lo siguiente:
+ Un AWS CloudHSM clúster activo con al menos un HSM.
+ Una instancia de Amazon EC2 que ejecuta un sistema operativo Windows Server con el software AWS CloudHSM cliente para Windows instalado. Este tutorial usa Microsoft Windows Server 2016.
+ Un usuario criptográfico (CU) que sea el propietario y administre la clave privada de la entidad de certificación en el HSM.

**Para configurar los requisitos previos de una CA de Windows Server con AWS CloudHSM**

1. Realice los pasos que se indican en [Introducción](getting-started.md). Al lanzar el cliente de Amazon EC2, elija una AMI de Windows Server. Este tutorial usa Microsoft Windows Server 2016. Cuando haya completado estos pasos, dispondrá de un clúster activo con al menos un HSM. También tiene una instancia de cliente Amazon EC2 que ejecuta Windows Server con el software de AWS CloudHSM cliente para Windows instalado.

1. (Opcional) Añada más HSMs al clúster. Para obtener más información, consulte [Añadir un HSM a un clúster AWS CloudHSM](add-hsm.md).

1. Conéctese a su instancia de cliente. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.

1. Cree un usuario de criptografía (CU) con [Administración de usuarios de HSM con la CLI de CloudHSM](manage-hsm-users-chsm-cli.md) o [Administración de usuarios de HSM con la Utilidad de administración de CloudHSM (CMU)](manage-hsm-users-cmu.md). Realice un seguimiento del nombre de usuario y la contraseña del CU. Los necesitará para completar el paso siguiente.

1. [Establezca las credenciales de inicio de sesión del HSM](ksp-library-authentication.md), utilizando el nombre de usuario y la contraseña del CU que creó en el paso anterior.

1. En el paso 5, si utilizó el Administrador de credenciales de Windows para configurar las credenciales de HSM, descargue [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)from SysInternals para ejecutar el siguiente comando como *NT Authority\$1 SYSTEM*:

   ```
   psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Sustituya *<USERNAME>* y por *<PASSWORD>* las credenciales de HSM.

Para crear una CA de Windows Server con AWS CloudHSM, vaya a[Crear entidad de certificación de Windows Server](#win-ca-setup-sdk5).

## Paso 2: Cree una CA de Windows Server con AWS CloudHSM
<a name="win-ca-setup-sdk5"></a>

Para crear una entidad de certificación de Windows Server, usted agrega el rol Servicios de certificados de Active Directory (AD CS) a Windows Server. Al añadir esta función, se utiliza un proveedor de almacenamiento de AWS CloudHSM claves (KSP) para crear y almacenar la clave privada de la CA en el AWS CloudHSM clúster.

**nota**  
Al crear tu entidad de certificación de Windows Server, puedes optar por crear una entidad de certificación o una entidad de certificación subordinada. Normalmente, usted toma esta decisión en función del diseño de su infraestructura de clave pública y las políticas de seguridad de su organización. En este tutorial se explica cómo crear una entidad de certificación raíz para simplificar.

**Para agregar el rol AD CS a Windows Server y crear la clave privada de la entidad de certificación**

1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.

1. En su servidor de Windows, inicie **Administrador del servidor**.

1. En el panel **Administrador del servidor**, elija **Agregar roles y características**.

1. Lea la información de **Antes de comenzar** y, a continuación, elija **Siguiente**.

1. En **Installation Type**, elija **Instalación basada en características o en roles**. A continuación, elija **Siguiente**.

1. En **Selección de servidor**, elija **Seleccionar un servidor del grupo de servidores**. A continuación, elija **Siguiente**.

1. En **Roles de servidor**, haga lo siguiente:

   1. Seleccione **Servicios de certificados de Active Directory**.

   1. En **Agregar características necesarias para Servicios de certificados de Active Directory**, elija **Agregar características**.

   1. Elija **Siguiente** para finalizar la selección de roles de servidor.

1. En **Características**, acepte los valores predeterminados y, a continuación, elija **Siguiente**.

1. En **AD CS**, haga lo siguiente:

   1. Elija **Siguiente**.

   1. Seleccione **Entidad de certificación** y, a continuación, elija **Siguiente**.

1. En **Confirmación**, lea la información de confirmación y, a continuación, elija **Instalar**. No cierre la ventana.

1. Elija el enlace **Configurar Servicios de certificados de Active Directory en el servidor de destino** resaltado.

1. En **Credenciales**, compruebe o cambie las credenciales mostradas. A continuación, elija **Siguiente**.

1. En **Servicios de rol**, seleccione **Entidad de certificación**. A continuación, elija **Siguiente**.

1. En **Tipo de instalación**, seleccione **CA independiente**. A continuación, elija **Siguiente**.

1. En **Tipo de CA**, seleccione **CA raíz**. A continuación, elija **Siguiente**.
**nota**  
Puede optar por crear una entidad de certificación raíz o una entidad de certificación subordinada en función del diseño de su infraestructura de clave pública y las políticas de seguridad de su organización. En este tutorial se explica cómo crear una entidad de certificación raíz para simplificar.

1. En **Clave privada**, seleccione **Crear una nueva clave privada**. A continuación, elija **Siguiente**.

1. En **Criptografía**, haga lo siguiente:

   1. En **Seleccionar un proveedor criptográfico**, elija una de las opciones de **Proveedor de almacenamiento de claves de CloudHSM** del menú. Estos son los proveedores de almacenamiento de claves de AWS CloudHSM . Por ejemplo, puede elegir **RSA\$1CloudHSM Proveedor de almacenamiento de claves**.

   1. En **Longitud de la clave**, elija una de las opciones de la longitud de la clave.

   1. En **Seleccione el algoritmo de hash para firmar los certificados emitidos por esta CA**, elija una de las opciones del algoritmo de hash.

   Elija **Siguiente**.

1. En **Nombre de CA**, haga lo siguiente:

   1. (Opcional) Edite el nombre común.

   1. (Opcional) Escriba un sufijo de nombre distinguido.

   Elija **Siguiente**.

1. En **Periodo de validez**, especifique un periodo en años, meses, semanas o días. A continuación, elija **Siguiente**.

1. En **Base de datos de certificados**, puede aceptar los valores predeterminados o, de forma opcional, cambiar la ubicación y el registro de la base de datos. A continuación, elija **Siguiente**.

1. En **Confirmación**, consulte la información acerca de su entidad de certificación; a continuación, elija **Configurar**.

1. Elija **Cerrar** y, a continuación, seleccione **Cerrar** de nuevo.

Ahora tiene una CA de Windows Server con AWS CloudHSM. Para aprender a firmar una solicitud de firma de certificado (CSR) con su entidad de certificación, vaya a [Firmar una CSR](#win-ca-sign-csr-sdk5).

## Paso 3: firme una solicitud de firma de certificado (CSR) con su CA de Windows Server con AWS CloudHSM
<a name="win-ca-sign-csr-sdk5"></a>

Puede usar su CA de Windows Server AWS CloudHSM para firmar una solicitud de firma de certificado (CSR). Para completar estos pasos, necesita una CSR válida. Puede crear una CSR de varias formas, incluidas las siguientes:
+ Mediante OpenSSL
+ Mediante el Administrador de Internet Information Services (IIS) de Windows Server
+ Mediante el complemento de certificados en la consola de administración de Microsoft
+ Mediante la utilidad de la línea de comandos **certreq** en Windows

Los pasos para crear una CSR quedan fuera del alcance de este tutorial. Al tener una CSR, puede firmarla con su entidad de certificación de Windows Server.

**Para firmar una CSR con su entidad de certificación de Windows Server**

1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.

1. En su servidor de Windows, inicie **Administrador del servidor**.

1. En el panel **Administrador del servidor**, en la esquina superior derecha, elija **Herramientas**, **Entidad de certificación**.

1. En la ventana **Entidad de certificación**, elija el nombre de su equipo.

1. En el menú **Acción**, elija **Todas las tareas**, **Enviar nueva solicitud**.

1. Seleccione el archivo de la CSR y, a continuación, elija **Abrir**.

1. En la ventana **Entidad de certificación**, haga doble clic en **Solicitudes pendientes**.

1. Seleccione la solicitud pendiente. A continuación, en el menú **Acción**, elija **Todas las tareas**, **Emitir**.

1. En la ventana **entidad de certificación**, haga doble clic en **Solicitudes emitidas** para ver el certificado firmado.

1. (Opcional) Para exportar el certificado firmado a un archivo, complete los pasos siguientes:

   1. En la ventana **Entidad de certificación**, haga doble clic en el certificado.

   1. Elija la pestaña **Detalles** y, a continuación, elija **Copiar en archivo**.

   1. Siga las instrucciones en el **Asistente para exportar certificados**.

Ahora tiene una CA de Windows Server y un certificado válido firmado por la CA de Windows Server. AWS CloudHSM

# Configure Windows Server como una autoridad de certificación (CA) con el SDK de cliente 3.
<a name="win-ca-overview-sdk3"></a>

En una infraestructura de clave pública (PKI), una entidad de certificación (CA) es una entidad de confianza que emite certificados digitales. Estos certificados digitales vinculan una clave pública a una identidad (una persona u organización) mediante criptografía de clave pública y firmas digitales. Para operar una CA, debe preservar la confianza mediante la protección de las claves privadas que firman los certificados emitidos por la CA. Puede almacenar las claves privadas en un HSM de su clúster de AWS CloudHSM y usar el HSM para realizar las operaciones de firma criptográfica.

En este tutorial, utilizará Windows Server y AWS CloudHSM configurará una CA. Tiene que instalar el software de cliente de AWS CloudHSM para Windows en el servidor de Windows y agregar después la función Servicios de certificados de Active Directory (AD CS) a Windows Server. Al configurar esta función, se utiliza un proveedor de almacenamiento de AWS CloudHSM claves (KSP) para crear y almacenar la clave privada de la CA en el AWS CloudHSM clúster. El KSP es el puente que conecta el servidor Windows con el clúster AWS CloudHSM . En el último paso, usted firma una solicitud de firma de certificado (CSR) con su entidad de certificación de Windows Server.

Para obtener más información, consulte los temas siguientes:

**Topics**
+ [Paso 1: configurar los requisitos previos](#win-ca-prerequisites-sdk3)
+ [Paso 2: Cree una CA de Windows Server con AWS CloudHSM](#win-ca-setup-sdk3)
+ [Paso 3: firme una solicitud de firma de certificado (CSR) con su CA de Windows Server con AWS CloudHSM](#win-ca-sign-csr-sdk3)

## Paso 1: configurar los requisitos previos
<a name="win-ca-prerequisites-sdk3"></a>

Para configurar Windows Server como entidad de certificación (CA) con AWS CloudHSM, necesita lo siguiente:
+ Un AWS CloudHSM clúster activo con al menos un HSM.
+ Una instancia de Amazon EC2 que ejecuta un sistema operativo Windows Server con el software AWS CloudHSM cliente para Windows instalado. Este tutorial usa Microsoft Windows Server 2016.
+ Un usuario criptográfico (CU) que sea el propietario y administre la clave privada de la entidad de certificación en el HSM.

**Para configurar los requisitos previos de una CA de Windows Server con AWS CloudHSM**

1. Realice los pasos que se indican en [Introducción](getting-started.md). Al lanzar el cliente de Amazon EC2, elija una AMI de Windows Server. Este tutorial usa Microsoft Windows Server 2016. Cuando haya completado estos pasos, dispondrá de un clúster activo con al menos un HSM. También tiene una instancia de cliente Amazon EC2 que ejecuta Windows Server con el software de AWS CloudHSM cliente para Windows instalado.

1. (Opcional) Añada más HSMs al clúster. Para obtener más información, consulte [Añadir un HSM a un clúster AWS CloudHSM](add-hsm.md).

1. Conéctese a su instancia de cliente. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.

1. Cree un usuario de criptografía (CU) con [Administración de usuarios de HSM con la CLI de CloudHSM](manage-hsm-users-chsm-cli.md) o [Administración de usuarios de HSM con la Utilidad de administración de CloudHSM (CMU)](manage-hsm-users-cmu.md). Realice un seguimiento del nombre de usuario y la contraseña del CU. Los necesitará para completar el paso siguiente.

1. [Establezca las credenciales de inicio de sesión del HSM](ksp-library-prereq.md), utilizando el nombre de usuario y la contraseña del CU que creó en el paso anterior.

1. En el paso 5, si utilizó el Administrador de credenciales de Windows para configurar las credenciales de HSM, descargue [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)from SysInternals para ejecutar el siguiente comando como *NT Authority\$1 SYSTEM*:

   ```
   	  psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Sustituya *<USERNAME>* y por *<PASSWORD>* las credenciales de HSM.

Para crear una CA de Windows Server con AWS CloudHSM, vaya a[Crear entidad de certificación de Windows Server](#win-ca-setup-sdk3).

## Paso 2: Cree una CA de Windows Server con AWS CloudHSM
<a name="win-ca-setup-sdk3"></a>

Para crear una entidad de certificación de Windows Server, usted agrega el rol Servicios de certificados de Active Directory (AD CS) a Windows Server. Al añadir esta función, se utiliza un proveedor de almacenamiento de AWS CloudHSM claves (KSP) para crear y almacenar la clave privada de la CA en el AWS CloudHSM clúster.

**nota**  
Al crear tu entidad de certificación de Windows Server, puedes optar por crear una entidad de certificación o una entidad de certificación subordinada. Normalmente, usted toma esta decisión en función del diseño de su infraestructura de clave pública y las políticas de seguridad de su organización. En este tutorial se explica cómo crear una entidad de certificación raíz para simplificar.

**Para agregar el rol AD CS a Windows Server y crear la clave privada de la entidad de certificación**

1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.

1. En su servidor de Windows, inicie **Administrador del servidor**.

1. En el panel **Administrador del servidor**, elija **Agregar roles y características**.

1. Lea la información de **Antes de comenzar** y, a continuación, elija **Siguiente**.

1. En **Installation Type**, elija **Instalación basada en características o en roles**. A continuación, elija **Siguiente**.

1. En **Selección de servidor**, elija **Seleccionar un servidor del grupo de servidores**. A continuación, elija **Siguiente**.

1. En **Roles de servidor**, haga lo siguiente:

   1. Seleccione **Servicios de certificados de Active Directory**.

   1. En **Agregar características necesarias para Servicios de certificados de Active Directory**, elija **Agregar características**.

   1. Elija **Siguiente** para finalizar la selección de roles de servidor.

1. En **Características**, acepte los valores predeterminados y, a continuación, elija **Siguiente**.

1. En **AD CS**, haga lo siguiente:

   1. Elija **Siguiente**.

   1. Seleccione **Entidad de certificación** y, a continuación, elija **Siguiente**.

1. En **Confirmación**, lea la información de confirmación y, a continuación, elija **Instalar**. No cierre la ventana.

1. Elija el enlace **Configurar Servicios de certificados de Active Directory en el servidor de destino** resaltado.

1. En **Credenciales**, compruebe o cambie las credenciales mostradas. A continuación, elija **Siguiente**.

1. En **Servicios de rol**, seleccione **Entidad de certificación**. A continuación, elija **Siguiente**.

1. En **Tipo de instalación**, seleccione **CA independiente**. A continuación, elija **Siguiente**.

1. En **Tipo de CA**, seleccione **CA raíz**. A continuación, elija **Siguiente**.
**nota**  
Puede optar por crear una entidad de certificación raíz o una entidad de certificación subordinada en función del diseño de su infraestructura de clave pública y las políticas de seguridad de su organización. En este tutorial se explica cómo crear una entidad de certificación raíz para simplificar.

1. En **Clave privada**, seleccione **Crear una nueva clave privada**. A continuación, elija **Siguiente**.

1. En **Criptografía**, haga lo siguiente:

   1. En **Seleccionar un proveedor de servicios criptográficos**, seleccione una de las opciones del **proveedor de almacenamiento de claves de Cavium** en el menú. Estos son los proveedores de almacenamiento de claves de AWS CloudHSM . Por ejemplo, puede elegir el **proveedor de almacenamiento de claves de RSA\$1Cavium**.

   1. En **Longitud de la clave**, elija una de las opciones de la longitud de la clave.

   1. En **Seleccione el algoritmo de hash para firmar los certificados emitidos por esta CA**, elija una de las opciones del algoritmo de hash.

   Elija **Siguiente**.

1. En **Nombre de CA**, haga lo siguiente:

   1. (Opcional) Edite el nombre común.

   1. (Opcional) Escriba un sufijo de nombre distinguido.

   Elija **Siguiente**.

1. En **Periodo de validez**, especifique un periodo en años, meses, semanas o días. A continuación, elija **Siguiente**.

1. En **Base de datos de certificados**, puede aceptar los valores predeterminados o, de forma opcional, cambiar la ubicación y el registro de la base de datos. A continuación, elija **Siguiente**.

1. En **Confirmación**, consulte la información acerca de su entidad de certificación; a continuación, elija **Configurar**.

1. Elija **Cerrar** y, a continuación, seleccione **Cerrar** de nuevo.

Ahora tiene una CA de Windows Server con AWS CloudHSM. Para aprender a firmar una solicitud de firma de certificado (CSR) con su entidad de certificación, vaya a [Firmar una CSR](#win-ca-sign-csr-sdk3).

## Paso 3: firme una solicitud de firma de certificado (CSR) con su CA de Windows Server con AWS CloudHSM
<a name="win-ca-sign-csr-sdk3"></a>

Puede usar su CA de Windows Server AWS CloudHSM para firmar una solicitud de firma de certificado (CSR). Para completar estos pasos, necesita una CSR válida. Puede crear una CSR de varias formas, incluidas las siguientes:
+ Mediante OpenSSL
+ Mediante el Administrador de Internet Information Services (IIS) de Windows Server
+ Mediante el complemento de certificados en la consola de administración de Microsoft
+ Mediante la utilidad de la línea de comandos **certreq** en Windows

Los pasos para crear una CSR quedan fuera del alcance de este tutorial. Al tener una CSR, puede firmarla con su entidad de certificación de Windows Server.

**Para firmar una CSR con su entidad de certificación de Windows Server**

1. Si aún no lo ha hecho, conéctese a su servidor de Windows. Para obtener más información, consulte [Conexión a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) en la *Guía del usuario de Amazon EC2*.

1. En su servidor de Windows, inicie **Administrador del servidor**.

1. En el panel **Administrador del servidor**, en la esquina superior derecha, elija **Herramientas**, **Entidad de certificación**.

1. En la ventana **Entidad de certificación**, elija el nombre de su equipo.

1. En el menú **Acción**, elija **Todas las tareas**, **Enviar nueva solicitud**.

1. Seleccione el archivo de la CSR y, a continuación, elija **Abrir**.

1. En la ventana **Entidad de certificación**, haga doble clic en **Solicitudes pendientes**.

1. Seleccione la solicitud pendiente. A continuación, en el menú **Acción**, elija **Todas las tareas**, **Emitir**.

1. En la ventana **entidad de certificación**, haga doble clic en **Solicitudes emitidas** para ver el certificado firmado.

1. (Opcional) Para exportar el certificado firmado a un archivo, complete los pasos siguientes:

   1. En la ventana **Entidad de certificación**, haga doble clic en el certificado.

   1. Elija la pestaña **Detalles** y, a continuación, elija **Copiar en archivo**.

   1. Siga las instrucciones en el **Asistente para exportar certificados**.

Ahora tiene una CA de Windows Server y un certificado válido firmado por la CA de Windows Server. AWS CloudHSM