Servicios de certificados de Active Directory (AD CS) es una cereza muy conveniente y útil en una red de dominio. AD CS le permite emitir y administrar SSL y otros certificados dentro de su dominio. Puede usar sus propios certificados gratuitos para servidores Exchange, IIS, granjas RDSH, etc. En este artículo, le mostraremos un escenario simplificado para implementar una autoridad de certificación en un entorno de prueba (no se recomienda usar este manual para un entorno de producción). entorno debido a una baja seguridad). Mostraremos cómo instalar y configurar el rol de AD CS y crear una política de grupo para implementar el certificado raíz en un dominio.

Nota. En un entorno de producción, no recomendamos implementar AD CS en un controlador de dominio de Active Directory. En un entorno de producción, debe implementar:

  • Servidor de certificación raíz independiente (Enterprise Root CA): este servidor emite un certificado para firmar la CA subordinada. Después de generar un certificado raíz de confianza y una CRL, se recomienda apagar este servidor (y guardarlo en una caja fuerte :));
  • CA subordinada: este es el servidor principal que emitirá certificados en la organización. También puede almacenar una lista de revocación de certificados y usarse para verificar certificados revocados.

Los componentes de servicios de certificados son uno de los roles estándar de Windows Server 2016. En nuestro entorno de prueba, instalaremos el rol de AD CS en un controlador de dominio. Se deben implementar los siguientes componentes de rol:

  • Autoridad de certificación: la propia autoridad de certificación;
  • Inscripción web de la autoridad de certificación: servicio web de emisión de certificados CSR (hash de certificado).
  1. Lanzamiento Administrador del servidor y seleccione Agregar roles y características;
  2. Seleccione el servidor actual, en la lista de roles verifique Autoridad de certificación de Active Directory y haga clic Próximo;
  3. En la lista de componentes de funciones de AD CS, seleccione:
    Autoridad de certificación;
    Inscripción Web de la Autoridad de Certificación;
    Servicio Web de la Autoridad de Certificación.
    servicios de certificados del directorio activo de microsoft
  4. Acepte agregar e instalar los componentes necesarios de IIS;
    servicios de certificados de anuncios
  5. Haga clic en el Instalar en pc botón y espere hasta que se complete la instalación de los componentes necesarios;
    servicios de certificados del directorio activo 2016
  6. Una vez completada la instalación de las funciones, debe realizar la configuración inicial de la función ADCS. Para hacer esto, en el Administrador del servidor, haga clic en la bandera amarilla y haga clic en Configurar servicios de certificados de Active Directory en el servidor de destino;
    servicios de certificados de directorio activo de windows server 2016
  7. Seleccione los servicios a configurar;
    directorio activo adcs
  8. Seleccione el tipo de CA—CA empresarial > CA raíz;
    configurar los servicios de certificados del directorio activo
  9. Seleccione Crear una nueva clave privada;
    servicio de certificados del directorio activoDeje la configuración predeterminada para la clave privada:
    • proveedor de RSA;
    • Longitud de clave 2048;
    • Algoritmo hash: SHA256.
      instalar servicios de certificados de directorio activo
  10. El nombre CN se puede dejar sin cambios;
  11. Especifique el período de validez del certificado de CA (puede dejar 5 años);servicios de certificados de windows server 2016
  12. Utilice las rutas de registro y la base de datos de CA predeterminadas: c:windowssystem32certlogservicios de certificados en el controlador de dominio
  13. Si todo está configurado correctamente, aparece el título: Configuración exitosa.
    directiva de servicios de certificados del directorio activo

Nota. También puede instalar los servicios de ADCS mediante PowerShell. Para instalar el rol de AD CS, ejecute el comando:

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

Después de instalar AD CS, ejecute el siguiente comando:

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Para administrar ADCS, se utiliza un complemento especial de Autoridad de certificación (puede encontrarlo en Herramientas administrativas). Como puede ver, el rol se está ejecutando:

atributos adicionales de los servicios de certificados del directorio activo

Ahora debe configurar la directiva de grupo de dominio de inscripción automática para emitir certificados automáticamente para clientes de dominio.

  1. Abra la consola de administración de directivas de grupo, haga clic en la raíz del dominio y seleccione "Crear un GPO en este dominio y vincularlo aquí...";
    servicios de certificados de directorio activo 2016 paso a paso
  2. Especifique un nombre de política y vaya al modo de edición;
  3. Vaya a la sección GPO – Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de clave pública;
  4. Seleccione una plantilla "Cliente de servicios de certificados - Inscripción automática";
  5. Habilite la política y configúrela de la siguiente manera:
    Modo de configuración: Habilitado
    Renovar certificados caducados, actualizar certificados pendientes y eliminar certificados revocados
    Actualizar certificados que usan plantillas de certificado

atributos adicionales de los servicios de certificados del directorio activo de microsoft

Después de crear esta política, debe actualizar las políticas en el dominio de la computadora con el comando gpupdate y asegurarse de que su certificado raíz aparezca en Certificados raíz de confianza.

Recomendado para ti

Bestseller No. 1
Hp Elite 8300 - Ordenador de sobremesa + Monitor 24'' (Intel Core i7-3770, 8GB de RAM, Disco de 240 SSD+ 500GB HDD, Lector DVD, WiFi,Windows 10 Pro 64) (Reacondicionado)
  • Procesador Intel Core i7-3770 - 3,40 GHz
  • Monitor 24" Reacondicionado con altavoces integrados, Estado excelente.
  • Almacenamiento de 240GB SSD+500GB HDD
  • Memoria RAM 8GB DDR3
  • Sistema Operativo: Windows 10 PRO
Bestseller No. 2
The Office
  • Amazon Prime Video (Video on Demand)
  • Steve Carell, Rainn Wilson, John Krasinski (Actors)
  • Bryan Gordon (Director)
Bestseller No. 3
El catcher espía
  • Amazon Prime Video (Video on Demand)
  • Paul Rudd, Jeff Daniels, Sienna Miller (Actors)
  • Ben Lewin (Director)