> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/es/administracion-de-certificados/active-directory/directiva-de-grupo.md).
# Directiva de grupo
Esta inscripción de certificados se basa en los [XCEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-xcep) y [WSTEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wstep/) protocolos que todas las versiones recientes de Windows admiten de forma nativa. En entornos de Active Directory, los ajustes necesarios pueden aplicarse mediante directivas de grupo (GPO) para hacer que los equipos unidos a AD inscriban certificados de SCEPman.
En este escenario, se requieren tres configuraciones de directiva de grupo para una implementación de certificados totalmente automatizada.
{% stepper %}
{% step %}
### Registro del servidor CEP
El servidor CEP (Certificate Enrollment Policy) (parte de SCEPman) proporcionará a un cliente autenticado una directiva que contiene todas las plantillas de certificados configuradas en SCEPman para la inscripción en Active Directory. El servidor CEP debe agregarse en los clientes en el registro. Windows incluye plantillas de GPO para configurar los ajustes necesarios en la interfaz gráfica.
#### Configuración de la directiva
Para las plantillas de certificados `Dispositivo` y `DC`, tienes que ir a la *Configuración del equipo* rama. Para `Usuario`, navega en la *Configuración de usuario* rama. Si utilizas plantillas de certificados de ambos tipos, tendrás que configurar ambas. En ese caso, normalmente usarás dos GPO, una aplicada a los usuarios con la Configuración de usuario y otra aplicada a los equipos con la Configuración del equipo.
Configuración del equipo / Configuración de usuario
└-Policies
└-Configuración de Windows
└-Configuración de seguridad
└-Directivas de clave pública
└-Cliente de servicios de certificados - Servidor de directiva de inscripción de certificados
En el ajuste, agrega un nuevo servidor CEP en la lista e introduce la URI del servidor de directivas en el campo correspondiente. Puedes copiar esta URI desde la página principal de SCEPman. Sigue el esquema de `https://scepman.contoso.com/step/policy`. Después de introducir y validar el servidor CEP, puedes finalizar el ajuste añadiéndolo y confirmando el cuadro de diálogo.
{% hint style="warning" %}
Durante el proceso de configuración, el cliente ya realiza una llamada de validación al servidor CEP. Por lo tanto, el contexto de cuenta utilizado para la configuración debe tener permiso para acceder al endpoint CEP de SCEPman, es decir, autenticarse con Kerberos, y acceso de red saliente al puerto 443 de SCEPman.
{% endhint %}
{% hint style="warning" %}
Consulta la [sección de problemas conocidos](/es/administracion-de-certificados/active-directory/configuracion-general.md#known-issues) en caso de que recibas un error durante la validación del servidor CEP.
{% endhint %}
{% hint style="info" %}
Si estás usando el servidor CEP de SCEPman en paralelo a tu ADCS existente, debes elegir un servidor predeterminado y asegurarte de conservar la directiva de inscripción existente.
{% endhint %}
{% endstep %}
{% step %}
### Habilitar la inscripción automática
Con el servidor CEP registrado, tus usuarios/equipos pueden solicitar certificados de SCEPman. Normalmente querrás que lo hagan automáticamente, sin interacción del usuario, y para ello tienes que habilitar la inscripción automática. Ten en cuenta que puede que ya esté habilitada si antes usabas inscripción automática con Microsoft Active Directory Certificate Services (AD CS).
Configuración del equipo / Configuración de usuario
└-Policies
└-Configuración de Windows
└-Configuración de seguridad
└-Directivas de clave pública
└-Cliente de servicios de certificados - Inscripción automática
Asegúrate de marcar `Actualizar certificados que usan plantillas de certificados` para habilitar la inscripción automática.
{% endstep %}
{% step %}
### Instalar CA raíz de confianza
Con el servidor de directiva de inscripción y los ajustes de inscripción automática en su lugar, solo necesitas asegurarte de que tus dispositivos o usuarios de destino confíen en tu certificado de CA de SCEPman. Para que esto ocurra, deberás importar el certificado de la CA en el ajuste de GPO correspondiente.
Configuración del equipo / Configuración de usuario
└-Policies
└-Configuración de Windows
└-Configuración de seguridad
└-Directivas de clave pública
└-Autoridades de certificación raíz de confianza
└- Importar (menú contextual)
Descarga el certificado de CA de SCEPman desde su página principal y asegúrate de importarlo en este cuadro de diálogo.
{% endstep %}
{% endstepper %}
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.scepman.com/es/administracion-de-certificados/active-directory/directiva-de-grupo.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.