Opcional: Crear un certificado de firma de código para Windows Defender Control de aplicación

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

Al implementar Windows Defender Control de aplicaciones (WDAC), es posible que tenga que firmar archivos de catálogo o directivas WDAC internamente. Para realizar esta firma, deberá usar el servicio de Firma de confianza de Microsoft, un certificado de firma de código emitido públicamente o una ENTIDAD de certificación interna. Si ha adquirido un certificado de firma de código, puede omitir este artículo y, en su lugar, seguir otros artículos enumerados en la Guía de implementación de Windows Defender Application Control.

Si cuentas con una entidad de certificación interna, realiza los siguientes pasos para crear un certificado de firma de código.

Advertencia

Al crear certificados de firma para la firma de directiva WDAC, puede producirse un error de arranque (pantalla azul) si el certificado de firma no sigue estas reglas:

  • Todas las directivas, incluida la base y la complementaria, deben firmarse de acuerdo con el estándar PKCS 7.
  • Use claves RSA solo con tamaño de clave 2K, 3K o 4K. ECDSA no se admite.
  • Puede usar SHA-256, SHA-384 o SHA-512 como algoritmo de resumen en Windows 11, así como Windows 10 y Windows Server 2019 y versiones posteriores después de aplicar la actualización de seguridad acumulativa de noviembre de 2022. Todos los demás dispositivos solo admiten SHA256.
  • No use la codificación UTF-8 para los campos de certificado, como "nombre común del firmante" y "nombre común del emisor". Estas cadenas deben codificarse como PRINTABLE_STRING, IA5STRING o BMPSTRING.

  1. Abre el complemento Microsoft Management Console (MMC) de la entidad de certificación y después selecciona la entidad de certificación emisora.

  2. Cuando esté conectado, haga clic con el botón derecho en Plantillas de certificado y, a continuación, seleccione Administrar para abrir la Consola de plantillas de certificación.

    Complemento de CA que muestra plantillas de certificado.

    Figura 1. Administrar las plantillas de certificado

  3. En el panel de navegación, haga clic con el botón derecho en el certificado de firma de código y, a continuación, seleccione Duplicar plantilla.

  4. En la pestaña Compatibilidad , desactiva la casilla Mostrar cambios resultantes . Selecciona Windows Server 2012 en la lista Entidad de certificación y después selecciona Windows 8/Windows Server 2012 en la lista Destinatario del certificado .

  5. En la pestaña General, especifica el Nombre para mostrar de la plantilla y el Nombre de plantilla. En este ejemplo, se usa el nombre WDAC Catalog Signing Certificate.

  6. En la pestaña Tratamiento de la solicitud, activa la casilla Permitir que la clave privada se pueda exportar.

  7. En la pestaña Extensiones , active la casilla Restricciones básicas y, a continuación, seleccione Editar.

  8. En el cuadro de diálogo Edición de extensión de restricciones básicas, activa la casilla Habilitar esta extensión, como se muestra en la figura 2.

    Editar extensión de restricciones básicas.

    Figura 2. Seleccionar restricciones en la nueva plantilla

  9. Si es necesario que un administrador de certificados apruebe alguno de los certificados emitidos, en la pestaña Requisitos de emisión, selecciona Aprobación del administrador de certificados de entidad de certificación.

  10. En la pestaña Nombre de sujeto , selecciona Proporcionado por el solicitante.

  11. En la pestaña Seguridad , comprueba que cualquier cuenta usada para solicitar el certificado tenga derecho a inscribir el certificado.

  12. Seleccione Aceptar para crear la plantilla y, a continuación, cierre la consola de plantilla de certificado.

Al crear esta plantilla de certificado, debes publicarla en el almacén de plantillas publicadas de la entidad de certificación. Para hacerlo, realiza los siguientes pasos:

  1. En el complemento MMC de entidad de certificación, haga clic con el botón derecho en Plantillas de certificación, seleccione Nuevo y, a continuación, seleccione Plantilla de certificado para emitir, como se muestra en la figura 3.

    Seleccione Plantilla de certificado para emitir.

    Figura 3. Seleccionar el nuevo certificado para emitirlo

    Aparece una lista de las plantillas disponibles que se van a emitir, incluida la plantilla que ha creado.

  2. Seleccione el certificado de firma del catálogo WDAC y, a continuación, seleccione Aceptar.

Ahora que la plantilla está disponible para emitirse, debe solicitar una desde el equipo que ejecuta Windows 10 o Windows 11 en el que crea y firma archivos de catálogo. Para empezar, abre MMC y después realiza los siguientes pasos:

  1. En MMC, en el menú Archivo , seleccione Agregar o quitar complemento. Haz doble clic en Certificadosy después selecciona Mi cuenta de usuario.

  2. En el complemento Certificados, haga clic con el botón derecho en la carpeta Almacén personal, seleccione Todas las tareas y, a continuación, seleccione Solicitar nuevo certificado.

  3. Seleccione Siguiente dos veces para llegar a la lista de selección de certificados.

  4. En la lista Solicitar certificado, selecciona el certificado de firma de código recién creado y después selecciona el texto azul que solicita información adicional, como se muestra en la figura 4.

    Solicitar certificados: se requiere más información.

    Figura 4. Obtener más información sobre el certificado de firma de código

  5. En el cuadro de diálogo Propiedades de certificado, para Tipo, selecciona Nombre común. En Valor, especifique un nombre significativo para el certificado (en este ejemplo, seleccionamos $ContosoSigningCert) y, a continuación, seleccionamos Agregar. Cuando se agregue, seleccione Aceptar.

  6. Inscríbelo y finalízalo.

Nota

Si se requiere un administrador de certificados para aprobar los certificados emitidos y ha seleccionado requerir la aprobación de administración en la plantilla, la solicitud deberá aprobarse en la CA antes de que se emita al cliente.

Este certificado debe instalarse en el almacén personal del usuario en el equipo que firmará los archivos de catálogo y las directivas de integridad de código. Si la firma se realizará en el mismo equipo que usó para solicitar el certificado, puede omitir los pasos siguientes. Si va a iniciar sesión en otro equipo, debe exportar el certificado .pfx con las claves y propiedades necesarias. Para hacerlo, realiza los siguientes pasos:

  1. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas y, a continuación, seleccione Exportar.

  2. Seleccione Siguiente y, a continuación , seleccione Sí, exporte la clave privada.

  3. Elige la configuración predeterminada y después selecciona Exportar todas las propiedades extendidas.

  4. Establece una contraseña, selecciona una ruta de acceso de exportación y después elige WDACCatSigningCert.pfx como nombre de archivo.

Una vez que se haya exportado el certificado, impórtalo al almacén personal del usuario que firmará los archivos de catálogo o las directivas de integridad de código en el equipo concreto que los firmará.