PLANTILLAS DE CERTIFICADOS
WINDOWS SERVER 2012 R2
PARTE III
Continuando con el capítulo anterior instalación y configuración de una
entidad de certificados, en este módulo se revisara la parte práctica de cómo
generar un certificado mediante una plantilla existente.
CREACION DE UNA PLANTILLA PARA CUENTAS DE COMPUTADORAS (EQUIPOS)
Como vimos en anteriores módulos se tienen muchas plantillas para poder ser
utilizadas duplicadas para nuestro uso, se reviso todas las plantillas a nivel
conceptual, ahora utilizaremos la plantilla de cuenta de computadoras o
plantilla Computer. De la misma manera que se generara esta plantilla usted
podrá generar el resto de plantillas que usted quiera o que usted necesite, a
parte para poder realizar este laboratorio usted deberá contar con lo
siguiente.
1. Un Domain controller en mi caso es
AD01.mundoactivedirectory.com
2. Una entidad de certificados digitales Certifícate
Authority (la cual se instaló en los otros módulos y se explicó como instalarla
y configurarla, si se siguió esos pasos podrá continuar con este laboratorio
caso contrario, solicitarles instalar una antes de proseguir), en mi caso mi
entidad de certificados se llama ROOTCA.mundoactivedirectory.com
3. Contar con un equipo cliente podrá ser
Windows 7 o Windows 8 el que usted tenga disponible. Ese equipo deberá estar
unido al dominio.
4. Se recomienda deshabilitar el firewall en
todos los equipos.
5. Verificar que exista conectividad a través
de prueba de PING.
6. Contar con todos los permisos necesarios
para realizar las pruebas.
REALIZAR ESTOS
PASOS EN LA ENTIDAD DE CERTIFICADOS
PLANTILLA
COMPUTER.
PASOS INICIALES
- Ingresamos a nuestra entidad de certificados digitales Certification Authority
- Con botón derecho sobre Certifícate Templetes, elegimos Manage
- Con botón derecho sobre la plantilla Computer, elegimos Duplicate Témplate, seleccionando de tipo Windows 2008 Enterprise.
- Le asignamos un nombre a la nueva plantilla EJ TestComputer
- En el periodo de validez colocamos 5 años.
- Escogemos en la misma pestaña de General, Publish Certifícate Authority in active directory
- En la pestaña de Seguridad le asignamos a la cuenta de Domain Computers los siguientes tipos de permisos:
- Asignamos el permiso Autoenroll
- Asignamos el permiso de Enroll
- Asignamos el permiso de Write
- Cerramos la consola Certificate Templates y volvemos a la de Autoridad Certificadora
- Con botón derecho sobre Certificate Templates elegimos:
- New / Certifícate Témplate to Issue seleccionando nuestro template creado o duplicado por nosotros llamado en mi caso – TestComputer.
- Si hacemos doble clic en nuestro témplate debería abrir sin ningún error, verificamos que abra y despliegue la información por defecto.
Con todos estos pasos se generó la plantilla Computer y lo que nos faltaría
es generarla a través de políticas de grupo para que se despliegue la plantilla
que creamos por defecto a todas las cuentas de computadora de manera
automática. Para esto necesitamos trabajar con GPMC o GPO´S en los anteriores
capítulos del curso de Directorio Activo AD, hay un módulo de cómo utilizar
GMPC y desplegar políticas de grupo a cuentas de computadoras y a cuentas de
usuario, por favor pediría se revise y se practique el despliegue de dichas
políticas antes de proseguir con este laboratorio.
GPMC PARA CUENTA DE COMPUTADORA
DESPLIEGUE AUTOMATICO
PASOS INICIALES
·
Ingresamos a herramientas administrativas escogemos Group Policy
Management Console crearemos y enlazaremos una GPO llamada TestComputer a
mi dominio.
·
En la GPO expandimos en Computer Configuration / Policies / Windows
Settings / Security Settings / Public Key Policies
·
En las propiedades de Certificate Services Client – Auto-Enrollment seleccionamos:
- Configuration Model: Enable
- Clic en Renew expired certificates……
- Clic en Update certificates that use certificate template.
- Clic en OK.
ü Como administrador
ingresamos al Command Promp y digitamos el siguiente commando:
§
GPUPDATE /FORCE
§
Con este comando forzamos a que se aplique la política
PASOS FINALES
TESTEO TEMPLATE
- Iniciamos sesión en nuestro equipo cliente Windows 7 o Windows 8 como administrador del dominio
- Ingresamos a la línea de comandos ejecutamos el comando citado anteriormente, también como administrador del dominio.
- GPUPDATE / FORCE
- O si gustan también solo colocar GPUPDATE
- Iniciamos una consola (MMC.EXE) como administrador y cargamos el complemento (snap-in) Certificates sobre Computer Account.
- Debemos ver el certificado de equipo instalado en la carpeta Personal deberá estar el certificado que se generó automáticamente.
NOTA:
En este módulo se revisó la parte práctica de como emitir o duplicar un
template ya existente para nuestros propósitos específicos, se revisó como
utilizar políticas de grupo para desplegar el certificado automáticamente a
todas las computadoras que se encuentren en el dominio. Espero les haya sido de
utilidad. Hasta pronto.
