de la solución de referencia

Infraestructura de claves públicas de Microsoft en AWS

Reducir el tráfico de red inseguro y sin firmar

Ver la guía de implementación

Una infraestructura de claves públicas (PKI) crea, gestiona, distribuye, almacena y revoca certificados digitales. Los entornos de Windows usan certificados digitales para proteger varios tipos de conexiones. Los tipos de conexiones incluyen búsquedas en Microsoft Active Directory mediante el protocolo ligero de acceso a directorios (LDAPS) sobre la capa de sockets seguros, la búsqueda de conexiones HTTPS de Internet Information Services (IIS) y de comunicaciones de Exchange Server y la búsqueda en Windows Server Update Services (WSUS).

Con una PKI alojada en Windows en una cuenta de Amazon Web Services (AWS) puede mantener sus propios certificados. Esta capacidad le permite reducir el tráfico de red sin firmar y poco seguro. Para implementar un entorno de PKI en Windows, instale y configure roles de Certificación Authority (CA, Autoridad de certificación) en uno o más servidores de Windows.

Esta solución de PKI de Microsoft implementa una CA raíz y una CA subordinada. La CA raíz actúa como la autoridad de certificación principal de un bosque de Active Directory (AD, Directorio activo). Los certificados que genera la CA raíz firman el servidor y los certificados de aplicación que emite la CA subordinada. La solución genera automáticamente un certificado raíz inicial y, luego, apaga la instancia Amazon Elastic Compute Cloud (Amazon EC2) de la CA raíz. Esta instancia permanece sin conexión, excepto cuando se debe volver a generar un nuevo certificado raíz, lo que ayuda a garantizar la integridad del certificado raíz.

AWS desarrolló esta solución.

  •  Lo que creará

  • Gracias a esta solución, es posible configurar lo siguiente:

    • Una arquitectura que abarca dos Zonas de disponibilidad.*
    • Una nube virtual privada (VPC) configurada con subredes públicas y privadas de acuerdo con las prácticas recomendadas de AWS para proporcionarle su propia red virtual en AWS.*
    • En las subredes públicas:
      • Gateways gestionadas mediante traducción de direcciones de red (NAT) para permitir el acceso saliente a Internet a recursos en las subredes privadas.*
      • Una instancia de gateway de escritorio remoto (RD Gateway) en un grupo de Auto Scaling para permitir el acceso del protocolo de escritorio remoto (RDP) a las instancias EC2 en las subredes públicas y privadas.*
    • En las subredes privadas:
      • En la zona de disponibilidad 1, una instancia EC2 que ejecuta Windows para actuar como una CA raíz sin conexión.
      • En la zona de disponibilidad 2, una instancia EC2 que ejecuta Windows para actuar como una CA subordinada.
    • AWS Directory Service, que permite implementar un entorno de servicios de certificados de Active Directory (AD CS).*
    • AWS Secrets Manager para almacenar credenciales.
    • AWS Systems Manager para automatizar el proceso de implementación de CA y almacenar los certificados generados.
    • AWS Identity and Access Management (IAM, Administración de identidad y acceso en AWS) para habilitar las instancias EC2 y los documentos de automatización de Systems Manager con el objetivo de que realicen sus tareas.

    * En la plantilla con la que se implementa la solución en una VPC existente, se omiten los componentes marcados con asteriscos y se le pide la configuración de su VPC existente.

  •  Cómo implementar

  • Para implementar la PKI de Microsoft, siga las instrucciones en la guía de implementación. El proceso de implementación tarda unos 30 minutos e incluye los siguientes pasos:

    1. Si aún no tiene cuenta de AWS, regístrese en https://aws.amazon.com e inicie sesión en ella.
    2. Lance la solución. Puede elegir entre dos opciones:
    3. Pruebe la implementación.

    Amazon puede compartir la información de implementación de los usuarios con el socio de AWS que colaboró con AWS en esta solución.  

    Consulte la guía de implementación para obtener detalles
  •  Costos y licencias

  • Usted debe asumir el costo de los servicios de AWS que se utilicen durante la ejecución de esta implementación de la solución de referencia. No se aplican costos adicionales por el uso de esta solución.

    En las plantillas de AWS CloudFormation para esta solución, se incluyen parámetros de configuración que puede personalizar. Algunas de estas configuraciones, tales como el tipo de instancia, afectan al costo de la implementación. Para hacer estimaciones de costos, consulte las páginas de precios de cada servicio de AWS que utilice. Los precios están sujetos a cambios.

    Esta solución implementa instancias EC2 que ejecutan Microsoft Windows Server. Las licencias de Windows Server las proporciona AWS.

    Usted es responsable del costo de los servicios de AWS, así como de las licencias de terceros que se utilicen, mientras se ejecuta esta solución. No se aplican cargos adicionales por el uso de la solución.

    En esta solución, se incluyen parámetros de configuración que puede personalizar. Algunas de estas configuraciones, como el tipo de instancia, afectan al costo del despliegue. Para hacer estimaciones de costos, consulte las páginas de precios de cada servicio de AWS que utilice. Los precios están sujetos a cambios.

    Sugerencia: Después de implementar una solución, cree Informes de costo y uso de AWS para realizar el seguimiento de los costos asociados. Dichos informes envían métricas de facturación a un bucket de Amazon Simple Storage Service (Amazon S3) en su cuenta. Suministran estimaciones de costos en función del uso de cada mes y agregan los datos a finales del mes. Para obtener más información, consulte ¿Qué son los informes de costo y uso de AWS?