Inicio  Comunicaciones y Sistemas  Entidad Certi cadora de Windows Parte II – Despliegue de certi cados en

máquinas...

Entidad Certi cadora de Windows Parte II

– Despliegue de certi cados en máquinas
del dominio
Por Miguel Ángel Ayllon - 27 noviembre, 2017

Esta es la segunda parte de una serie de posts en los que

quiero mostrar como con gurar una entidad certi cadora
privada de Windows y cómo usarla para desplegar
certi cados a todos nuestros equipos del dominio así
como el uso de una SmartCard.
En la Parte I hemos visto como instalar esta entidad certificadora en un servidor ahora
vamos a ver cómo configurar una plantilla para desplegar certificados de máquina a
todos nuestros equipos del dominio.

Una de las partes que componen una entidad certificadora son las plantillas de
certificados, estas son una serie de configuraciones preestablecidas con la información
certificados
necesaria que contendrá cada uno de los certificados cuando se emitan; cuando se pide
un certificado siempre se asocia a una plantilla.

Una vez tenemos instalada la CA tenemos que configurar las plantillas que utilizaremos
para la generación y despliegue de certificados. En este caso vamos a utilizar la plantilla
de equipo para certificados de máquina que son los certificados que queremos desplegar.

En este documento vamos a configurar al grupo Domain Admins como administradores

de las plantillas de la CA, en producción lo idóneo es crear un grupo especial para
administrarlas.

Para preparar la plantilla, en el servidor donde se haya instalado la CA ejecutar la consola

de Entidad Certificadora (Certification Authority) con el comando certsrv.msc y seguir los
siguientes pasos:

1. Desplegar los componentes de la CA creada e ir a la sección “Certificate

Templates”
2. Con el botón derecho
sobre “Certificate Templates”
elegir “Manage”

3. Aparece una nueva

ventana con todas las plantillas
que se han generado al instalar
la CA, dependiendo de la
versión de sistema operativo
esta lista puede variar, la
mostrada es de 2016.
4. La recomendación es no modificar las plantillas generadas y crear nuevas a partir
de la que necesitemos y configurar los parámetros necesarios.
5. Localizamos la plantilla “Computer”, pulsamos con el botón derecho del ratón y
elegimos “Duplicate template”. Nos muestra una ventana con los datos de la plantilla
base que podemos modificar.
Vamos a la pestaña General y modificamos el nombre y el periodo de validez, yo tengo
costumbre de nombrar a todas las plantillas que creo con el prefijo “Plantilla” pero esto
no es obligado.

6. Vamos a la pestaña
General y modificamos el
nombre y el periodo de validez.
Es importante tener en cuenta
que nosotros escribimos el
nombre que muestra que
puede tener espacios pero el
genera el campo Template
Name que es el verdadero
nombre de la plantilla, que no
lleva espacios. Este nombre es
el que deberíamos usar en
caso de querer acceder a la
plantilla desde otros
dispositivos no Windows o por
comandos.

7. En la pestaña Request
Handling podemos marcar
Allow private key to be exported
para, posteriormente, poder
realizar la exportación de
certificados con la clave
pública.
Esto dependerá del uso
posterior que le demos a los
certificados.

Yo en el caso de los certificados

de máquina para el dominio no
suelo marcarla.

8. Ahora vamos a la
pestaña Subject Name y
marcamos los datos que se ven
en la imagen.
Con esto conseguimos que
cuando el equipo en el dominio
solicite el certificado lo cree con
su Common Name y como
alternativo su FQDN y el UPN.

9. Por último nos queda

determinar quién puede
solicitar certificados con esta
plantilla y quien la puede
administrar
Ahora vamos a la pestaña
Security, marcamos Domain
Computers y marcamos Enroll y
Autoenroll de esta forma
permitimos que todos los
equipos de dominio puedan
solicitar un certificado y puedan
inscribirse automáticamente.

10. En la misma pestaña

marcaremos (o añadiremos) el
grupo Domain Admins. Y le
daremos derechos de lectura y
escritura para que pueda
administrar esta plantilla.

11. Cerramos la ventana de consola de plantillas y volvemos a la consola de la entidad

certificadora. Hasta este momento hemos creado una plantilla pero no le hemos dicho a
la CA que puede usarla. Es importante tener esto en cuenta ya que crear una plantilla
 no implica que se pueda usar automáticamente. Para activarla hay que emitirla en la
CA.
12. Con el botón derecho sobre
Certificate Templates , elegir
Nuevo (New) -> “Plantilla de
certificado que se va a emitir”
(Certificate Template to issue)

13. Nos muestra otra ventana

con todas las plantillas creadas.
Seleccionar la plantilla que
hemos creado y pulsar Ok.

NOTA En esta lista solo

NOTA:
aparecen las plantillas que no
se han emitido todavía.

14. Comprobar que la plantilla

aparece ahora en la sección de
“Certificate Templates”, como se
muestra en la imagen.

Con todo lo anterior ya hemos configurado nuestra CA privada ahora lo que nos queda es
decirle a todas las máquinas de nuestro dominio que “pidan” un certificado, esto lo
haremos usando las políticas de grupo.

Para ello seguimos los siguientes pasos:

1. Desde un DC o una máquina del dominio con las herramientas administrativas

instaladas abrimos la consola de políticas con el comando gpmc.msc
2. Desplegamos la rama del
dominio, una vez abierta
pulsamos botón derecho sobre él
y elegimos Create a GPO in this
Domain and Link it here. Nos pide
el nombre de esta GPO, le damos
el que queramos.

3. Una vez creado la debemos

modificar, botón derecho sobre
ella y elegimos Edit.

4. Una vez en la ventana de

edición vamos a Computer
Configuration / Policies / Windows
Settings / Security Settings / Public
Key Policies.

5. Botón derecho sobre

“Certificate Services Client – Auto-
Enrollment”, propiedades
En Configuration mode le decimos
Enabled y marcamos las dos
opciones de renovación y
actualización.

6. Pulsamos OK y cerramos el editor de la GPO.

7. Por defecto las políticas se
filtran por el grupo Aunthenticated
Users, en nuestro caso es válido ya
que este incluye a todos los
ordenadores del dominio. En el
caso que queramos filtrar por los
equipos que pertenezcan a un
determinado grupo, se elimina el
por defecto y se le añade el
deseado.
8. El siguiente paso no es obligado pero si recomendado para que la preferencia de
esta GPO supere a la Default Domain. Seleccionamos el dominio, en la parte derecha,
seleccionamos nuestra GPO y pulsamos sobre la flecha hacia arriba para subir el nivel.

9. Después de esto tendremos que la GPO de Autoenrollment es la primera que se

ejecutará.

En el momento que se ejecute la política se le emitirá un certificado de máquina al igual

que se le instalará como entidad de confianza la CA que lo emite.
 10. Ahora esperamos un poco a que se apliquen las políticas de los equipos y, en la
entidad certificadora, veremos cómo se van desplegando los certificados a nuestros
equipos de una forma trasparente.

Con estos pasos ya habremos utilizado nuestra CA configurada en la Parte I para

desplegar automáticamente los certificados a nuestros ordenadores del dominio.

En la Parte III veremos cómo utilizarlo para acceder a nuestros ordenadores con una
SmartCard.

Miguel Ángel Ayllon

Especialista en tecnologías Microsoft, Citrix y VMWare con más de 25 años de experiencia, actualmente
trabajando como preventa de soluciones avanzadas y amante de las cosas sencillas como la familia, la
lectura o la naturaleza. Podéis encontrarme en LinkedIn o en Twitter como @MangelAyllon

 