Configurar la infraestructura de certificados

Se aplica a: Configuration Manager (rama actual)

Importante

A partir de la versión 2203, esta característica de acceso a recursos de empresa ya no se admite. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.

Aprenda a configurar la infraestructura de certificados en Configuration Manager. Antes de empezar, compruebe los requisitos previos que aparecen en Requisitos previos para perfiles de certificado.

Siga estos pasos para configurar la infraestructura para los certificados SCEP o PFX.

Paso 1: Instalar y configurar el servicio de inscripción de dispositivos de red y las dependencias (solo para certificados SCEP)

Debe instalar y configurar el servicio de rol servicio de inscripción de dispositivos de red para Servicios de certificados de Active Directory (AD CS), cambiar los permisos de seguridad en las plantillas de certificado, implementar un certificado de autenticación de cliente de infraestructura de clave pública (PKI) y editar el registro para aumentar el límite de tamaño predeterminado de la dirección URL de Internet Information Services (IIS). Si es necesario, también debe configurar la entidad de certificación (CA) emisora para permitir un período de validez personalizado.

Importante

Antes de configurar Configuration Manager para que funcione con el servicio de inscripción de dispositivos de red, compruebe la instalación y configuración del servicio de inscripción de dispositivos de red. Si estas dependencias no funcionan correctamente, tendrá dificultades para solucionar problemas de inscripción de certificados mediante Configuration Manager.

Para instalar y configurar el servicio de inscripción de dispositivos de red y las dependencias

1. En un servidor que ejecuta Windows Server 2012 R2, instale y configure el servicio de rol Servicio de inscripción de dispositivos de red para el rol de servidor Servicios de certificados de Active Directory. Para obtener más información, consulte Guía del servicio de inscripción de dispositivos de red.

2. Compruebe y, si es necesario, modifique los permisos de seguridad de las plantillas de certificado que usa el servicio de inscripción de dispositivos de red:

   • Para la cuenta que ejecuta la consola de Configuration Manager: permiso de lectura.

     Este permiso es necesario para que al ejecutar el Asistente para crear perfil de certificado, pueda examinar para seleccionar la plantilla de certificado que desea usar al crear un perfil de configuración de SCEP. Seleccionar una plantilla de certificado significa que algunas opciones del asistente se rellenan automáticamente, por lo que hay menos opciones que configurar y hay menos riesgo de seleccionar opciones que no son compatibles con las plantillas de certificado que usa el servicio de inscripción de dispositivos de red.

   • Para la cuenta de servicio SCEP que usa el grupo de aplicaciones servicio de inscripción de dispositivos de red: permisos de lectura e inscripción .

     Este requisito no es específico de Configuration Manager, pero forma parte de la configuración del servicio de inscripción de dispositivos de red. Para obtener más información, consulte Guía del servicio de inscripción de dispositivos de red.

   Sugerencia

   Para identificar qué plantillas de certificado usa el servicio de inscripción de dispositivos de red, vea la siguiente clave del Registro en el servidor que ejecuta el servicio de inscripción de dispositivos de red: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Nota:

   Estos son los permisos de seguridad predeterminados que serán adecuados para la mayoría de los entornos. Sin embargo, puede usar una configuración de seguridad alternativa. Para obtener más información, consulte Planeamiento de permisos de plantilla de certificado para perfiles de certificado.

3. Implemente en este servidor un certificado PKI que admita la autenticación de cliente. Es posible que ya tenga instalado un certificado adecuado en el equipo que puede usar o que tenga que (o prefiera) implementar un certificado específicamente para este fin. Para obtener más información sobre los requisitos de este certificado, consulte los detalles de Los servidores que ejecutan el módulo de directivas de Configuration Manager con el servicio de rol Servicio de inscripción de dispositivos de red en la sección Certificados PKI para servidores del tema Requisitos de certificados PKI para Configuration Manager.

   Sugerencia

   Si necesita ayuda para implementar este certificado, puede usar las instrucciones para implementar el certificado de cliente para puntos de distribución, ya que los requisitos del certificado son los mismos con una excepción:

   • No active la casilla Permitir exportación de clave privada en la pestaña Control de solicitudes de las propiedades de la plantilla de certificado.

     No es necesario exportar este certificado con la clave privada porque podrá ir al almacén de equipos local y seleccionarlo al configurar el módulo de directivas de Configuration Manager.

4. Busque el certificado raíz al que se encadena el certificado de autenticación de cliente. A continuación, exporte este certificado de ca raíz a un archivo de certificado (.cer). Guarde este archivo en una ubicación segura a la que pueda acceder de forma segura al instalar y configurar posteriormente el servidor de sistema de sitio para el punto de registro de certificados.

5. En el mismo servidor, use el editor del Registro para aumentar el límite de tamaño de dirección URL predeterminado de IIS estableciendo los siguientes valores DWORD de clave del Registro en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   • Establezca la clave MaxFieldLength en 65534.

   • Establezca la clave MaxRequestBytes en 16777216.

     Para obtener más información, vea Soporte técnico de Microsoft artículo 820129: configuración del Registro de Http.sys para Windows.

6. En el mismo servidor, en el Administrador de Internet Information Services (IIS), modifique la configuración de filtrado de solicitudes para la aplicación /certsrv/mscep y reinicie el servidor. En el cuadro de diálogo Editar configuración de filtrado de solicitudes , la configuración de límites de solicitud debe ser la siguiente:

   • Longitud de contenido máxima permitida (Bytes):30000000

   • Longitud máxima de la dirección URL (bytes):65534

   • Cadena de consulta máxima (bytes):65534

     Para obtener más información sobre estas opciones de configuración y cómo configurarlas, consulte Límites de solicitudes de IIS.

7. Si desea poder solicitar un certificado que tenga un período de validez inferior al de la plantilla de certificado que usa: esta configuración está deshabilitada de forma predeterminada para una entidad de certificación empresarial. Para habilitar esta opción en una CA empresarial, use la herramienta de línea de comandos Certutil y, a continuación, detenga y reinicie el servicio de certificado mediante los siguientes comandos:

   1. certutil: setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

      Para obtener más información, consulte Configuración y herramientas de servicios de certificados.

8. Compruebe que el servicio de inscripción de dispositivos de red funciona mediante el siguiente vínculo como ejemplo: https://server.contoso.com/certsrv/mscep/mscep.dll. Debería ver la página web integrada servicio de inscripción de dispositivos de red. En esta página web se explica cuál es el servicio y se explica que los dispositivos de red usan la dirección URL para enviar solicitudes de certificado.

   Ahora que el servicio de inscripción de dispositivos de red y las dependencias están configurados, está listo para instalar y configurar el punto de registro de certificados.

Paso 2: Instalar y configurar el punto de registro de certificados.

Debe instalar y configurar al menos un punto de registro de certificados en la jerarquía de Configuration Manager, y puede instalar este rol de sistema de sitio en el sitio de administración central o en un sitio primario.

Importante

Antes de instalar el punto de registro de certificados, consulte la sección Requisitos del sistema de sitio en el tema Configuraciones admitidas para Configuration Manager sobre los requisitos del sistema operativo y las dependencias del punto de registro de certificados.

Para instalar y configurar el punto de registro de certificados

1. En la consola de Configuration Manager, haga clic en Administración.

2. En el área de trabajo Administración , expanda Configuración del sitio, haga clic en Servidores y roles de sistema de sitioy, a continuación, seleccione el servidor que desea usar para el punto de registro de certificados.

3. En la pestaña Inicio , en el grupo Servidor , haga clic en Agregar roles de sistema de sitio.

4. En la página General , especifique la configuración general para el sistema de sitio y, a continuación, haga clic en Siguiente.

5. En la página Proxy , haga clic en Siguiente. El punto de registro de certificado no usa la configuración del proxy de Internet.

6. En la página Selección de roles del sistema , seleccione Punto de registro de certificados en la lista de roles disponibles y, a continuación, haga clic en Siguiente.

7. En la página Modo de registro de certificados, seleccione si desea que este punto de registro de certificado procese solicitudes de certificado SCEP o Procesar solicitudes de certificado PFX. Un punto de registro de certificado no puede procesar ambos tipos de solicitudes, pero puede crear varios puntos de registro de certificados si trabaja con ambos tipos de certificado.

   Si procesa certificados PFX, tendrá que elegir una entidad de certificación, ya sea Microsoft o Entrust.

8. La página Configuración del punto de registro de certificados varía según el tipo de certificado:

   • Si seleccionó Procesar solicitudes de certificado SCEP, configure lo siguiente:

     • Nombre del sitio web, número de puerto HTTPS y nombre de aplicación virtual para el punto de registro de certificado. Estos campos se rellenan automáticamente con valores predeterminados.
     • Dirección URL para el servicio de inscripción de dispositivos de red y el certificado de CA raíz : haga clic en Agregar y, a continuación, en el cuadro de diálogo Agregar dirección URL y certificado de entidad de certificación raíz, especifique lo siguiente:
       • Dirección URL del servicio de inscripción de dispositivos de red: especifique la dirección URL en el formato siguiente: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Por ejemplo, si el FQDN del servidor que ejecuta el servicio de inscripción de dispositivos de red está server1.contoso.com, escriba https://server1.contoso.com/certsrv/mscep/mscep.dll.
       • Certificado de CA raíz: busque y seleccione el archivo de certificado (.cer) que creó y guardó en Paso 1: Instalar y configurar el servicio de inscripción de dispositivos de red y las dependencias. Este certificado de CA raíz permite que el punto de registro de certificado valide el certificado de autenticación de cliente que usará el módulo de directivas de Configuration Manager.

   • Si seleccionó Procesar solicitudes de certificado PFX, configurará los detalles de conexión y las credenciales de la entidad de certificación seleccionada.

     • Para usar Microsoft como entidad de certificación, haga clic en Agregar y, a continuación, en el cuadro de diálogo Agregar una entidad de certificación y una cuenta, especifique lo siguiente:

       • Nombre del servidor de entidad de certificación: escriba el nombre del servidor de entidad de certificación.

       • Cuenta de entidad de certificación: haga clic en Establecer para seleccionar o cree la cuenta que tenga permisos para inscribirse en plantillas en la entidad de certificación.

       • Cuenta de conexión de punto de registro de certificado: seleccione o cree la cuenta que conecta el punto de registro de certificado a la base de datos Configuration Manager. Alterativamente, puede usar la cuenta de equipo local del equipo que hospeda el punto de registro de certificado.

       • Cuenta de publicación de certificados de Active Directory : seleccione una cuenta o cree una nueva que se usará para publicar certificados en objetos de usuario en Active Directory.

       • En la dirección URL del cuadro de diálogo Inscripción de dispositivos de red y certificado de entidad de certificación raíz , especifique lo siguiente y, a continuación, haga clic en Aceptar:

     • Para usar Entrust como entidad de certificación, especifique lo siguiente:

       • Dirección URL del servicio web MDM

       • Las credenciales de nombre de usuario y contraseña de la dirección URL.

         Al usar la API mdm para definir la dirección URL del servicio web Entrust, asegúrese de usar al menos la versión 9 de la API, como se muestra en el ejemplo siguiente:

         https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

         Las versiones anteriores de la API no admiten Entrust.

9. Haga clic en Siguiente y complete el asistente.

10. Espere unos minutos para que finalice la instalación y, a continuación, compruebe que el punto de registro de certificado se instaló correctamente mediante cualquiera de los métodos siguientes:

    • En el área de trabajo Supervisión , expanda Estado del sistema, haga clic en Estado del componente y busque mensajes de estado del componente SMS_CERTIFICATE_REGISTRATION_POINT .

    • En el servidor del sistema de sitio, use el <archivo ConfigMgr Installation Path>\Logs\crpsetup.log y <ConfigMgr Installation Path>\Logs\crpmsi.log. Una instalación correcta devolverá un código de salida de 0.

    • Mediante un explorador, compruebe que puede conectarse a la dirección URL del punto de registro de certificado. Por ejemplo, https://server1.contoso.com/CMCertificateRegistration. Debería ver una página Error del servidor para el nombre de la aplicación, con una descripción HTTP 404.

11. Busque el archivo de certificado exportado para la entidad de certificación raíz que el punto de registro de certificado creó automáticamente en la siguiente carpeta en el equipo del servidor de sitio principal: <Ruta> de instalación de ConfigMgr\bandejas de entrada\certmgr.box. Guarde este archivo en una ubicación segura a la que pueda acceder de forma segura cuando instale más adelante el módulo de directivas de Configuration Manager en el servidor que ejecuta el servicio de inscripción de dispositivos de red.

    Sugerencia

    Este certificado no está disponible inmediatamente en esta carpeta. Es posible que tenga que esperar un tiempo (por ejemplo, media hora) antes de Configuration Manager copia el archivo en esta ubicación.

Paso 3: Instale el módulo de directivas de Configuration Manager (solo para certificados SCEP).

Debe instalar y configurar el módulo de directivas de Configuration Manager en cada servidor especificado en Paso 2: Instalar y configurar el punto de registro de certificados como dirección URL para el servicio de inscripción de dispositivos de red en las propiedades del punto de registro de certificados.

Para instalar el módulo de directivas

1. En el servidor que ejecuta el servicio de inscripción de dispositivos de red, inicie sesión como administrador de dominio y copie los siguientes archivos de la <carpeta ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 del medio de instalación Configuration Manager en una carpeta temporal:

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   Además, si tiene una carpeta LanguagePack en el medio de instalación, copie esta carpeta y su contenido.

2. En la carpeta temporal, ejecute PolicyModuleSetup.exe para iniciar el Asistente para la instalación del módulo de directivas de Configuration Manager.

3. En la página inicial del asistente, haga clic en Siguiente, acepte los términos de licencia y, a continuación, haga clic en Siguiente.

4. En la página Carpeta de instalación , acepte la carpeta de instalación predeterminada para el módulo de directiva o especifique una carpeta alternativa y, a continuación, haga clic en Siguiente.

5. En la página Punto de registro de certificado, especifique la dirección URL del punto de registro de certificado mediante el FQDN del servidor de sistema de sitio y el nombre de la aplicación virtual que se especifica en las propiedades del punto de registro de certificados. El nombre predeterminado de la aplicación virtual es CMCertificateRegistration. Por ejemplo, si el servidor del sistema de sitio tiene un FQDN de server1.contoso.com y ha usado el nombre de aplicación virtual predeterminado, especifique https://server1.contoso.com/CMCertificateRegistration.

6. Acepte el puerto predeterminado de 443 o especifique el número de puerto alternativo que usa el punto de registro de certificado y, a continuación, haga clic en Siguiente.

7. En la página Certificado de cliente del módulo de directivas, vaya a y especifique el certificado de autenticación de cliente que implementó en Paso 1: Instalar y configurar el servicio de inscripción de dispositivos de red y las dependencias y, a continuación, haga clic en Siguiente.

8. En la página Certificado de punto de registro de certificado, haga clic en Examinar para seleccionar el archivo de certificado exportado para la entidad de certificación raíz que localizó y guardó al final del paso 2: Instalar y configurar el punto de registro de certificado.

   Nota:

   Si no guardó anteriormente este archivo de certificado, se encuentra en la <ruta de instalación> de ConfigMgr\inboxes\certmgr.box en el equipo del servidor de sitio.

9. Haga clic en Siguiente y complete el asistente.

   Si desea desinstalar el módulo de directivas de Configuration Manager, use Programas y características en Panel de control.

Ahora que ha completado los pasos de configuración, está listo para implementar certificados en usuarios y dispositivos mediante la creación e implementación de perfiles de certificado. Para obtener más información sobre cómo crear perfiles de certificado, consulte Creación de perfiles de certificado.