AD CS Windows Server 2012/Generar certificados para equipos y usuarios – Parte 3

Hoy vamos a generar certificados de equipo y usuario para nuestro dominio via GPO. Para ello vamos a crear una GPO llamada Certificados que instalara los certificados de equipo y usuario de forma automática. Abro la consola de Administración de Directivas de Grupo

Sobre Objetos de Directiva de Grupo – Botón derecho – Nueva Directiva de Grupo

 

Editamos la GPO

Vamos a Configuración de Equipo – Policies – Windows Settings – Security Settingd – Public Key Policies – Certification Services Client – AutoEnrollment

Botón Derecho – Editar – Habilitar

Vamos a Automatic Certificate Request Settings – Botón derecho – Nuevo

Escogemos equipo

Ahora vamos a crear una plantilla para los certificados de los Usuarios, para que se generen de forma automática. Para ello abrimos una consola y agregamos el complemento Plantillas de Certificado

Buscamos la plantilla Usuarios – Botón Derecho – Duplicar

Una vez duplicada hacemos botón derecho – Propiedades

Vamos a la pestaña Seguridad y en asignamos a Usuarios del dominio el permiso de AutoEnrollment

En Nombre Sujeto verifico que la cuenta de correo está marcada. Esto va a hacer que los usuarios necesiten de una cuenta de correo para obtener el certificado, si no quiero esto solo debo desmarcar el check del email.

Yo voy a publicar los certificados en Active Directory, de esta forma siempre le es más fácil a un usuario el coger el certificado de otro (Clave Publica), por ejemplo para las firmas del correo, cifrar documentos etc.

Ahora lo que tenemos que hacer es permitir a nuestra Entidad Emitir certificados basándose en la Plantilla que he creado. Para ello voy a la consola de Entidad Certificadora, y sobre Plantilla de Certificado – Boton Derecho – Nueva plantilla que se va a emitir

Selecciono mi plantillla

Ahora quito la plantilla usuarios no la necesito.

Volvemos a nuestra GPO Certificados y nos vamos a la parte de Configuración de Usuario

Navegamos hasta Policies – Windows Settings – Security Settings –Public Key Policies

Botón derecho sobre Certificate Services Client – Autoenrollment y Propiedades

Habilito la directiva

Ahora enlace mi GPO a nivel de dominio

Voy a crear una OU con usuarios y equipos, creo un usuario al que le asigno una dirección de correo

Propiedades

Añado el correo

Aplico la GPO de forma remota a la OU, mediante Botón derecho – Group Policy Update

 

Inicio sesión con el usuario en un equipo cliente

Saco la consola Certificados como Administrador para ver los certificados de Equipo y la misma consola como usuario estándar para ver los de usuario

 

Aquí los tengo

4 Replies to “AD CS Windows Server 2012/Generar certificados para equipos y usuarios – Parte 3”

  1. Excelente informacion la que compartes juan tengo una pregunta tengo instalada una rdweb en un servidor con windows server 2012 rt en la red local puedo correr las aplicaciones sin ningun problema ya agrege un certificado y ya no me manda errores. Cuando intento tener acceso desde una red externa me arroja error en el certificado pero si puedo tener acceso el problema es cuando quiero correr una aplicacion me manda para habilitar la confianza instale este certificado en el almacen de confianza y no se a que se refiere que crees que pueda estar haciendo mal amigo

  2. Esto es por el certificado si tu certificado lo has generado desde una entidad de Microsoft la comprobación de la CRL ira por ldap no por http. Tienes que publicar esa CRL por http

Leave a Reply

Your email address will not be published.