Server Certificate Deployment Overview

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema se incluyen las siguientes secciones.

Componentes de implementación de certificados de servidor

Puede usar esta guía para instalar Servicios de certificados de Active Directory (AD CS) como Entidad de certificación (CA) raíz de empresa e inscribir certificados de servidor en servidores que ejecutan el Servidor de directivas de redes (NPS), el Servicio de enrutamiento y acceso remoto (RRAS) o ambos a la vez.

Si implementa SDN con la autenticación basada en certificados, los servidores deben usar un certificado de servidor para demostrar sus identidades en otros servidores y así obtener comunicaciones seguras.

En la siguiente ilustración se muestran los componentes necesarios para implementar certificados de servidor en servidores de la infraestructura de SDN.

Server Certificate Deployment required infrastructure

Nota:

En la ilustración anterior, se muestran varios servidores: DC1, CA1, WEB1 y muchos servidores SDN. En esta guía se proporcionan instrucciones para implementar y configurar CA1 y WEB1, y para configurar DC1, el cual se da por hecho que ya está instalado en la red. Si aún no ha instalado el dominio de Active Directory, puede hacerlo mediante la Guía de red principal para Windows Server 2016.

Para más información sobre cada elemento que se muestra en la ilustración anterior, vea lo siguiente:

CA1, que ejecuta el rol de servidor de AD CS

En este escenario, la Entidad de certificación (CA) raíz de empresa también es una CA emisora. La CA emite certificados a los equipos de servidor que tienen los permisos de seguridad correctos para inscribir un certificado. Los Servicios de certificados de Active Directory (AD CS) están instalados en CA1.

En el caso de redes más grandes o en las que los problemas de seguridad sirvan de justificación, puede separar los roles de la CA raíz y la CA emisora e implementar CA subordinadas que son CA emisoras.

En las implementaciones más seguras, la CA raíz de empresa se desconecta y se protege físicamente.

CAPolicy.inf

Antes de instalar AD CS, configure el archivo CAPolicy.inf con una configuración específica para la implementación.

Copia de la plantilla del certificado de servidores RAS e IAS

Al implementar certificados de servidor, realiza una copia de la plantilla de certificado de servidores RAS e IAS y, después, configura la plantilla según sus requisitos y las instrucciones de esta guía.

Utilice una copia de la plantilla en vez de la plantilla original para que la configuración de la plantilla original se conserve para su posible uso en el futuro. Configure la copia de la plantilla de servidores RAS e IAS para que la CA pueda crear certificados de servidor que emita a los grupos de los Usuarios y equipos de Active Directory que especifique.

Configuración adicional de CA1

La CA publica una lista de revocación de certificados (CRL) que los equipos deben comprobar para asegurarse de que los certificados que se les presentan como prueba de identidad son certificados válidos y no se han revocado. Debe configurar la CA con la ubicación correcta de la CRL para que los equipos sepan dónde buscar la CRL durante el proceso de autenticación.

WEB1, que ejecuta el rol de servidor de servicios web (IIS)

En el equipo que ejecuta el rol de servidor web (IIS), WEB1, debe crear una carpeta en el Explorador de Windows para usarla como ubicación para la CRL y la AIA.

Directorio virtual para la CRL y la AIA

Después de crear una carpeta en el Explorador de Windows, debe configurar la carpeta como directorio virtual en el Administrador de Internet Information Services (IIS), así como configurar la lista de control de acceso al directorio virtual para permitir que los equipos accedan a la AIA y la CRL una vez publicados allí.

DC1, que ejecuta los roles de servidor de AD DS y DNS

DC1 es el controlador de dominio y el servidor DNS en la red.

Directiva de dominio predeterminada en la directiva de grupo

Después de configurar la plantilla de certificado en la CA, puede configurar la directiva de dominio predeterminada en la directiva de grupo para que los certificados se inscriban automáticamente en servidores NPS y RAS. La directiva de grupo está configurada en AD DS en el servidor DC1.

Registros de recursos de alias de DNS (CNAME)

Debe crear un registro de recursos de alias (CNAME) para el servidor web para asegurarse de que otros equipos puedan encontrar el servidor, así como la AIA y la CRL que se almacenan en el servidor. Además, el uso de un registro de recursos CNAME de alias proporciona flexibilidad para que pueda usar el servidor web para otros fines, como hospedar sitios web y FTP.

NPS1, que ejecuta el servicio del rol Servidor de directivas de redes del rol de servidor Servicios de acceso y directivas de redes

El NPS se instala al realizar las tareas en la Guía de red principal de Windows Server 2016, por lo que antes de realizar las tareas de esta guía, ya debe tener uno o varios NPS instalados en la red.

Directiva de grupo aplicada y certificado inscrito en los servidores

Después de configurar la plantilla de certificado y la inscripción automática, puede actualizar la directiva de grupo en todos los servidores de destino. En este momento, los servidores inscriben el certificado de servidor de CA1.

Información general sobre el proceso de implementación de certificados de servidor

Nota

Los detalles de cómo realizar estos pasos se proporcionan en la sección Implementación de certificados de servidor.

El proceso de configuración de la inscripción de certificados de servidor se produce con estas fases:

  1. En WEB1, instale el rol de servidor web (IIS).

  2. En DC1, cree un registro de alias (CNAME) para el servidor web, WEB1.

  3. Configure el servidor web para hospedar la CRL desde la CA y, después, publique la CRL y copie el certificado de entidad de certificación raíz de empresa en el nuevo directorio virtual.

  4. En el equipo en el que planea instalar AD CS, asigne al equipo una dirección IP estática, cambie el nombre del equipo, una el equipo al dominio y, después, inicie sesión en el equipo con una cuenta de usuario que sea miembro de los grupos Administradores de dominio y Administradores de empresa.

  5. En el equipo en el que planea instalar AD CS, configure el archivo CAPolicy.inf con valores específicos de la implementación.

  6. Instale el rol de servidor de AD CS y realice una configuración adicional de la CA.

  7. Copie el certificado de entidad de certificación y la CRL de CA1 al recurso compartido en el servidor web WEB1.

  8. En la CA, configure una copia de la plantilla del certificado de servidores RAS e IAS. Dado que la CA emite certificados basados en una plantilla de certificado, debe configurar la plantilla para el certificado de servidor para que la CA pueda emitir un certificado.

  9. Configurar la inscripción automática de certificados de servidor en una directiva de grupo. Al configurar la inscripción automática, todos los servidores especificados con pertenencias a grupos de Active Directory reciben automáticamente un certificado de servidor cuando se actualiza la directiva de grupo en cada servidor. Si agrega más servidores posteriormente, éstos también recibirán automáticamente un certificado de servidor.

  10. Actualizar la directiva de grupo en los servidores. Cuando se actualiza la directiva de grupo, los servidores reciben el certificado de servidor, que se basa en la plantilla que configuró en el paso anterior. El servidor usa este certificado para demostrar su identidad en equipos cliente y otros servidores durante el proceso de autenticación.

    Nota

    Todos los equipos miembros del dominio reciben automáticamente el certificado de entidad de certificación raíz de empresa sin la configuración de la inscripción automática. Este certificado es diferente del certificado de servidor que se configura y distribuye mediante la inscripción automática. El certificado de la entidad de certificación se instala automáticamente en el Almacén de certificados de entidades de certificación raíz de confianza para todos los equipos miembros del dominio; así pueden confiar en los certificados emitidos por esta CA.

  11. Compruebe que todos los servidores han inscrito un certificado de servidor válido.