Crear perfiles de certificadoCreate certificate profiles

Se aplica a: Configuration Manager (rama actual)Applies to: Configuration Manager (current branch)

Use perfiles de certificado de Configuration Manager para aprovisionar dispositivos administrados con los certificados que necesitan para acceder a los recursos de empresa.Use certificate profiles in Configuration Manager to provision managed devices with the certificates they need to access company resources. Antes de crear perfiles de certificado, configure la infraestructura de certificados como se explica en Configuración de la infraestructura de certificados.Before creating certificate profiles, set up the certificate infrastructure as described in Set up certificate infrastructure.

Sugerencia

En el caso de los dispositivos administrados conjuntamente, considere la posibilidad de mover la carga de trabajo de las directivas de acceso a recursos a Intune.For co-managed devices, consider moving the Resource access policies workload to Intune. Posteriormente, use las directivas de Intune para administrar estos certificados.Then use Intune policies to manage these certificates. Para más información, consulte el artículo sobre el cambio de las cargas de trabajo.For more information, see How to switch workloads.

En este artículo se describe cómo crear perfiles de certificado raíz de confianza y del Protocolo de inscripción de certificados simple (SCEP).This article describes how to create trusted root and Simple Certificate Enrollment Protocol (SCEP) certificate profiles. Si quiere crear perfiles de certificado PFX, consulte Create PFX certificate profiles (Crear perfiles de certificado PFX).If you want to create PFX certificate profiles, see Create PFX certificate profiles.

Para crear un perfil de certificado, siga estos pasos:To create a certificate profile:

  1. Inicie el Asistente para crear perfil de certificado.Start the Create Certificate Profile Wizard.
  2. Proporcione información general sobre el certificado.Provide general information about the certificate.
  3. Configure un certificado de entidad de certificación (CA) de confianza.Configure a trusted certificate authority (CA) certificate.
  4. Configure la información del certificado SCEP.Configure SCEP certificate information.
  5. Especifique las plataformas admitidas del perfil de certificado.Specify supported platforms for the certificate profile.

Inicio del asistenteStart the wizard

Para iniciar Crear perfil de certificado:To start the Create Certificate Profile:

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento, expanda Acceso a los recursos de la compañía y seleccione el nodo Perfiles de certificado.In the Configuration Manager console, go to the Assets and Compliance workspace, expand Compliance Settings, expand Company Resource Access, and then select the Certificate Profiles node.

  2. En la pestaña Inicio de la cinta, en el grupo Crear, seleccione Crear perfil de certificado.On the Home tab of the ribbon, in the Create group, select Create Certificate Profile.

GeneralGeneral

En la página General del Asistente para crear perfil de certificado, especifique la información siguiente:On the General page of the Create Certificate Profile Wizard, specify the following information:

  • Nombre: escriba un nombre único para el perfil de certificado.Name: Enter a unique name for the certificate profile. Puede utilizar un máximo de 256 caracteres.You can use a maximum of 256 characters.

  • Descripción: proporcione una descripción que ofrezca una visión general del perfil de certificado.Description: Provide a description that gives an overview of the certificate profile. Incluya también otra información pertinente que le ayude a identificarlo en la consola de Configuration Manager.Also include other relevant information that helps to identify it in the Configuration Manager console. Puede utilizar un máximo de 256 caracteres.You can use a maximum of 256 characters.

  • Especifique el tipo de perfil de certificado que quiere crear:Specify the type of certificate profile that you want to create:

    • Certificado de CA de confianza: seleccione este tipo para implementar un certificado de entidad de certificación (CA) raíz de confianza o un certificado de CA intermedio para formar una cadena de confianza si el dispositivo o el usuario deben autenticar otro dispositivo.Trusted CA certificate: Select this type to deploy a trusted root certification authority (CA) or intermediate CA certificate to form a certificate chain of trust when the user or device must authenticate another device. Por ejemplo, el dispositivo puede ser un servidor de Servicio de autenticación remota telefónica de usuario (RADIUS) o un servidor de red privada virtual (VPN).For example, the device might be a Remote Authentication Dial-In User Service (RADIUS) server or a virtual private network (VPN) server.

      Además configure un perfil de certificado de CA de confianza para crear un perfil de certificado SCEP.Also configure a trusted CA certificate profile before you can create a SCEP certificate profile. En este caso, el certificado de CA de confianza debe ser para la CA que emitirá el certificado para el usuario o el dispositivo.In this case, the trusted CA certificate must be for the CA that issues the certificate to the user or device.

    • Configuración de Protocolo de inscripción de certificados simple (SCEP) : seleccione este tipo para solicitar un certificado para un dispositivo o usuario con el Protocolo de inscripción de certificados simple y el servicio de rol Servicio de inscripción de dispositivos de red (NDES).Simple Certificate Enrollment Protocol (SCEP) settings: Select this type to request a certificate for a user or device with the Simple Certificate Enrollment Protocol and the Network Device Enrollment Service (NDES) role service.

    • Intercambio de información personal – configuración de PKCS #12 (PFX) – importar: seleccione esta opción para importar un certificado PFX.Personal Information Exchange PKCS #12 (PFX) settings - Import: Select this option to import a PFX certificate. Para más información, consulte Importar perfiles de certificado PFX.For more information, see Import PFX certificate profiles.

    • Intercambio de información personal – configuración de PKCS #12 (PFX) – crear: seleccione esta opción para procesar los certificados PFX mediante una entidad de certificación.Personal Information Exchange PKCS #12 (PFX) settings - Create: Select this option to process PFX certificates using a certificate authority. Para obtener más información, vea Crear perfiles de certificado PFX.For more information, see Create PFX certificate profiles.

Certificado de CA de confianzaTrusted CA certificate

Importante

Antes de crear un perfil de certificado SCEP, configure al menos un perfil de certificado de CA de confianza.Before you create a SCEP certificate profile, configure at least one trusted CA certificate profile.

Una vez implementado el certificado, si cambia cualquiera de estos valores, se solicita un nuevo certificado:After the certificate is deployed, if you change any of these values, a new certificate is requested:

  • Proveedor de almacenamiento de clavesKey Storage Provider
  • Nombre de plantilla de certificadoCertificate template name
  • Tipo de certificadoCertificate type
  • Formato de nombre del sujetoSubject name format
  • Nombre alternativo del firmanteSubject alternative name
  • Período de validez del certificadoCertificate validity period
  • Uso de clavesKey usage
  • Tamaño de la claveKey size
  • Uso mejorado de claveExtended key usage
  • Certificado de CA raízRoot CA certificate
  1. En la página Certificado de CA de confianza del Asistente para crear perfil de certificado, especifique la información siguiente:On the Trusted CA Certificate page of the Create Certificate Profile Wizard, specify the following information:

    • Archivo de certificado: seleccione Importar y busque el archivo de certificado.Certificate file: Select Import, and then browse to the certificate file.

    • Almacén de destino: Para los dispositivos que tienen más de un almacén de certificados, seleccione dónde quiere almacenar el certificado.Destination store: For devices that have more than one certificate store, select where to store the certificate. Para los dispositivos que solo tienen un almacén, este valor se omite.For devices that have only one store, this setting is ignored.

  2. Use el valor de Huella digital de certificado para comprobar que ha importado el certificado correcto.Use the Certificate thumbprint value to verify that you've imported the correct certificate.

Certificados SCEPSCEP certificates

1. Servidores SCEP1. SCEP Servers

En la página SCEP Servers del Asistente para crear perfil de certificado, especifique las direcciones URL para los servidores de NDES que emitirán certificados a través de SCEP.On the SCEP Servers page of the Create Certificate Profile Wizard, specify the URLs for the NDES Servers that will issue certificates via SCEP. Puede asignar automáticamente una dirección URL de NDES basada en la configuración del punto de registro de certificados, o bien agregar direcciones URL manualmente.You can automatically assign an NDES URL based on the configuration of the certificate registration point, or add URLs manually.

2. Inscripción de SCEP2. SCEP Enrollment

Complete la página Inscripción de SCEP del Asistente para crear perfil de certificado.Complete the SCEP Enrollment page of the Create Certificate Profile Wizard.

  • Reintentos: especifique el número de veces que el dispositivo intenta enviar automáticamente la solicitud de certificado al servidor NDES.Retries: Specify the number of times that the device automatically retries the certificate request to the NDES server. Este valor es compatible con el escenario en el que un administrador de CA debe aprobar una solicitud de certificado para que sea aceptada.This setting supports the scenario where a CA manager must approve a certificate request before it's accepted. Esta opción se utiliza normalmente en entornos de alta seguridad o si tiene una CA emisora independiente en vez de una CA empresarial.This setting is typically used for high-security environments or if you have a stand-alone issuing CA rather than an enterprise CA. También puede utilizar este valor para realizar pruebas, de forma que pueda examinar las opciones de la solicitud de certificado antes de que la CA emisora procese la solicitud de certificado.You might also use this setting for testing purposes so that you can inspect the certificate request options before the issuing CA processes the certificate request. Utilice esta opción con el valor Intervalo entre reintentos (minutos) .Use this setting with the Retry delay (minutes) setting.

  • Intervalo entre reintentos (minutos) : especifique el intervalo en minutos entre cada intento de inscripción cuando se utiliza la aprobación del administrador de CA antes de que la CA emisora procese la solicitud de certificado.Retry delay (minutes): Specify the interval, in minutes, between each enrollment attempt when you use CA manager approval before the issuing CA processes the certificate request. Si usa la aprobación del administrador para realizar pruebas, especifique un valor bajo.If you use manager approval for testing purposes, specify a low value. De este modo, no tendrá que esperar mucho tiempo a que el dispositivo reintente la solicitud de certificado después de aprobarla.Then you're not waiting a long time for the device to retry the certificate request after you approve the request.

    Si usa la aprobación del administrador en una red de producción, especifique un valor mayor.If you use manager approval on a production network, specify a higher value. Este comportamiento otorgará al administrador de CA tiempo suficiente para aprobar o denegar las aprobaciones pendientes.This behavior allows sufficient time for the CA administrator to approve or deny pending approvals.

  • Umbral de renovación (%) : Especifique qué porcentaje de la duración del certificado tiene que quedar para que el dispositivo solicite la renovación del certificado.Renewal threshold (%): Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.

  • Proveedor de almacenamiento de claves (KSP) : Especifique dónde se almacena la clave del certificado.Key Storage Provider (KSP): Specify where the key to the certificate is stored. Elija uno de los siguientes valores:Choose from one of the following values:

    • Instalar en Módulo de plataforma segura (TPM) si está presente: instala la clave en el TPM.Install to Trusted Platform Module (TPM) if present: Installs the key to the TPM. Si el TPM no está presente, la clave se instala en el proveedor de almacenamiento de la clave de software.If the TPM isn't present, the key is installed to the storage provider for the software key.

    • Instalar en Módulo de plataforma segura (TPM) o se producirá un error: instala la clave en el TPM.Install to Trusted Platform Module (TPM) otherwise fail: Installs the key to the TPM. Si el módulo TPM no está presente, se producirá un error en la instalación.If the TPM module isn't present, the installation fails.

    • Instalar en Windows Hello para empresas o generar un error: esta opción está disponible para dispositivos Windows 10.Install to Windows Hello for Business otherwise fail: This option is available for Windows 10 devices. Permite almacenar el certificado en la tienda de Windows Hello para empresas, que está protegida con autenticación multifactor.It allows you to store the certificate in the Windows Hello for Business store, which is protected by multi-factor authentication. Para obtener más información, vea Windows Hello para empresas.For more information, see Windows Hello for Business.

      Nota

      Esta opción no admite el inicio de sesión con tarjeta inteligente para el uso mejorado de clave en la página Propiedades del certificado.This option doesn't support Smart card logon for the Enhanced key usage on the Certificate Properties page.

    • Instalar en Proveedor de almacenamiento de claves de software: instala la clave en el proveedor de almacenamiento de la clave de software.Install to Software Key Storage Provider: Installs the key to the storage provider for the software key.

  • Dispositivos para la inscripción de certificados: si implementa el perfil de certificado en una recopilación de usuarios, permita la inscripción de certificados solo en el dispositivo primario del usuario o en cualquier dispositivo en el que el usuario inicie sesión.Devices for certificate enrollment: If you deploy the certificate profile to a user collection, allow certificate enrollment only on the user's primary device, or on any device to which the user signs in.

    Si implementa el perfil de certificado en una recopilación de dispositivos, permita la inscripción de certificado solo al usuario primario del dispositivo o a todos los usuarios que inicien sesión en el dispositivo.If you deploy the certificate profile to a device collection, allow certificate enrollment for only the primary user of the device, or for all users that sign in to the device.

3. Propiedades de certificado3. Certificate Properties

En la página Propiedades de certificado del Asistente para crear perfil de certificado, especifique la información siguiente:On the Certificate Properties page of the Create Certificate Profile Wizard, specify the following information:

  • Nombre de plantilla de certificado: seleccione el nombre de una plantilla de certificado que haya configurado en NDES y que haya agregado a una CA emisora.Certificate template name: Select the name of a certificate template that you configured in NDES and added to an issuing CA. Para examinar correctamente las plantillas de certificado, la cuenta de usuario debe tener permisos de lectura en la plantilla de certificado.To successfully browse to certificate templates, your user account needs Read permission to the certificate template. Si no puede usar Examinar para buscar el certificado, escriba su nombre.If you can't Browse for the certificate, type its name.

    Importante

    Si el nombre de la plantilla de certificado contiene caracteres que no son ASCII, el certificado no se implementará.If the certificate template name contains non-ASCII characters, the certificate isn't deployed. (Un ejemplo de estos caracteres son los del alfabeto chino). Para asegurarse de que el certificado está implementado, cree primero una copia de la plantilla de certificado en la entidad de certificación.(One example of these characters is from the Chinese alphabet.) To make sure that the certificate is deployed, first create a copy of the certificate template on the CA. Después, cambie el nombre de la copia mediante el uso de caracteres ASCII.Then rename the copy by using ASCII characters.

    • Si explora para seleccionar el nombre de la plantilla de certificado, algunos campos de la página se rellenan automáticamente a partir de la plantilla de certificado.If you browse to select the name of the certificate template, some fields on the page automatically populate from the certificate template. En algunos casos, estos valores no se pueden cambiar a menos que se elija otra plantilla de certificado.In some cases, you can't change these values unless you choose a different certificate template.

    • Si escribe el nombre de la plantilla de certificado, asegúrese de que coincida exactamente con el de una de las plantillas de certificado.If you type the name of the certificate template, make sure that the name exactly matches one of the certificate templates. Debe coincidir con uno de los nombres que aparecen en el registro del servidor NDES.It must match the names that are listed in the registry of the NDES server. Asegúrese de especificar el nombre de la plantilla de certificado y no su nombre para mostrar.Make sure that you specify the name of the certificate template, and not the display name of the certificate template.

      Para buscar los nombres de plantillas de certificado, vaya a la clave del Registro siguiente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.To find the names of certificate templates, browse to the following registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Enumera las plantillas de certificado como los valores de EncryptionTemplate, GeneralPurposeTemplate y SignatureTemplate.It lists the certificate templates as the values for EncryptionTemplate, GeneralPurposeTemplate, and SignatureTemplate. De forma predeterminada, el valor de las tres plantillas de certificado es IPSECIntermediateOffline, que se asigna al nombre de plantilla para mostrar IPSEC (solicitud sin conexión) .By default, the value for all three certificate templates is IPSECIntermediateOffline, which maps to the template display name of IPSec (Offline request).

      Advertencia

      Cuando escriba el nombre de la plantilla de certificado, Configuration Manager no puede comprobar el contenido de la plantilla.When you type the name of the certificate template, Configuration Manager can't verify the contents of the certificate template. Es posible que pueda seleccionar opciones no compatibles con la plantilla de certificado, lo que podría dar lugar a una solicitud de certificado con errores.You may be able to select options that the certificate template doesn't support, which may result in a failed certificate request. Cuando se produce este comportamiento, se ve un mensaje de error de w3wp.exe en el archivo CPR.log que indica que el nombre de la plantilla en la solicitud de firma de certificado (CSR) y el desafío no coinciden.When this behavior happens, you'll see an error message for w3wp.exe in the CPR.log file that the template name in the certificate signing request (CSR) and the challenge don't match.

      Cuando escriba el nombre de la plantilla de certificado especificado para el valor GeneralPurposeTemplate, seleccione las opciones Cifrado de clave y Firma digital de este perfil de certificado.When you type the name of the certificate template that's specified for the GeneralPurposeTemplate value, select the Key encipherment and the Digital signature options for this certificate profile. Si quiere habilitar solamente la opción Cifrado de clave de este perfil de certificado, especifique el nombre de la plantilla de certificado de la clave EncryptionTemplate.If you want to enable only the Key encipherment option in this certificate profile, specify the certificate template name for the EncryptionTemplate key. De igual forma, si desea habilitar solamente la opción Firma digital en este perfil de certificado, especifique el nombre de la plantilla de certificado para la clave de SignatureTemplate .Similarly, if you want to enable only the Digital signature option in this certificate profile, specify the certificate template name for the SignatureTemplate key.

  • Tipo de certificado: seleccione si va a implementar el certificado en un dispositivo o en un usuario.Certificate type: Select whether you'll deploy the certificate to a device or a user.

  • Formato de nombre del sujeto: seleccione cómo Configuration Manager crea de forma automática el nombre del firmante en la solicitud de certificado.Subject name format: Select how Configuration Manager automatically creates the subject name in the certificate request. Si el certificado es para un usuario, también puede incluir la dirección de correo electrónico del usuario en el nombre del sujeto.If the certificate is for a user, you can also include the user's email address in the subject name.

    Nota

    Si selecciona Número IMEI o Número de serie, puede diferenciar entre distintos dispositivos que pertenecen al mismo usuario.If you select IMEI number or Serial number, you can differentiate between different devices that are owned by the same user. Por ejemplo, esos dispositivos pueden compartir un nombre común, pero no un número IMEI o número de serie.For example, those devices could share a common name, but not an IMEI number or serial number. Si el dispositivo no notifica un número de serie o IMEI, el certificado se emite con el nombre común.If the device doesn't report an IMEI or serial number, the certificate is issued with the common name.

  • Nombre alternativo del firmante: especifique cómo Configuration Manager crea de forma automática los valores del nombre alternativo del firmante (SAN) en la solicitud de certificado.Subject alternative name: Specify how Configuration Manager automatically creates the values for the subject alternative name (SAN) in the certificate request. Por ejemplo, si seleccionó un tipo de certificado de usuario, puede incluir el nombre principal de usuario (UPN) en el nombre alternativo del sujeto.For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Si el certificado de cliente va a autenticar un servidor de directivas de redes, establezca el nombre alternativo del firmante en el UPN.If the client certificate will authenticate to a Network Policy Server, set the subject alternative name to the UPN.

  • Período de validez del certificado: si establece un período de validez personalizado en la CA emisora, especifique la cantidad de tiempo que queda antes de que expire el certificado.Certificate validity period: If you set a custom validity period on the issuing CA, specify the amount of remaining time before the certificate expires.

    Sugerencia

    Establezca un período de validez personalizado con la siguiente línea de comandos: certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE.Set a custom validity period with the following command line: certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE Para obtener más información sobre este comando, consulte Infraestructura de certificados.For more information about this command, see Certificate infrastructure.

    Puede especificar un valor inferior al período de validez de la plantilla de certificado especificada, pero no superior.You can specify a value that's lower than the validity period in the specified certificate template, but not higher. Por ejemplo, si el período de validez del certificado de la plantilla de certificado es de dos años, puede especificar un valor de un año, pero no de cinco años.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year, but not a value of five years. El valor también debe ser menor que el período de validez restante del certificado de la CA emisora.The value must also be lower than the remaining validity period of the issuing CA's certificate.

  • Uso de claves: Especifique las opciones de uso de claves para el certificado.Key usage: Specify key usage options for the certificate. Elija entre las siguientes opciones:Choose from the following options:

    • Cifrado de clave: permite el intercambio de claves solo si la clave está cifrada.Key encipherment: Allow key exchange only when the key is encrypted.

    • Firma digital: permite el intercambio de claves solo si una firma digital protege la clave.Digital signature: Allow key exchange only when a digital signature helps protect the key.

    Si ha buscado una plantilla de certificado mediante Examinar, no podrá cambiar esta configuración a menos que seleccione otra plantilla de certificado.If you browsed for a certificate template, you can't change these settings, unless you select a different certificate template.

    Configure la plantilla de certificado seleccionada como mínimo con una de las dos opciones de uso de clave anteriores.Configure the selected certificate template with one or both of the two key usage options above. Si no es así, verá este mensaje en el archivo de registro de punto de registro de certificados, Crp.log: El uso de la clave en la CSR y en el desafío no coincidenIf not, you'll see the following message in the certificate registration point log file, Crp.log: Key usage in CSR and challenge do not match

  • Tamaño de la clave (bits) : Seleccione el tamaño de la clave, en bits.Key size (bits): Select the size of the key in bits.

  • Uso mejorado de clave: Agregue valores para la finalidad prevista del certificado.Extended key usage: Add values for the certificate's intended purpose. En la mayoría de los casos, el certificado requiere Autenticación de cliente para que el usuario o dispositivo pueda autenticarse en un servidor.In most cases, the certificate requires Client Authentication so that the user or device can authenticate to a server. Puede agregar otros usos clave según sea necesario.You can add any other key usages as required.

  • Algoritmo hash: Seleccione uno de los tipos de algoritmos hash disponibles para usar con este certificado.Hash algorithm: Select one of the available hash algorithm types to use with this certificate. Seleccione el nivel máximo de seguridad que admiten los dispositivos de conexión.Select the strongest level of security that the connecting devices support.

    Nota

    SHA-2 admite SHA-256, SHA-384 y SHA-512.SHA-2 supports SHA-256, SHA-384, and SHA-512. SHA-3 solo admite SHA-3.SHA-3 supports only SHA-3.

  • Certificado de CA raíz: elija un perfil de certificado de CA raíz que previamente haya configurado e implementado para el usuario o dispositivo.Root CA certificate: Choose a root CA certificate profile that you previously configured and deployed to the user or device. Este certificado de CA debe ser el certificado raíz de la entidad de certificación que va a emitir el certificado que va a configurar en este perfil de certificado.This CA certificate must be the root certificate for the CA that will issue the certificate that you're configuring in this certificate profile.

    Importante

    Si especifica un certificado de CA raíz que no se haya implementado en el usuario o dispositivo, Configuration Manager no inicia la solicitud de certificado que está configurando en este perfil de certificado.If you specify a root CA certificate that's not deployed to the user or device, Configuration Manager won't initiate the certificate request that you're configuring in this certificate profile.

Plataformas compatiblesSupported platforms

En la página Plataformas admitidas del Asistente para crear perfil de certificado, seleccione las versiones de SO donde quiere instalar el perfil de certificado.On the Supported Platforms page of the Create Certificate Profile Wizard, select the OS versions where you want to install the certificate profile. Seleccione Seleccionar todo para instalar el perfil de certificado en todos los sistemas operativos disponibles.Choose Select all to install the certificate profile to all available operating systems.

Pasos siguientesNext steps

El nuevo perfil de certificado se muestra en el nodo Perfiles de certificado en el área de trabajo Activos y compatibilidad.The new certificate profile appears in the Certificate Profiles node in the Assets and Compliance workspace. Está listo para su implementación en usuarios o dispositivos.It's ready for you to deploy to users or devices. Para obtener más información, vea Cómo implementar perfiles.For more information, see How to deploy profiles.