Autenticacin de acceso a la red y certificados

Autenticacin de acceso a la red y certificados

Este tema contiene las siguientes secciones:

Informacin general

Requisitos de certificados para EAP

Autenticacin de equipos en IPSec

Autenticacin basada en certificados y clientes inalmbricos

Mtodos de inscripcin de certificados y pertenencia a dominios

Elegir un mtodo de inscripcin de certificados

Servicios de inscripcin en Web de la entidad emisora de certificados

Informacin general
Los certificados se utilizan para la autenticacin del acceso a la red porque ofrecen un
nivel alto de seguridad en la autenticacin de usuarios y equipos, y eliminan la necesidad
de utilizar mtodos de autenticacin basados en contraseas, que son menos seguros. En
este tema se describe la manera en que los servidores de Servicio de autenticacin de
Internet (IAS) y red privada virtual (VPN) utilizan la Seguridad de nivel de transporte del
Protocolo de autenticacin extensible (EAP-TLS), el Protocolo de autenticacin
extensible protegido (PEAP) o la seguridad de Protocolo Internet (IPSec) para llevar a
cabo la autenticacin basada en certificados con diversos tipos de acceso a la red,
incluidas las conexiones VPN e inalmbricas. Adems, en este tema se describen los
mtodos de inscripcin de certificados para ayudarle a determinar cul es el mejor
mtodo para su entorno.
En el contexto de la autenticacin, un servidor se define como un servidor VPN o IAS
que es un extremo TLS. Se pueden configurar servidores VPN para realizar la
autenticacin del acceso a la red sin utilizar IAS o se puede utilizar IAS para la
autenticacin si la red tiene mltiples clientes de Servicio de usuario de acceso telefnico
de autenticacin remota (RADIUS), por ejemplo servidores VPN y puntos de acceso
inalmbrico.
Los certificados se utilizan en dos mtodos de autenticacin: Seguridad de nivel de
transporte del Protocolo de autenticacin extensible (EAP-TLS) y Protocolo de
autenticacin extensible protegido (PEAP). En ambos mtodos siempre se utilizan
certificados para la autenticacin de servidor. En funcin del tipo de autenticacin
configurado con el mtodo de autenticacin, los certificados se pueden utilizar para la
autenticacin de usuarios y de clientes. Para obtener ms informacin, vea EAP y PEAP.
El uso de certificados para la autenticacin de conexiones VPN es la forma ms segura de
autenticacin disponible en la familia Windows Server 2003. Debe utilizar la
autenticacin mediante certificados para las conexiones VPN basadas en el Protocolo de
tnel de capa 2 a travs de seguridad de Protocolo Internet (L2TP/IPSec). Las conexiones
de Protocolo de tnel punto a punto (PPTP) no requieren certificados, aunque se pueden

configurar conexiones PPTP para utilizar certificados en la autenticacin de equipos si se

utiliza EAP-TLS como mtodo de autenticacin. Para los clientes inalmbricos
(dispositivos con adaptadores de red inalmbricos, como un equipo porttil o un asistente
digital personal), el mtodo de autenticacin recomendado es PEAP con EAP-TLS y
tarjetas inteligentes o certificados. Para obtener ms informacin, vea Protocolo de tnel
de capa 2, Protocolo de tnel punto a punto y Redes inalmbricas.
Notas

Durante los intentos de autenticacin de las conexiones PPTP no se produce la

autenticacin de equipos. Si se utiliza EAP-TLS como mtodo de autenticacin en
conexiones PPTP, la autenticacin de usuarios se lleva a cabo con un certificado
del almacn de certificados en el equipo local o mediante una tarjeta inteligente.

En Windows Server 2003, Web Edition, y Windows Server 2003, Standard

Edition, puede crear hasta 1.000 puertos del Protocolo de tnel punto a punto
(PPTP) y hasta 1.000 puertos del Protocolo de tnel de capa 2 (L2TP). No
obstante, Windows Server 2003, Web Edition, slo puede aceptar una conexin de
red privada virtual (VPN) cada vez. Windows Server 2003, Standard Edition,
puede aceptar hasta 1.000 conexiones VPN simultneas. Si se conectan 1.000
clientes VPN, se denegarn los intentos de conexin posteriores hasta que el
nmero de conexiones sea inferior a 1.000.

Puede configurar IAS en Windows Server 2003, Standard Edition, con un

mximo de 50 clientes de RADIUS y 2 grupos de servidores RADIUS remotos.
Puede definir un cliente de RADIUS mediante un nombre de dominio completo o
una direccin IP, pero no puede definir grupos de clientes de RADIUS mediante
un intervalo de direcciones IP. Si el nombre de dominio completo de un cliente de
RADIUS se resuelve como varias direcciones IP, el servidor IAS utiliza la
primera direccin IP devuelta en la consulta DNS. Con IAS en Windows Server
2003, Enterprise Edition, y Windows Server 2003, Datacenter Edition, puede
configurar un nmero ilimitado de clientes de RADIUS y grupos de servidores
RADIUS remotos. Adems, puede configurar clientes de RADIUS si especifica
un intervalo de direcciones IP.

Para implementar certificados para usuarios y equipos, primero debe realizar las
siguientes acciones:

Disee una infraestructura de claves pblicas (PKI).

Implemente una entidad emisora de certificados (CA) mediante Servicios de

Certificate Server.

Disee y publique uno o varios certificados mediante Plantillas de certificados,

que se instala con los Servicios de Certificate Server.

Seleccione uno o varios mtodos de distribucin (tambin denominados mtodos

de inscripcin de certificados) para instalar los certificados en los equipos y
distribuirlos a los usuarios.

Notas

En este tema se supone que ha diseado e implementado una infraestructura de

claves pblicas (PKI) segn las directrices que se proporcionan en Prcticas
recomendadas de Servicios de Certificate Server. Para obtener ms informacin,
vea Infraestructura de claves pblicas.

PEAP no se admite en conexiones VPN o de acceso telefnico.

Ejemplos de implementaciones de certificados

Conexiones VPN de acceso remoto

Conexiones L2TP/IPSec o PPTP entre un servidor VPN y un cliente VPN con
EAP-TLS como mtodo de autenticacin. IPSec utiliza certificados de equipo
entre el cliente y el servidor para la autenticacin, y EAP-TLS utiliza un
certificado (de una tarjeta inteligente o del almacn local de certificados del
usuario) para la autenticacin de usuarios. El certificado del servidor IAS o VPN
debe contener el propsito Autenticacin del servidor, y el certificado del equipo
cliente o del usuario debe contener el propsito Autenticacin del cliente en las
extensiones de Uso mejorado de claves (EKU, Enhanced Key Usage) del
certificado.
Para obtener ms informacin, vea Implementacin de VPN de acceso remoto
basadas en L2TP e Implementacin de VPN de acceso remoto basadas en PPTP.

Conexin VPN de enrutador a enrutador

Conexiones L2TP/IPSec dedicadas o de marcado a peticin entre servidores con
EAP-TLS como mtodo de autenticacin. Ambos servidores deben disponer de
certificados que contengan los propsitos Autenticacin del servidor y
Autenticacin del cliente en las extensiones EKU.
Para obtener ms informacin, vea Implementar redes privadas virtuales de
enrutador a enrutador.

Clientes inalmbricos o de conmutador IEEE 802.1X

PEAP-EAP-MS-CHAPv2 est configurado como mtodo de autenticacin y la
opcin Validar un certificado de servidor est habilitada en los equipos cliente.
Las extensiones EKU del certificado del servidor IAS contienen el propsito
Autenticacin del servidor y el certificado se utiliza para identificar el servidor
ante el cliente. La autenticacin de los usuarios se lleva a cabo mediante el
nombre de usuario y la contrasea.
Para obtener ms informacin, vea Habilitar la tarjeta inteligente y otros
certificados y Configurar las opciones de redes inalmbricas en equipos cliente.

Clientes inalmbricos o de conmutador IEEE 802.1X

Se utiliza L2TP/IPSec y se configura EAP-TLS con certificados como mtodo de
autenticacin. El certificado del servidor IAS contiene el propsito Autenticacin
del servidor en las extensiones EKU para identificarse ante el cliente y el cliente
utiliza un certificado (de una tarjeta inteligente o del almacn local de certificados
del usuario) para identificarse ante el servidor IAS. (Los puntos de acceso
inalmbricos se configuran como clientes RADIUS en el servidor IAS, que es el
autenticador EAP.)

Nota

La autenticacin de los usuarios y la autorizacin del acceso a la red tienen lugar

en el servidor VPN o en un servidor RADIUS, como el Servicio de autenticacin
de Internet (IAS), segn la configuracin de la puerta de enlace VPN. Para
obtener ms informacin, vea Utilizar la autenticacin RADIUS.

Requisitos de certificados para EAP

Si se utiliza EAP con un tipo EAP seguro (como TLS con tarjetas inteligentes o
certificados), el cliente y el servidor utilizan certificados para verificar sus identidades
mutuamente. Los certificados deben cumplir determinados requisitos para que el servidor
y el cliente puedan autenticarse correctamente.
Uno de los requisitos es que el certificado est configurado con uno o varios propsitos
en las extensiones EKU relacionados con el uso del certificado. Por ejemplo, un
certificado que se utilice para la autenticacin de un cliente ante un servidor debe
configurarse con el propsito Autenticacin del cliente. De la misma forma, un
certificado que se utilice para la autenticacin de un servidor debe configurarse con el
propsito Autenticacin del servidor. Cuando se utilizan certificados para la
autenticacin, el autenticador examina el certificado del cliente en busca del identificador
de objeto del propsito correcto en las extensiones EKU. Por ejemplo, el identificador de
objeto del propsito Autenticacin del cliente es 1.3.6.1.5.5.7.3.2.
Las Plantillas de certificados permiten personalizar los certificados emitidos por los
Servicios de Certificate Server, lo que incluye cmo se emiten los certificados y su
contenido, incluidos los propsitos. En las Plantillas de certificados, puede utilizar una
plantilla predeterminada, como la plantilla Equipo, para definir la plantilla que la entidad
emisora de certificados utiliza para asignar certificados a los equipos. Tambin puede
crear una plantilla de certificado y asignar propsitos en las extensiones EKU en el
certificado. De forma predeterminada, la plantilla Equipo incluye el propsito
Autenticacin del cliente y el propsito Autenticacin del servidor en las extensiones
EKU.
La plantilla de certificado que cree puede incluir cualquier propsito para el que se vaya a
utilizar el certificado. Por ejemplo, si se utilizan tarjetas inteligentes para la autenticacin,
se puede incluir el propsito Inicio de sesin con tarjeta inteligente adems del propsito
Autenticacin del cliente.
Si se utiliza IAS, puede configurarse para que compruebe los propsitos de los
certificados antes de autorizar el acceso a la red. IAS puede comprobar propsitos EKU y
de Directiva de emisin (tambin denominados Directivas de certificados) adicionales.
Algunos programas de entidades emisoras de certificados que no son de Microsoft
pueden contener un propsito llamado Todos, que representa todos los propsitos
posibles. Esto se indica mediante una extensin EKU vaca (o nula). Aunque Todos sirve
para indicar todos los propsitos posibles, el propsito Todos no puede sustituir los
propsitos Autenticacin del cliente o Autenticacin del servidor ni otro propsito
relacionado con la autenticacin del acceso a la red.
Para obtener ms informacin, vea Plantillas de certificados y Administrar plantillas de
certificados para una entidad emisora de certificados de empresa.
Para ver los certificados y sus propsitos puede utilizar la consola de Certificados para

abrir el almacn de certificados. Los almacenes de certificados se pueden ver en modo

Almacn lgico o en modo Propsito. Para obtener informacin acerca de cmo ver los
propsitos de los certificados, vea Mostrar los almacenes de certificados en modo
Propsito.

Requisitos mnimos de los certificados

Todos los certificados que se utilizan para la autenticacin del acceso a la red deben
cumplir los requisitos de los certificados X.509 y funcionar en conexiones que utilicen
Seguridad de nivel de transporte de Nivel de sockets seguro (SSL/TLS, <i>Secure
Sockets Layer-Transport Level Security</i>). ste es un requisito mnimo que deben
cumplir los certificados de cliente y de servidor, pero cada uno de estos tipos tiene
requisitos adicionales.

Requisitos de los certificados de cliente

Con EAP-TLS o PEAP-EAP-TLS, el servidor acepta el intento de autenticacin del
cliente si el certificado cumple los siguientes requisitos:

El certificado de cliente ha sido emitido por una entidad emisora de certificados

de empresa o est asignado a una cuenta de usuario o equipo de Active Directory.

El certificado de usuario o de equipo en el cliente est vinculado a una entidad

emisora de certificados raz de confianza, incluye el propsito Autenticacin de
clientes en las extensiones EKU (el identificador de objeto para este propsito es
1.3.6.1.5.5.7.3.2) y no falla ni en las comprobaciones que realiza CryptoAPI y se
especifican en la directiva de acceso remoto ni en las comprobaciones de
identificador de objeto Certificado que se especifican en la directiva de acceso
remoto de IAS.

El cliente 802.1X no puede utilizar certificados basados en el Registro que sean

de inicio de sesin con tarjeta inteligente o que estn protegidos mediante
contrasea.

En los certificados de usuario, la extensin Nombre alternativo del sujeto

(SubjectAltName) del certificado debe contener el nombre principal de usuario
(UPN) del usuario. Para configurar el nombre UPN en una plantilla de certificado:

Abra Plantillas de certificados.

En el panel de detalles, haga clic con el botn secundario del <i>mouse</i> (ratn) en
la plantilla de certificados que desee cambiar y, a continuacin, haga clic en
Propiedades.
Haga clic en la ficha Nombre de sujeto y, despus, en Construido a partir de esta
informacin de Active Directory.
En Incluir esta informacin en un nombre de sujeto alternativo, seleccione
Nombre principal del usuario (UPN).

Para los certificados de equipo, la extensin Nombre alternativo del sujeto

(SubjectAltName) debe contener el nombre de dominio completo (FQDN) del
cliente, que tambin se conoce como nombre DNS. Para configurar este nombre

en la plantilla de certificados:
Abra Plantillas de certificados.
En el panel de detalles, haga clic con el botn secundario del <i>mouse</i> (ratn) en
la plantilla de certificados que desee cambiar y, a continuacin, haga clic en
Propiedades.
Haga clic en la ficha Nombre del sujeto y, despus, en Construido a partir de esta
informacin de Active Directory.
En Incluir esta informacin en un nombre de sujeto alternativo, seleccione
Nombre DNS.
Con PEAP-EAP-TLS y EAP-TLS, los clientes muestran una lista de todos los
certificados instalados en el complemento Certificados con las siguientes excepciones:

Los clientes inalmbricos no muestran certificados basados en el Registro y de

inicio de sesin con tarjeta inteligente.

En los clientes inalmbricos y en los clientes VPN no se muestran certificados

protegidos por contrasea.

No se muestran los certificados que no contengan el propsito Autenticacin del

cliente en las extensiones EKU.

Requisitos de los certificados de servidor

Los clientes se pueden configurar para validar certificados de servidor mediante la opcin
Validar un certificado de servidor. Con PEAP-EAP-MS-CHAPv2, PEAP-EAP-TLS o
EAP-TLS como mtodo de autenticacin, el cliente acepta el intento de autenticacin del
servidor si el certificado cumple los siguientes requisitos:

El nombre Sujeto contiene un valor. Si ha emitido un certificado para el servidor

IAS con un sujeto vaco, el certificado no estar disponible para autenticar el
servidor IAS. Para configurar la plantilla de certificados con un nombre Sujeto:

Abra Plantillas de certificados.

En el panel de detalles, haga clic con el botn secundario del <i>mouse</i> (ratn) en
la plantilla de certificados que desee cambiar y, a continuacin, haga clic en
Propiedades.
Haga clic en la ficha Nombre del sujeto y, despus, en Construido a partir de esta
informacin de Active Directory.
En Formato de nombre de sujeto, seleccione un valor que no sea Ninguno.

El certificado de equipo del servidor est vinculado a una CA raz de confianza y

no falla ninguna de las comprobaciones realizadas por CryptoAPI que se
especifican en la directiva de acceso remoto.

El certificado de equipo del servidor IAS o VPN est configurado con el

propsito Autenticacin del servidor en las extensiones EKU (el identificador de
objeto de Autenticacin del servidor es 1.3.6.1.5.5.7.3.1).

El certificado del servidor se configura con Proveedor de servicios

criptogrficos Microsoft RSA SChannel como proveedor de servicios de
cifrado (CSP). Para configurar el CSP requerido:

Abra Plantillas de certificados.

En el panel de detalles, haga clic con el botn secundario del <i>mouse</i> (ratn) en
la plantilla de certificados que desee cambiar y, a continuacin, haga clic en
Propiedades.
Haga clic en la ficha Tratamiento de la peticin y, despus, haga clic en CSPs.
En Seleccin del proveedor de servicios de cifrado (CSP), seleccione Las
solicitudes tienen que usar uno de los siguientes CSP.
En CSPs, active la casilla de verificacin Proveedor de servicios criptogrficos
Microsoft RSA SChannel. Desactive el resto de las casillas de verificacin de
CSPs.

La extensin Nombre alternativo del sujeto (SubjectAltName), si se usa, debe

contener el nombre DNS del servidor. Para configurar la plantilla de certificados
con el nombre DNS del servidor que se inscribe:

Abra Plantillas de certificados.

En el panel de detalles, haga clic con el botn secundario del <i>mouse</i> (ratn) en
la plantilla de certificados que desee cambiar y, a continuacin, haga clic en
Propiedades.
Haga clic en la ficha Nombre de sujeto y, despus, en Construido a partir de esta
informacin de Active Directory.
En Incluir esta informacin en un nombre de sujeto alternativo, seleccione
Nombre DNS.
Con PEAP y EAP-TLS, los servidores muestran una lista de todos los certificados
instalados en el almacn de certificados del equipo, con las siguientes excepciones:

No se muestran los certificados que no contengan el propsito Autenticacin del

servidor en las extensiones EKU.

Los certificados que no contienen un nombre de sujeto no se muestran.

Los servidores no muestran certificados basados en el Registro y de inicio de

sesin con tarjeta inteligente.

Nota

Puede designar el certificado que usar el servidor IAS o VPN en el perfil de la

directiva de acceso remoto. Al configurar los mtodos de autenticacin PEAP y
EAP que requieren un certificado para la autenticacin de servidores y no
seleccionar un certificado especfico en el cuadro de dilogo Propiedades de
tarjeta inteligente u otros certificados, el servidor IAS o VPN selecciona
automticamente un certificado del almacn de certificados del equipo. Si el
servidor obtiene un certificado ms reciente, lo usa. Esto podra ocasionar que el
servidor IAS o VPN usara un certificado que no estuviera configurado

correctamente para la autenticacin con lo que sta no funcionara. Para

impedirlo, seleccione siempre un certificado de servidor al configurar mtodos de
autenticacin PEAP y EAP que lo requieran. Para obtener ms informacin, vea
Configurar los mtodos PEAP y EAP.

Autenticacin de equipos en IPSec

La autenticacin de equipos se lleva a cabo en primer lugar durante los intentos de
conexin L2TP/IPSec entre el cliente de acceso remoto y el servidor. Si se ha establecido
un canal seguro entre el cliente y el servidor, se procede a llevar a cabo el intento de
autenticacin y autorizacin del usuario.
La autenticacin de equipos en IPSec se realiza mediante claves previamente compartidas
o certificados de equipo. El mtodo de autenticacin recomendado es el uso de una
infraestructura de claves pblicas (PKI) y certificados. Si se utilizan certificados, es
necesario un certificado de equipo para establecer la confianza de IPSec durante la
negociacin de Intercambio de claves de Internet (IKE) en las conexiones VPN basadas
en L2TP/IPSec.
Para que un servidor VPN que ejecuta Windows Server 2003 y un cliente VPN que
ejecuta Windows 2000 o Windows XP establezcan la confianza en una conexin VPN
L2TP/IPSec, ambos equipos deben contar con un certificado de equipo emitido por la
misma entidad emisora de certificados raz de empresa en la que se confa. Si ambos
equipos cuentan con certificados emitidos por la entidad emisora de certificados raz de
confianza durante la negociacin IPSec y los intercambian, se establece una confianza
mutua y se realiza la asociacin de seguridad.

Cmo se utilizan los certificados en los servidores VPN

Al intentar establecer una conexin VPN L2TP/IPSec entre un cliente y un servidor VPN,
la autenticacin de equipos no se produce si el certificado del cliente VPN (de una tarjeta
inteligente o del almacn de certificados del equipo local) no tiene configurado el
propsito Autenticacin del cliente en las extensiones EKU y el certificado del servidor
VPN no tiene configurado el propsito Autenticacin del servidor en las extensiones
EKU. IPSec consulta las extensiones EKU del certificado de cliente para determinar si
est presente el identificador de objeto del propsito Autenticacin del cliente. Si en las
extensiones EKU se incluye el identificador de objeto del propsito Autenticacin del
cliente, IPSec puede utilizar el certificado para llevar a cabo la autenticacin. De la
misma manera, el cliente consulta el certificado del servidor VPN en busca del
identificador de objeto del propsito Autenticacin del servidor en las extensiones EKU.
Aunque los servidores VPN que finalizan las conexiones de usuarios remotos slo
necesitan un certificado que tenga configurado el propsito Autenticacin del servidor en
las extensiones EKU, un servidor VPN que se utilice como extremo de una conexin
VPN con otro servidor VPN origina (como cliente) y termina (como servidor) las
conexiones VPN. Por este motivo, el certificado de estos servidores debe contener tanto
el propsito Autenticacin del servidor como el propsito Autenticacin del cliente en las
extensiones EKU. Adems, debido a la forma en la que funciona la seleccin automtica
de certificados, ambos propsitos (Autenticacin del servidor y Autenticacin del cliente)
deben estar contenidos en el mismo certificado.

La seleccin automtica de certificados puede proporcionar a IPSec cualquier certificado

del almacn de certificados asociado a la entidad emisora de certificados raz de empresa
en la que se confa, independientemente de los propsitos contenidos en el certificado. Si
en el servidor estn instalados dos certificados (uno que contiene el propsito
Autenticacin del cliente y otro que contiene el propsito Autenticacin del servidor),
cabe la posibilidad de que la seleccin automtica de certificados utilice el certificado
errneo para la autenticacin. Por ejemplo, si se requiere el certificado que contiene el
propsito Autenticacin del cliente, es posible que el certificado suministrado mediante la
seleccin automtica de certificados contenga el propsito Autenticacin del servidor. En
este caso y en otros similares, no se produce la autenticacin de equipos.

Autenticacin basada en certificados y clientes

inalmbricos
La autenticacin IEEE 802.1X proporciona acceso autenticado a redes inalmbricas
802.11 y a redes Ethernet por cable. 802.1X ofrece compatibilidad con tipos EAP
seguros, como TLS con tarjetas inteligentes o certificados. Se puede configurar 802.1X
con EAP-TLS de diferentes formas. Si la opcin Validar un certificado de servidor est
configurada en el cliente Windows XP Professional, el cliente autentica al servidor
mediante su certificado. La autenticacin de equipos cliente y usuarios se puede llevar a
cabo con certificados del almacn de certificados del cliente o mediante una tarjeta
inteligente, con lo que se proporciona autenticacin mutua.
Con los clientes inalmbricos, se puede utilizar PEAP-EAP-MS-CHAPv2 como mtodo
de autenticacin. PEAP-EAP-MS-CHAPv2 es un mtodo de autenticacin de usuarios
basado en contrasea que utiliza TLS con certificados de servidor. Durante la
autenticacin PEAP-EAP-MS-CHAPv2, el servidor IAS o RADIUS suministra un
certificado para validar su identidad ante el cliente (si la opcin Validar un certificado
de servidor est configurada en el cliente Windows XP Professional). La autenticacin
de equipos cliente y usuarios se lleva a cabo mediante contraseas, lo que elimina
parcialmente la dificultad de implementar certificados en los equipos cliente
inalmbricos.
Los clientes inalmbricos y de conmutador 802.1X tambin pueden utilizar PEAP-EAPTLS, con lo que se proporciona un nivel alto de seguridad. PEAP-EAP-TLS emplea una
infraestructura de claves pblicas (PKI) con certificados para la autenticacin de
servidores y tarjetas inteligentes o certificados para la autenticacin de equipos cliente y
usuarios. Para obtener ms informacin, vea PEAP.
Para obtener ms informacin acerca de la autenticacin 802.1X, vea Descripcin de la
autenticacin 802.1X para redes inalmbricas.

Mtodos de inscripcin de certificados y pertenencia a

dominios
La pertenencia a dominios de los equipos para los que desea inscribir certificados afecta
al mtodo de inscripcin de certificados que se puede elegir. Los certificados de equipos
que son miembros de un dominio se pueden inscribir automticamente, mientras que los
administradores deben inscribir los certificados de equipos que no son miembros de un

dominio mediante el Web o un disquete. El mtodo de inscripcin de certificados para los

equipos que no son miembros de un dominio se conoce como un proceso de inicio de
confianza mediante el cual se crean los certificados y, despus, los administradores los
solicitan o distribuyen manualmente de forma segura para establecer una confianza
comn.

Inscripcin de certificados de equipos que son

miembros de un dominio
Si el servidor VPN, el servidor IAS o el cliente que ejecuta Windows 2000 o Windows
XP es miembro de un dominio que ejecuta Windows Server 2003 y Active Directory,
puede configurar la inscripcin automtica de certificados de equipo y usuario. Despus
de configurar y habilitar la inscripcin automtica, todos los equipos que son miembros
del dominio reciben certificados de equipo cuando se actualiza la directiva de grupo,
tanto si la actualizacin se fuerza manualmente con el comando gpupdate como si se
inicia sesin en el dominio.
Si el equipo es miembro de un dominio en el que no est instalado Active Directory,
puede instalar manualmente certificados de equipo si los solicita a travs del
complemento Certificados.
Para obtener ms informacin, vea Certificados de equipo para conexiones VPN
L2TP/IPSec.
Nota

Los equipos que ejecuten Windows 2000 slo pueden realizar la inscripcin
automtica de certificados de equipo.

Inscripcin de certificados de equipos que no son

miembros de un dominio
La inscripcin de certificados de equipos que no son miembros de un dominio no se
puede realizar mediante inscripcin automtica. Si un equipo est unido a un dominio,
existe una confianza establecida que permite que tenga lugar la inscripcin automtica sin
la intervencin del administrador. Si un equipo no est unido a un dominio, no existe la
confianza y no se emite un certificado. Debe establecerse la confianza mediante uno de
los siguientes mtodos:

El administrador (en el que, por definicin, se confa) debe solicitar un certificado

de equipo o usuario mediante la herramienta de inscripcin en Web de la entidad
emisora de certificados.

El administrador debe guardar un certificado de equipo o de usuario en un

disquete e instalarlo en el equipo que no es miembro de un dominio. O bien, si el
administrador no puede tener acceso al equipo (por ejemplo, en el caso de un
equipo domstico que se conecta a la red de una organizacin mediante una
conexin VPN L2TP/IPSec), el certificado puede ser instalado por un usuario del
dominio en el que el administrador confe.

El administrador puede distribuir un certificado de usuario en una tarjeta

inteligente (los certificados de equipo no se distribuyen en las tarjetas

inteligentes).
Muchas infraestructuras de red contienen servidores VPN e IAS que no son miembros de
un dominio. Por ejemplo, es posible que un servidor VPN de una red perimetral no sea
miembro de un dominio por razones de seguridad. En ese caso, el servidor VPN que no
es miembro de un dominio debe tener instalado un certificado de equipo que contenga el
propsito Autenticacin del servidor en las extensiones EKU para que pueda negociar
correctamente conexiones VPN basadas en L2TP/IPSec con los clientes. Observe que si
el servidor VPN que no es miembro de un dominio se utiliza como extremo de una
conexin VPN con otro servidor VPN, las extensiones EKU deben contener el propsito
Autenticacin del servidor y el propsito Autenticacin del cliente.

Elegir un mtodo de inscripcin de certificados

Si ejecuta una entidad emisora de certificados de empresa (CA) en un equipo donde se
usa Windows Server 2003, Standard Edition, puede emplear la tabla siguiente para
determinar el mejor mtodo de inscripcin de certificados para sus necesidades:
Plantill
Objeto y
Mtodo preferido
a de Propsitos del
pertenencia a un
de inscripcin de
certific certificado
dominio
certificados
ados

Mtodo alternativo de
inscripcin de certificados

Servidor VPN o
Autenticacin Inscripcin
IAS, miembro de Equipo
de servidor
automtica
un dominio

Solicitar un certificado con el

complemento Certificados

Servidor VPN con

conexin entre
Equipo
sitios, miembro de
un dominio

Autenticacin
del servidor y Inscripcin
Autenticacin automtica
del cliente

Solicitar un certificado con el

complemento Certificados

Cliente con
Windows XP,
miembro de un
dominio

Autenticacin Inscripcin
de cliente
automtica

Solicitar un certificado con el

complemento Certificados

Equipo

Herramienta de
Servidor VPN o
inscripcin en Web
Autenticacin
IAS, no miembro Equipo
de la entidad
Instalar desde un disquete
de servidor
de un dominio
emisora de
certificados
Servidor VPN con
conexin entre
Equipo
sitios, no miembro
de un dominio

Herramienta de
Autenticacin
inscripcin en Web
del servidor y
de la entidad
Instalar desde un disquete
Autenticacin
emisora de
del cliente
certificados

Herramienta de
Cliente con
inscripcin en Web
Windows XP, no
Autenticacin
Equipo
de la entidad
Instalar desde un disquete
miembro de un
de cliente
emisora de
dominio
certificados
Usuario, usuario
de dominio

Usuario

Autenticacin Inscripcin
de cliente
automtica

Utilizar una tarjeta inteligente o

la herramienta de inscripcin
en Web de la entidad emisora
de certificados

Si su autoridad de certificacin est en un equipo con uno de los siguientes sistemas

operativos, estarn disponibles los servidores RAS e IAS y las plantillas de autenticacin
de estaciones de trabajo:

Windows Server 2003, Enterprise Edition

Windows Server 2003, Datacenter Edition

Windows Server 2003, Enterprise Edition para sistemas basados en Itanium

Windows Server 2003, Datacenter Edition para sistemas basados en Itanium

Windows Server 2003, Enterprise x64 Edition

Windows Server 2003, Datacenter x64 Edition

Utilice la tabla siguiente para determinar cuando utilizar estas plantillas.

Propsito
Objeto y
Mtodo alternativo
Plantilla de
del
Mtodo preferido de
pertenencia a un
de inscripcin de
certificados certificad inscripcin de certificados
dominio
certificados
o
Servidor VPN o
Autenticac
Servidor RAS
IAS, miembro de
in de
Inscripcin automtica
e IAS
un dominio
servidor

Solicitar un
certificado con el
complemento
Certificados

Cliente con
Windows XP,
miembro de un
dominio

Solicitar un
certificado con el
complemento
Certificados

Autenticacin Autenticac
de estacin de in de
Inscripcin automtica
trabajo
cliente

Servidor VPN o
Autenticac Herramienta de inscripcin
Servidor RAS
Instalar desde un
IAS, no miembro
in de
en Web de la entidad
e IAS
disquete
de un dominio
servidor emisora de certificados

Cliente con
Windows XP, no
miembro de un
dominio

Autenticacin Autenticac Herramienta de inscripcin

Instalar desde un
de estacin de in de
en Web de la entidad
disquete
trabajo
cliente
emisora de certificados

Importante
Si el servidor donde se ejecuta IAS no es controlador de dominio pero es miembro de un
dominio con una mezcla de niveles funcionales de Windows 2000, debe agregar el
servidor a la lista de control de acceso (ACL) de la plantilla de certificados de Servidores
RAS e IAS. Tambin debe configurar los permisos correctos para la inscripcin
automtica. Hay procedimientos distintos para agregar a la ACL servidores individuales y
grupos de servidores.
Para agregar un servidor individual a la lista de control de acceso (ACL) en la plantilla de
certificados Servidores RAS e IAS:
En Plantillas de certificados, seleccione la plantilla Servidores RAS e IAS y agregue
despus el servidor IAS a las propiedades de Seguridad de la plantilla. Para obtener ms
informacin, vea Permitir que los sujetos soliciten un certificado basado en la plantilla.
Despus de agregar el servidor IAS a la ACL, concdale los permisos Lectura,
Inscripcin e Inscripcin automtica.
Para administrar un grupo de servidores, agrguelos al nuevo grupo global o universal, y
agregue el grupo a la ACL de la plantilla de certificados:
En Usuarios y equipos de Active Directory, cree un nuevo grupo global o universal
para los servidores IAS. Para obtener ms informacin, vea Crear un grupo
nuevo. Despus, agregue al grupo todos los equipos que sean servidores IAS, no
sean controladores de dominio y sean miembros de un dominio con una mezcla de
niveles funcionales de Windows 2000. Para obtener ms informacin, vea
Agregar un miembro a un grupo.
En Plantillas de certificados, seleccione la plantilla Servidores RAS e IAS y agregue
despus el grupo que ha creado a las propiedades de la plantilla Seguridad; para
ello, debe seguir los pasos especificados en Permitir que los sujetos soliciten un
certificado basado en la plantilla. Despus de agregar el nuevo grupo, concdale
los permisos Lectura, Inscripcin e Inscripcin automtica.
Para obtener ms informacin, vea Funcionalidad de dominios y bosques.

Servicios de inscripcin en Web de la entidad emisora

de certificados
En la familia de Windows Server 2003 se proporciona un conjunto de pginas Web de la
entidad emisora de certificados con los Servicios de Certificate Server. Las pginas de
inscripcin en Web permiten conectarse a la entidad emisora de certificados mediante un
explorador Web y realizar tareas habituales, como solicitar certificados de una entidad
emisora de certificados.
Para obtener ms informacin, vea Servicios de inscripcin en Web de la entidad emisora
de certificados y Instalar compatibilidad de inscripcin en Web de la entidad emisora de

certificados.
Una vez diseada e implementada la infraestructura de claves pblicas (PKI) y cuando
tenga asignados los permisos necesarios en las plantillas de certificados, puede solicitar
certificados para los equipos mediante las pginas de inscripcin en Web de la entidad
emisora de certificados. Para solicitar un certificado para un equipo que no sea miembro
de un dominio mediante la herramienta de inscripcin en Web de la entidad emisora de
certificados, realice los pasos que se indican a continuacin. Para poder llevar a cabo
estos pasos, debe ser un administrador del equipo local.
Instale un certificado de equipo en el equipo local
Utilice el explorador Web para iniciar sesin en la herramienta de inscripcin en Web
en http://nombreDeServidor/certsrv, donde nombreDeServidor es el nombre del
servidor que aloja la entidad emisora de certificados, las pginas Web de la
entidad emisora de certificados o ambas. Haga clic en Solicitar un certificado.
En Solicitar un certificado, haga clic en Solicitud de certificado avanzada.
En Solicitud de certificado avanzada, haga clic en Crear y enviar una solicitud a
esta CA. Aparecer un formulario Web que contiene las secciones Plantilla de
certificado, Opciones de clave y Opciones adicionales. Seleccione lo siguiente:

Plantilla de certificado: Administrador

Opciones de clave: Crear conjunto de claves nuevo

CSP: Microsoft Enhanced Cryptographic Provider v1.0

Uso de la clave: Intercambio

Tamao de clave: 1024

Nombre automtico de contenedor de claves: Seleccionado

Marcar claves como exportables: Seleccionado

Utilizar el almacn del equipo local: Seleccionado

Formato de solicitud: PKCS 10

Hash: SHA-1

Nombre descriptivo: Nombre del servidor VPN

Haga clic en Enviar.

Haga clic en Instalar este certificado.
El certificado solicitado se instalar en el equipo local.
Guarde un certificado de equipo en un disquete
Utilice el explorador Web para iniciar sesin en la herramienta de inscripcin en Web
en http://nombreDeServidor/certsrv, donde nombreDeServidor es el nombre del
servidor que aloja la entidad emisora de certificados, las pginas Web de la
entidad emisora de certificados o ambas. Haga clic en Solicitar un certificado.
En Solicitar un certificado, haga clic en Solicitud de certificado avanzada.

En Solicitud de certificado avanzada, haga clic en Crear y enviar una solicitud a

esta CA. Aparecer un formulario Web que contiene las secciones Plantilla de
certificado, Opciones de clave y Opciones adicionales. Seleccione lo siguiente:

Plantilla de certificado: Administrador

Opciones de clave: Crear conjunto de claves nuevo

CSP: Microsoft Enhanced Cryptographic Provider v1.0

Uso de la clave: Intercambio

Tamao de clave: 1024

Nombre automtico de contenedor de claves: Seleccionado

Marcar claves como exportables: Seleccionado

Exportar claves al archivo: Seleccionado

Nombre de ruta completa: la ruta de la ubicacin donde desea guardar el

archivo y el nombre de archivo (por ejemplo,
\\nombreDeServidor\nombreDeRecursoCompartido\nombreDeArchivo.pv
k.).

Formato de solicitud: PKCS 10

Hash: SHA-1

Nombre descriptivo: Nombre del servidor VPN

Haga clic en Enviar.

Cree y confirme la contrasea de la clave privada.
En Certificado emitido, seleccione Cifrado DER y Descargar cadena de
certificado.
Inserte un disquete en la unidad de disco.
Cuando el explorador se lo indique, seleccione Guardar este archivo en disco y, a
continuacin, haga clic en Aceptar.
Sitese en la unidad de disquete y, despus, haga clic en Aceptar.
El certificado solicitado se descargar y se guardar en el disquete.
Para obtener ms informacin, vea Enviar una solicitud avanzada de certificado a travs
de Web.
Para obtener informacin acerca de cmo instalar un certificado desde un disquete en el
almacn de certificados de un equipo local, vea Importar un certificado.
Nota

Si ha emitido un certificado para el servidor IAS con un Sujeto vaco, el

certificado no estar disponible para autenticar el servidor IAS. Para cambiar esto,
puede utilizar Plantillas de certificados para crear un nuevo certificado para la
inscripcin en el servidor IAS. En las propiedades del certificado, en la ficha
Nombre de sujeto, en Formato de nombre de sujeto, seleccione un valor

distinto de Ninguno
Configurar la asignacin de certificados automtica para una entidad emisora de
certificados de la compaa

Para configurar la asignacin de certificados

automtica para una entidad emisora de certificados de
la compaa
Abra Usuarios y equipos de Active Directory.
En el rbol de la consola, haga doble clic en Usuarios y equipos de Active
Directory, haga clic con el botn secundario del <i>mouse</i> (ratn) en el
nombre de dominio en que reside la entidad emisora de certificados (CA) y, a
continuacin, haga clic en Propiedades.
En la ficha Directiva de grupo, haga clic en Directiva de dominio predeterminada
y, a continuacin, haga clic en Modificar.
En el rbol de la consola, haga clic con el botn secundario del <i>mouse</i> en
Configuracin de la peticin de certificados automtica, seleccione Nueva y, a
continuacin, haga clic en Peticin de certificados automtica.
Dnde?

Configuracin del equipo/Configuracin de Windows/Configuracin de

seguridad/Directivas de claves pblicas/Configuracin de la peticin de
certificados automtica

Cuando aparezca el Asistente para peticin de certificados automtica, haga clic en

Siguiente.
En Plantillas de certificado, haga clic en Equipo y, a continuacin, en Siguiente.
En la lista aparecer la entidad emisora de certificados (CA) raz de la compaa.
Haga clic en la entidad emisora de certificados, en Siguiente y, despus, en
Finalizar.
Para crear un certificado de equipo para el equipo CA, escriba lo siguiente en el
smbolo del sistema:
gpupdate /target:Equipo
Notas

Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel
de control, haga doble clic en Herramientas administrativas y, a continuacin,
haga doble clic en Usuarios y equipos de Active Directory.

Para abrir el smbolo del sistema, haga clic en Inicio, seleccione Todos los
programas, Accesorios y, a continuacin, haga clic en Smbolo del sistema.

.nu { display:inline; }
Enviar una solicitud avanzada de certificado a travs de Web

Para enviar una solicitud avanzada de certificado a

travs de Web
Abra Internet Explorer.
En Direccin, escriba http://nombreDeServidor/certsrv, donde nombreDeServidor
corresponde al servidor Web de Windows 2000 en el que se encuentra la entidad
emisora de certificados a la que desee tener acceso.
Haga clic en Solicitar un certificado.
Haga clic en Solicitud de certificado avanzada.
Haga clic en Crear y enviar una solicitud a esta CA.
Escriba la informacin de identificacin solicitada y cualquier otra opcin necesaria,
y haga clic en Enviar.
Realice una de estas acciones:

Si ve la pgina Web Certificado pendiente, consulte Temas relacionados,

ms abajo, con el fin de obtener el procedimiento para comprobar un
certificado pendiente.

Si ve la pgina Web Certificado emitido, haga clic en Instalar este

certificado.

Si ha terminado de utilizar las pginas Web de Servicios de Certificate Server, cierre

Internet Explorer.
Notas

Para abrir Internet Explorer, haga clic en Inicio, seleccione Todos los programas
y, a continuacin, haga clic en Internet Explorer.

Un equipo con Windows XP no puede solicitar un certificado en nombre de otro

sujeto cuando se utilizan las pginas Web de la entidad emisora de certificados de
Windows 2000.

Si la inscripcin en Web se ejecuta en un servidor Web de Windows 2000 que

acta como agente de inscripcin en Web para una entidad emisora de certificados
de la familia de servidores de Windows Server 2003 puede que no estn
disponibles todas las funciones de la CA, porque no estaba diseada para
integrarse completamente con la CA de la familia de servidores de Windows
Server 2003. La inscripcin con tarjeta inteligente y la inscripcin de un
certificado basado en una plantilla de certificado de la versin 2 pueden presentar
limitaciones. Para disfrutar de todas las funciones con el agente de inscripcin en
Web, ejectelo en un servidor Web con un sistema operativo de Windows Server
2003.

Mediante la pgina Web Solicitud de certificado avanzada, puede establecer las

opciones siguientes para cada certificado solicitado:

Plantilla de certificado (de entidades emisoras de certificado de empresa) o

Propsitos planteados (de entidades emisoras de certificados

independientes). Indica las aplicaciones para las que se puede usar la clave
pblica en el certificado, como en autenticacin de clientes o correo
electrnico.

Proveedor de servicios de cifrado (CSP).

Tamao de clave. La longitud, en bits, de la clave pblica del certificado.

En general, cuanto mayor es la longitud de la clave, mayor es la seguridad.

Algoritmo hash

Uso de claves Cmo se puede utilizar la clave privada. "Intercambio"

quiere decir que la clave privada se puede utilizar para permitir el
intercambio de informacin confidencial. "Firma" quiere decir que la
clave privada slo se puede utilizar para crear una firma digital. "Ambas"
quiere decir que la clave se puede utilizar para realizar funciones de
intercambio y firma.

Crear un nuevo conjunto de claves o utilizar uno existente. Puede

utilizar una pareja de clave privada y clave pblica almacenada en el
equipo o crear una pareja nueva para un certificado. Para obtener ms
informacin acerca de las cuestiones relativas a la reutilizacin de una
clave en contraposicin a la generacin de una nueva, vea los recursos en
Recursos de certificados.

Habilitar la proteccin de clave privada de alto nivel. Cuando habilite

la proteccin segura de clave privada se le pedir la contrasea cada vez
que necesite utilizar la clave privada.

Marcar claves como exportables. Cuando marca claves como

exportables, puede guardar la clave privada y la clave pblica en un
archivo PKCS #12. Resulta de utilidad si cambia de equipo y desea mover
la pareja de claves, o si desea quitar la pareja de claves y asegurarlas en
otro lugar.

Utilizar el almacn del equipo local. Active esta opcin si el equipo va a

necesitar tener acceso a la clave privada asociada con el certificado
cuando otros usuarios hayan iniciado la sesin. Active esta opcin cuando
intente enviar solicitudes de certificados a equipos (como servidores Web)
en vez de enviar certificados a personas.

Guardar la solicitud en un archivo PKCS #10. Resulta de utilidad si la

entidad emisora de certificados no est disponible para procesar las
solicitudes de certificados en lnea. Para obtener informacin acerca de
cmo crear y enviar una solicitud de certificado mediante un archivo
PKCS #10, consulte los temas relacionados.

Implementacin de ejemplo de los Servicios de Certificate Server: establecer la

inscripcin automtica para los certificados de usuario

Implementacin de ejemplo de los Servicios de

Certificate Server: establecer la inscripcin automtica
para los certificados de usuario
Estas son las tareas necesarias para utilizar la recuperacin de claves en una entidad
emisora de certificados (CA) de Microsoft:
Duplicar la plantilla de usuario y utilizar la copia para inscripcin automtica
Configurar una entidad emisora de certificados de empresa para emitir el certificado
de usuario de inscripcin automtica
Establecer la directiva para la inscripcin automtica de usuarios de dominio
Requisitos previos
Antes de llevar a cabo estas tareas, por lo que respecta a esta gua:

El controlador de dominio de Windows Server 2003 tambin deber configurarse

como una entidad emisora de certificados subordinada o raz de empresa. La
entidad emisora de certificados se conoce por el nombre EntCA en esta gua.

Duplicar la plantilla de usuario y utilizar la copia para

inscripcin automtica
Haga clic en Inicio, en Ejecutar, escriba mmc y, a continuacin, haga clic en
Aceptar.
En el men Archivo, haga clic en Agregar o quitar complemento y, despus, en
Agregar.
En Complemento, haga clic en Plantillas de certificado, en Cerrar y, a
continuacin, haga clic en Aceptar.
En el rbol de la consola, haga clic en Plantillas de certificado. Todas las plantillas
de certificado se mostrarn en el panel de detalles.
En el panel de detalles, haga clic en la plantilla Usuario.
En el men Accin, haga clic en Duplicar plantilla.
En el campo Nombre para mostrar, escriba Usuario de inscripcin automtica.
Compruebe que la casilla de verificacin Publicar certificado en Active Directory
est activada.
Haga clic en la ficha Seguridad.
En el campo Nombres de grupos o usuarios, haga clic en Usuarios del dominio.
En la lista Permisos para usuarios del dominio, active las casillas de verificacin
Inscripcin e Inscripcin automtica y, a continuacin, haga clic en Aceptar.
La inscripcin automtica de Usuarios del dominio es un ejemplo. Los valores
de estos permisos son variables, dependiendo de quin desea que se inscriba
automticamente para estos certificados.

Configurar una entidad emisora de certificados de

empresa para emitir el certificado de usuario de
inscripcin automtica
Abra Entidad emisora de certificados.
En el rbol de la consola, haga clic en Plantillas de certificado.
Dnde?

Entidad emisora de certificados/Nombre de la entidad emisora de

certificados/Plantillas de certificados

En el men Accin, seleccione Nuevo y, a continuacin, haga clic en Certificado

para emitir.
Haga clic en Usuario de inscripcin automtica y haga clic en Aceptar.
Nota

Para abrir Entidad emisora de certificados, haga clic en Inicio, despus en Panel
de control, haga doble clic en Herramientas administrativas y, a continuacin,
haga doble clic en Entidad emisora de certificados.

Establecer la directiva para la inscripcin automtica

de usuarios de dominio
Debe utilizar el esquema de Active Directory de Windows Server 2003 para que este
procedimiento funcione.
Haga clic en Inicio, en Ejecutar, escriba mmc y, a continuacin, haga clic en
Aceptar.
En el men Archivo, haga clic en Agregar o quitar complemento y, despus, en
Agregar.
En Complemento, haga doble clic en Usuarios y equipos de Active Directory, haga
clic en Cerrar y, a continuacin, haga clic en Aceptar.
En el rbol de la consola, haga clic en el nombre del dominio.
Dnde?

Usuarios y equipos de Active Directory/Nombre de dominio

En el men Accin, haga clic en Propiedades.

Haga clic en la ficha Directiva de grupo y en Modificar.
En el rbol de la consola, haga clic en Directivas de clave pblica bajo
Configuracin del usuario.
Dnde?

Directiva de dominio predeterminado/Configuracin de

usuario/Configuracin de Windows/Configuracin de seguridad/Directivas
de clave pblica

En el panel de detalles, haga doble clic en Configuracin de inscripcin

automtica.
Haga clic en Registrar certificados automticamente.
Active la casilla de verificacin Renovar certificados caducados, actualizar
certificados pendientes y quitar certificados revocados.
Active la casilla de verificacin Actualizar certificados que usan plantillas de
certificados y haga clic en Aceptar.
Haga clic en Archivo, en Salir y, a continuacin, haga clic en Aceptar.
Notas

Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel
de control, haga doble clic en Herramientas administrativas y, a continuacin,
haga doble clic en Usuarios y equipos de Active Directory.

A menos que los usuarios actualicen su directiva de seguridad utilizando el

comando GPUpdate, la directiva de inscripcin automtica tardar varias horas
en hacerse efectiva.

Cuando la inscripcin automtica recupera un certificado que est configurado

para almacenarse en una tarjeta inteligente, recibir un mensaje cuando el
certificado est listo para almacenarse en dicha tarjeta. Si el mensaje hace
referencia a un tipo de tarjeta inteligente que no posee, haga clic en Cancelar
hasta que aparezca el tipo correcto de tarjeta inteligente. Luego, proporcione el
PIN de su tarjeta inteligente y el certificado se almacenar en ella.

Cuando la inscripcin automtica inscriba un certificado que requiere la

interaccin del usuario para el proceso de inscripcin, recibir un mensaje de
Inscripcin de certificados y aparecer un icono en la barra de tareas. Cuando
haga clic en ese icono o mensaje se iniciar el proceso de inscripcin automtica
del certificado.