Demostración Obtención Automática de Certificados Digitales de Usuario y Máquina en Ambiente de Prueba

En esta se utilizará un ambiente de dominio con Windows Server 2008R2 y Windows 7, donde se desarrollará una configuración simple demostrando el despliegue en forma automática de Certificados Digitales para usuarios y máquinas.

A tal fin se mostrará la configuración de Group Policies (GPOs) del dominio para automatizar el proceso que es objetivo de esta demostración.

Tanto los nombres de máquina utilizados como las direcciones IP pueden ser cambiados con tal que se respete el procedimiento.

La configuración inicial de partida es muy simple, ya que se trata de un Controlador de Dominio Windows Server 2008R2 Enterprise Edition, y un cliente Windows Vista 7 Ultimate unido al dominio.

Controlador de Dominio
Nombre:        dc1.guillermo.ad
Dirección IP:        192.168.1.200 /24
Configuración DNS:    192.168.1.200

Cliente
Nombre:        cl1.guillermo.ad
Dirección IP:        192.168.1.1 /24
Configuración DNS:    192.168.1.200

1.- Procedimientos Iniciales

DC1 ya es controlador del dominio de “guillermo.ad” en nivel funcional Nativo Windows 2008R2. Igualmente el nivel funcional del Bosque. Por supuesto, tiene instalado el servicio DNS y es Catálogo Global ya que es el único controlador de dominio del dominio en un único Bosque.

Preparación de la Estructura del Dominio

  • Abrimos Active Directory Users and Computers
  • Creamos una Unidad Organizativa “Equipos Certificadas” donde tendremos la cuenta de “cl1”
  • Creamos una Unidad Organizativa “Usuarios Certificados” donde crearemos el usuario de prueba
  • Dentro de esta última Unidad Organizativa, creamos una cuenta de usuario normal, que para este caso yo llamaré “User Uno” u1@guillermo.ad

Instalación de la Autoridad Certificadora

  • Abrimos Server Manger
  • Agregamos el Role Active Directory Certificate Services

    Para este caso dejaremos todos los valores por omisión, es decir, que crearemos una Autoridad Certificadora de tipo Enterprise Root de nombre guillermo-DC1-CA, con la configuración sugerida por el asistente.

2.- Desarrollo

Creación Plantilla de Certificado personalizada para equipos

  • Abrimos Certification Authority
  • Con botón derecho sobre Certificate Templates, elegimos Manage
  • Con botón derechos sobre la plantilla Computer, elegimos Duplicate Template, seleccionando de tipo Windows 2008 Enterprise.
  • Le asignamos un nombre a la nueva plantilla. Yo elegí “Equipos Certificados”, y en la ficha Seguridad le asinagmos el permiso Autoenroll a Domain Computers

  • Cerramos la consola Certificate Templates y volvemos a la de Autoridad Certificadora
  • Con botón derecho sobre Certificate Templates elegimos New / Certificate Template to Issue seleccionando el previamente creado (Equipos Certificados)

Creación Plantilla de Certificado personalizada para usuarios

  • Abrimos Certification Authority
  • Con botón derecho sobre Certificate Templates, elegimos Manage
  • Con botón derechos sobre la plantilla User, elegimos Duplicate Template, seleccionando de tipo Windows 2008 Enterprise.
  • Le asignamos un nombre a la nueva plantilla. Yo elegí “Usuarios Certificados”, en la ficha Seguridad le asinagmos el permiso Autoenroll a Domain Users, y en la ficha Subject Name podemos desmarcarle la opción de Mail, si el usuario no lo tuviera configurado.


  • Cerramos la consola Certificate Templates y volvemos a la de Autoridad Certificadora
  • Con botón derecho sobre Certificate Templates elegimos New / Certificate Template to Issue seleccionando el previamente creado (Usuarios Certificados)

Asignación Automática de Certificados a Equipos

  • En Group Policy Management crearemos y enlazaremos una GPO que yo llamaré “GPO Certifica Equipos”
  • En esta GPO expandimos Computer Configuration / Policies / Windows Settings / Security Settings / Public Key Policies
  • En las propiedades de Certificate Services Client – Auto-Enrollment seleccionamos como se ve en la figura

Asignación Automática de Certificados a Usuarios

  • En Group Policy Management crearemos y enlazaremos una GPO que yo llamaré “GPO Certifica Usuarios”
  • En esta GPO expandimos User Configuration / Policies / Windows Settings / Security Settings / Public Key Policies

En las propiedades de Certificate Services Client – Auto-Enrollment seleccionamos como se ve en la figura

3.- Demostración

  • Para asegurarnos la aplicación de las GPOs, reinicaremos CL1

Verificación de la Instalación del Certificado de Equipo

  • Iniciamos sesión en CL1 con la cuenta de administrador del dominio
  • Iniciamos una consola (MMC.EXE) como administrador y cargamos el complemento (snap-in) Certificates sobre Computer Account.
  • Debemos ver el certificado de equipo instalado

Verificación de la Instalación del Certificado de Usuario

  • Iniciamos sesión en CL1 con la cuenta del usuario del dominio (u1)
  • Iniciamos una consola (MMC.EXE) y cargamos el complemento (snap-in) Certificates.
  • Debemos ver el certificado de equipo instalado
  • Se puede necesitar un reinicio de CL1 para aplicar las GPOs
Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Carlos Perez  On 12/04/2012 at 21:05

    Saludos,
    He tratado de hacer el lab de esta página, y no he logrado que me distribuya los certificados. en este momento tengo un WIndows Server 2008 como DC y un secundario con Windows Server 2008R2. El nivel funciona del Active Directorio es Windows Server 2008. EL PC Cliente es Windows 7 Ultimate. No logro que genere los certificados para las máquinas….
    Capa

    • Delprato  On 13/04/2012 at 09:53

      Hola Carlos, como no pongas más datos es imposible orientarte por dónde está el problema

      Primero que nada verifica con GPRESULT o con GPMC en el Controlador de Dominio que el cliente esté efectivamente recibiendo la GPO

  • Ariel Reyes  On 24/04/2015 at 17:49

    Hola Estimado!
    Puedes Explicar en sí que es la autoridad certificadora? es como un token? como un ticket que debes tener para entrar al cine?
    Gracias!
    Saludes cordiales,

    • Guillermo Delprato  On 24/04/2015 at 18:33

      Hola Ariel, un certificado digital es algo análogo a un documento de identidad, se utiliza para probar que alguien es quien dice ser.
      Una autoridad certificadora es análogamente, quien verificar la identidad de un solicitante y expide el correspondiente documento de identidad (certificado)
      No sé cómo serán en tu país, pero acá en Argentina: la autoridad certificadora es un ente llamado “Registro Nacional de las Personas” que emite el Documento Nacional de Identidad (DNI) que sería el equivalente al certificado digital

  • Alexander Carrillo  On 28/07/2015 at 10:28

    Guillermo una consulta. Con este despliegue automatico de certificados de maquina a traves de GPO, cuando el certificado caduda automaticamente lo renueva???

    Gracias

    • Guillermo Delprato  On 28/07/2015 at 11:26

      Hola Alexander, no tengo ahora ninguna CA activa para verificar, y menos W2008, pero creo recordar que sí, se renovará automáticamente
      Verifícalo siquieres, es una propiedad de la plantilla del certificado

  • ad31707  On 26/01/2017 at 09:56

    Mas allá del proceso en que caso real podría necesitar usarlo?

    • Guillermo Delprato  On 26/01/2017 at 11:11

      En varios casos tiene utilidad tenerlo automatizado, ya sea porque hay varios servidores que requieren certificado sea para páginas HTTPS, DirectAccess, algunos casos de replicación de máquinas virtuales, autenticación de Escritorio Remoto, etc.
      En el caso de usuarios, y evitando que el usuario tenga que hacer un proceso que raramente conoce y le puede resultar confuso. En este caso se pueden requerir para cifrado, a requerimiento de un sitio seguro, autenticación para inicio de sesión, tarjetas inteligentes, etc.

      • ad31707  On 26/01/2017 at 11:29

        Y si están distribuidos por usuarios el inicio de sesión al dominio ya se considera inteligente o hay q hacer más pasos?

      • Guillermo Delprato  On 26/01/2017 at 11:58

        No sé a qué te refieres con “inicio inteligente”, pero si es relativo a tarjetas inteligentes (SmartCards) hay que hacer mucho más trabajo, los certificados es sólo una parte

      • ad31707  On 26/01/2017 at 12:26

        Perdon Guillermo quise decir autenticación inteligente

      • Guillermo Delprato  On 26/01/2017 at 13:22

        Quizás sea yo que no lo conozco de esa forma, pero tampoco :)
        Alguna persona quizás, pero las máquinas seguro que no :)

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: