Esta sección contiene instrucciones sobre lo siguiente:
Configuración de la autoridad certificadora (CA) de Microsoft Enterprise mediante el servicio de inscripción de dispositivos de red (NDES) de Microsoft
Creación de un servidor de CA raíz
El servidor de la CA raíz es el servidor de la CA principal de cualquier organización y el principal de la infraestructura PKI. La CA raíz autentica el servidor de la CA subordinada. Este servidor se mantiene generalmente en modo sin conexión para evitar cualquier intrusión y para proteger la clave privada.
Para configurar el servidor de la CA raíz, haga lo siguiente:
Asegúrese de que el servidor de la CA raíz está instalado. Para obtener más información, consulte Instalación del servidor de la CA raíz .
Configure los ajustes de punto de distribución de certificación y acceso a la información de entidad. Para obtener más información, consulte Configuración de los ajustes de punto de distribución de certificación y acceso a la información de entidad .
Configure la accesibilidad de la CRL. Para obtener más información, consulte Configuración de la accesibilidad de la CRL .
En Server Manager, haga clic en Administrar > Agregar roles y características .
Haga clic en Funciones de servidor , seleccione Servicios de certificados de Active Directory y todas sus características y, a continuación, haga clic en Siguiente .
En la sección Servicios de función AD CS, seleccione Entidad de certificación y, a continuación, haga clic en Siguiente > Instalar .
Después de la instalación, haga clic en Configurar Servicios de Certificate Server de Active Directory en el servidor de destino .
En la sección Servicios de función, seleccione Entidad de certificación > Siguiente .
En la sección Tipo de configuración, seleccione CA independiente y, a continuación, haga clic en Siguiente .
En la sección Tipo de CA, seleccione CA raíz y, a continuación, haga clic en Siguiente .
Seleccione Crear una nueva clave privada y, a continuación, haga clic en Siguiente .
En el menú Seleccione un proveedor de criptografía, seleccione RSA#Microsoft Software Key Storage Provider .
En el menú Longitud de la clave, seleccione 4096 .
En la lista de algoritmos hash, seleccione SHA512 y, a continuación, haga clic en Siguiente .
En el campo Nombre común de esta CA, escriba el nombre del servidor host.
En el campo Sufijo de nombre distinguido, escriba el componente de dominio.
Nombre de dominio completamente cualificado (FQDN) del equipo:
Nombre común (CN):
Sufijo de nombre distinguido:
Haga clic en Siguiente .
Especifique el período de validez y, a continuación, haga clic en Siguiente .
No cambie nada en la ventana de ubicaciones de la base de datos.
Complete la instalación.
En el siguiente escenario de implementación, todos los permisos se basan en los permisos definidos en las plantillas de certificado publicadas en el controlador de dominio. Las solicitudes de certificado enviadas a la CA se basan en las plantillas de certificado.
Para esta configuración, asegúrese de que dispone de lo siguiente:
Un equipo que aloja la CA subordinada
Un equipo que aloja el servicio NDES
Un controlador de dominio
Cree los siguientes usuarios en el controlador de dominio:
Administrador del servicio
Denominado SCEPAdmin
Debe ser miembro de los grupos local admin y Enterprise Admin
Debe estar registrado localmente cuando se active la instalación de la función NDES
Dispone de permiso de inscripción para las plantillas de certificado
Dispone de permiso para agregar plantillas en la CA
Cuenta de servicio
Denominada SCEPSvc
Debe ser miembro del grupo IIS_IUSRS local
Debe ser un usuario de dominio y disponer de los permisos de escritura e inscripción en las plantillas configuradas
Dispone de permiso de solicitud en la CA
El servidor de la CA subordinada es el servidor de la CA intermedia y siempre está en línea. Generalmente se ocupa de la administración de certificados.
Para configurar el servidor de la CA subordinada, haga lo siguiente:
Asegúrese de que el servidor de la CA subordinada está instalado. Para obtener más información, consulte Instalación del servidor de la CA subordinada .
Configure los ajustes de punto de distribución de certificación y acceso a la información de entidad. Para obtener más información, consulte Configuración de los ajustes de punto de distribución de certificación y acceso a la información de entidad .
Configure la accesibilidad de la CRL. Para obtener más información, consulte Configuración de la accesibilidad de la CRL .
En el servidor, inicie sesión como un usuario de dominio CAAdmin .
En Server Manager, haga clic en Administrar > Agregar roles y características .
Haga clic en Funciones de servidor , seleccione Servicios de certificados de Active Directory y todas sus características y, a continuación, haga clic en Siguiente .
En la sección Servicios de función AD CS, seleccione Entidad de certificación e Inscripción en línea de la entidad de certificación y, a continuación, haga clic en Siguiente .
En la sección Función de servidor web (IIS) Servicios de función, conserve la configuración predeterminada.
Después de la instalación, haga clic en Configurar Servicios de Certificate Server de Active Directory en el servidor de destino .
En la sección Servicios de función, seleccione Entidad de certificación e Inscripción en línea de la entidad de certificación y, a continuación, haga clic en Siguiente .
En la sección Tipo de configuración, seleccione CA empresarial y, a continuación, haga clic en Siguiente .
En la sección Tipo de CA, seleccione CA subordinada y, a continuación, haga clic en Siguiente .
Seleccione Crear una nueva clave privada y, a continuación, haga clic en Siguiente .
En el menú Seleccione un proveedor de criptografía, seleccione RSA#Microsoft Software Key Storage Provider .
En el menú Longitud de la clave, seleccione 4096 .
En la lista de algoritmos hash, seleccione SHA512 y, a continuación, haga clic en Siguiente .
En el campo Nombre común de esta CA, escriba el nombre del servidor host.
En el campo Sufijo de nombre distinguido, escriba el componente de dominio.
Nombre de dominio completamente cualificado (FQDN) del equipo:
Nombre común (CN):
Sufijo de nombre distinguido:
En el cuadro de diálogo Solicitud de certificado, guarde el archivo de solicitud y, a continuación, haga clic en Siguiente .
No cambie nada en la ventana de ubicaciones de la base de datos.
Complete la instalación.
Firme la solicitud de CA de la CA raíz y, a continuación, exporte el certificado firmado con el formato PKCS7.
En la CA subordinada, abra Entidad de certificación .
En el panel de la izquierda, haga clic con el botón derecho del ratón en la CA y, a continuación, haga clic en Todas las tareas > Instalar certificado de CA .
Seleccione el certificado firmado y, a continuación, inicie el servicio CA.
En Server Manager, haga clic en Herramientas > Entidad de certificación .
En el panel de la izquierda, haga clic con el botón derecho del ratón en la CA y, a continuación, haga clic en Propiedades > Extensiones .
En el menú Seleccionar extensión, seleccione Puntos de distribución de lista de revocación de certificados (CDP) .
En la lista de revocación de certificados, seleccione la entrada C:\Windows\system32\ y, a continuación, realice lo siguiente:
Seleccione Publicar las listas de revocación de certificados (CRL) en esta ubicación .
Desactive Publicar CRL incrementales en esta ubicación .
Elimine todas las demás entradas excepto C:\Windows\system32\ .
Haga clic en Agregar .
En el campo Ubicación, agregue , donde es la dirección IP del servidor.
Haga clic en Aceptar .
Seleccione Incluir en la extensión CDP de los certificados emitidos para la entrada creada.
En el menú Seleccionar extensión, seleccione Acceso a la información de entidad (AIA) .
Elimine todas las demás entradas excepto C:\Windows\system32\ .
Haga clic en Agregar .
En el campo Ubicación, agregue , donde es la dirección IP del servidor.
Haga clic en Aceptar .
Seleccione Incluir en la extensión AIA de los certificados emitidos para la entrada creada.
Haga clic en Aplicar > Aceptar .
En el panel de la izquierda, expanda la CA, haga clic con el botón derecho del ratón en Certificados revocados y, a continuación, haga clic en Propiedades .
Especifique el valor de Intervalo de publicación de CRL y de Publicar Delta Intervalo de publicación de CRL y, a continuación, haga clic en Aplicar > Aceptar .
En el panel de la izquierda, haga clic con el botón derecho del ratón en Certificados revocados , haga clic en Todas las tareas y, a continuación, publique la CRL Nuevo.
En el Administrador de IIS, expanda la CA y, a continuación, expanda Sitios .
Haga clic con el botón derecho del ratón en Sitio web predeterminado y, a continuación, haga clic en Agregar directorio virtual .
En el campo Alias, escriba .
En el campo Ruta física, escriba .
Haga clic en Aceptar .
Haga clic con el botón derecho del ratón en CertEnroll y, a continuación, haga clic en Editar permisos .
En la pestaña Seguridad, elimine todos los accesos de escritura excepto para el sistema.
Haga clic en Aceptar .
En el servidor, inicie sesión como un usuario de dominio SCEPAdmin .
En Server Manager, haga clic en Administrar > Agregar roles y características .
Haga clic en Funciones de servidor , seleccione Servicios de certificados de Active Directory y todas sus características y, a continuación, haga clic en Siguiente .
En la sección Servicios de función AD CS, desactive Entidad de certificación .
Seleccione Servicio de inscripción de dispositivos de red y todas sus características y, a continuación, haga clic Siguiente .
En la sección Función de servidor web (IIS) Servicios de función, conserve la configuración predeterminada.
Después de la instalación, haga clic en Configurar Servicios de Certificate Server de Active Directory en el servidor de destino .
En la sección Servicios de función, seleccione Servicio de inscripción de dispositivos de red y, a continuación, haga clic en Siguiente .
Seleccione la cuenta de servicio SCEPSvc .
En la sección CA para NDES, seleccione Nombre de CA o Nombre de equipo y, a continuación, haga clic en Siguiente .
En la sección Información de RA, especifique la información y, a continuación, haga clic en Siguiente .
En la sección Criptografía para NDES, haga lo siguiente:
Seleccione los proveedores de firma y clave de cifrado adecuados.
En el menú Longitud de la clave, seleccione la misma longitud de clave que el servidor de la CA.
Haga clic en Siguiente .
Complete la instalación.
Ahora puede acceder al servidor NDES desde un navegador web como un usuario SCEPSvc. En el servidor NDES, puede ver la huella digital del certificado de CA, la contraseña de comprobación de inscripción y el período de validez de la contraseña de comprobación.
Abra un navegador web y, a continuación, escriba , donde es la dirección IP del servidor NDES.
En la CA subordinada (certserv), abra Entidad de certificación .
En el panel de la izquierda, expanda la CA, haga clic con el botón derecho del ratón en Plantillas de certificado y, a continuación, haga clic en Administrar .
En Consola de plantillas de certificados, cree una copia de Servidor web .
En la pestaña General, escriba como nombre de plantilla.
En la pestaña Seguridad, otorgue a los usuarios SCEPAdmin y SCEPSvc los permisos adecuados.
En la pestaña Nombre del sujeto, seleccione Proporcionar en la solicitud .
En la CA subordinada (certserv), abra Entidad de certificación .
En la pestaña Extensiones, seleccione Directivas de aplicación > Editar .
Haga clic en Agregar >Autenticación del cliente > Aceptar .
En el panel de la izquierda, expanda la CA, haga clic con el botón derecho del ratón en Plantillas de certificado y, a continuación, haga clic en Nueva > Plantilla de certificado que se va a emitir .
Seleccione los certificados que acaba de crear y, a continuación, haga clic en Aceptar .
Ahora puede acceder a las plantillas mediante el portal web de inscripción de la CA.
Abra un navegador web y, a continuación, escriba , donde es la dirección IP del servidor de la CA.
En el menú Plantilla de certificado, vea las plantillas.
En el ordenador, inicie el editor del registro.
Desplácese a >SOFTWARE HKEY_LOCAL_MACHINE >Microsoft > Cryptography > MSCEP .
Configure lo siguiente y, a continuación, defínalos en MVEWebServer :
EncryptionTemplate
GeneralPurposeTemplate
SignatureTemplate
Otorgue al usuario de SCEPSvc permiso completo para MSCEP.
En el Administrador de IIS, expanda la CA y, a continuación, haga clic en Grupos de aplicaciones .
En el panel de la derecha, haga clic en Reciclar para reiniciar el grupo de aplicaciones SCEP.
En el Administrador de IIS, expanda la CA y, a continuación, expanda Sitios > Sitio web predeterminado .
En el panel de la derecha, haga clic en Reiniciar .
En el ordenador, inicie el editor del registro.
Desplácese a HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptography > MSCEP .
Defina Aplicar contraseña en .
En el Administrador de IIS, expanda la CA, haga clic en Grupos de aplicaciones y, a continuación, seleccione SCEP .
En el panel de la derecha, haga clic en Configuración avanzada .
Defina Cargar perfil de usuario en Verdadero y, a continuación, haga clic en Aceptar .
En el panel de la derecha, haga clic en Reciclar para reiniciar el grupo de aplicaciones SCEP.
En el Administrador de IIS, expanda la CA y, a continuación, expanda Sitios > Sitio web predeterminado .
En el panel de la derecha, haga clic en Reiniciar .
Al abrir NDES desde el navegador web, ahora solo podrá ver la huella digital de la CA.