Artículo
10/26/2015

Creación de perfiles de certificado en Configuration Manager

Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

La información de este tema sólo se aplica a las versiones System Center 2012 R2 Configuration Manager.

Los perfiles de certificado en System Center 2012 Configuration Manager se integran con Servicios de certificados de Active Directory y el rol Servicio de inscripción de dispositivos de red para proporcionar certificados de autenticación a los dispositivos administrados a fin de que los usuarios puedan obtener acceso a los recursos de la compañía de forma segura. Utilice la información de este tema para crear perfiles de certificado en Configuration Manager.

Importante
Debe realizar la configuración antes de crear perfiles de certificado. Para obtener más información, vea Configuración de perfiles de certificado en Configuration Manager.

Pasos para crear un perfil de certificado

Utilice los pasos siguientes para crear un perfil de certificado mediante el Asistente para crear perfil de certificado.

Paso	Detalles	Más información
Paso 1: Iniciar el Asistente para crear perfil de certificado	Inicie el asistente en el área de trabajo Activos y compatibilidad del nodo Configuración de cumplimiento.	Consulte la sección Paso 1: Iniciar el Asistente para crear perfil de certificado en este tema.
Paso 2: Proporcionar información general sobre el perfil de certificado	Proporcione información general, como el nombre, la descripción y el tipo de perfil de certificado que desea crear.	Consulte la sección Paso 2: Proporcionar información general sobre el perfil de certificado en este tema.
Paso 3: Proporcionar información sobre el perfil de certificado	Proporcione información de configuración para el perfil de certificado.	Consulte la sección Paso 3: Proporcionar información sobre el perfil de certificado en este tema.
Paso 4: Configurar plataformas compatibles para el perfil de certificado	Especificar los sistemas operativos en los que va a instalar el perfil de certificado.	Consulte la sección Paso 4: Configurar plataformas admitidas del perfil de certificado en este tema.
Paso 5: Completar el asistente	Complete el asistente para crear el nuevo perfil de certificado.	Consulte la sección Paso 5: Completar el asistente en este tema.

Precaución
Si ya ha implementado un certificado mediante el perfil de certificado del Protocolo de inscripción de certificados simple (SCEP), los cambios en algunas opciones de configuración provocarán la solicitud de un nuevo certificado con los nuevos valores. Si el número de solicitudes de renovación de certificado es elevado debido a estos cambios, es posible que se produzca un procesamiento elevado de la CPU en el servidor que ejecuta el Servicio de inscripción de dispositivos de red. Si la solicitud de certificado corresponde a un cliente en la intranet (por ejemplo, Windows 8.1), el certificado original se elimina si se solicita un nuevo certificado con los nuevos valores. Sin embargo, si la solicitud de certificado corresponde a un cliente administrado mediante el conector de Microsoft Intune, el certificado original no se elimina del dispositivo y permanece instalado. En las secciones siguientes, fíjese en la configuración resultante en una solicitud de renovación de certificado.

Si ya ha implementado un certificado mediante el perfil de certificado del Protocolo de inscripción de certificados simple (SCEP), los cambios en algunas opciones de configuración provocarán la solicitud de un nuevo certificado con los nuevos valores. Si el número de solicitudes de renovación de certificado es elevado debido a estos cambios, es posible que se produzca un procesamiento elevado de la CPU en el servidor que ejecuta el Servicio de inscripción de dispositivos de red.

Si la solicitud de certificado corresponde a un cliente en la intranet (por ejemplo, Windows 8.1), el certificado original se elimina si se solicita un nuevo certificado con los nuevos valores. Sin embargo, si la solicitud de certificado corresponde a un cliente administrado mediante el conector de Microsoft Intune, el certificado original no se elimina del dispositivo y permanece instalado.

En las secciones siguientes, fíjese en la configuración resultante en una solicitud de renovación de certificado.

Procedimientos adicionales para crear un nuevo perfil de certificado

Utilice la siguiente información si los pasos de la tabla anterior requieren procedimientos adicionales.

Paso 1: Iniciar el Asistente para crear perfil de certificado

Utilice este procedimiento para iniciar el Asistente para crear perfil de certificado.

Para iniciar el Asistente para crear perfil de certificado

En la consola de Configuration Manager, haga clic en Activos y compatibilidad.
En el área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento, expanda Acceso a los recursos de la compañía y, a continuación, haga clic en Perfiles de certificado.
En la pestaña Inicio del grupo Crear, haga clic en Crear perfil de certificado.

Paso 2: Proporcionar información general sobre el perfil de certificado

Utilice este procedimiento para proporcionar información general sobre el perfil de certificado.

Para proporcionar información general sobre el perfil de certificado

En la página General del Asistente para crear perfil de certificado, especifique la información siguiente:

- **Nombre**: escriba un nombre único para el perfil de certificado. Puede utilizar un máximo de 256 caracteres.

- **Descripción**: proporcione una descripción general del perfil de certificado e información adicional relevante que le permita identificarlo en la consola de Configuration Manager. Puede utilizar un máximo de 256 caracteres.

- **Especifique el tipo de perfil de certificado que desea crear**: Elija uno de los tipos de perfil de certificado siguientes:

    - **Certificado de CA de confianza**: seleccione este tipo de perfil de certificado si desea implementar un certificado de entidad de certificación (CA) raíz de confianza o un certificado de CA intermedio para formar una cadena de confianza si el dispositivo o el usuario deben autenticar otro dispositivo. Por ejemplo, el dispositivo puede ser un servidor de Servicio de autenticación remota telefónica de usuario (RADIUS) o un servidor de red privada virtual (VPN). También debe configurar un perfil de certificado de CA de confianza antes de crear un perfil de certificado de SCEP. En este caso, el certificado de CA de confianza debe ser el certificado raíz de confianza de la CA que emitirá el certificado para el usuario o el dispositivo.

    - **Configuración de Protocolo de inscripción de certificados simple (SCEP)**: seleccione este tipo de perfil de certificado si desea solicitar un certificado para un dispositivo o usuario mediante el Protocolo de inscripción de certificados simple y el servicio de rol Servicio de inscripción de dispositivos de red.

Paso 3: Proporcionar información sobre el perfil de certificado

Utilice uno de los procedimientos siguientes para configurar la información de perfil de certificado para certificados de CA de confianza y certificados de SCEP en el perfil de certificado.

Importante
También debe configurar al menos un perfil de certificado de CA de confianza antes de crear un perfil de certificado de SCEP.

Para configurar un certificado de CA de confianza

En la página Certificado de CA de confianza del Asistente para crear perfil de certificado, especifique la información siguiente:

- **Archivo de certificado**: haga clic en **Importar** y, a continuación, busque el archivo de certificado que desee utilizar.

- **Almacén de destino**: Para los dispositivos que tienen más de un almacén de certificados, seleccione dónde quiere almacenar el certificado. Para los dispositivos que solo tienen un almacén, este valor se omite.

Utilice el valor de Huella digital de certificado para comprobar que importó el certificado correcto.

Continúe con Paso 4: Configurar plataformas admitidas del perfil de certificado.

Para configurar la información del certificado de SCEP

En la página Inscripción de SCEP del Asistente para crear perfil de certificado, especifique la información siguiente:

- **Reintentos**: especifique el número de veces que el dispositivo intenta enviar automáticamente la solicitud de certificado al servidor que ejecuta el Servicio de inscripción de dispositivos de red. Esta configuración es compatible con el escenario en el que un administrador de CA debe aprobar una solicitud de certificado para que sea aceptada. Esta opción se utiliza normalmente en entornos de alta seguridad o si tiene una CA emisora independiente en vez de una CA empresarial. También puede utilizar este valor para realizar pruebas, de forma que pueda examinar las opciones de la solicitud de certificado antes de que la CA emisora procese la solicitud de certificado. Utilice esta opción con el valor **Intervalo entre reintentos (minutos)**.

- **Intervalo entre reintentos (minutos)**: especifique el intervalo en minutos entre cada intento de inscripción cuando se utiliza la aprobación del administrador de CA antes de que la CA emisora procese la solicitud de certificado. Si utiliza la aprobación del administrador para realizar pruebas, es probable que desee especificar un valor bajo para no tener que esperar mucho tiempo a que el dispositivo reintente la solicitud de certificado después de aprobarla. Sin embargo, si utiliza la aprobación del administrador en una red de producción, es probable que desee especificar un valor mayor para otorgar al administrador de CA tiempo suficiente para comprobar y aprobar o denegar aprobaciones pendientes.

- **Umbral de renovación (%)**: Especifique qué porcentaje de la duración del certificado tiene que quedar para que el dispositivo solicite la renovación del certificado.

- **Proveedor de almacenamiento de claves (KSP)**: Especifique donde se almacenará la clave del certificado. Elija uno de los siguientes valores:

    - **Instalar en Módulo de plataforma segura (TPM) si está presente**: instala la clave en el TPM. Si el TPM no está presente, la clave se instalará en el proveedor de almacenamiento de la clave de software.

    - **Instalar en Módulo de plataforma segura (TPM) o se producirá un error**: instala la clave en el TPM. Si el módulo TPM no está presente, se producirá un error en la instalación.

    - **Instalar en Proveedor de almacenamiento de claves de software**: instala la clave en el proveedor de almacenamiento de la clave de software.

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

- **Dispositivos para la inscripción de certificados**: si el perfil de certificado se implementa en una recopilación de usuario, seleccione si desea permitir la inscripción de certificados solo en el dispositivo primario del usuario o en todos los dispositivos en los que el usuario inicia sesión. Si el perfil de certificado se implementa en una recopilación de dispositivos, elija si desea permitir la inscripción de certificado solo al usuario primario del dispositivo o a todos los usuarios que inicien sesión en el dispositivo.

En la página Propiedades de certificado del Asistente para crear perfil de certificado, especifique la información siguiente:

- **Nombre de plantilla de certificado**: haga clic en **Examinar** para seleccionar el nombre de una plantilla de certificado cuya utilización está configurada en el Servicio de inscripción de dispositivos de red y que se haya agregado a una CA emisora. Para examinar correctamente las plantillas de certificado, la cuenta de usuario utilizada para ejecutar la consola de Configuration Manager debe tener permisos de lectura en la plantilla de certificado. Como alternativa, si no puede usar **Examinar**, escriba el nombre de la plantilla de certificado.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Si el nombre de la plantilla de certificado contiene caracteres no ASCII (por ejemplo, los caracteres del alfabeto chino), el certificado no se implementará. Para asegurarse de que el certificado se implementa, cree primero una copia de la plantilla de certificado en la CA y cambie el nombre de la copia mediante el uso de caracteres ASCII.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  Tenga en cuenta las observaciones siguientes, en función de si busca la plantilla de certificado o escribe el nombre del certificado:

    - Si examina para seleccionar el nombre de la plantilla de certificado, algunos campos de la página se rellenan automáticamente mediante la información de la plantilla de certificado. En algunos casos, estos valores no se pueden cambiar a menos que elija otra plantilla de certificado.

    - Si escribe el nombre de la plantilla de certificado, asegúrese de que el nombre coincide exactamente con una de las plantillas de certificado que se muestran en el Registro del servidor que ejecuta el Servicio de inscripción de dispositivos de red. Asegúrese de que especifica el nombre de la plantilla de certificado y no el nombre para mostrar de la plantilla de certificado.

      Para buscar los nombres de plantillas de certificado, navegue hasta la clave siguiente: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP. Verá las plantillas de certificado como los valores de **EncryptionTemplate**, **GeneralPurposeTemplate** y **SignatureTemplate**. De forma predeterminada, el valor de las tres plantillas de certificado es **IPSECIntermediateOffline**, que se asigna al nombre de plantilla para mostrar **IPSEC (solicitud sin conexión)**.

      <div class="alert">

      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-warning(TechNet.10).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />Advertencia</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Debido a que Configuration Manager no puede comprobar el contenido de la plantilla de certificado cuando escribe el nombre de la plantilla de certificado en lugar de examinar para buscarlo, es posible que pueda seleccionar opciones no compatibles con la plantilla de certificado y que producirán un error en la solicitud de certificado. Cuando esto sucede, verá un mensaje de error de w3wp.exe en el archivo CPR.log que indica que el nombre de la plantilla en la solicitud de firma de certificado (CSR) y el desafío no coinciden.</p>
      <p>Cuando escriba el nombre de la plantilla de certificado especificado para el valor de <strong>GeneralPurposeTemplate</strong>, debe seleccionar las opciones <strong>Cifrado de clave</strong> y <strong>Firma digital</strong> para este perfil de certificado. No obstante, si desea habilitar solamente la opción <strong>Cifrado de clave</strong> en este perfil de certificado, especifique el nombre de la plantilla de certificado para la clave de <strong>EncryptionTemplate</strong>. De igual forma, si desea habilitar solamente la opción <strong>Firma digital</strong> en este perfil de certificado, especifique el nombre de la plantilla de certificado para la clave de <strong>SignatureTemplate</strong>.</p></td>
      </tr>
      </tbody>
      </table>

      </div>

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

- **Tipo de certificado**: seleccione si el certificado se va a implementar en un dispositivo o en un usuario.

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

- **Formato de nombre de sujeto**: En la lista, seleccione cómo Configuration Manager crea automáticamente el nombre del firmante en la solicitud de certificado. Si el certificado es para un usuario, también puede incluir la dirección de correo electrónico del usuario en el nombre del sujeto.

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

- **Nombre alternativo del sujeto**: especifique cómo Configuration Manager creará automáticamente los valores del nombre alternativo del sujeto (SAN) en la solicitud de certificado. Por ejemplo, si seleccionó un tipo de certificado de usuario, puede incluir el nombre principal de usuario (UPN) en el nombre alternativo del sujeto.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Gg696049.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-tip(SC.12).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Sugerencia</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Si el certificado de cliente se utilizará para autenticar un servidor de directivas de redes, debe establecer el nombre alternativo del sujeto en el UPN.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>La compatibilidad de dispositivos iOS con formatos de nombre del sujeto y nombres alternativos del sujeto está limitada en los certificados de SCEP. Si especifica un formato que no es compatible, los certificados no se inscribirán en dispositivos iOS. Cuando configure un perfil de certificado de SCEP para que se implemente en dispositivos iOS, utilice el <strong>nombre común</strong> para el <strong>formato de nombre de sujeto</strong> y el <strong>nombre DNS</strong>, la <strong>dirección de correo electrónico</strong> o el <strong>UPN</strong> para el <strong>nombre alternativo del sujeto</strong>.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

- **Período de validez del certificado**: si ha ejecutado el comando certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE, que permite un periodo de validez personalizado, en la CA emisora, puede especificar el tiempo restante hasta la expiración del certificado. Para más información sobre este comando, consulte la sección [Paso 1: Instalar y configurar el Servicio de inscripción de dispositivos de red y dependencias](dn270539\(v=technet.10\).md) en el tema [Configuración de perfiles de certificado en Configuration Manager](dn270539\(v=technet.10\).md).

  Puede especificar un valor inferior al período de validez de la plantilla de certificado especificada, pero no superior. Por ejemplo, si el período de validez del certificado en la plantilla de certificado es de dos años, puede especificar un valor de un año, pero no un valor de cinco años. El valor también debe ser menor que el período de validez restante del certificado de la CA emisora.

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

- **Uso de la clave**: Especifique las opciones de uso de claves para el certificado. Puede elegir entre las siguientes opciones:

    - **Cifrado de clave**: permite el intercambio de claves solo si la clave está cifrada.

    - **Firma digital**: permite el intercambio de claves solo si una firma digital protege la clave.

      Si se seleccionó una plantilla de certificado mediante **Examinar**, es posible que no pueda cambiar esta configuración a menos que seleccione otra plantilla de certificado.

  La plantilla de certificado seleccionada debe configurarse con como mínimo una de las dos opciones de uso de clave anteriores. En caso contrario, se mostrará el mensaje **Key usage in CSR and challenge do not match (El uso de la clave en la CSR y en el desafío no coinciden)** en el archivo de registro del punto de registro de certificado (**Crp.log**).

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

- **Tamaño de la clave (bits)**: Seleccione el tamaño de la clave, en bits.

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

- **Uso mejorado de clave**: Haga clic en **Seleccionar** para agregar valores para la finalidad prevista del certificado. En la mayoría de los casos, el certificado requerirá **Autenticación de cliente** para que el usuario o dispositivo pueda autenticarse en un servidor. Sin embargo, puede agregar otros usos de clave según sea necesario.

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

- **Algoritmo hash**: Seleccione uno de los tipos de algoritmos hash disponibles para usar con este certificado. Seleccione el nivel máximo de seguridad que admiten los dispositivos de conexión.

  <div class="alert">


  > [!NOTE]
  > <P><STRONG>SHA-1</STRONG> solo admite SHA-1.<STRONG>SHA-2</STRONG> admite SHA-256, SHA-384 y SHA-512.<STRONG>SHA-3</STRONG> solo admite SHA-3.</P>


  </div>

- **Certificado de CA raíz**: Haga clic en **Seleccionar** para elegir un perfil de certificado de CA raíz que previamente ha configurado e implementado para el usuario o dispositivo. Este certificado de CA debe ser el certificado raíz para la entidad de certificación que emitirá el certificado que va a configurar en este perfil de certificado.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Si especifica un certificado de CA raíz que no se implementó en el usuario o dispositivo, Configuration Manager no iniciará la solicitud de certificado que está configurando en este perfil de certificado.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  <div class="alert">


  > [!NOTE]
  > <P>Si cambia este valor tras implementar el certificado, el certificado antiguo se elimina y se solicita un certificado nuevo.</P>


  </div>

Paso 4: Configurar plataformas admitidas del perfil de certificado

Utilice el procedimiento siguiente para especificar los sistemas operativos en los que se instalará el perfil de certificado.

Para especificar las plataformas admitidas del perfil de certificado

En la página Plataformas admitidas del Asistente para crear perfil de certificado, seleccione los sistemas operativos en los que desea instalar el perfil de certificado. O bien, haga clic en Seleccionar todo para instalar el perfil de certificado en todos los sistemas operativos disponibles.

Paso 5: Completar el asistente

En la página Resumen del asistente, revise las acciones que deberán realizarse y, a continuación, complete el asistente. Se muestra el nuevo perfil de certificado en el nodo Perfiles de certificado del área de trabajo Activos y compatibilidad, y está listo para su implementación en usuarios o dispositivos. Para obtener más información, vea Cómo implementar perfiles de certificado en Configuration Manager.

Vea también

Operaciones y mantenimiento de perfiles de certificado en Configuration Manager

Compartir a través de