CONFIGURACIÓN CERTIFICATE AUTHORITY PARTE 3

PLANTILLAS DE CERTIFICADOS

WINDOWS SERVER 2012 R2

PARTE III

Continuando con el capítulo anterior instalación y configuración de una entidad de certificados, en este módulo se revisara la parte práctica de cómo generar un certificado mediante una plantilla existente.

CREACION DE UNA PLANTILLA PARA CUENTAS DE COMPUTADORAS (EQUIPOS)

Como vimos en anteriores módulos se tienen muchas plantillas para poder ser utilizadas duplicadas para nuestro uso, se reviso todas las plantillas a nivel conceptual, ahora utilizaremos la plantilla de cuenta de computadoras o plantilla Computer. De la misma manera que se generara esta plantilla usted podrá generar el resto de plantillas que usted quiera o que usted necesite, a parte para poder realizar este laboratorio usted deberá contar con lo siguiente.

1.       Un Domain controller en mi caso es AD01.mundoactivedirectory.com

2.       Una entidad de certificados digitales Certifícate Authority (la cual se instaló en los otros módulos y se explicó como instalarla y configurarla, si se siguió esos pasos podrá continuar con este laboratorio caso contrario, solicitarles instalar una antes de proseguir), en mi caso mi entidad de certificados se llama ROOTCA.mundoactivedirectory.com

3.       Contar con un equipo cliente podrá ser Windows 7 o Windows 8 el que usted tenga disponible. Ese equipo deberá estar unido al dominio.

4.       Se recomienda deshabilitar el firewall en todos los equipos.

5.       Verificar que exista conectividad a través de prueba de PING.

6.       Contar con todos los permisos necesarios para realizar las pruebas.

REALIZAR ESTOS PASOS EN LA ENTIDAD DE CERTIFICADOS

PLANTILLA COMPUTER.

PASOS INICIALES

• Ingresamos a nuestra entidad de certificados digitales  Certification Authority
• Con botón derecho sobre Certifícate Templetes, elegimos Manage
• Con botón derecho sobre la plantilla Computer, elegimos Duplicate Témplate, seleccionando de tipo Windows 2008 Enterprise.
• Le asignamos un nombre a la nueva plantilla EJ TestComputer
• En el periodo de validez colocamos 5 años.
• Escogemos en la misma pestaña de General, Publish Certifícate Authority in active directory
• En la pestaña de  Seguridad le asignamos a la cuenta de Domain Computers los siguientes tipos de permisos:
•  Asignamos el permiso Autoenroll
•  Asignamos el permiso de Enroll
•  Asignamos el permiso de Write
• Cerramos la consola Certificate Templates y volvemos a la de Autoridad Certificadora
• Con botón derecho sobre Certificate Templates elegimos:
•  New / Certifícate Témplate to Issue seleccionando nuestro template creado o duplicado por nosotros llamado en mi caso – TestComputer.
• Si hacemos doble clic en nuestro témplate debería abrir sin ningún error, verificamos que abra y despliegue la información por defecto.

Con todos estos pasos se generó la plantilla Computer y lo que nos faltaría es generarla a través de políticas de grupo para que se despliegue la plantilla que creamos por defecto a todas las cuentas de computadora de manera automática. Para esto necesitamos trabajar con GPMC o GPO´S en los anteriores capítulos del curso de Directorio Activo AD, hay un módulo de cómo utilizar GMPC y desplegar políticas de grupo a cuentas de computadoras y a cuentas de usuario, por favor pediría se revise y se practique el despliegue de dichas políticas antes de proseguir con este laboratorio.

GPMC PARA CUENTA DE COMPUTADORA DESPLIEGUE AUTOMATICO 

PASOS INICIALES

 

·         Ingresamos a herramientas administrativas escogemos Group Policy Management Console crearemos y enlazaremos una GPO llamada TestComputer a mi dominio.

·         En la  GPO expandimos en  Computer Configuration / Policies / Windows Settings / Security Settings / Public Key Policies

·         En las propiedades de Certificate Services Client – Auto-Enrollment seleccionamos:

• Configuration Model: Enable
• Clic en Renew expired certificates……
• Clic en Update certificates that use certificate template.
• Clic en OK.

ü  Como administrador ingresamos al Command Promp y digitamos el siguiente commando:

§  GPUPDATE /FORCE

§  Con este comando forzamos a que se aplique la política

PASOS FINALES

TESTEO TEMPLATE

• Iniciamos sesión en nuestro equipo cliente Windows 7 o Windows 8 como administrador del dominio
• Ingresamos a la línea de comandos ejecutamos el comando citado anteriormente, también como administrador del dominio.
• GPUPDATE / FORCE
• O si gustan también solo colocar GPUPDATE
• Iniciamos una consola (MMC.EXE) como administrador y cargamos el complemento (snap-in) Certificates sobre Computer Account.
• Debemos ver el certificado de equipo instalado en la carpeta Personal deberá estar el certificado que se generó automáticamente.

NOTA:

En este módulo se revisó la parte práctica de como emitir o duplicar un template ya existente para nuestros propósitos específicos, se revisó como utilizar políticas de grupo para desplegar el certificado automáticamente a todas las computadoras que se encuentren en el dominio. Espero les haya sido de utilidad. Hasta pronto.