En esta se utilizará un ambiente de dominio con Windows Server 2008R2 y Windows 7, donde se desarrollará una configuración simple demostrando el despliegue en forma automática de Certificados Digitales para usuarios y máquinas.
A tal fin se mostrará la configuración de Group Policies (GPOs) del dominio para automatizar el proceso que es objetivo de esta demostración.
Tanto los nombres de máquina utilizados como las direcciones IP pueden ser cambiados con tal que se respete el procedimiento.
La configuración inicial de partida es muy simple, ya que se trata de un Controlador de Dominio Windows Server 2008R2 Enterprise Edition, y un cliente Windows Vista 7 Ultimate unido al dominio.
Controlador de Dominio
Nombre: dc1.guillermo.ad
Dirección IP: 192.168.1.200 /24
Configuración DNS: 192.168.1.200
Cliente
Nombre: cl1.guillermo.ad
Dirección IP: 192.168.1.1 /24
Configuración DNS: 192.168.1.200
1.- Procedimientos Iniciales
DC1 ya es controlador del dominio de «guillermo.ad» en nivel funcional Nativo Windows 2008R2. Igualmente el nivel funcional del Bosque. Por supuesto, tiene instalado el servicio DNS y es Catálogo Global ya que es el único controlador de dominio del dominio en un único Bosque.
Preparación de la Estructura del Dominio
- Abrimos Active Directory Users and Computers
- Creamos una Unidad Organizativa «Equipos Certificadas» donde tendremos la cuenta de «cl1»
- Creamos una Unidad Organizativa «Usuarios Certificados» donde crearemos el usuario de prueba
- Dentro de esta última Unidad Organizativa, creamos una cuenta de usuario normal, que para este caso yo llamaré «User Uno» u1@guillermo.ad
Instalación de la Autoridad Certificadora
- Abrimos Server Manger
- Agregamos el Role Active Directory Certificate Services
Para este caso dejaremos todos los valores por omisión, es decir, que crearemos una Autoridad Certificadora de tipo Enterprise Root de nombre guillermo-DC1-CA, con la configuración sugerida por el asistente.
2.- Desarrollo
Creación Plantilla de Certificado personalizada para equipos
- Abrimos Certification Authority
- Con botón derecho sobre Certificate Templates, elegimos Manage
- Con botón derechos sobre la plantilla Computer, elegimos Duplicate Template, seleccionando de tipo Windows 2008 Enterprise.
- Le asignamos un nombre a la nueva plantilla. Yo elegí «Equipos Certificados», y en la ficha Seguridad le asinagmos el permiso Autoenroll a Domain Computers
- Cerramos la consola Certificate Templates y volvemos a la de Autoridad Certificadora
- Con botón derecho sobre Certificate Templates elegimos New / Certificate Template to Issue seleccionando el previamente creado (Equipos Certificados)
Creación Plantilla de Certificado personalizada para usuarios
- Abrimos Certification Authority
- Con botón derecho sobre Certificate Templates, elegimos Manage
- Con botón derechos sobre la plantilla User, elegimos Duplicate Template, seleccionando de tipo Windows 2008 Enterprise.
- Le asignamos un nombre a la nueva plantilla. Yo elegí «Usuarios Certificados», en la ficha Seguridad le asinagmos el permiso Autoenroll a Domain Users, y en la ficha Subject Name podemos desmarcarle la opción de Mail, si el usuario no lo tuviera configurado.
- Cerramos la consola Certificate Templates y volvemos a la de Autoridad Certificadora
- Con botón derecho sobre Certificate Templates elegimos New / Certificate Template to Issue seleccionando el previamente creado (Usuarios Certificados)
Asignación Automática de Certificados a Equipos
- En Group Policy Management crearemos y enlazaremos una GPO que yo llamaré «GPO Certifica Equipos»
- En esta GPO expandimos Computer Configuration / Policies / Windows Settings / Security Settings / Public Key Policies
- En las propiedades de Certificate Services Client – Auto-Enrollment seleccionamos como se ve en la figura
Asignación Automática de Certificados a Usuarios
- En Group Policy Management crearemos y enlazaremos una GPO que yo llamaré «GPO Certifica Usuarios»
- En esta GPO expandimos User Configuration / Policies / Windows Settings / Security Settings / Public Key Policies
En las propiedades de Certificate Services Client – Auto-Enrollment seleccionamos como se ve en la figura
3.- Demostración
- Para asegurarnos la aplicación de las GPOs, reinicaremos CL1
Verificación de la Instalación del Certificado de Equipo
- Iniciamos sesión en CL1 con la cuenta de administrador del dominio
- Iniciamos una consola (MMC.EXE) como administrador y cargamos el complemento (snap-in) Certificates sobre Computer Account.
- Debemos ver el certificado de equipo instalado
Verificación de la Instalación del Certificado de Usuario
- Iniciamos sesión en CL1 con la cuenta del usuario del dominio (u1)
- Iniciamos una consola (MMC.EXE) y cargamos el complemento (snap-in) Certificates.
- Debemos ver el certificado de equipo instalado
- Se puede necesitar un reinicio de CL1 para aplicar las GPOs
WindowServer 
Comentarios
Saludos,
He tratado de hacer el lab de esta página, y no he logrado que me distribuya los certificados. en este momento tengo un WIndows Server 2008 como DC y un secundario con Windows Server 2008R2. El nivel funciona del Active Directorio es Windows Server 2008. EL PC Cliente es Windows 7 Ultimate. No logro que genere los certificados para las máquinas….
Capa
Hola Carlos, como no pongas más datos es imposible orientarte por dónde está el problema
Primero que nada verifica con GPRESULT o con GPMC en el Controlador de Dominio que el cliente esté efectivamente recibiendo la GPO
Hola Estimado!
Puedes Explicar en sí que es la autoridad certificadora? es como un token? como un ticket que debes tener para entrar al cine?
Gracias!
Saludes cordiales,
Hola Ariel, un certificado digital es algo análogo a un documento de identidad, se utiliza para probar que alguien es quien dice ser.
Una autoridad certificadora es análogamente, quien verificar la identidad de un solicitante y expide el correspondiente documento de identidad (certificado)
No sé cómo serán en tu país, pero acá en Argentina: la autoridad certificadora es un ente llamado «Registro Nacional de las Personas» que emite el Documento Nacional de Identidad (DNI) que sería el equivalente al certificado digital
Guillermo una consulta. Con este despliegue automatico de certificados de maquina a traves de GPO, cuando el certificado caduda automaticamente lo renueva???
Gracias
Hola Alexander, no tengo ahora ninguna CA activa para verificar, y menos W2008, pero creo recordar que sí, se renovará automáticamente
Verifícalo siquieres, es una propiedad de la plantilla del certificado
Mas allá del proceso en que caso real podría necesitar usarlo?
En varios casos tiene utilidad tenerlo automatizado, ya sea porque hay varios servidores que requieren certificado sea para páginas HTTPS, DirectAccess, algunos casos de replicación de máquinas virtuales, autenticación de Escritorio Remoto, etc.
En el caso de usuarios, y evitando que el usuario tenga que hacer un proceso que raramente conoce y le puede resultar confuso. En este caso se pueden requerir para cifrado, a requerimiento de un sitio seguro, autenticación para inicio de sesión, tarjetas inteligentes, etc.
Y si están distribuidos por usuarios el inicio de sesión al dominio ya se considera inteligente o hay q hacer más pasos?
No sé a qué te refieres con «inicio inteligente», pero si es relativo a tarjetas inteligentes (SmartCards) hay que hacer mucho más trabajo, los certificados es sólo una parte
Perdon Guillermo quise decir autenticación inteligente
Quizás sea yo que no lo conozco de esa forma, pero tampoco :)
Alguna persona quizás, pero las máquinas seguro que no :)
Trackbacks
[…] tanto para Usuarios como para equipos, utilizaré el procedimiento ya descripto en la nota anterior Obtención Automática de Certificados así que no mostraré el procedimiento en esta nota, supongo que lo harán desde la misma. Sólo […]
[…] el procedimiento descripto en Demostración Obtención Automática de Certificados Digitales de Usuario y Máquina en Ambiente de … El procedimiento es igual al descripto en la nota anterior, sólo que para este caso solamente […]