Upload
francisco-proano
View
24
Download
0
Embed Size (px)
Citation preview
7/13/2019 Creacion de Certificados.pdf
1/25
Creacin de una entidademisora de certificados raz
de empresa en pequeas ymedianas empresas
7/13/2019 Creacion de Certificados.pdf
2/25
2
La informacin incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fechade publicacin. Dado que Microsoft debe responder a las condiciones siempre cambiantes de mercado, este proceder no se debera interpretarcomo un compromiso por parte de Microsoft. Asimismo, Microsoft no puede garantizar la precisin de la informacin presentada tras la fecha de
publicacin. La informacin que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, est sujeta amodificaciones sin previo aviso.
Este documento se proporciona con propsito informativo nicamente. MICROSOFT NO OTORGA GARANTAS EXPRESAS NI IMPLCITAS ENESTE DOCUMENTO.
A menos que se indique lo contrario, los nombres de las compaas, organizaciones, productos, nombres de dominio, direcciones de correoelectrnico, logotipos, personas, lugares y acontecimientos aqu mencionados son ficticios y en modo alguno representan a compaas,organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares o acontecimientos reales. Esresponsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los derechos de autor, ninguna parte deeste documento puede ser reproducida, almacenada en sistemas de recuperacin o transmitida de ninguna forma, ni por ningn medio, ya seaelectrnico, mecnico, fotocopia o grabacin, ni con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation.
Microsoft puede ser titular de pa tentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre loscontenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor uotros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft.
2004 Microsoft Corporation. Reservados todos los de rechos.
Active Directory, Authenticode, Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de Microsoft Corporation enEE.UU. y otros pases.
Los nombres de las compaas y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivospropietarios.
7/13/2019 Creacion de Certificados.pdf
3/25
Contenido
Introduccin
Antes de comenzarInstalacin y configuracin de una entidad de certificacin raz de empresa
Ejemplo de implementacin de Servicios de Certificate Server: inscripcin automtica para usuarios inalmbricos
Informacin relacionada
Introduccin
El intercambio de informacin desprotegida por Internet, extranets, intranets y entre aplicaciones presenta
actualmente riesgos potenciales de seguridad para cualquier empresa. Algunos de los retos que presenta son
evitar que un tercero intercepte la informacin que se transfiere por Internet, camuflndose como una persona
autorizada, o que ocasione problemas en una organizacin para la realizacin de sus actividades.
Esta gua paso a paso le ayudara configurar una entidad emisora de certificados (CA) de clave pblica en una
red con servidores con sistemas operativos MicrosoftWindows Server2003. Puede instalar una entidad
emisora de certificados en un servidor que ejecute MicrosoftWindows Server 2003, Standard Edition;
MicrosoftWindows Server2003, Enterprise Edition o MicrosoftWindows Server2003, Datacenter
Edition.
Una entidad emisora de certificados es un servicio que emite y gestiona credenciales electrnicas o certificados
en una infraestructura de claves pblicas (PKI). PKI es un sistema de certificados digitales, entidades emisoras
de certificados, y otras entidades de registro (RA) que comprueban y autentican la validez de cada parte que
interviene en una transaccin electrnica mediante el uso de criptografa de clave pblica. Los estndares de las
PKI todava estn en evolucin, aunque se estn implementando a gran escala como un elemento necesario del
comercio electrnico. Muchas agencias gubernamentales y organizaciones privadas han promulgado sus propios
estndares de PKI. Consulte a su abogado antes de implementar una arquitectura de PKI para asegurar el
cumplimiento de toda la legislacin y normativa local, comunitaria, estatal e internacional.
Una PKI de Windows Server 2003, que se pueda integrar con clientes de MicrosoftWindowsXP Professional,
puede ayudar a asegurar las comunicaciones de red entre una organizacin y sus empleados, socios, proveedores
y clientes. Un servidor con Servicios de Certificate Server de Windows Server 2003 puede emitir certificados
de clave pblica para una persona, dispositivo o servicio. El propietario del certificado utiliza aplicaciones y
tecnologas compatibles con la PKI para habilitar un alto grado de autenticacin, garantizar la confidencialidad
de los datos y asegurar el intercambio de datos. Las tecnologas compatibles con PKI que admite Windows Server
2003 proporcionan una base para las siguientes tecnologas y los beneficios empresariales asociados con las
mismas:
Firmas digitales. Establecer el no rechazo, que es la capacidad de garantizar la autenticidad del emisor.
Uso de tarjetas inteligentes. Proporciona una autenticacin por dos factores para el inicio de sesin de tarjeta
inteligente. La autenticacin por dos factores requiere que un usuario presente un objeto fsico (la tarjeta
inteligente, que contiene un chip que almacena un certificado digital y la clave privada del usuario) y una
contrasea o PIN para poder acceder a los recursos de la red.
Correo electrnico seguro. Los servicios como Secure/Multipurpose Internet Mail Extensions (S/MIME)
proporcionan comunicacin confidencial, integridad de datos y no rechazo para mensajes de correo electrnico.
Firma de cdigo de software. La tecnologa Authenticodepermite a los fabricantes de software firmar
digitalmente cualquier tipo de contenido activo, incluidos los almacenamientos de mltiples archivos. Estas
firmas se pueden utilizar para comprobar tanto la identidad del editor del contenido como la integridad del
contenido en el momento de la descarga.
3 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r t if i c ad o s r a z d e e m p re s a e n p e qu e a s y m ed i a na s e m p re s a s
7/13/2019 Creacion de Certificados.pdf
4/25
Seguridad del protocolo Internet (IPSec). Conjunto de protocolos que permite la comunicacin cifrada y
firmada digitalmente entre dos equipos o entre un equipo y un enrutador a travs de una red pblica.
802.11. Proporciona identificacin centralizada de usuarios, autenticacin, administracin de claves dinmicas
e informacin de cuenta para proporcionar acceso de red autenticado a redes inal
mbricas 802. y redes decable Ethernet.
Cifrado de sistema de archivos. Admite el cifrado y descifrado de archivos y carpetas.
Conexiones Web seguras utilizando la Capa de sockets seguros (SSL) o la Seguridad de la capa de
transporte (TLS). Estos protocolos proporcionan autenticacin de servidor y cliente mediante un canal de
comunicacin segura a travs de redes pblicas como Internet. Se pueden utilizar versiones inalmbricas de
estos protocolos, como la Seguridad de la capa de transporte inalmbrica (WTLS), para potenciar la seguridad
de las redes inalmbricas.
Asimismo, con una PKI de Windows Server 2003, puede beneficiarse de la capacidad de integrar Servicios de
Certificate Server con el servicio de directorios Active Directoryy la Directiva de grupo. En un entorno de
Active Directory, una entidad emisora de certificados de Windows Server 2003 utiliza plantillas de certificado,que se publican en Active Directory, para controlar el contenido de los certificados que emite. Las plantillas de
certificado definen la informacin que pasa a formar parte de un certificado y simplifican el uso y administracin
de la entidad emisora de certificados haciendo que los detalles tcnicos del contenido sean transparentes para
los usuarios. Dependiendo de las necesidades de la organizacin, se puede utilizar una plantilla con un nico
propsito que genere certificados para una aplicacin concreta, una plantilla multipropsito que genere certificados
para varias aplicaciones, o incluso crear nuevas plantillas de certificado personalizadas.
En las instrucciones que se incluyen en este documento se muestra cmo crear una entidad emisora raz de
empresa, utilizar una plantilla de certificado para permitir la inscripcin automtica de clientes y establecer la
inscripcin automtica para usuarios inalmbricos. Concretamente, aprendera realizar las siguientes tareas:
Instalacin y configuracin de una entidad emisora raz de empresa.
Comprobacin de la instalacin de la entidad emisora de certificados.
Instalacin de plantillas de certificado.
Creacin de una plantilla de certificado personalizada.
Configuracin de una plantilla de certificado para la inscripcin automtica de clientes.
Concesin de permisos de inscripcin para una plantilla de certificado predeterminada.
Configuracin de la entidad emisora de certificados para emitir certificados a partir de la plantilla de certificado.
Inscripcin automtica para usuarios inalmbricos.
Nota: las capturas de pantalla de este documento reflejan un entorno de prueba y, por tanto, puede que esta
informacin no coincida exactamente con la que aparece en su equipo.
Tras completar estos pasos, la red incluiruna entidad emisora raz de empresa y tendracceso a todas las
plantillas de certificado que existan utilizando el complemento Plantillas de certificado. Asimismo, la inscripcin
automtica de clientes reforzarla autenticacin de los usuarios inalmbricos requirindoles el uso de certificados
digitales durante el proceso de autenticacin. La inscripcin automtica puede hacer que este requisito sea
prcticamente transparente para los usuarios al permitirles solicitar automticamente certificados, recuperar los
certificados emitidos y renovar los certificados caducados. Tambin es posible ampliar la proteccin que la PKI
4 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r t if i c ad o s r a z d e e m p re s a e n p e qu e a s y m ed i a na s e m p re s a s
7/13/2019 Creacion de Certificados.pdf
5/25
de Windows Server 2003 proporciona a la red ampliando el uso de la PKI para que sea compatible con otras
aplicaciones como firmas digitales, IPSec, etctera, mencionadas anteriormente.
IMPORTANTE: todas las instrucciones paso a paso incluidas en este documento se han elaborado utilizandoel menInicio que aparece de forma predeterminada una vez instalado el sistema operativo. Si se ha modificado
el menInicio, los pasos pueden diferir ligeramente.
An te s d e c om en za r
En esta seccin se describen los requisitos de configuracin para una entidad emisora de empresa. Se deben
cumplir todos los requisitos antes de instalar la CA. En caso contrario, podra no funcionar correctamente la
instalacin o verse limitada la funcionalidad de la CA.
En las instrucciones de este documento se asume que no se ha instalado un sistema PKI existente. Las soluciones
descritas en este documento no proporcionan orientacin para la integracin de otros servicios de CA de Microsoften una PKI existente.
R eq ui si to s p re vi os d e l a i nf ra es tr uc tu ra d e T I
La organizacin debe tener la siguiente infraestructura de TI:
Una infraestructura de dominios de Active Directory instalada (MicrosoftWindows2000 Server con
Service Pack 3 (SP3) o posterior, o Windows Server 2003). Todos los usuarios de Servicios de Certificate
Server de esta solucin deben ser miembros de un dominio del mismo bosque de Active Directory. En esta
implementacin se asume que se utilizan las extensiones de esquema de Windows Server 2003 Active
Directory.
Hardware de servidor adecuado para ejecutar Servicios de Certificate Server de Windows Server 2003. Se
ofrece una propuesta de configuracin en la tabla "Propuesta de especificaciones de hardware para servidor
de CA raz de empresa".
Licencias, medios de instalacin y claves de producto de Windows Server 2003, Enterprise Edition o Windows
Server 2003, Datacenter Edition.
En la tabla siguiente se muestran los procedimientos que se pueden realizar en un servidor con Windows
Server 2003, Standard Edition y los procedimientos que requiere el servidor para ejecutar Windows Server
2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.
Sistema operativo Windows Server 2003 necesario para cada procedimiento
S i st e ma o p er a ti v o W i nd o ws S e rv e r 2 0 03Pr ocedimiento
S t a n d ar d E d i t i onI n st a la r y c o nf i gu r ar u n a e n ti d ad e m is o ra r a z d e e m pr e sa
S t a n d ar d E d i t i onC o mp r ob a r l a i n st a la c i n d e l a e n ti d ad e m is o ra
S t a n d ar d E d i t i onI n s t a la r p l a n t i l l a s d e c e r t i fi c a d o
E n t er p ri s e E d it i on o D a ta c en t er E d it i onC r ea r u n a p l an t il l a d e c e rt i fi c ad o p e rs o na l i za d a
E n t er p ri s e E d it i on o D a ta c en t er E d it i onC o nf i gu r ar u n a p l an t il l a d e c e rt i fi c ad o p a ra l a i n sc r ip c i n
a u to m t i c a d e c l ie n te s
5 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r t if i c ad o s r a z d e e m p re s a e n p e qu e a s y m ed i a na s e m p re s a s
7/13/2019 Creacion de Certificados.pdf
6/25
S i st e ma o p er a ti v o W i nd o ws S e rv e r 2 0 03Pr ocedimiento
S t a n d ar d E d i t i onC o nc e de r pe r mi s os d e i n sc r ip c i n p a ra u n a p l an t il l a d e
c e r t i fi c a d o p r e d e te r m i na d a
E n t er p ri s e E d it i on s i e s n e c e sa r ia u n a p l an t il l a d e
c er ti fi ca do d e l a v er si n 2 . E n c as o c on tr ar io ,
S t a n d ar d E d i t i on .
C o nf i gu r ar l a C A p a ra e m it i r c e rt i fi c ad o s a p a rt i r d e l a p l an t il l a
d e c e r t i fi c a d o s
E n t e r pr i s e E d i t i onE s t ab l ec e r l a i n sc r ip c i n a u to m t i ca p a ra u s ua r io s
inalmbricos
R eq ui si to s p ar a l a e nt id ad e mi so ra d e e mp re sa
Para configurar de forma eficaz una entidad emisora de empresa utilizando Windows Server 2003, deben realizarse
las acciones siguientes:
Servicio de nombres de dominio (DNS) de Windows Server 2003 instalado en un servidor de la red.
Windows Server 2003 Active Directory instalado en un controlador de dominios de la red. La directiva de
empresa coloca informacin en Active Directory.
El equipo que albergarla entidad emisora de certificados raz de empresa unida al dominio de Active
Directory.
Privilegios de administrador de la organizacin en los servidores de DNS, Active Directory y CA. Esto es
especialmente importante porque la configuracin modifica la informacin en varios lugares, algunos de los
cuales requieren privilegios de administrador de organizacin.
Una entidad emisora de certificados raz de empresa se puede crear utilizando slo un servidor.
La tabla siguiente muestra las especificaciones de hardware recomendadas para un servidor utilizado como CA
raz de empresa, segn las recomendaciones para Windows Server 2003. No obstante, no es absolutamente
imprescindible que adquiera hardware nuevo si dispone de alguno que cumpla los criterios descritos en "Build
Guide 2 - Implementing the Public Key Infrastructure.". Si desea obtener ms informacin sobre las
recomendaciones de hardware para una CA raz de empresa en Microsoft Server 2003, consulte "Build Guide 2
- Implementing the Public Key Infrastructure" en el sitio Web de TechNet en
http://go.microsoft.com/fwlink/?LinkId=22696.
Propuesta de especificaciones de hardware para servidor de CA raz de empresa
RequisitoElemento
U na s ol a C PU a 7 33 M Hz o s up er io r CPU
2 56 M BMemoria
C o n t r ol a d o ra R A I D ( m at r i z r e du n d a n te d e d i s c o s i nd e p e nd i e n t es ) I D E ( e l e c tr n i ca
i n te g ra d a d e d i sp o si t i vo s ) o S C S I ( i nt e rf a z es t n d ar d e e q ui p os p e q ue os ) . 2 x 1 8
G B ( S CS I) o 2 x 2 0 G B ( ID E) c on fi gu ra do s co mo R AI D 1 v ol um en ( un id ad C ).
Almacenamiento en medio extrable local (CD-RW o cinta para copia de seguridad).
U ni da d d e d is qu et es de 1 ,4 4 M B p ar a t ra ns fe re nc ia d e d at os .
Almacenamiento en disco
6 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r t if i c ad o s r a z d e e m p re s a e n p e qu e a s y m ed i a na s e m p re s a s
http://go.microsoft.com/fwlink/?LinkId=22696http://go.microsoft.com/fwlink/?LinkId=22696http://go.microsoft.com/fwlink/?LinkId=22696http://go.microsoft.com/fwlink/?LinkId=22696http://go.microsoft.com/fwlink/?LinkId=22696http://go.microsoft.com/fwlink/?LinkId=226967/13/2019 Creacion de Certificados.pdf
7/25
E le cc i n de l t ip o de C A pa ra u ti li za r
Algunas organizaciones utilizan CA comerciales externas, mientras que otras ejecutan CA propias. Dado que
una CA es un importante elemento de confianza de una organizacin, la mayora de organizaciones utilizan CA
propias. En este documento se da por sentado que la organizacin objetivo estinstalando una CA propia.
Windows Server 2003 proporciona dos clases de CA, segn los mdulos de directivas que se seleccionan durante
la instalacin: una CA de empresa o una CA independiente. Los mdulos de directivas definen las acciones
que puede realizar una CA cuando recibe una solicitud de certificado.
Generalmente, se debe instalar una CA de empresa si se van a emitir certificados para usuarios o equipos dentro
de una organizacin que forma parte de un dominio Windows Server 2003. Se deberinstalar una CA
independiente si se van a emitir certificados para usuarios o equipos fuera de un dominio Windows Server 2003.
Una CA de empresa requiere que todos los clientes que soliciten certificados tengan una entrada en Active
Directory, cosa que no ocurre con una CA independiente. Asimismo, una CA de empresa puede emitir certificados
que se utilizarn para iniciar una sesin en un dominio de Windows Server 2003 con mayor facilidad que una
CA independiente.
Dentro de las clases de CA de empresa e independiente, pueden existir dos tipos de CA, raz o subordinada.
Una CA raz es el delimitador de confianza en una organizacin. En caso necesario, el certificado de la CA raz
se puede utilizar para habilitar CA subordinadas para fines como la implementacin de directivas y la emisin
de certificados de usuario final. En este documento se ilustra la instalacin y configuracin de una CA raz de
empresa, sin CA subordinadas.
Si desea obtener ms informacin sobre las diferencias entre CA de empresa, independiente, raz y subordinada,
o sobre decisiones clave relativas al diseo de la PKI, consulte "Determining CA Roles & Types" en "MSA
Enterprise Design for Certificate Services" en el sitio Web de TechNet en
http://go.microsoft.com/fwlink/?LinkId=22671.
C o n s id e ra c io n e s p re v ia s
En Servicios de Certificate Server de Windows Server 2003 se incluye un conjunto de pginas Web de CA.
stas le permitirn conectarse a la CA por medio de un explorador Web y realizar tareas comunes, como
solicitar certificados de una CA, solicitar el certificado de la CA, presentar una solicitud de certificado,
recuperar la lista de certificados rechazados de la CA (CRL) o realizar la inscripcin de certificado con tarjeta
inteligente. Para una CA independiente, las pginas Web son la forma principal por la que un solicitante de
certificado puede interactuar con la CA, ya que el complemento Certificados no se puede utilizar para solicitar
certificados desde una CA independiente. Las CA de empresa pueden aceptar solicitudes de certificado por
medio del complemento Certificados o las pginas Web de inscripcin.
La interfaz Web de la CA requiere la ejecucin de Pginas Active Server. Pginas Active Server se puede
activar a travs de Servicios de Internet Information Server antes de comenzar; en caso contrario, el programa
solicitarla activacin.
La duracin de validez elegida para la CA determinarel tiempo que tardaren "caducar" o cundo ser
necesario renovar un certificado. Se pueden utilizar vigencias y perodos de renovacin ms largos para
entornos de baja seguridad. Para una mayor seguridad, generalmente se establecen vigencias y perodos de
renovacin ms cortos.
Una CA es uno de los servidores ms sensibles que existen en una organizacin. Por tanto, se debe planificar
para la CA el nivel de seguridad ms alto tanto en su instalacin como en las operaciones cotidianas. Se
recomienda limitar el acceso fsico a la CA y permitir slo a los empleados de ms confianza administrar
este servidor. Adems, es aconsejable asegurar el servidor donde se instala la CA realizando los pasos que
se detallan en el documento "Seguridad de los controladores de dominio de Windows Server 2003" del Kit
de orientaciones sobre seguridad.
7 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r t if i c ad o s r a z d e e m p re s a e n p e qu e a s y m ed i a na s e m p re s a s
http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=226717/13/2019 Creacion de Certificados.pdf
8/25
C am bi os q ue n o p ue de n r ea li za rs e d es pu s d e i ns ta la r u na C A
La informacin preliminar que se suministra durante la configuracin, como el nombre de la CA, no se puede
cambiar una vez finalizada dicha configuracin.
La configuracin de dominio del equipo, como la unin a un dominio o la promocin de un servidor a un
controlador de dominio, no se pueden modificar despus de instalar la entidad de certificacin.
Si se ha instalado la CA de empresa como un administrador de organizacin o usuario delegado, se debe
utilizar la cuenta de administrador de organizacin o usuario delegado al desinstalar la CA de empresa.
I ns t al ac i n y c on fi gu ra c i n d e u na e n ti da d d e c e rt if ic a ci n r a zd e e mp re sa
El proceso de instalacin de una entidad raz de Servicios de Certificate Server genera un certificado de CA razque contiene la clave pblica y la firma digital de la CA creadas utilizando la clave privada de la raz. En esta
seccin se proporcionan las siguientes instrucciones paso a paso para crear una CA raz de empresa, utilizando
una plantilla de certificado para habilitar la inscripcin automtica de clientes y establecer la inscripcin automtica.
Instalacin y configuracin de una entidad emisora raz de empresa
Comprobacin de la instalacin de la entidad emisora de certificados
Instalacin de plantillas de certificado
Creacin de una plantilla de certificado personalizada
Configuracin de una plantilla de certificado para la inscripci
n autom
tica de clientes
Concesin de permisos de inscripcin para una plantilla de certificado predeterminada
Configuracin de la entidad emisora de certificados para emitir certificados a partir de la plantilla de certificado
I n st a la c i n y c o nf i gu r ac i n d e u n a e n ti d ad e mi s or a r a z d e e m pr e sa
A continuacin debe iniciar la sesin como administrador de la organizacin; utilizando nuestro ejemplo, regstrese
con una cuenta que es miembro del grupo Administradores de organizacin y el grupo Admins. del dominio del
dominio raz.
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta que sea miembro del grupo Administradores de
organizacin y el grupo Admins. del dominio del dominio raz.
Herramientas: Asistente para componentes de Windows.
Esta tarea slo se puede realizar en un servidor con Windows Server 2003, Standard Edition; Windows Server
2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.
Para instalar y configurar una entidad de certificacin raz de empresa
8 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r t if i c ad o s r a z d e e m p re s a e n p e qu e a s y m ed i a na s e m p re s a s
7/13/2019 Creacion de Certificados.pdf
9/25
1. Inicie la sesin como miembro del grupo Administradores de organizacin y tambin del grupo Admins. del
dominio del dominio raz.
2. Haga clic en Inicio, Panel de control, Agregar o quitar programasy, a continuacin, en
Agregar/Componentes de Windows.
3. En el Asistente para componentes de Windows, seleccione la casilla de verificacin Servicios de Certificate
Server. Aparece un cuadro de dilogo para informarle de que no se puede cambiar el nombre del equipo y
que no se puede unir a o quitar de un dominio despus de instalar Servicios de Certificate Server. Haga clic
en S.
Nota:si tiene previsto utilizar los componentes Web de Servicios de Certificate Server, asegrese de activar
la casilla de verificacin IIShaciendo clic en Servidor de aplicaciones(pero no seleccione esta casilla de
verificacin), haga clic en Detalles, seleccione Servicios de Internet Information Server (IIS)y, a
continuacin, haga clic en Aceptar.
Haga clic en Siguiente.
4. En la pgina Tipo de entidad emisora de certificados, seleccione Entidad emisora raz de la empresay,
a continuacin, haga clic en Siguiente.
Nota:la clave privada se almacena siempre localmente en el servidor, salvo en el caso en que se utilice un
dispositivo de hardware criptogrfico. En tal caso, la clave privada se almacena en el dispositivo. La clave
pblica se coloca en el certificado.
9 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r t if i c ad o s r a z d e e m p re s a e n p e qu e a s y m ed i a na s e m p re s a s
7/13/2019 Creacion de Certificados.pdf
10/25
5. En la pgina Identificacin de la entidad emisora de certificados, indique la informacin de identificacin
que corresponda a su sitio y organizacin:
a. En Nombre comn para esta entidad emisora de certificados, escriba el nombre comn de la entidad
de certificacin.
El nombre de la CA (o nombre comn) es vital porque se utiliza para identificar el objeto de CA creado
en Active Directory.
b. En Perodo de validez, acepte el valor predeterminado de 5 aos y, a continuacin, haga clic en Siguiente.
El tiempo del Perodo de validez es el tiempo durante el que la CA servlida; la duracin real es un
equilibrio entre seguridad y costes administrativos. Se debe tener en cuenta que cada vez que caduca un
certificado raz, un administrador debe actualizar todas las relaciones de confianza y deben realizarse
medidas administrativas para mover la CA a un nuevo certificado. Un perodo de tiempo de cinco o ms
aos suele ser suficiente en la mayora de entornos empresariales, aunque el perodo debe cumplir tambin
la directiva y los procedimientos formales de TI. Consulte a su abogado para asegurarse de que la
configuracin de la CA cumpla todos los requisitos legales aplicables.
6. En la pgina Configuracin de la base de datos de certificados, haga clic en Siguiente para aceptar las
ubicaciones de almacenamiento predeterminadas de la base de datos, el registro de la base de datos de
certificados y, a continuacin, confirme que Almacenar la informacin de configuracin en una carpeta
compartida no estactivada.
1 0 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
11/25
Nota:es posible que el programa de instalacin muestre un mensaje que advierta que no se puede crear una
carpeta compartida. Esto es normal, ya que todas las interfaces de red se han deshabilitado. Se puede omitir
este error con seguridad y continuar. Se debe colocar la base de datos de certificados y el registro de base de
datos de certificados en unidades NTFS locales.
7. Si se ejecuta IIS, aparecerun mensaje que le indicarque detenga el servicio. Haga clic en Spara detener
IIS. IIS se debe detener para poder instalar los componentes Web.
Nota:si IIS no estinstalado, no aparecereste mensaje y la inscripcin a travs de Web no estardisponible.
A continuacin, el Administrador de componentes opcionales instalarlos componentes de Servicios de
Certificate Server. Si es necesario el medio de instalacin de Windows Server 2003 (CD), inserte el CD delproducto Windows Server 2003 en la unidad de CD.
8. Haga clic en Aceptar para finalizar la instalacin. Haga clic en Finalizar para cerrar el asistente.
Una vez instalada la entidad emisora de certificados, agrguele las plantillas de certificado y configure la entidad
emisora de certificados para permitir a las personas solicitar un certificado a partir de una plantilla.
1 1 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
12/25
Nota: si ha pensado en seguir la recomendacin de esta gua de reforzar la seguridad de los controladores de
dominio de su organizacin, debermodificar la configuracin del dominio Directiva de grupo para volver a
habilitar Servicios de Certificate Server. Si desea obtener ms informacin sobre cmo hacerlo, consulte el
documento "Seguridad de los controladores de dominio de Windows Server 2003" del Kit de orientaciones sobreseguridad.
C om pr ob ac i n d e l a i ns ta la ci n d e l a e nt id ad e mi so ra d e c er t if ic ad os
La forma ms sencilla de comprobar que ha finalizado correctamente la instalacin de los Servicios de Certificate
Server es abrir una ventana de comandos y escribir net start para ver si Servicios de Certificate Server est
funcionando.
Tambin puede ver el registro de configuracin de los Servicios de Certificate Server en
razDeSistema\certocm.log para otras comprobaciones o para ayudarle a solucionar errores eventuales.
Asimismo, puede utilizar tambin el siguiente procedimiento.
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta miembro del grupo Administradores de organizacin
y el grupo Administradores locales del equipo donde se ha instalado Servicios de Certificate Server.
Herramientas: el complemento Entidad emisora de certificados.
Esta tarea slo se puede realizar en un servidor con Windows Server 2003, Standard Edition; Windows Server
2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.
Para comprobar que se ha instalado correctamente la entidad emisora de certificados raz
1. Haga clic en Inicio, Panel de control, Herramientas administrativasy, a continuacin, en Entidad emisora
de certificados.
2. Compruebe que se ha iniciado Servicios de Certificate Servery que pueda visualizar las propiedades de la
entidad emisora de certificados. Debe poder ver la entidad emisora de certificados en la lista con un smbolo
de verificacin.
3. Haga clic con el botn derecho del ratn en la entidad emisora de certificados y, en el menque aparece,
seleccione Propiedades.
4. En la ficha General, seleccione Certificado n 0 en la lista de Certificados de entidad emisoray, a
continuacin, haga clic en Ver certificado.
5. Haga clic en la ficha Detallesdel certificado de la entidad emisora y compruebe que los valores coincidan
con los descritos en la siguiente tabla.
Configuracin predeterminada de los detalles de un certificado
Valor Campo
V3Versin
1 2 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
13/25
Valor Campo
D e be s e r i d n t ic o a Sujeto y mo s tr a r e l n o mb r e c o m n c o mp l et o d e l a
e n ti d ad e m is o ra a d em s d e l s u fi j o d e n o mb r e c o mp l et o q u e s e h a f a ci l it a do
d u ra n te l a i n st a la c i n .
Emisor
L a f ec ha e n q ue s e h a i ns ta la do e l s er vi do r r a z d e e nt id ad e mi so ra d e
c e r t i fi c a d o s d e e m p r es a .
V l id o d e sd e
L a f ec ha e n q ue s e h a i ns ta la do e l s er vi do r r a z d e e nt id ad e mi so ra d e
c e rt i fi c ad o s d e e m pr e sa , m s c i n co a os .
V l id o h a st a
D e be s e r i d n t ic o a Emisor y mo s tr a r e l n o mb r e c o m n c o mp l et o d e l a
e n ti d ad e m is o ra a d em s d e l s u fi j o d e n o mb r e c o mp l et o q u e h a f a ci l it a do
d u ra n te l a i n st a la c i n .
Sujeto
R S A ( 2 04 8 b i ts )C l a ve p bl i ca
T ip o d e a su nt o = CA
R e s t r ic c i n d e l o n g i tu d = N i ng u n a
Restricciones bsicas
Nota:la existencia del tipo de asunto Restricciones bsicas es muy importante. Este valor distingue un
certificado de una entidad emisora de un certificado de una entidad final. Adems, no deben aparecer en la
lista extensiones CDP o AIA.
Si alguno de los valores anteriores no son los esperados, se deberreiniciar la instalacin de Servicios de
Certificate Server.
Si necesita volver a ejecutar la instalacin de Servicios de Certificate Server, recibiruna advertencia
indicndole que la clave privada ya existe. Si sabe que no ha emitido ningn certificado utilizando esta clave,
puede ignorar este mensaje con toda seguridad y generar una nueva clave. Si la entidad emisora de certificados
ha emitido ya certificados (adems de los de prueba), no se debe reinstalar Servicios de Certificate Server
hasta que se haya hecho una copia de seguridad segura de la clave y el certificado anterior.
Si desea obtener ms informacin acerca de las extensiones CDP o AIA o la copia de seguridad de la clave
y el certificado anteriores, consulte "Operations Guide 2 - Managing the Public Key Infrastructure" en el
sitio Web de TechNet en "http://go.microsoft.com/fwlink/?LinkId=22675o bien consulte "Windows Server
2003 PKI Operations Guide" en el sitio Web de TechNet en http://go.microsoft.com/fwlink/?LinkId=22673.
6. Haga clic en Aceptar dos veces y cierre la Entidad emisora de certificados.
I n st a la c i n d e p l an t il l as d e c e rt i fi c ad o
En este procedimiento se muestra la instalacin y visualizacin de plantillas de certificado predeterminadas. Para
ver la descripcin de cada una de estas plantillas de certificado predeterminadas, consulte "Default Templates"
en "Implementing and Administering Certificate Templates in Windows Server 2003" en el sitio Web de TechNet
en http://go.microsoft.com/fwlink/?LinkId=22669.
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta que sea miembro del grupo Administradores de
organizacin y el grupo Admins. del dominio del dominio raz.
1 3 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
http://go.microsoft.com/fwlink/?LinkId=22675http://go.microsoft.com/fwlink/?LinkId=22675http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22669http://go.microsoft.com/fwlink/?LinkId=22669http://go.microsoft.com/fwlink/?LinkId=22669http://go.microsoft.com/fwlink/?LinkId=22669http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22675http://go.microsoft.com/fwlink/?LinkId=226757/13/2019 Creacion de Certificados.pdf
14/25
Herramientas: Plantillas de certificado (certtmpl.msc).
Esta tarea slo se puede realizar en un servidor con Windows Server 2003, Standard Edition; Windows Server
2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.
Para instalar y visualizar las plantillas de certificado predeterminadas
1. Haga clic en Inicio, Ejecutar, escriba certtmpl.msc en el cuadro de texto Ejecutar y haga clic en Aceptar.
2. Si es la primera vez que ejecuta el complemento Plantillas de certificado en esta entidad emisora de certificados,
se visualizarn mensajes solicitando la instalacin de las plantillas de certificado. Haga clic en Sen todos
los mensajes.
3. En el rbol de consola, haga clic en Plantillas de certificado. Se visualizarn todas las plantillas de certificado
en el panel de detalles.
4. Cierre Plantillas de certificado.
C r ea c i n d e u n a p l an t il l a d e c e r ti f ic a do p e rs o na l iz a da
Las plantillas de certificado permiten personalizar los certificados emitidos por Servicios de Certificate Server,
incluida la forma en que se emiten los certificados y el contenido de los mismos. Una plantilla de certificado es
el conjunto de reglas y configuraciones que se aplican para las solicitudes de certificado entrantes.
Las nuevas plantillas de certificado se crean copiando una plantilla existente y utilizando las propiedades de laplantilla existente como predeterminadas para la plantilla nueva. Copie la plantilla de certificado cuya configuracin
sea ms similar a la de la nueva plantilla, con el fin de minimizar el trabajo necesario.
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta miembro del grupo Administradores de
organizacin.
Herramientas: Plantillas de certificado (certtmpl.msc).
Esta tarea slo se puede realizar en un servidor con Windows Server 2003, Enterprise Edition o Windows
Server 2003, Datacenter Edition.
1 4 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
15/25
Para crear una plantilla de certificado personalizada a partir de una plantilla existente
1. Haga clic en Inicio, Ejecutar, escriba certtmpl.msc en el cuadro de texto de Ejecutar y, a continuacin,
haga clic en Aceptar para abrir Plantillas de certificado.
2. En el panel de detalles, haga clic con el botn derecho en la plantilla que desee copiar y, a continuacin, en
Plantilla duplicada.
3. Escriba el nuevo nombre para esta plantilla de certificado.
4. Realice los cambios que desee y haga clic en Aceptar. La nueva plantilla aparece al final de la lista y contiene
Permitida en la columna Inscripcin automtica.
5. Cierre Plantillas de certificado.
C on fi gu ra ci n de u na p la nt il la d e c er ti fi ca do p ar a l a i ns cr ip ci n
a ut om t ic a d e c li en te sLa inscripcin automtica es una til funcin de los Servicios de Certificate Server de Windows XP y Windows
Server 2003, Enterprise Edition. La inscripcin automtica le permite configurar clientes para inscribirse
automticamente y solicitar certificados, recuperar los certificados emitidos y renovar los caducados sin necesidad
de interaccin con el cliente. Un cliente no necesita ser consciente de ninguna de las operaciones del certificado,
salvo que se configure la plantilla de certificado para que interacte con ste.
_de certificado: para inscripcin automtica de clientes. Si desea obtener informacin detallada sobre la inscripcin
automtica, consulte "Certificate Autoenrollment in Windows Server 2003" en el sitio Web de TechNet en
http://go.microsoft.com/fwlink/?LinkId=22668.
Para configurar correctamente la inscripcin automtica de clientes, debe planificar la plantilla o plantillas de
certificado adecuadas que se utilizarn. Algunas de las opciones de configuraci
n de la plantilla de certificadoafectan directamente al comportamiento de la inscripcin automtica de clientes.
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta miembro del grupo Administradores de
organizacin.
Herramientas: Plantillas de certificado (certtmpl.msc).
Esta tarea slo se puede realizar en un servidor con Windows Server 2003, Enterprise Edition o Windows
Server 2003, Datacenter Edition.
Para configurar una plantilla de certificado para la inscripcin automtica de clientes
1. Haga clic en Inicio, Ejecutar, escriba certtmpl.msc en el cuadro de texto de Ejecutar y haga clic en
Aceptar.
2. En el panel de detalles de Plantillas de certificado, haga clic con el botn derecho del ratn en la plantilla
de certificado que acaba de crear y desea configurar para la inscripcin automtica y, a continuacin, haga
clic en Propiedades.
3. En la ficha Seguridad, haga clic en el usuario, equipo o grupo de la lista Nombres de grupos o usuarios
que desea configurar para la inscripcin automtica.
1 5 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
http://go.microsoft.com/fwlink/?LinkId=22668http://go.microsoft.com/fwlink/?LinkId=22668http://go.microsoft.com/fwlink/?LinkId=22668http://go.microsoft.com/fwlink/?LinkId=226687/13/2019 Creacion de Certificados.pdf
16/25
Si el nombre del usuario, equipo o grupo no aparece todava en la lista de la ficha Seguridad, haga clic en
Agregar. En el cuadro de dilogo Seleccione los usuarios, equipos o grupos, escriba el nombre que desee
agregar y, a continuacin, haga clic en Aceptar.
4. En la lista Permisos para nombreDeObjeto, en la columna Permitir, seleccione las casillas de verificacinLeer, Inscribirsey Inscripcin automticay, a continuacin, haga clic en Aplicar. Repita los pasos 3 y 4
para cada usuario, equipo o grupo que desee configurar para la inscripcin automtica y, a continuacin,
haga clic en Aceptar.
5. Cierre Plantillas de certificado.
C on ce si n d e p er mi so s d e i ns cr ip ci n p ar a u na p la nt il la d ecertificado predeterminada
En este procedimiento se configuran plantillas predeterminadas que utilizarn los clientes que se hayan inscrito
automticamente segn el procedimiento de "Configuracin de una plantilla de certificado para inscripcin
automtica de clientes".
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta miembro del grupo Administradores de
organizacin.
Herramientas: Plantillas de certificado (certtmpl.msc).
Esta tarea slo se puede realizar en un servidor con Windows Server 2003, Standard Edition; Windows Server
2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.
Para permitir a los clientes solicitar un certificado basado en la plantilla
1. Haga clic en Inicio, Ejecutar, escriba certtmpl.msc en el cuadro de texto de Ejecutar y haga clic en
Aceptar.
2. En el panel de detalles de Plantillas de certificado, haga clic con el botn derecho del ratn en la plantilla
de certificado que desee cambiar y, a continuacin, haga clic en Propiedades.
3. En la ficha Seguridad, agregue los grupos, equipos o usuarios que desee.
4. En Nombres de grupos o usuarios, haga clic en uno de los nuevos objetos y, a continuacin, en la lista
Permisos para nombreDeObjeto, en la columna Permitir, active las casillas de verificacin Leere
Inscribirse.
5. Repita el paso anterior para cada nuevo objeto.
1 6 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
17/25
Nota: para no permitir a las personas solicitar un certificado basado en una plantilla, anule la seleccin de las
casillas de verificacin Leer e Inscribirse utilizando los mismos pasos de este procedimiento.
C on fi gu ra ci n de l a e nt id ad e mi so ra d e c er t if ic ad os p ar a e mi ti r c er ti fi ca do s a p ar ti r d e l a p la nt il la d e c er ti fi ca do s
Este procedimiento agrega una nueva plantilla de certificado a la entidad emisora de certificados que emitirla
misma entidad.
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta miembro del grupo de Administradores locales
en el equipo donde se ha instalado Servicios de Certificate Server.
Herramientas: el complemento Entidad emisora de certificados.
Esta tarea slo se puede realizar en un servidor con Windows Server 2003, Standard Edition; Windows Server
2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.
Para agregar una plantilla de certificado a una entidad emisora de certificados
1. Haga clic en Inicio, Panel de control, Herramientas administrativasy, a continuacin, en Entidad emisora
de certificados.
2. Expanda la entidad emisora de certificados raz de empresa.
3. Haga clic con el botn derecho en el contenedor de Plantillas de certificado, haga clic en Nuevay, a
continuacin, en Plantilla de certificado para emitir.
4. En el cuadro de dilogo Habilitar plantillas de certificados, seleccione la plantilla de certificado que desee
habilitar en la entidad emisora de certificados y, a continuacin, haga clic en Aceptar. La plantilla de
certificado que ha habilitado apareceren el contenedor Plantillas de certificado.
5. Cierre de la Entidad emisora de certificados.
E li mi na ci n d e u na p la nt il la d e c er t if ic ad o de u na e nt id ad e mi so rad e c e r ti f ic a do s
Tras definir y configurar las plantillas de certificado que desee utilizar, es una prctica recomendable quitar dela entidad emisora de certificados las plantillas de certificado que no vaya a utilizar. Quitar una plantilla de
certificados slo hace que se desvincule el certificado de una entidad emisora; no se elimina fsicamente del
almacn de plantillas de certificado. Si posteriormente necesita alguna de las plantillas de certificado que ha
quitado, puede repetir los procedimientos de la seccin "Instalacin de plantillas de certificado" para realizar
esta tarea.
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta miembro del grupo Administradores de
organizacin.
Herramientas: el complemento Entidad emisora de certificados.
1 7 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
18/25
Esta tarea slo se puede realizar en un servidor con Windows Server 2003, Standard Edition; Windows Server
2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.
Para quitar una plantilla de certificado de una entidad emisora de certificados
1. Haga clic en Inicio, Panel de control, Herramientas administrativasy, a continuacin, en Entidad emisora
de certificados.
2. Expanda la entidad emisora de certificados raz de empresa.
3. Haga clic con el botn derecho del ratn en el contenedor Plantillas de certificado.
4. En el panel de detalles, haga clic con el botn derecho del ratn en la plantilla que desee quitar de la entidad
emisora de certificados y, a continuacin, haga clic en Eliminar.
5. En el cuadro de dilogo Deshabilitar Plantillas de certificado, haga clic en S.
La plantilla de certificado dejarde aparecer en el panel de detalles.
E je mp lo d e i mp le me n ta c i n d e S er v ic io s d e C er t if ic a te S er v er :i n sc r ip c i n a u t om ti c a p a r a u s u ar i os i n al mb r ic o s
Para configurar el servidor para que proporcione inscripcin automtica para certificados de equipo y usuario,
realice los pasos siguientes:
Cree una plantilla de certificado para usuarios inalmbricos.
Configure la plantilla de certificado para la inscripcin automtica de clientes.
Configure la entidad emisora de certificados para que emita certificados a partir de la plantilla.
Requisitos
Credenciales: debe haber iniciado la sesin con una cuenta miembro del grupo Administradores de
organizacin.
Herramientas: el complemento Plantillas de certificado (certtmpl.msc) y el complemento Entidad emisora
de certificados.
Las tareas de este ejemplo de implementacin slo se pueden realizar en un servidor con Windows Server
2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.
C re ac i n d e u na p la nt il la d e c er ti fi ca do p ar a u su ar io s i na l mb ri co s
Para crear una plantilla de certificado para usuarios inalmbricos
1. Haga clic en Inicio, Ejecutar, escriba certtmpl.msc en el cuadro de texto de Ejecutar y haga clic en
Aceptar.
2. En el panel de detalles de Plantillas de certificado, haga clic en la plantilla Usuario.
3. En el menAccin, haga clic en Plantilla duplicada.
1 8 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
19/25
4. En la ficha General de la pgina Propiedades de plantilla nueva, en el cuadro Nombre para mostrar
plantilla, escriba Plantilla de certificado para usuarios inalmbricos.
5. Haga clic en Aplicar y contine con el procedimiento siguiente.
C on fi gu ra ci n de u na p la nt il la d e c er ti fi ca do p ar a l a i ns cr ip ci na ut om t ic a d e c li en te s
Para configurar una plantilla de certificado para la inscripcin automtica de clientes
1. En la ficha General de la pgina Propiedades de Plantilla de certificado para usuarios inalmbricos,
asegrese de que la casilla de verificacin Publicar certificado en Active Directoryestactivada.
2. Haga clic en la ficha Seguridad.
3. En la lista Nombres de grupos o usuarios, haga clic en Usuarios del dominio.
4. En la lista Permisos de Usuarios del dominio, en la columna Permitir, seleccione las casillas de verificacin
Leer, Inscribirsee Inscripcin automtica.
1 9 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
20/25
5. Haga clic en la ficha Nombre de sujeto, anule la seleccin de Incluir el nombre de correo electrnico en
el nombre del sujeto y Nombre de correo electrnicoy, a continuacin, haga clic en Aceptar.
2 0 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
21/25
IMPORTANTE:estas dos opciones estn deshabilitadas porque en este ejemplo de implementacin
experimental no se ha introducido un nombre de correo electrnico para la cuenta usuarioInalmbricoen
el complemento Usuarios y equipos de Active Directory. Puede introducir una direccin de correo electrnico
en la cuenta usuarioInalmbrico, o bien, no seleccionar los dos cuadros de correo electrnico para que se
distribuya al cliente la inscripcin automtica del certificado de usuario.
6. Haga clic en Aceptary, a continuacin, cierre Plantillas de certificado.
C on fi gu ra ci n de l a e nt id ad e mi so ra d e c er t if ic ad os p ar a e mi ti r c er tif ic ad os a p ar ti r d e l a p la nt ill a
Para configurar la entidad emisora de certificados para emitir certificados a partir de la plantilla
1. Haga clic en Inicio, elija Todos los programas, elija Herramientas administrativasy, a continuacin,
haga clic en Entidad emisora de certificados.
2. En el rbol de consola, ample la entidad emisora de certificados raz de empresa y, a continuacin, haga clic
en Plantillas de certificado.
2 1 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
22/25
3. En el menAccin, elija Nuevoy, a continuacin, haga clic en Certificado para emitir.
4. En caso necesario, desplcese hacia abajo y haga clic en Plantilla de certificado para usuarios inalmbricos.
5. Haga clic en Aceptar.
6. Haga clic en Inicio, elija Todos los programas, elija Herramientas administrativasy, a continuacin,
haga clic en Usuarios y equipos de Active Directory.
7. En el rbol de consola, en caso necesario, haga doble clic en Usuarios y equipos de Active Directory, haga
clic con el botn derecho del ratn en el dominio Contoso.com y, a continuacin, seleccione Propiedades.
8. En la ficha Directiva de grupo, haga clic en Directiva de dominio predeterminaday, a continuacin, hagaclic en Editar. Se abrirel complemento Editor de objetos de directiva de grupo.
9. En el rbol de consola, ample Configuracin del equipo, Configuracin de Windows, Configuracin de
seguridad, Directivas de claves pblicasy, a continuacin, haga clic en Configuracin de la peticin de
certificados automtica.
2 2 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
23/25
10. Haga clic con el botn derecho del ratn en Configuracin de la peticin de certificados automtica, elija
Nuevay, a continuacin, haga clic en Peticin de certificados automtica.
11. En la pgina ste es el Asistente para instalacin de peticin automtica de certificado, haga clic en
Siguiente.
12. En la pgina Plantilla de certificado, haga clic en Equipoy, a continuacin, en Siguiente.
13. En la pgina Finalizacin del Asistente para instalacin de peticin automtica de certificado, haga clic
en Finalizar. El tipo de certificado Equipoaparece ahora en el panel de detalles del complemento Editor de
objetos de directiva de grupo.
2 3 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
24/25
14. En el rbol de consola, en caso necesario, desplcese y expanda Configuracin del usuario, Configuracin
de Windows, Configuracin de seguridady Directivas de claves pblicas. Haga clic en Directivas de
claves pblicas.
15. En el panel de detalles, haga doble clic en Configuracin de inscripcin automtica.
16. Haga clic en Registrar certificados automticamente, active la casilla de verificacin Renovar certificados
caducados, actualizar certificados pendientes y quitar certificados revocados, active la casilla de
verificacin Actualizar certificados que usan plantillas de certificadoy, a continuacin, haga clic en
Aceptar.
2 4 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
7/13/2019 Creacion de Certificados.pdf
25/25
17. Cierre el Editor de objetos de directiva de grupo y Usuarios y equipos de Active Directory.
Cuando sea efectivo el objeto de Directiva de grupo predeterminado actualizado del dominio, los clientes debern
reiniciar sus equipos e iniciar la sesin en el dominio con una conexin de cable para que se aplique la nueva
configuracin de la Directiva de grupo y se emitan los certificados. Puede comprobar que se han emitido los
certificados utilizando el complemento Certificados del equipo cliente para buscar en el almacn de certificados
personales del usuario o equipo.
Si desea obtener ms informacin sobre las opciones de redes inalmbricas, consulte "Microsoft Solution for
Securing Wireless LANs" en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22676.
Informacin relacionadaSi desea obtener ms informacin acerca de la creacin de una entidad emisora de certificados raz de empresa,
consulte:
"Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure" en el sitio
Web de TechNet en http://go.microsoft.com/fwlink/?LinkId=22667.
"Certificate Autoenrollment in Windows Server 2003" en el sitio Web de TechNet en
http://go.microsoft.com/fwlink/?LinkId=22668.
"Implementing and Administering Certificate Templates in Windows Server 2003" en el sitio Web de TechNet
en http://go.microsoft.com/fwlink/?LinkId=22669.
Si desea obtener ms informacin sobre las infraestructuras de clave pblica (PKI) y la configuracin y
administracin de entidades emisoras de certificados en pequeas y medianas empresas, consulte:
"MSA Enterprise Design for Certificate Services" en el sitio Web de TechNet en
http://go.microsoft.com/fwlink/?LinkId=22671.
"PKI Enhancements in Windows XP Professional and Windows Server 2003" en el sitio Web de TechNet en
http://go.microsoft.com/fwlink/?LinkId=22672.
"Windows Server 2003 PKI Operations Guide" en el sitio Web de TechNet en
http://go.microsoft.com/fwlink/?LinkId=22673. (Este artculo contiene referencias a guas de otros productos
y vnculos a sitios Web que slo estn disponibles en ingls.)
2 5 C r e ac i n d e u n a e n ti d a d e m i so r a d e c e r ti f i c ad o s r a z d e e m p re s a e n p e qu e a s y m e d ia n as e mp r e sa s
http://go.microsoft.com/fwlink/?LinkId=22676http://go.microsoft.com/fwlink/?LinkId=22676http://go.microsoft.com/fwlink/?LinkId=22676http://go.microsoft.com/fwlink/?LinkId=22667http://go.microsoft.com/fwlink/?LinkId=22667http://go.microsoft.com/fwlink/?LinkId=22668http://go.microsoft.com/fwlink/?LinkId=22668http://go.microsoft.com/fwlink/?LinkId=22669http://go.microsoft.com/fwlink/?LinkId=22669http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=22672http://go.microsoft.com/fwlink/?LinkId=22672http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22673http://go.microsoft.com/fwlink/?LinkId=22672http://go.microsoft.com/fwlink/?LinkId=22672http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=22671http://go.microsoft.com/fwlink/?LinkId=22669http://go.microsoft.com/fwlink/?LinkId=22669http://go.microsoft.com/fwlink/?LinkId=22668http://go.microsoft.com/fwlink/?LinkId=22668http://go.microsoft.com/fwlink/?LinkId=22667http://go.microsoft.com/fwlink/?LinkId=22667http://go.microsoft.com/fwlink/?LinkId=22676http://go.microsoft.com/fwlink/?LinkId=22676http://go.microsoft.com/fwlink/?LinkId=22676