Share via

Creación de perfiles de certificado PFX mediante una entidad de certificación

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Obtenga información sobre cómo crear un perfil de certificado que use una entidad de certificación para las credenciales. En este artículo se resalta información específica sobre los perfiles de certificado de intercambio de información personal (PFX). Para obtener más información sobre cómo crear y configurar estos perfiles, consulte Perfiles de certificado.

Configuration Manager permite crear un perfil de certificado PFX con credenciales emitidas por una entidad de certificación. Puede elegir Microsoft o Entrust como entidad de certificación. Cuando se implementan en dispositivos de usuario, los archivos PFX generan certificados específicos del usuario para admitir el intercambio de datos cifrados.

Para importar credenciales de certificado desde archivos de certificado existentes, consulte Importar perfiles de certificado PFX.

Requisitos previos

Antes de empezar a crear un perfil de certificado, asegúrese de que los requisitos previos necesarios están listos. Para obtener más información, consulte Requisitos previos para perfiles de certificado. Por ejemplo, para los perfiles de certificado PFX, necesita un rol de sistema de sitio de punto de registro de certificado .

Crear un perfil

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento, expanda Acceso a recursos de empresa y, a continuación, seleccione Perfiles de certificado.

  2. En la pestaña Inicio de la cinta de opciones, en el grupo Crear , seleccione Crear perfil de certificado.

  3. En la página General del Asistente para crear perfiles de certificado, especifique la siguiente información:

    • Nombre: escriba un nombre único para el perfil de certificado. Puede usar un máximo de 256 caracteres.

    • Descripción: proporcione una descripción que proporcione información general sobre el perfil de certificado que ayuda a identificarlo en la consola de Configuration Manager. Puede usar un máximo de 256 caracteres.

  4. Seleccione Intercambio de información personal: configuración de PKCS n.º 12 (PFX) - Crear. Esta opción solicita un certificado en nombre de un usuario desde una entidad de certificación (CA) local conectada. Elija la entidad de certificación: Microsoft o Entrust.

    Nota:

    La opción Importar obtiene información de un certificado existente para crear un perfil de certificado. Para obtener más información, vea Importar perfiles de certificado PFX.

  5. En la página Plataformas admitidas , seleccione las versiones del sistema operativo compatibles con este perfil de certificado. Para obtener más información sobre las versiones del sistema operativo admitidas para la versión de Configuration Manager, consulte Versiones del sistema operativo compatibles para clientes y dispositivos.

  6. En la página Entidades de certificación, elija el punto de registro de certificados (CRP) para procesar los certificados PFX:

    1. Sitio principal: elija el servidor que contiene el rol CRP para la ca.
    2. Entidades de certificación: seleccione la entidad de certificación pertinente.

    Para obtener más información, consulte Infraestructura de certificados.

La configuración de la página Certificado PFX varía en función de la entidad de certificación seleccionada en la página General :

Configuración del certificado PFX para Microsoft CA

  1. En Nombre de plantilla de certificado, elija la plantilla de certificado.

  2. Para usar el perfil de certificado para la firma O cifrado S/MIME, habilite Uso del certificado.

    Al habilitar esta opción, entrega todos los certificados PFX asociados con el usuario de destino a todos sus dispositivos. Si no habilita esta opción, cada dispositivo recibe un certificado único.

  3. Establezca formato de nombre de firmante en Nombre común o Nombre completo. Si no está seguro de cuál usar, póngase en contacto con el administrador de ca.

  4. Para el nombre alternativo del firmante, habilite Email dirección y nombre principal de usuario (UPN) según corresponda para la entidad de certificación.

  5. Umbral de renovación: determina cuándo se renuevan automáticamente los certificados, en función del porcentaje de tiempo restante antes de la expiración.

  6. Establezca el período de validez del certificado en la duración del certificado.

  7. Cuando el punto de registro de certificados especifica las credenciales de Active Directory, habilite la publicación de Active Directory.

  8. Si seleccionó una o varias Windows 10 plataformas admitidas:

    1. Establezca el almacén de certificados de Windows enUsuario. (La opción Equipo local no implementa certificados, no lo elige).

    2. Seleccione uno de los siguientes proveedores de almacenamiento de claves (KSP):

      • Instalar en el módulo de plataforma segura (TPM) si está presente
      • De lo contrario, se produce un error al instalar en el módulo de plataforma segura (TPM).
      • Instalación en Windows Hello para empresas en caso contrario, se produce un error
      • Instalación en el proveedor de almacenamiento de claves de software

  9. Complete el asistente.

Configuración del certificado PFX para la entidad de certificación entrust

  1. En Configuración de id. digital, elija el perfil de configuración. El administrador de Entrust crea las opciones de configuración de id. digital.

  2. Para usar el perfil de certificado para la firma O cifrado S/MIME, habilite Uso del certificado.

    Al habilitar esta opción, entrega todos los certificados PFX asociados con el usuario de destino a todos sus dispositivos. Si no habilita esta opción, cada dispositivo recibe un certificado único.

  3. Para asignar tokens de formato de nombre de firmante de Entrust a Configuration Manager campos, seleccione Formato.

    En el cuadro de diálogo Formato de nombre de certificado se enumeran las variables de configuración Entrust Digital ID. Para cada variable Entrust, elija los campos de Configuration Manager adecuados.

  4. Para asignar tokens Detrust Subject Alternative Name a variables LDAP admitidas, seleccione Formato.

    En el cuadro de diálogo Formato de nombre de certificado se enumeran las variables de configuración Entrust Digital ID. Para cada variable Entrust, elija la variable LDAP adecuada.

  5. Umbral de renovación: determina cuándo se renuevan automáticamente los certificados, en función del porcentaje de tiempo restante antes de la expiración.

  6. Establezca el período de validez del certificado en la duración del certificado.

  7. Cuando el punto de registro de certificados especifica las credenciales de Active Directory, habilite la publicación de Active Directory.

  8. Si seleccionó una o varias Windows 10 plataformas admitidas:

    1. Establezca el almacén de certificados de Windows enUsuario. (La opción Equipo local no implementa certificados, no lo elige).

    2. Seleccione uno de los siguientes proveedores de almacenamiento de claves (KSP):

      • Instalar en el módulo de plataforma segura (TPM) si está presente
      • De lo contrario, se produce un error al instalar en el módulo de plataforma segura (TPM).
      • Instalación en Windows Hello para empresas en caso contrario, se produce un error
      • Instalación en el proveedor de almacenamiento de claves de software

  9. Complete el asistente.

Implementación del perfil

Después de crear un perfil de certificado, ahora está disponible en el nodo Perfiles de certificado . Para obtener más información sobre cómo implementarlo, consulte Implementación de perfiles de acceso a recursos.

Vea también

Creación de un nuevo perfil de certificado

Importar perfiles de certificado PFX

Implementar perfiles de Wi-Fi, VPN, correo electrónico y certificado