Implementación paso a paso de los certificados PKI para Configuration Manager: entidad de certificación de Windows Server 2008
Se aplica a: Configuration Manager (rama actual)
Esta implementación de ejemplo paso a paso, que usa una entidad de certificación (CA) de Windows Server 2008, tiene procedimientos que muestran cómo crear e implementar los certificados de infraestructura de clave pública (PKI) que Configuration Manager usa. Estos procedimientos usan una entidad de certificación empresarial (CA) y plantillas de certificado. Los pasos son adecuados solo para una red de prueba, como prueba de concepto.
Dado que no hay ningún método único de implementación para los certificados necesarios, consulte la documentación de implementación de PKI específica para conocer los procedimientos necesarios y los procedimientos recomendados para implementar los certificados necesarios para un entorno de producción. Para obtener más información sobre los requisitos de certificado, consulte Requisitos de certificados PKI para Configuration Manager.
Sugerencia
Puede adaptar las instrucciones de este tema para los sistemas operativos que no se documentan en la sección Requisitos de red de prueba. Sin embargo, si ejecuta la entidad de certificación emisora en Windows Server 2012, no se le pedirá la versión de la plantilla de certificado. En su lugar, especifique esto en la pestaña Compatibilidad de las propiedades de la plantilla:
- Entidad de certificación: Windows Server 2003
- Destinatario del certificado: Windows XP/Server 2003
Prueba de los requisitos de red
Las instrucciones paso a paso tienen los siguientes requisitos:
La red de prueba se ejecuta Servicios de dominio de Active Directory con Windows Server 2008 y se instala como un único dominio, bosque único.
Tiene un servidor miembro que ejecuta Windows Server 2008 Enterprise Edition, que tiene instalado el rol Servicios de certificados de Active Directory y se configura como entidad de certificación raíz (CA) empresarial.
Tiene un equipo que tiene Instalado Windows Server 2008 (Standard Edition o Enterprise Edition, R2 o posterior), ese equipo se designa como servidor miembro y Internet Information Services (IIS) está instalado en él. Este equipo será el servidor de sistema de sitio Configuration Manager que configurará con un nombre de dominio completo (FQDN) de intranet para admitir conexiones de cliente en la intranet y un FQDN de Internet si debe admitir dispositivos móviles inscritos por Configuration Manager y clientes en Internet.
Tiene un cliente de Windows Vista que tiene instalado el Service Pack más reciente y este equipo está configurado con un nombre de equipo que consta de caracteres ASCII y está unido al dominio. Este equipo será un equipo cliente Configuration Manager.
Puede iniciar sesión con una cuenta de administrador de dominio raíz o una cuenta de administrador de dominio empresarial y usar esta cuenta para todos los procedimientos de esta implementación de ejemplo.
Introducción a los certificados
En la tabla siguiente se enumeran los tipos de certificados PKI que pueden ser necesarios para Configuration Manager y se describe cómo se usan.
| Requisito de certificado | Descripción del certificado |
|---|---|
| Certificado de servidor web para sistemas de sitio que ejecutan IIS | Este certificado se usa para cifrar los datos y autenticar el servidor en los clientes. Debe instalarse externamente desde Configuration Manager en servidores de sistemas de sitio que ejecutan Internet Information Services (IIS) y que están configurados en Configuration Manager para usar HTTPS. Para conocer los pasos para configurar e instalar este certificado, consulte Implementación del certificado de servidor web para sistemas de sitio que ejecutan IIS en este tema. |
| Certificado de servicio para que los clientes se conecten a puntos de distribución basados en la nube | Para conocer los pasos para configurar e instalar este certificado, consulte Implementación del certificado de servicio para puntos de distribución basados en la nube en este tema. Importante: Este certificado se usa junto con el certificado de administración de Windows Azure. Para obtener más información sobre el certificado de administración, vea How to Create a Management Certificate (Cómo crear un certificado de administración) y How to Add a Management Certificate to a Windows Azure Subscription (Cómo crear un certificado de administración y cómo agregar un certificado de administración a una suscripción de Windows Azure). |
| Certificado de cliente para equipos Windows | Este certificado se usa para autenticar Configuration Manager equipos cliente en sistemas de sitio configurados para usar HTTPS. También se puede usar para puntos de administración y puntos de migración de estado para supervisar su estado operativo cuando están configurados para usar HTTPS. Debe instalarse externamente desde Configuration Manager en equipos. Para conocer los pasos para configurar e instalar este certificado, consulte Implementación del certificado de cliente para equipos Windows en este tema. |
| Certificado de cliente para puntos de distribución | Este certificado tiene dos propósitos: El certificado se usa para autenticar el punto de distribución en un punto de administración habilitado para HTTPS antes de que el punto de distribución envíe mensajes de estado. Cuando se selecciona la opción Habilitar compatibilidad de PXE con el punto de distribución de clientes, el certificado se envía a los equipos que arrancan PXE para que puedan conectarse a un punto de administración habilitado para HTTPS durante la implementación del sistema operativo. Para conocer los pasos para configurar e instalar este certificado, consulte Implementación del certificado de cliente para puntos de distribución en este tema. |
| Certificado de inscripción para dispositivos móviles | Este certificado se usa para autenticar Configuration Manager clientes de dispositivos móviles en sistemas de sitio configurados para usar HTTPS. Debe instalarse como parte de la inscripción de dispositivos móviles en Configuration Manager y elegir la plantilla de certificado configurada como una configuración de cliente de dispositivo móvil. Para conocer los pasos para configurar este certificado, consulte Implementación del certificado de inscripción para dispositivos móviles en este tema. |
| Certificado de cliente para equipos Mac | Puede solicitar e instalar este certificado desde un equipo Mac cuando use Configuration Manager inscripción y elija la plantilla de certificado configurada como una configuración de cliente de dispositivo móvil. Para ver los pasos para configurar este certificado, consulte Implementación del certificado de cliente para equipos Mac en este tema. |
Implementación del certificado de servidor web para sistemas de sitio que ejecutan IIS
Esta implementación de certificados tiene los procedimientos siguientes:
Creación y emisión de la plantilla de certificado de servidor web en la entidad de certificación
Solicitud del certificado de servidor web
Configuración de IIS para usar el certificado de servidor web
Creación y emisión de la plantilla de certificado de servidor web en la entidad de certificación
Este procedimiento crea una plantilla de certificado para Configuration Manager sistemas de sitio y la agrega a la entidad de certificación.
Para crear y emitir la plantilla de certificado de servidor web en la entidad de certificación
Cree un grupo de seguridad denominado Servidores IIS de Configuration Manager que tenga los servidores miembros para instalar Configuration Manager sistemas de sitio que ejecutarán IIS.
En el servidor miembro que tiene instalado Certificate Services, en la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y, a continuación, elija Administrar para cargar la consola plantillas de certificado .
En el panel de resultados, haga clic con el botón derecho en la entrada que tiene Servidor web en la columna Nombre para mostrar de plantilla y, a continuación, elija Duplicar plantilla.
En el cuadro de diálogo Plantilla duplicada, asegúrese de que Windows 2003 Server, Enterprise Edition está seleccionado y, a continuación, elija Aceptar.
Importante
No seleccione Windows 2008 Server, Enterprise Edition.
En el cuadro de diálogo Propiedades de nueva plantilla, en la pestaña General, escriba un nombre de plantilla, como El certificado de servidor web de Configuration Manager, para generar los certificados web que se usarán en Configuration Manager sistemas de sitio.
Elija la pestaña Nombre del firmante y asegúrese de que Está seleccionado Proporcionar en la solicitud .
Elija la pestaña Seguridad y quite el permiso Inscribir de los grupos de seguridad Administradores de dominio y Administradores de empresa .
Elija Agregar, escriba Servidores IIS de Configuration Manager en el cuadro de texto y, a continuación, elija Aceptar.
Elija el permiso Inscribir para este grupo y no borre el permiso De lectura .
Elija Aceptar y, a continuación, cierre la consola de plantillas de certificado.
En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, elija Nuevo y, a continuación, elija Plantilla de certificado para emitir.
En el cuadro de diálogo Habilitar plantillas de certificado , elija la nueva plantilla que acaba de crear, Certificado de servidor web de Configuration Manager y, a continuación, elija Aceptar.
Si no necesita crear y emitir más certificados, cierre entidad de certificación.
Solicitud del certificado de servidor web
Este procedimiento le permite especificar los valores de FQDN de intranet e Internet que se configurarán en las propiedades del servidor del sistema de sitio y, a continuación, instala el certificado de servidor web en el servidor miembro que ejecuta IIS.
Para solicitar el certificado de servidor web
Reinicie el servidor miembro que ejecuta IIS para asegurarse de que el equipo puede acceder a la plantilla de certificado que creó mediante los permisos de lectura e inscripción que configuró.
Elija Inicio, elija Ejecutar y, a continuación, escriba mmc.exe. En la consola vacía, elija Archivo y, a continuación, elija Agregar o quitar complemento.
En el cuadro de diálogo Agregar o quitar complementos , elija Certificados en la lista de complementos disponibles y, a continuación, elija Agregar.
En el cuadro de diálogo Complemento Certificado , elija Cuenta de equipo y, a continuación, elija Siguiente.
En el cuadro de diálogo Seleccionar equipo , asegúrese de que equipo local: (el equipo en el que se ejecuta esta consola) está seleccionado y, a continuación, elija Finalizar.
En el cuadro de diálogo Agregar o quitar complementos , elija Aceptar.
En la consola, expanda Certificados (equipo local) y, a continuación, elija Personal.
Haga clic con el botón derecho en Certificados, elija Todas las tareas y, a continuación, elija Solicitar nuevo certificado.
En la página Antes de comenzar , elija Siguiente.
Si ve la página Seleccionar directiva de inscripción de certificados , elija Siguiente.
En la página Solicitar certificados , identifique el certificado de servidor web de Configuration Manager en la lista de certificados disponibles y, a continuación, elija Más información necesaria para inscribirse para este certificado. Haga clic aquí para configurar los valores.
En el cuadro de diálogo Propiedades del certificado, en la pestaña Asunto , no realice ningún cambio en el nombre del firmante. Esto significa que el cuadro Valor de la sección Nombre del firmante permanece en blanco. En su lugar, en la sección Nombre alternativo , elija la lista desplegable Tipo y, a continuación, elija DNS.
En el cuadro Valor, especifique los valores de FQDN que especificará en las propiedades Configuration Manager sistema de sitio y, a continuación, elija Aceptar para cerrar el cuadro de diálogo Propiedades del certificado.
Ejemplos:
Si el sistema de sitio solo aceptará conexiones de cliente desde la intranet y se server1.internal.contoso.com el FQDN de intranet del servidor de sistema de sitio, escriba server1.internal.contoso.com y, a continuación, elija Agregar.
Si el sistema de sitio aceptará conexiones de cliente desde la intranet e Internet, y el FQDN de intranet del servidor de sistema de sitio se server1.internal.contoso.com y el FQDN de Internet del servidor de sistema de sitio se server.contoso.com:
Escriba server1.internal.contoso.com y, a continuación, elija Agregar.
Escriba server.contoso.com y, a continuación, elija Agregar.
Nota:
Puede especificar los FQDN para Configuration Manager en cualquier orden. Sin embargo, compruebe que todos los dispositivos que usarán el certificado, como los dispositivos móviles y los servidores web proxy, pueden usar un nombre alternativo del firmante de certificado (SAN) y varios valores en la SAN. Si los dispositivos tienen compatibilidad limitada con los valores de SAN en los certificados, es posible que tenga que cambiar el orden de los FQDN o usar el valor subject en su lugar.
En la página Solicitar certificados , elija ConfigMgr Web Server Certificate (Certificado de servidor web de Configuration Manager) en la lista de certificados disponibles y, a continuación, elija Inscribir.
En la página Resultados de la instalación de certificados , espere hasta que se instale el certificado y, a continuación, elija Finalizar.
Cierre certificados (equipo local).
Configuración de IIS para usar el certificado de servidor web
Este procedimiento enlaza el certificado instalado al sitio web predeterminado de IIS.
Para configurar IIS para usar el certificado de servidor web
En el servidor miembro que tiene IIS instalado, elija Inicio, Programas, Herramientas administrativas y, a continuación, Administrador de Internet Information Services (IIS).
Expanda Sitios, haga clic con el botón derecho en Sitio web predeterminado y, a continuación, elija Editar enlaces.
Elija la entrada https y, a continuación, elija Editar.
En el cuadro de diálogo Editar enlace de sitio , seleccione el certificado que solicitó mediante la plantilla Certificados de servidor web de Configuration Manager y, a continuación, elija Aceptar.
Nota:
Si no está seguro de cuál es el certificado correcto, elija uno y, a continuación, elija Ver. Esto le permite comparar los detalles del certificado seleccionado con los certificados del complemento Certificados. Por ejemplo, el complemento Certificados muestra la plantilla de certificado que se usó para solicitar el certificado. A continuación, puede comparar la huella digital del certificado solicitado mediante la plantilla Certificados de servidor web de ConfigurationMgr con la huella digital del certificado seleccionado actualmente en el cuadro de diálogo Editar enlace de sitio .
Elija Aceptar en el cuadro de diálogo Editar enlace de sitio y, a continuación, elija Cerrar.
Cierre el Administrador de Internet Information Services (IIS).
El servidor miembro ahora está configurado con un certificado de servidor web Configuration Manager.
Importante
Al instalar el servidor de sistema de sitio Configuration Manager en este equipo, asegúrese de especificar los mismos FQDN en las propiedades del sistema de sitio que especificó cuando solicitó el certificado.
Implementación del certificado de servicio para puntos de distribución basados en la nube
Esta implementación de certificados tiene los procedimientos siguientes:
Creación y emisión de una plantilla de certificado de servidor web personalizada en la entidad de certificación
Este procedimiento crea una plantilla de certificado personalizada basada en la plantilla de certificado de servidor web. El certificado es para Configuration Manager puntos de distribución basados en la nube y la clave privada debe ser exportable. Una vez creada la plantilla de certificado, se agrega a la entidad de certificación.
Nota:
Este procedimiento usa una plantilla de certificado diferente de la plantilla de certificado de servidor web que creó para los sistemas de sitio que ejecutan IIS. Aunque ambos certificados requieren la funcionalidad de autenticación del servidor, el certificado para los puntos de distribución basados en la nube requiere que escriba un valor definido personalizado para el nombre del firmante y se debe exportar la clave privada. Como procedimiento recomendado de seguridad, no configure plantillas de certificado para que se pueda exportar la clave privada a menos que se requiera esta configuración. El punto de distribución basado en la nube requiere esta configuración porque debe importar el certificado como un archivo, en lugar de elegirlo en el almacén de certificados.
Al crear una nueva plantilla de certificado para este certificado, puede restringir los equipos que pueden solicitar un certificado cuya clave privada se puede exportar. En una red de producción, también puede considerar la posibilidad de agregar los siguientes cambios para este certificado:
- Requerir aprobación para instalar el certificado para una seguridad adicional.
- Aumente el período de validez del certificado. Dado que debe exportar e importar el certificado cada vez antes de que expire, un aumento del período de validez reduce la frecuencia con la que debe repetir este procedimiento. Sin embargo, un aumento del período de validez también reduce la seguridad del certificado porque proporciona más tiempo para que un atacante descifre la clave privada y robe el certificado.
- Use un valor personalizado en el nombre alternativo del firmante (SAN) del certificado para ayudar a identificar este certificado a partir de los certificados de servidor web estándar que se usan con IIS.
Para crear y emitir la plantilla de certificado de servidor web personalizada en la entidad de certificación
Cree un grupo de seguridad denominado Servidores de sitio de Configuration Manager que tenga los servidores miembros para instalar Configuration Manager servidores de sitio principal que administrarán puntos de distribución basados en la nube.
En el servidor miembro que ejecuta la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y, a continuación, elija Administrar para cargar la consola de administración plantillas de certificado.
En el panel de resultados, haga clic con el botón derecho en la entrada que tiene Servidor web en la columna Nombre para mostrar de plantilla y, a continuación, elija Duplicar plantilla.
En el cuadro de diálogo Plantilla duplicada, asegúrese de que Windows 2003 Server, Enterprise Edition está seleccionado y, a continuación, elija Aceptar.
Importante
No seleccione Windows 2008 Server, Enterprise Edition.
En el cuadro de diálogo Propiedades de nueva plantilla , en la pestaña General , escriba un nombre de plantilla, como ConfigMgr Cloud-Based certificado de punto de distribución, para generar el certificado de servidor web para los puntos de distribución basados en la nube.
Elija la pestaña Control de solicitudes y, a continuación, elija Permitir que se exporte la clave privada.
Elija la pestaña Seguridad y quite el permiso Inscribir del grupo de seguridad Administradores de empresa .
Elija Agregar, escriba Servidores de sitio de Configuration Manager en el cuadro de texto y, a continuación, elija Aceptar.
Seleccione el permiso Inscribir para este grupo y no borre el permiso Leer .
Elija la pestaña Criptografía y asegúrese de que el tamaño mínimo de la clave se ha establecido en 2048.
Elija Aceptar y, a continuación, cierre la consola de plantillas de certificado.
En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, elija Nuevo y, a continuación, elija Plantilla de certificado para emitir.
En el cuadro de diálogo Habilitar plantillas de certificado , elija la nueva plantilla que acaba de crear, ConfigMgr Cloud-Based certificado de punto de distribución y, a continuación, elija Aceptar.
Si no tiene que crear y emitir más certificados, cierre Entidad de certificación.
Solicitud del certificado de servidor web personalizado
Este procedimiento solicita y, a continuación, instala el certificado de servidor web personalizado en el servidor miembro que ejecutará el servidor de sitio.
Para solicitar el certificado de servidor web personalizado
Reinicie el servidor miembro después de crear y configurar el grupo de seguridad ConfigMgr Site Servers para asegurarse de que el equipo puede acceder a la plantilla de certificado que creó mediante los permisos De lectura e inscripción que configuró.
Elija Inicio, elija Ejecutar y, a continuación, escriba mmc.exe. En la consola vacía, elija Archivo y, a continuación, elija Agregar o quitar complemento.
En el cuadro de diálogo Agregar o quitar complementos , elija Certificados en la lista de complementos disponibles y, a continuación, elija Agregar.
En el cuadro de diálogo Complemento Certificado , elija Cuenta de equipo y, a continuación, elija Siguiente.
En el cuadro de diálogo Seleccionar equipo , asegúrese de que equipo local: (el equipo en el que se ejecuta esta consola) está seleccionado y, a continuación, elija Finalizar.
En el cuadro de diálogo Agregar o quitar complementos , elija Aceptar.
En la consola, expanda Certificados (equipo local) y, a continuación, elija Personal.
Haga clic con el botón derecho en Certificados, elija Todas las tareas y, a continuación, elija Solicitar nuevo certificado.
En la página Antes de comenzar , elija Siguiente.
Si ve la página Seleccionar directiva de inscripción de certificados , elija Siguiente.
En la página Solicitar certificados , identifique el certificado de punto de distribución de Configuration Manager Cloud-Based en la lista de certificados disponibles y, a continuación, elija Más información necesaria para inscribirse para este certificado. Elija aquí para configurar la configuración.
En el cuadro de diálogo Propiedades del certificado , en la pestaña Asunto , en nombre del firmante, elija Nombre común como Tipo.
En el cuadro Valor , especifique el nombre del servicio y el nombre de dominio mediante un formato FQDN. Por ejemplo: clouddp1.contoso.com.
Nota:
Haga que el nombre del servicio sea único en el espacio de nombres. Usará DNS para crear un alias (registro CNAME) para asignar este nombre de servicio a un identificador generado automáticamente (GUID) y una dirección IP de Windows Azure.
Elija Agregar y, a continuación, elija Aceptar para cerrar el cuadro de diálogo Propiedades del certificado .
En la página Solicitar certificados , elija ConfigMgr Cloud-Based certificado de punto de distribución en la lista de certificados disponibles y, a continuación, elija Inscribir.
En la página Resultados de la instalación de certificados , espere hasta que se instale el certificado y, a continuación, elija Finalizar.
Cierre certificados (equipo local).
Exportación del certificado de servidor web personalizado para puntos de distribución basados en la nube
Este procedimiento exporta el certificado de servidor web personalizado a un archivo para que se pueda importar al crear el punto de distribución basado en la nube.
Para exportar el certificado de servidor web personalizado para puntos de distribución basados en la nube
En la consola Certificados (equipo local), haga clic con el botón derecho en el certificado que acaba de instalar, elija Todas las tareas y, a continuación, elija Exportar.
En el Asistente para exportación de certificados, elija Siguiente.
En la página Exportar clave privada , elija Sí, exporte la clave privada y, a continuación, elija Siguiente.
Nota:
Si esta opción no está disponible, el certificado se ha creado sin la opción de exportar la clave privada. En este escenario, no se puede exportar el certificado en el formato necesario. Debe configurar la plantilla de certificado para que se pueda exportar la clave privada y, a continuación, volver a solicitar el certificado.
En la página Exportar formato de archivo , asegúrese de que intercambio de información personal - PKCS #12 (. La opción PFX) está seleccionada.
En la página Contraseña , especifique una contraseña segura para proteger el certificado exportado con su clave privada y, a continuación, elija Siguiente.
En la página Archivo para exportar , especifique el nombre del archivo que desea exportar y, a continuación, elija Siguiente.
Para cerrar el asistente, elija Finalizar en la página Asistente para exportación de certificados y, a continuación, elija Aceptar en el cuadro de diálogo de confirmación.
Cierre certificados (equipo local).
Almacene el archivo de forma segura y asegúrese de que puede acceder a él desde la consola de Configuration Manager.
El certificado ya está listo para importarse al crear un punto de distribución basado en la nube.
Implementación del certificado de cliente para equipos Windows
Esta implementación de certificados tiene los procedimientos siguientes:
Creación y emisión de la plantilla de certificado de autenticación de estación de trabajo en la entidad de certificación
Configuración de la inscripción automática de la plantilla autenticación de estación de trabajo mediante directiva de grupo
Inscriba automáticamente el certificado de autenticación de estación de trabajo y compruebe su instalación en equipos
Creación y emisión de la plantilla de certificado de autenticación de estación de trabajo en la entidad de certificación
Este procedimiento crea una plantilla de certificado para Configuration Manager equipos cliente y la agrega a la entidad de certificación.
Para crear y emitir la plantilla de certificado de autenticación de estación de trabajo en la entidad de certificación
En el servidor miembro que ejecuta la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y, a continuación, elija Administrar para cargar la consola de administración plantillas de certificado.
En el panel de resultados, haga clic con el botón derecho en la entrada que tiene Autenticación de estación de trabajo en la columna Nombre para mostrar de la plantilla y, a continuación, elija Duplicar plantilla.
En el cuadro de diálogo Plantilla duplicada, asegúrese de que Windows 2003 Server, Enterprise Edition está seleccionado y, a continuación, elija Aceptar.
Importante
No seleccione Windows 2008 Server, Enterprise Edition.
En el cuadro de diálogo Propiedades de nueva plantilla, en la pestaña General, escriba un nombre de plantilla, como El certificado de cliente de Configuration Manager, para generar los certificados de cliente que se usarán en Configuration Manager equipos cliente.
Elija la pestaña Seguridad , seleccione el grupo Equipos de dominio y, a continuación, seleccione los permisos adicionales de Lectura y Inscripción automática. No borre Inscribir.
Elija Aceptar y, a continuación, cierre la consola de plantillas de certificado.
En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, elija Nuevo y, a continuación, elija Plantilla de certificado para emitir.
En el cuadro de diálogo Habilitar plantillas de certificado , elija la nueva plantilla que acaba de crear, Certificado de cliente de Configuration Manager y, a continuación, elija Aceptar.
Si no necesita crear y emitir más certificados, cierre entidad de certificación.
Configuración de la inscripción automática de la plantilla autenticación de estación de trabajo mediante directiva de grupo
Este procedimiento configura directiva de grupo para inscribir automáticamente el certificado de cliente en equipos.
Para configurar la inscripción automática de la plantilla autenticación de estación de trabajo mediante directiva de grupo
En el controlador de dominio, elija Inicio, Herramientas administrativas y, a continuación, directiva de grupo Administración.
Vaya al dominio, haga clic con el botón derecho en el dominio y, a continuación , elija Crear un GPO en este dominio y Vincularlo aquí.
Nota:
En este paso se usa el procedimiento recomendado para crear una nueva directiva de grupo para la configuración personalizada en lugar de editar la directiva de dominio predeterminada instalada con Servicios de dominio de Active Directory. Al asignar esta directiva de grupo en el nivel de dominio, se aplicará a todos los equipos del dominio. En un entorno de producción, puede restringir la inscripción automática para que se inscriba solo en los equipos seleccionados. Puede asignar el directiva de grupo en un nivel de unidad organizativa o puede filtrar el directiva de grupo de dominio con un grupo de seguridad para que se aplique solo a los equipos del grupo. Si restringe la inscripción automática, recuerde incluir el servidor configurado como punto de administración.
En el cuadro de diálogo Nuevo GPO, escriba un nombre, como Certificados de inscripción automática, para el nuevo directiva de grupo y, a continuación, elija Aceptar.
En el panel de resultados, en la pestaña Objetos directiva de grupo vinculados, haga clic con el botón derecho en el nuevo directiva de grupo y, a continuación, elija Editar.
En el Editor de administración de directiva de grupo, expanda Directivas en Configuración del equipo y, a continuación, vaya aConfiguración de seguridad deWindows / Directivas / declave pública.
Haga clic con el botón derecho en el tipo de objeto denominado Cliente de Servicios de certificados- Inscripción automática y, a continuación, elija Propiedades.
En la lista desplegable Modelo de configuración , elija Habilitado, renovar certificados expirados, actualizar certificados pendientes, quitar certificados revocados, actualizar certificados que usan plantillas de certificado y, a continuación, elija Aceptar.
Cierre la administración de directiva de grupo.
Inscriba automáticamente el certificado de autenticación de estación de trabajo y compruebe su instalación en equipos
Este procedimiento instala el certificado de cliente en equipos y comprueba la instalación.
Para inscribir automáticamente el certificado de autenticación de estación de trabajo y comprobar su instalación en el equipo cliente
Reinicie el equipo de la estación de trabajo y espere unos minutos antes de iniciar sesión.
Nota:
Reiniciar un equipo es el método más confiable para garantizar el éxito con la inscripción automática de certificados.
Inicie sesión con una cuenta con privilegios administrativos.
En el cuadro de búsqueda, escriba mmc.exe y presione Entrar.
En la consola de administración vacía, elija Archivo y, a continuación, elija Agregar o quitar complemento.
En el cuadro de diálogo Agregar o quitar complementos , elija Certificados en la lista de complementos disponibles y, a continuación, elija Agregar.
En el cuadro de diálogo Complemento Certificado , elija Cuenta de equipo y, a continuación, elija Siguiente.
En el cuadro de diálogo Seleccionar equipo , asegúrese de que equipo local: (el equipo en el que se ejecuta esta consola) está seleccionado y, a continuación, elija Finalizar.
En el cuadro de diálogo Agregar o quitar complementos , elija Aceptar.
En la consola, expanda Certificados (equipo local), expanda Personaly, a continuación, elija Certificados.
En el panel de resultados, confirme que un certificado tiene Autenticación de cliente en la columna Propósito previsto y que El certificado de cliente de Configuration Manager se encuentra en la columna Plantilla de certificado .
Cierre certificados (equipo local).
Repita los pasos del 1 al 11 para que el servidor miembro compruebe que el servidor que se configurará como punto de administración también tiene un certificado de cliente.
El equipo ahora está configurado con un certificado de cliente Configuration Manager.
Implementación del certificado de cliente para puntos de distribución
Nota:
Este certificado también se puede usar para imágenes multimedia que no usan el arranque PXE, ya que los requisitos del certificado son los mismos.
Esta implementación de certificados tiene los procedimientos siguientes:
Creación y emisión de una plantilla de certificado de autenticación de estación de trabajo personalizada en la entidad de certificación
Solicitud del certificado de autenticación de estación de trabajo personalizado
Exportación del certificado de cliente para puntos de distribución
Creación y emisión de una plantilla de certificado de autenticación de estación de trabajo personalizada en la entidad de certificación
Este procedimiento crea una plantilla de certificado personalizada para Configuration Manager puntos de distribución para que la clave privada se pueda exportar y agregue la plantilla de certificado a la entidad de certificación.
Nota:
Este procedimiento usa una plantilla de certificado diferente de la plantilla de certificado que creó para los equipos cliente. Aunque ambos certificados requieren la funcionalidad de autenticación de cliente, el certificado para los puntos de distribución requiere que se exporte la clave privada. Como procedimiento recomendado de seguridad, no configure plantillas de certificado para que la clave privada se pueda exportar a menos que se requiera esta configuración. El punto de distribución requiere esta configuración porque debe importar el certificado como un archivo en lugar de elegirlo en el almacén de certificados.
Al crear una nueva plantilla de certificado para este certificado, puede restringir los equipos que pueden solicitar un certificado cuya clave privada se puede exportar. En nuestra implementación de ejemplo, este será el grupo de seguridad que creó anteriormente para Configuration Manager servidores de sistema de sitio que ejecutan IIS. En una red de producción que distribuye los roles de sistema de sitio de IIS, considere la posibilidad de crear un nuevo grupo de seguridad para los servidores que ejecutan puntos de distribución para que pueda restringir el certificado solo a estos servidores de sistema de sitio. También puede considerar la posibilidad de agregar las siguientes modificaciones para este certificado:
- Requerir aprobación para instalar el certificado para una seguridad adicional.
- Aumente el período de validez del certificado. Dado que debe exportar e importar el certificado cada vez antes de que expire, un aumento del período de validez reduce la frecuencia con la que debe repetir este procedimiento. Sin embargo, un aumento del período de validez también reduce la seguridad del certificado porque proporciona más tiempo para que un atacante descifre la clave privada y robe el certificado.
- Use un valor personalizado en el campo Firmante del certificado o nombre alternativo del firmante (SAN) para ayudar a identificar este certificado a partir de certificados de cliente estándar. Esto puede ser especialmente útil si va a usar el mismo certificado para varios puntos de distribución.
Para crear y emitir la plantilla de certificado de autenticación de estación de trabajo personalizada en la entidad de certificación
En el servidor miembro que ejecuta la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y, a continuación, elija Administrar para cargar la consola de administración plantillas de certificado.
En el panel de resultados, haga clic con el botón derecho en la entrada que tiene Autenticación de estación de trabajo en la columna Nombre para mostrar de la plantilla y, a continuación, elija Duplicar plantilla.
En el cuadro de diálogo Plantilla duplicada, asegúrese de que Windows 2003 Server, Enterprise Edition está seleccionado y, a continuación, elija Aceptar.
Importante
No seleccione Windows 2008 Server, Enterprise Edition.
En el cuadro de diálogo Propiedades de nueva plantilla , en la pestaña General , escriba un nombre de plantilla, como Certificado de punto de distribución de cliente de ConfigMgr, para generar el certificado de autenticación de cliente para los puntos de distribución.
Elija la pestaña Control de solicitudes y, a continuación, elija Permitir que se exporte la clave privada.
Elija la pestaña Seguridad y quite el permiso Inscribir del grupo de seguridad Administradores de empresa .
Elija Agregar, escriba Servidores IIS de Configuration Manager en el cuadro de texto y, a continuación, elija Aceptar.
Seleccione el permiso Inscribir para este grupo y no borre el permiso Leer .
Elija Aceptar y, a continuación, cierre la consola de plantillas de certificado.
En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, elija Nuevo y, a continuación, elija Plantilla de certificado para emitir.
En el cuadro de diálogo Habilitar plantillas de certificado , elija la nueva plantilla que acaba de crear, Certificado de punto de distribución de cliente de Configuration Manager y, a continuación, elija Aceptar.
Si no tiene que crear y emitir más certificados, cierre Entidad de certificación.
Solicitud del certificado de autenticación de estación de trabajo personalizado
Este procedimiento solicita y, a continuación, instala el certificado de cliente personalizado en el servidor miembro que ejecuta IIS y que se configurará como punto de distribución.
Para solicitar el certificado de autenticación de estación de trabajo personalizado
Elija Inicio, elija Ejecutar y, a continuación, escriba mmc.exe. En la consola vacía, elija Archivo y, a continuación, elija Agregar o quitar complemento.
En el cuadro de diálogo Agregar o quitar complementos , elija Certificados en la lista de complementos disponibles y, a continuación, elija Agregar.
En el cuadro de diálogo Complemento Certificado , elija Cuenta de equipo y, a continuación, elija Siguiente.
En el cuadro de diálogo Seleccionar equipo , asegúrese de que equipo local: (el equipo en el que se ejecuta esta consola) está seleccionado y, a continuación, elija Finalizar.
En el cuadro de diálogo Agregar o quitar complementos , elija Aceptar.
En la consola, expanda Certificados (equipo local) y, a continuación, elija Personal.
Haga clic con el botón derecho en Certificados, elija Todas las tareas y, a continuación, elija Solicitar nuevo certificado.
En la página Antes de comenzar , elija Siguiente.
Si ve la página Seleccionar directiva de inscripción de certificados , elija Siguiente.
En la página Solicitar certificados , elija ConfigMgr Client Distribution Point Certificate (Certificado de punto de distribución de cliente de Configuration Manager) en la lista de certificados disponibles y, a continuación, elija Inscribir.
En la página Resultados de la instalación de certificados , espere hasta que se instale el certificado y, a continuación, elija Finalizar.
En el panel de resultados, confirme que un certificado tiene Autenticación de cliente en la columna Propósito previsto y que El certificado de punto de distribución de cliente de ConfigMgr se encuentra en la columna Plantilla de certificado .
No cierre certificados (equipo local).
Exportación del certificado de cliente para puntos de distribución
Este procedimiento exporta el certificado de autenticación de estación de trabajo personalizado a un archivo para que se pueda importar en las propiedades del punto de distribución.
Para exportar el certificado de cliente para puntos de distribución
En la consola Certificados (equipo local), haga clic con el botón derecho en el certificado que acaba de instalar, elija Todas las tareas y, a continuación, elija Exportar.
En el Asistente para exportación de certificados, elija Siguiente.
En la página Exportar clave privada , elija Sí, exporte la clave privada y, a continuación, elija Siguiente.
Nota:
Si esta opción no está disponible, el certificado se ha creado sin la opción de exportar la clave privada. En este escenario, no se puede exportar el certificado en el formato necesario. Debe configurar la plantilla de certificado para que se pueda exportar la clave privada y, a continuación, volver a solicitar el certificado.
En la página Exportar formato de archivo , asegúrese de que intercambio de información personal - PKCS #12 (. La opción PFX) está seleccionada.
En la página Contraseña , especifique una contraseña segura para proteger el certificado exportado con su clave privada y, a continuación, elija Siguiente.
En la página Archivo para exportar , especifique el nombre del archivo que desea exportar y, a continuación, elija Siguiente.
Para cerrar el asistente, elija Finalizar en la página Asistente para exportación de certificados y elija Aceptar en el cuadro de diálogo de confirmación.
Cierre certificados (equipo local).
Almacene el archivo de forma segura y asegúrese de que puede acceder a él desde la consola de Configuration Manager.
El certificado ya está listo para importarse al configurar el punto de distribución.
Sugerencia
Puede usar el mismo archivo de certificado al configurar imágenes multimedia para una implementación de sistema operativo que no usa el arranque PXE y la secuencia de tareas para instalar la imagen debe ponerse en contacto con un punto de administración que requiera conexiones de cliente HTTPS.
Implementación del certificado de inscripción para dispositivos móviles
Esta implementación de certificados tiene un único procedimiento para crear y emitir la plantilla de certificado de inscripción en la entidad de certificación.
Creación y emisión de la plantilla de certificado de inscripción en la entidad de certificación
Este procedimiento crea una plantilla de certificado de inscripción para Configuration Manager dispositivos móviles y la agrega a la entidad de certificación.
Para crear y emitir la plantilla de certificado de inscripción en la entidad de certificación
Cree un grupo de seguridad que tenga usuarios que inscribirán dispositivos móviles en Configuration Manager.
En el servidor miembro que tiene instalado Servicios de certificados, en la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y, a continuación, elija Administrar para cargar la consola de administración plantillas de certificado.
En el panel de resultados, haga clic con el botón derecho en la entrada que tiene Sesión autenticada en la columna Nombre para mostrar de plantilla y, a continuación, elija Duplicar plantilla.
En el cuadro de diálogo Plantilla duplicada, asegúrese de que Windows 2003 Server, Enterprise Edition está seleccionado y, a continuación, elija Aceptar.
Importante
No seleccione Windows 2008 Server, Enterprise Edition.
En el cuadro de diálogo Propiedades de nueva plantilla, en la pestaña General, escriba un nombre de plantilla, como El certificado de inscripción de dispositivos móviles de ConfigMgr, para generar los certificados de inscripción de los dispositivos móviles que se administrarán mediante Configuration Manager.
Elija la pestaña Nombre del firmante , asegúrese de que La compilación a partir de esta información de Active Directory está seleccionada, seleccione Nombre común para el formato de nombre de firmante:y, a continuación, desactive Nombre principal de usuario (UPN) en Incluir esta información en el nombre del firmante alternativo.
Elija la pestaña Seguridad , elija el grupo de seguridad que tiene usuarios que tienen dispositivos móviles para inscribirse y, a continuación, elija el permiso adicional Inscribir. No borre Leer.
Elija Aceptar y, a continuación, cierre la consola de plantillas de certificado.
En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, elija Nuevo y, a continuación, elija Plantilla de certificado para emitir.
En el cuadro de diálogo Habilitar plantillas de certificado , elija la nueva plantilla que acaba de crear, Certificado de inscripción de dispositivos móviles de ConfigMgr y, a continuación, elija Aceptar.
Si no necesita crear y emitir más certificados, cierre la consola de la entidad de certificación.
La plantilla de certificado de inscripción de dispositivos móviles ya está lista para seleccionarse al configurar un perfil de inscripción de dispositivos móviles en la configuración de cliente.
Implementación del certificado de cliente para equipos Mac
Esta implementación de certificados tiene un único procedimiento para crear y emitir la plantilla de certificado de inscripción en la entidad de certificación.
Creación y emisión de una plantilla de certificado de cliente Mac en la entidad de certificación
Este procedimiento crea una plantilla de certificado personalizada para Configuration Manager equipos Mac y agrega la plantilla de certificado a la entidad de certificación.
Nota:
Este procedimiento usa una plantilla de certificado diferente de la plantilla de certificado que podría haber creado para equipos cliente Windows o para puntos de distribución.
Al crear una nueva plantilla de certificado para este certificado, puede restringir la solicitud de certificado a los usuarios autorizados.
Para crear y emitir la plantilla de certificado de cliente Mac en la entidad de certificación
Cree un grupo de seguridad que tenga cuentas de usuario para los usuarios administrativos que inscribirán el certificado en el equipo Mac mediante Configuration Manager.
En el servidor miembro que ejecuta la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y, a continuación, elija Administrar para cargar la consola de administración plantillas de certificado.
En el panel de resultados, haga clic con el botón derecho en la entrada que muestra Sesión autenticada en la columna Nombre para mostrar de plantilla y, a continuación, elija Duplicar plantilla.
En el cuadro de diálogo Plantilla duplicada, asegúrese de que Windows 2003 Server, Enterprise Edition está seleccionado y, a continuación, elija Aceptar.
Importante
No seleccione Windows 2008 Server, Enterprise Edition.
En el cuadro de diálogo Propiedades de nueva plantilla , en la pestaña General , escriba un nombre de plantilla, como El certificado de cliente mac de Configuration Manager, para generar el certificado de cliente Mac.
Elija la pestaña Nombre del firmante , asegúrese de que La compilación a partir de esta información de Active Directory está seleccionada, elija Nombre común para el formato de nombre de firmante:y, a continuación, desactive Nombre principal de usuario (UPN) en Incluir esta información en el nombre del firmante alternativo.
Elija la pestaña Seguridad y quite el permiso Inscribir de los grupos de seguridad Administradores de dominio y Administradores de empresa .
Elija Agregar, especifique el grupo de seguridad que creó en el paso uno y, a continuación, elija Aceptar.
Elija el permiso Inscribir para este grupo y no borre el permiso De lectura .
Elija Aceptar y, a continuación, cierre la consola de plantillas de certificado.
En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, elija Nuevo y, a continuación, elija Plantilla de certificado para emitir.
En el cuadro de diálogo Habilitar plantillas de certificado , elija la nueva plantilla que acaba de crear, Certificado de cliente Mac de Configuration Manager y, a continuación, elija Aceptar.
Si no tiene que crear y emitir más certificados, cierre Entidad de certificación.
La plantilla de certificado de cliente Mac ya está lista para seleccionarse al configurar la configuración de cliente para la inscripción.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de