Professional Documents
Culture Documents
Importante
Ejecute Windows Update en todos los equipos o mquinas virtuales durante la
instalacin o inmediatamente despus de instalar los sistemas operativos. Tras
ejecutar Windows Update, puede aislar su laboratorio de pruebas fsico o virtual de
la red de produccin.
Paso 1: Completar la configuracin bsica de la TLG
La Gua del laboratorio de pruebas (TLG) de configuracin bsica de Windows Server
2012 se encuentra en http://go.microsoft.com/fwlink/p/?LinkId=236358.
Paso 2: Configurar ORCA1
Los procedimientos para completar la configuracin de la entidad de certificacin raz sin
conexin, denominada ORCA1, incluyen:
Nota
El identificador de objetos (OID) que se muestra en el ejemplo es el de Microsoft. La
organizaciones individuales deben obtener sus propios OID. Para obtener ms
informacin acerca de identificadores de objetos, consulte el tema sobre la obtencin de
un OID de raz de una entidad de registro de nombres ISO
(http://msdn.microsoft.com/library/windows/desktop/ms677621.aspx).
Sugerencia
Al configurar CRLDeltaPeriodUnits=0 en CAPolicy.inf se deshabilita la publicacin de
diferencias CRL, que es la configuracin apropiada para una entidad de certificacin raz
sin conexin.
4. Haga clic en Guardar como. Compruebe que:
o
Precaucin
Asegrese de guardar el archivo CAPolicy.inf con la extensin inf. Si no escribe
especficamente .inf al final de un nombre de archivo y selecciona las opciones de la
manera descrita, el archivo se guardar como un archivo de texto y no se usar durante la
instalacin de la entidad de certificacin.
6. Cierre el Bloc de notas.
Importante
Puede ver que en el archivo CAPolicy.inf hay una lnea que especifica la direccin
URL http://www.contoso.com/pki/cps.txt. La seccin Internal Policy del archivo
CAPolicy.inf se muestra como ejemplo de cmo se especificara la ubicacin de una
orden de prcticas de certificacin (CPS). Para obtener ms informacin acerca de los
enunciados de directivas, incluidas las CPS, consulte el tema sobre la creacin de
directivas de certificado y rdenes de prcticas de certificacin
(http://technet.microsoft.com/library/cc780454.aspx) y RFC 2527
(http://www.ietf.org/rfc/rfc2527.txt). Para obtener ms informacin acerca de la
sintaxis y el propsito del archivo CAPolicy.inf, consulte el tema sobre la sintaxis de
CA Policy.inf (http://technet.microsoft.com/library/cc728279.aspx).
Para instalar la entidad de certificacin raz independiente
1. En Administrador del servidor, haga clic en Administrar y, a continuacin, haga clic en
Agregar roles y caractersticas.
2. En la pantalla Antes de comenzar, haga clic en Siguiente.
3. En la pantalla Seleccionar tipo de instalacin, asegrese de que est activada la
seleccin predeterminada de Instalacin basada en caractersticas o en roles. Haga clic
en Siguiente.
5
Sugerencia
Si hace clic en Cerrar antes de que haya finalizado la instalacin, podr completar la
6
Nota
8
Los dos comandos certutil de arriba establecen las rutas de acceso de CDP y AIA
respectivamente para la entidad de certificacin raz. La misma configuracin puede
lograrse mediante los comandos cmdlets de PowerShell:
Para ver el AIA y CDP, puede ejecutar los siguientes comandos: GetCAAuthorityInformationAccess | format-list y Get-CACRLDistributionPoint
| format-list. Tambin puede volver a la pestaa Extensiones de un cuadro de
dilogo de propiedades de entidad de certificacin y ver que aparecen los cambios
realizados en AIA y CDP.
Para copiar el certificado de la entidad de configuracin raz y la CRL a un medio
extrable
1. En Windows PowerShell, ejecute el comando dir
C:\Windows\system32\certsrv\certenroll\*.cr*, que muestra los certificados y las CRL
del almacn de certificados predeterminado.
2. Copie el certificado de la entidad de configuracin raz y la CRL a un medio extrable
Por ejemplo, si va a ejecutar comandos para copiar el certificado y la CRL a un disquete
(A:), debe ejecutar los siguientes comandos:
1.
2.
dir A:\
Sugerencia
Sustituya la letra de unidad A: por la del medio extrable en los comandos mostrados
arriba. El medio extrable puede ser fsico o virtual, como se indic en Requisitos de
hardware y software. Adems, si ve el mensaje de error El volumen no contiene un
sistema de archivos reconocido, es posible que tenga que formatear el medio. Por
ejemplo, si se trata de un disquete, puede que tenga que escribir format a: y presionar
ENTRAR.
Para distribuir el certificado de la entidad de certificacin raz
1. En APP1, inicie sesin con la cuenta User1, que es miembro de Domain Admins y
Enterprise Admins. Abra Windows PowerShell como administrador. Para ello, haga clic
con el botn secundario en el icono de Windows PowerShell y, a continuacin, haga clic
en Ejecutar como administrador. Cuando se le pregunte por el Control de cuentas de
usuario, haga clic en S.
9
2. Inserte el disco extrable que contiene el certificado de entidad de certificacin raz sin
conexin en APP1.
3. En Windows PowerShell, cambie la unidad de medios extrables con el comando cd
(como en la ejecucin de cd a:\ para cambiar la raz de la unidad A).
4. En Windows PowerShell, en la unidad de medios extrables, ejecute los siguientes
comandos:
certutil dspublish f orca1_ContosoRootCA.crt RootCA
certutil addstore f root orca1_ ContosoRootCA.crt
certutil addstore f root ContosoRootCA.crl
Nota
El primer comando ubica el certificado pblico de entidad de certificacin raz en el
contenedor Configuracin de Active Directory. Al hacerlo se permite a los equipos
cliente del dominio confiar automticamente en el certificado de entidad de certificacin
raz y ya no ser necesario distribuir ese certificado en la directiva de grupo. Los
comandos segundo y tercero ubican el certificado de entidad de certificacin raz y la
CRL en el almacn local de APP1. Esto le proporciona a APP1 la confianza inmediata
del certificado pblico de entidad de certificacin raz y el conocimiento de la CRL de la
entidad de certificacin raz. APP1 podra obtener el certificado a partir de la directiva de
grupo y la CRL de la ubicacin CDP, pero publicar estos dos elementos en el almacn
local de APP1 es til para acelerar la configuracin de APP1 como una CA subordinada.
Los certificados pblicos, listas de revocacin de certificados y enunciados de
procedimientos de certificados deben colocarse todos en la ubicacin
http://www.contoso.com/pki. Los equipos cliente internos no podrn resolver este
nombre de equipo como el sitio web interno (APP1) a menos que se coloque una entrada
de DNS apropiada en el servidor DNS.
Para crear una zona DNS contoso.com interna y un registro de host www
1. En DC1, abra la consola DNS. En Administrador del servidor, haga clic en
Herramientas y, a continuacin, haga clic en DNS.
2. Expanda lo siguiente en el rbol de consola DNS: DC1, Zonas de bsqueda directa.
3. Haga clic con el botn secundario en Zonas de bsqueda directa y, a continuacin,
haga clic en Zona nueva.
4. En la pantalla Asistente para nueva zona, haga clic en Siguiente.
5. De manera predeterminada, ver que la opcin Zona principal est seleccionada y que la
zona se almacenar en Active Directory. Para aceptar esta configuracin predeterminada,
haga clic en Siguiente.
6. Deje la configuracin predeterminada y haga clic en Siguiente.
10
11
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Nota
Estos pasos han concedido al grupo de aplicaciones predeterminadas de IIS los permis
12
Nota
Conceder permisos de modificacin de la carpeta de pki a Cert Publishers permite qu
las entidades de certificacin de la empresa publiquen certificados y listas de revocaci
de certificados en la carpeta.
7. En el panel Pgina principal de pki, haga doble clic en Filtrado de solicitudes.
8. La pestaa Extensiones de nombre de archivo se selecciona de manera predeterminada
en el panel Filtrado de solicitudes. En el panel Acciones, haga clic en Modificar
configuracin de caracterstica.
9. En Modificar configuracin del filtrado de solicitudes, active Permitir doble escape
y, a continuacin, haga clic en Aceptar. Cierre el Administrador de Internet Information
Services (IIS).
Nota
Es necesario permitir doble escape si publica diferencias CRL en IIS, porque el archivo
de diferencias CRL contiene un smbolo +. Para obtener ms informacin, vea el artculo
942076 de Microsoft Knowledge Base (http://support.microsoft.com/kb/942076).
10. Ejecute Windows PowerShell como administrador. En Windows PowerShell, ejecute el
comando iisreset.
Paso 4: Configurar APP1 como una entidad de certificacin subordinada de empresa
Los pasos para configurar APP1 como una CA subordinada de la empresa, incluyen los
siguientes procedimientos:
1. Configurar el archivo CAPolicy.inf
2. Instalar el rol de CA subordinada de empresa
3. Configurar el AIA y el CDP
Para configurar el archivo CAPolicy.inf
1. En APP1, con la cuenta de User1, abra Windows PowerShell como administrador y
escriba notepad c:\Windows\CAPolicy.inf; a continuacin, presione ENTRAR.
13
Precaucin
Los clientes Windows XP no admiten el algoritmo de firma alternativo. Si desea que los
clientes Windows XP puedan inscribirse para certificados, no agregue la lnea
AlternateSignatureAlgorithm=1 a CAPolicy.inf. Para obtener ms informacin, vea el
tema sobre las instrucciones para usar formatos de firma alternativos
(http://technet.microsoft.com/library/cc753169.aspx).
4. Haga clic en Archivo, Guardar como y asegrese de guardarlo como un archivo ANSI
con el nombre CAPolicy.inf en la carpeta C:\Windows. Tendr que cambiar el valor de
Tipo a Todos los archivos para poder usar la extensin inf en lugar de txt. Cuando se le
pregunte si desea reemplazar CAPolicy.inf, haga clic en S.
5. Cierre el Bloc de notas.
Para instalar el rol de CA subordinada de empresa
1. En APP1, con la cuenta User1, ejecute Windows PowerShell como administrador y, a
continuacin, ejecute el siguiente comando gpupdate /force. Esta accin garantiza que
se aplica el GPO para la entidad de certificacin raz de confianza a APP1.
2. En Administrador del servidor, haga clic en Administrar y, a continuacin, haga clic en
Agregar roles y caractersticas.
3. En Antes de comenzar, haga clic en Siguiente.
4. En la pantalla Seleccionar tipo de instalacin, asegrese de que est activada la
seleccin predeterminada de Instalacin basada en caractersticas o en roles. Haga clic
en Siguiente.
14
15
24. Copie la solicitud de certificado al medio extrable para llevarla a ORCA1. Por ejemplo,
si desea copiar el archivo desde la unidad C:\ a un disquete con letra de unidad A:\, puede
ejecutar el siguiente comando desde Windows PowerShell:copy C:\*.req A:\
25. Lleve el medio extrable con el archivo de solicitud de certificado a ORCA1. Inicie
sesin en la entidad de certificacin raz con una cuenta que sea miembro del grupo
Administrators local.
26. En ORCA1, desde Windows PowerShell, enve la solicitud con el siguiente comando (se
supone que A:\ es la letra de unidad del medio extrable):
certreq -submit A:\APP1.corp.contoso.com_IssuingCA-APP1.req
Nota
Si el medio extrable tiene una letra de unidad distinta, sustituya esa letra por A:\.
27. En Lista de entidades de certificacin, asegrese de que la entidad de certificacin
ContosoRootCA (Kerberos) est seleccionada y, a continuacin, haga clic en Aceptar.
Se recibe la solicitud y se le asigna un nmero de identificacin de solicitud. Asegrese
de anotar el nmero de id. de solicitud.
16
34. En APP1, en la consola de entidad de certificacin, haga clic con el botn secundario en
IssuingCA-APP1, haga clic en Todas las tareasy, a continuacin, haga clic en Instalar
el certificado de CA.
35. En Seleccione un archivo para completar la instalacin de la CA, establezca el tipo de
archivo en Certificado X.509 (*.cer; *.crt) y despus navegue al medio extrable y
seleccione APP1.corp.contoso.com_IssuingCA-APP1.crt. Haga clic en Abrir.
36. Inicie Servicios de certificados de Active Directory. Para ello, haga clic con el botn
secundario en corp-APP1-CA, haga clic en Todas las tareas y, a continuacin,
seleccione Iniciar servicio.
37. En APP1, copie la CRL desde APP1 a la carpeta C:\pki. En Windows PowerShell, ejecute
el comando copy c:\Windows\system32\certsrv\certenroll\*.cr* c:\pki\.
Sugerencia
ORCA1 ya no es necesaria para este laboratorio, as que puede apagarlo. Para apagar un
equipo desde Windows PowerShell, puede ejecutar el comando stop-computer.
Configurar el AIA y el CDP
17
1. En APP1, con la cuenta de User1, haga clic con el botn secundario en Windows
PowerShell y despus haga clic en Ejecutar como administrador. Haga clic en S para
confirmar que desea ejecutar Windows PowerShell como administrador.
2. En Windows PowerShell, ejecute los siguiente comandos:
certutil -setreg CA\CRLPublicationURLs
"65:C:\Windows\system32\CertSrv\CertEnroll\
%3%8%9.crl\n6:http://www.contoso.com/pki/
%3%8%9.crl\n65:file://\\App1.corp.contoso.com\pki\%3%8%9.crl"
certutil setreg CA\CACertPublicationURLs
"2:http://www.contoso.com/pki/%1_
%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt"
Importante
Un elemento de configuracin que se suele realizar en entidades de certificacin de
produccin y que no forma parte de este laboratorio es habilitar Auditar el acceso a
objetos (http://technet.microsoft.com/library/cc776774.aspx) y despus habilitar todos
los eventos de auditora mediante la ejecucin del siguiente comando: certutil -setreg
18
CA\AuditFilter 127. Una vez hecho esto, asegrese de archivar regularmente el registro
de eventos de seguridad y seguir lo indicado en el artculo sobre procedimientos
recomendados de auditora de eventos de seguridad
(http://technet.microsoft.com/library/cc778162.aspx).
Paso 5: Configurar la inscripcin automtica de certificados
Hay dos procedimientos para configurar la inscripcin automtica de certificados del
equipo:
1. Habilitar la inscripcin automtica de certificados mediante una directiva de grupo.
2. Configurar una plantilla de certificado de autenticacin de cliente y servidor para la
inscripcin automtica
Para habilitar la inscripcin automtica de certificados mediante una directiva de grupo.
1. En DC1, inicie sesin como User1. En Administrador del servidor, haga clic en
Herramientas y, a continuacin, haga clic en Administracin de directivas de grupo.
2. En el rbol de consola, expanda los siguientes objetos: Bosque: corp.contoso.com,
Dominios, corp.contoso.com.
Nota
Es posible que vea una advertencia de que algunas directivas vinculadas al dominio
afectarn a todos los equipos a los que estn vinculadas las directivas. En ese caso, lala
y haga clic en Aceptar.
3. En el rbol de consola, haga clic con el botn secundario en Directiva predeterminada
de dominios y, a continuacin, haga clic en Editar.
4. En el rbol de consola del Editor de administracin de directivas de grupo, en
Configuracin de equipo, expanda los siguientes objetos: Directivas, Configuracin
de Windows, Configuracin de seguridad y, a continuacin, haga clic en Directivas de
clave pblica.
5. En el panel de detalles, haga doble clic en Cliente de Servicios de servidor de
certificados - Inscripcin automtica. En Modelo de configuracin, seleccione
Habilitado.
6. Seleccione Renovar certificados expirados, actualizar certificados pendientes y
quitar certificados revocados y Actualizar certificados que usan plantillas de
certificado. Haga clic en Aceptar.
7. Cierre el Editor de administracin de directivas de grupo y la consola Administracin de
directivas de grupo.
Para configurar una plantilla de certificado de autenticacin de cliente y servidor para la
inscripcin automtica
19
20
Debe ver que tiene dos certificados. Uno fue emitido por ContosoRootCA, que es el
certificado de la CA de APP1. El otro certificado fue emitido por IssuingCA-APP1 y se
puede usar para proteger al sitio web predeterminado de APP1.
2. Abra la consola del Administrador de Internet Information Services (IIS). Para ello, en
Administrador del servidor, haga clic en Herramientas y, a continuacin, haga clic en
Administrador de Internet Information Services (IIS). En el panel de contenido,
expanda la siguiente ruta: APP1, Sitios y Sitio web predeterminado.
Nota
Si ve un mensaje del Administrador de Internet Information Services (IIS) que le
pregunta si desea ver una introduccin a la Plataforma web de Microsoft, haga clic en
Cancelar.
3. Haga clic en Sitio web predeterminado. En el panel Acciones, haga clic en Enlaces.
4. En el cuadro de dilogo Enlaces de sitios, haga clic en Agregar.
5. En el cuadro de dilogo Agregar enlace de sitio, en Tipo, seleccione https.
6. En Certificado SSL, haga clic en Seleccionar.
7. En Seleccionar certificado, use el cuadro de seleccin para seleccionar el certificado
emitido por IssuingCA-APP1 a travs de la directiva de grupo. Este ser un certificado
con una cadena alfanumrica larga, a diferencia del que lee IssuingCA-APP1. Para
comprobar que tiene el certificado correcto, haga clic en Ver. Asegrese de que el
certificado que seleccione indica que fue emitido para APP1.corp.contoso.com por
21
22
Antes de comenzar con las instrucciones de esta gua, debe completar el laboratorio de
pruebas de configuracin bsica. Para obtener ms informacin, vea la gua del
laboratorio de pruebas bsica para Windows Server 2012.
Paso 2: Completar la gua del laboratorio de pruebas para implementar una jerarqua de
PKI de dos niveles para AD CS
La jerarqua de PKI de dos niveles proporciona la base del laboratorio que se explica en
este tema. Para obtener ms informacin, vea la gua del laboratorio de pruebas para
implementar una jerarqua de PKI de dos niveles para AD CS .
Importante
La lista de revocacin de certificados (CRL) ORCA1 para este laboratorio se configur
mediante el archivo CAPolicy.inf y tiene una validez de 26 semanas. La CRL APP1 debe
actualizarse cada semana. Para actualizar la CRL, ejecute el siguiente comando en
APP1 desde Windows PowerShell: certutil -crl
Paso 3: Configurar el servidor CEP1
La configuracin del servidor CEP1 permite dos mtodos para que los equipos cliente
obtengan directivas de inscripcin de certificados:
1. Autenticacin de nombre de usuario y contrasea
2. Autenticacin de certificado
Sugerencia
Para el resto de este laboratorio, solo son necesarios el controlador de dominio (DC1) y
el servidor APP1 de la gua del laboratorio de pruebas de configuracin bsica.
Instalar tres servidores adicionales: CEP1, CES1 y WEB1. Antes de instalar los
servidores nuevos, asegrese de que DC1 y APP1 estn en ejecucin.
Los procedimientos para configurar el servidor CEP1 para que admita la configuracin
descrita en esta gua son los siguientes:
1. Instalar el sistema operativo
25
2. Configurar TCP/IP
3. Unir el equipo al dominio
4. Instalar el Servicio web de directiva de inscripcin de certificados para usar la
autenticacin de nombre de usuario y contrasea
5. Instalar el Servicio web de directiva de inscripcin de certificados para usar la
autenticacin de certificado
Para instalar el sistema operativo
26
10.En Nombre del equipo, escriba CEP1 como el nuevo nombre del equipo y, a
continuacin, haga clic en Aceptar.
11.Cuando se le indique que debe reiniciar el equipo, haga clic en Aceptar.
12.En el cuadro de dilogo Propiedades del sistema, haga clic en Cerrar.
13.Cuando se le pida que reinicie el equipo, haga clic en Reiniciar ahora.
14.Despus de reiniciar, inicie sesin con la cuenta de administrador local.
Sugerencia
Los comandos de Windows PowerShell para cambiar la direccin IP y el nombre del
equipo son los siguientes:
$NetIP = Get-NetIPAddress | where {$_.Addressfamily -eq "IPv4" -and $_.InterfaceAlias
-like "*Ethernet*"}
$NetAlias = $NetIP.InterfaceAlias
New-NetIPAddress -InterfaceAlias $NetAlias -IPAddress 10.0.0.4 -PrefixLength 24
Set-DnsClientServerAddress -InterfaceAlias $NetAlias -ServerAddresses 10.0.0.1
Set-DnsClient -InterfaceAlias $NetAlias -ConnectionSpecificSuffix corp.contoso.com
Rename-computer CEP1
Restart-computer
Para unir el equipo al dominio
1. En el servidor CEP1, asegrese de haber iniciado sesin como User1. Haga clic
con el botn secundario en Windows PowerShell, haga clic en Ejecutar como
administrador y, a continuacin, ejecute los siguientes comandos:
Copiar
gpupdate /force
cd cert:\LocalMachine\My
dir | format-list
Importante
Necesita un certificado de autenticacin de servidor para que el servidor CEP1 realice
el siguiente procedimiento. El certificado debe distribuirse automticamente en el
equipo mediante la directiva de grupo y la entidad de certificacin (CA) que se est
ejecutando en APP1, la cual se configur en la gua del laboratorio de pruebas para
implementar una jerarqua de PKI de dos niveles. El comando gpupdate fuerza a la
directiva de grupo a actualizar y descargar el certificado. Debera ver que tiene un
certificado emitido por IssuingCA-APP1, el cual usar para instalar el Servicio web de
directiva de inscripcin de certificados. Si no ve el certificado inmediatamente despus
de ejecutar estos comandos, espere un par de minutos y, a continuacin, vuelva a
ejecutar el comando dir | format-list.
2. En el Administrador del servidor, haga clic en Administrar y, a continuacin, en
Agregar roles y caractersticas. En la pantalla Antes de comenzar, haga
clic en Siguiente.
3. En la pantalla Seleccionar tipo de instalacin, asegrese de que la opcin
Instalacin basada en caractersticas o en roles est seleccionada y, a
continuacin, haga clic en Siguiente.
28
29
30
1. Para instalar una segunda instancia del Servicio web de directiva de inscripcin
de certificados en el servidor CEP1, debe usar Windows PowerShell. Abra
Windows PowerShell como administrador y ejecute el comando siguiente:
Copiar
Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate
-KeyBasedRenewal -SSLCertThumbprint (dir -dnsname
cep1.corp.contoso.com).Thumbprint
2. Cuando se le pida que confirme, escriba Y y, a continuacin, presione ENTRAR.
Nota
Ver una confirmacin con el texto ErrorString. Si la confirmacin est vaca debajo
de ErrorString, la instalacin se complet correctamente. De lo contrario, revise el
comando en busca de errores, corrjalos y vuelva a intentarlo.
3. En el Administrador del servidor, haga clic en Herramientas y, a continuacin,
en Internet Information Services.
4. En el panel Conexiones de la consola del Administrador de Internet Information
Services (IIS), expanda el servidor CEP1.
Nota
Si se le pide que inicie la Plataforma web de Microsoft, haga clic en Cancelar.
5. Expanda Sitios y, a continuacin, expanda Default Web Site.
6. Haga clic en el directorio virtual
KeyBasedRenewal_ADPolicyProvider_CEP_Certificate.
7. En el panel central, haga doble clic en Configuracin de aplicaciones.
8. En Configuracin de aplicaciones, haga doble clic en FriendlyName y, a
continuacin, en el cuadro de texto Valor, escriba SSL Server Certificates.
Haga clic en Aceptar.
9. En Configuracin de aplicaciones, haga doble clic en URI y asegrese de que
el valor de URI sea
https://cep1.corp.contoso.com/KeybasedRenewal_ADPolicyProvider_CEP
_Certificate/service.svc/CEP. Este URI se usar para configurar WEB1 para que
se ponga en contacto con el servidor CEP1 para la renovacin de certificados.
Paso 4: Configurar el servidor CES1
31
Los procedimientos para configurar el servidor CES1 para que admita la configuracin
descrita en esta gua son los siguientes:
1. Instalar el sistema operativo
2. Configurar TCP/IP
3. Unir el equipo al dominio
4. Configurar la cuenta de servicio
5. Instalar el Servicio web de inscripcin de certificados para usar la autenticacin
de nombre de usuario y contrasea
6. Instalar el Servicio web de inscripcin de certificados para usar la autenticacin
de certificado
7. Conceder permiso de lectura a la cuenta de servicio en la CA
8. Confiar en la cuenta de servicio para la delegacin
El servidor de Servicios web de inscripcin de certificados se usa para enviar solicitudes
de certificado a la CA. La cuenta de servicio de Servicios web de directiva de inscripcin
de certificados enva las solicitudes de certificado a APP1 en nombre de los usuarios,
equipos y dispositivos que las solicitan. Adems de la configuracin para aceptar la
autenticacin de nombre de usuario y contrasea y la autenticacin de certificado, la
cuenta de servicio requiere permiso de lectura en la CA.
Para instalar el sistema operativo
34
35
37
39
interfaz.
8. Cierre Usuarios y equipos de Active Directory.
Paso 5: Preparar una plantilla de certificado adecuada
41
44
45
1. En WEB1, abra la consola del Editor de directivas de grupo local. Para ello, abra
Windows PowerShell como administrador y escriba el comando gpedit.msc.
2. En el panel de navegacin del Editor de directivas de grupo local, expanda
Directiva de equipo local, Configuracin del equipo, Configuracin de
Windows, Configuracin de seguridad y, a continuacin, haga clic en
Directivas de clave pblica.
3. En el panel de detalles, haga doble clic en Cliente de Servicios de servidor
de certificados - Inscripcin automtica.
4. En la pestaa Configuracin de directivas de inscripcin, establezca
Modelo de configuracin en Habilitado. Seleccione Renovar certificados
expirados, actualizar certificados pendientes y quitar certificados
revocados, seleccione Actualizar certificados que usan plantillas de
certificado y, a continuacin, haga clic en Aceptar.
5. En el panel de detalles de la consola del Editor de directivas de grupo local, haga
doble clic en Cliente de Servicios de servidor de certificados - Directiva
de inscripcin de certificados.
6. Establezca Modelo de configuracin en Habilitado.
7. En la pestaa Directiva de inscripcin, haga clic en Agregar.
8. En Servidor de directivas de inscripcin de certificados, en el cuadro de
texto Especifique el URI del servidor de directivas de inscripcin, escriba
el siguiente URI:
https://cep1.corp.contoso.com/KeyBasedRenewal_ADPolicyProvider_CEP_Certi
ficate/service.svc/CEP
9. Establezca Tipo de autenticacin en Certificado X.509.
10.Haga clic en Validar servidor. Seguridad de Windows mostrar el certificado
web1.treyresearch.com. Haga clic en Aceptar.
46
Nota
Si recibe un error de tiempo de espera de la operacin, asegrese de que los
servidores CEP1 y CES1 estn en lnea y, a continuacin, vuelva a intentarlo.
11.Una vez validada correctamente la ruta de acceso, haga clic en Agregar.
12.En la pestaa Directiva de inscripcin, en la lista Directiva de inscripcin
de certificados, active la casilla Predeterminado para Certificado SSL de
servidor y, a continuacin, haga clic en Aceptar.
Para probar la renovacin de certificados
1. En WEB1, ejecute el siguiente comando desde Windows PowerShell como
administrador:
Copiar
Cd Cert:\LocalMachine\My
Dir | format-list
Copie la huella digital del certificado de los resultados. (Para ello, seleccione el texto y
haga clic con el botn secundario).
2. Ejecute el siguiente comando para eliminar la cach de directivas:
certutil -f -policyserver * -policycache delete
3. Ejecute el siguiente comando para renovar el certificado. Reemplace
<thumbprint> por los caracteres reales de la huella digital del certificado que
copi. (Para pegar, haga clic con el botn secundario).
certreq -machine -q -enroll -cert <thumbprint> renew
Nota
Si se agota el tiempo de espera de la operacin, vuelva a intentarlo. Si se producen
otros errores, asegrese de que los servidores CEP1 y CES1 estn en lnea; para ello,
ejecute el comando iisreset desde Windows PowerShell en los servidores CES1 y CEP1,
y, a continuacin, vuelva a intentarlo.
4. En WEB1, ejecute el siguiente comando desde Windows PowerShell como
administrador:
Copiar
Cd Cert:\LocalMachine\My
Dir | format-list
Observe que la huella digital del certificado ha cambiado. Esto demuestra que el
certificado se renov correctamente.
47
48