Hoy vamos a generar certificados de equipo y usuario para nuestro dominio via GPO. Para ello vamos a crear una GPO llamada Certificados que instalara los certificados de equipo y usuario de forma automática. Abro la consola de Administración de Directivas de Grupo
Sobre Objetos de Directiva de Grupo – Botón derecho – Nueva Directiva de Grupo
Editamos la GPO
Vamos a Configuración de Equipo – Policies – Windows Settings – Security Settingd – Public Key Policies – Certification Services Client – AutoEnrollment
Botón Derecho – Editar – Habilitar
Vamos a Automatic Certificate Request Settings – Botón derecho – Nuevo
Escogemos equipo
Ahora vamos a crear una plantilla para los certificados de los Usuarios, para que se generen de forma automática. Para ello abrimos una consola y agregamos el complemento Plantillas de Certificado
Buscamos la plantilla Usuarios – Botón Derecho – Duplicar
Una vez duplicada hacemos botón derecho – Propiedades
Vamos a la pestaña Seguridad y en asignamos a Usuarios del dominio el permiso de AutoEnrollment
En Nombre Sujeto verifico que la cuenta de correo está marcada. Esto va a hacer que los usuarios necesiten de una cuenta de correo para obtener el certificado, si no quiero esto solo debo desmarcar el check del email.
Yo voy a publicar los certificados en Active Directory, de esta forma siempre le es más fácil a un usuario el coger el certificado de otro (Clave Publica), por ejemplo para las firmas del correo, cifrar documentos etc.
Ahora lo que tenemos que hacer es permitir a nuestra Entidad Emitir certificados basándose en la Plantilla que he creado. Para ello voy a la consola de Entidad Certificadora, y sobre Plantilla de Certificado – Boton Derecho – Nueva plantilla que se va a emitir
Selecciono mi plantillla
Ahora quito la plantilla usuarios no la necesito.
Volvemos a nuestra GPO Certificados y nos vamos a la parte de Configuración de Usuario
Navegamos hasta Policies – Windows Settings – Security Settings –Public Key Policies
Botón derecho sobre Certificate Services Client – Autoenrollment y Propiedades
Habilito la directiva
Ahora enlace mi GPO a nivel de dominio
Voy a crear una OU con usuarios y equipos, creo un usuario al que le asigno una dirección de correo
Propiedades
Añado el correo
Aplico la GPO de forma remota a la OU, mediante Botón derecho – Group Policy Update
Inicio sesión con el usuario en un equipo cliente
Saco la consola Certificados como Administrador para ver los certificados de Equipo y la misma consola como usuario estándar para ver los de usuario
Aquí los tengo
Hola, excelentes guias, pregunta, estos certificados pueden ser usados en la configuracion de RDS, y como se podria realizar?
Gracias
Si por supuesto que si
Excelente informacion la que compartes juan tengo una pregunta tengo instalada una rdweb en un servidor con windows server 2012 rt en la red local puedo correr las aplicaciones sin ningun problema ya agrege un certificado y ya no me manda errores. Cuando intento tener acceso desde una red externa me arroja error en el certificado pero si puedo tener acceso el problema es cuando quiero correr una aplicacion me manda para habilitar la confianza instale este certificado en el almacen de confianza y no se a que se refiere que crees que pueda estar haciendo mal amigo
Esto es por el certificado si tu certificado lo has generado desde una entidad de Microsoft la comprobación de la CRL ira por ldap no por http. Tienes que publicar esa CRL por http