> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/es/administracion-de-certificados/active-directory/escenarios/certificado-de-servidor-rdp.md).
# Certificado de servidor RDP
Usando la `RdpServer` plantilla, puede configurar equipos y servidores para que utilicen certificados administrados proporcionados a los clientes que acceden a ellos a través del Protocolo de Escritorio Remoto.
{% stepper %}
{% step %}
### Crear objeto de plantilla en Active Directory
Durante la inscripción y asignación del certificado, el `SessionEnv` servicio buscará la plantilla de certificado configurada en Active Directory incluso si la plantilla de certificado se usará desde el servicio CEP ya configurado de SCEPman. Para satisfacer esta búsqueda crearemos un objeto de plantilla de certificado vacío en la ubicación esperada. Esto requiere permisos de escritura en el contenedor Public Key Services del bosque, por ejemplo con el rol Enterprise Admin.
{% hint style="info" %}
Se requiere un Enterprise Admin para realizar esta creación de objeto, a menos que haya asignado permisos a otros roles en el contenedor Public Key Services.
{% endhint %}
{% code lineNumbers="true" %}
```powershell
$ConfigPath = (Get-ADRootDSE).configurationNamingContext
$TemplateContainer = "CN=Certificate Templates,CN=Public Key Services,CN=Services,$ConfigPath"
$Name = "SCEPmanRdpServer"
New-ADObject -Name $Name `
-Type pKICertificateTemplate `
-Path $TemplateContainer `
-OtherAttributes @{
"displayName" = $Name;
"msPKI-Cert-Template-OID" = "1.3.6.1.4.1.311.21.8.$(Get-Random 9999999).$(Get-Random 9999999)";
"msPKI-Template-Schema-Version" = 1;
"msPKI-Template-Minor-Revision" = 1;
"msPKI-RA-Signature" = 0;
"flags" = 0
}
```
{% endcode %}
{% endstep %}
{% step %}
### Habilitar la plantilla de certificado en SCEPman
Al igual que otras plantillas de certificado, esta puede configurarse agregando las siguientes variables de entorno al servicio de aplicaciones de SCEPman:
| Configuración | Valor | Descripción |
| ----------------------------------------------- | ------------- | --------------------------------------------------------------------------------------------------- |
| AppConfig:ActiveDirectory:RdpServer:Enabled | verdadero | Habilite la plantilla de certificado |
| AppConfig:ActiveDirectory:RdpServer:GroupFilter | SID del grupo | Opcional: permita que solo los miembros de este grupo inscriban certificados usando esta plantilla. |
| {% endstep %} | | |
{% step %}
### Configurar la Directiva de grupo
En una Directiva de grupo, configuramos el nombre de la plantilla de certificado y, además, indicamos a los equipos que apliquen una capa de seguridad específica durante las conexiones.
Configuración del equipo
└-Directivas
└-Plantillas administrativas
└-Componentes de Windows
└-Servicios de Escritorio remoto
└-Host de sesión de Escritorio remoto
└-Seguridad
└-Plantilla de certificado de autenticación del servidor
└-Requerir el uso de una capa de seguridad específica para conexiones remotas (RDP)
#### Plantilla de certificado de autenticación del servidor
Introduzca el nombre de la plantilla de certificado que se usará para la autenticación del servidor RDP. De forma predeterminada, es `SCEPmanRdpServer`.
#### Requerir el uso de una capa de seguridad específica para conexiones remotas (RDP)
Seleccione SSL aquí para imponer el uso del certificado utilizado.
{% endstep %}
{% endstepper %}
Con la configuración en su lugar, el `SessionEnv` servicio puede reiniciarse para imponer la inscripción y asignación del certificado.
En el propio equipo, puede confirmar el certificado utilizado ejecutando el siguiente comando:
{% code overflow="wrap" %}
```powershell
(Get-CimInstance -Class Win32_TSGeneralSetting -Namespace root\\cimv2\\terminalservices -Filter "TerminalName='RDP-tcp'").SSLCertificateSHA1Hash
```
{% endcode %}
Esto mostrará la huella digital del certificado RDP activo.
El registro de eventos también mostrará que se ha usado un nuevo certificado:
{% code title="Mostrar las entradas relevantes del registro de eventos" overflow="wrap" %}
```powershell
Get-WinEvent -LogName "System" | Where-Object { $_.ProviderName -eq "Microsoft-Windows-TerminalServices-RemoteConnectionManager" } | Select-Object -First 10 | Format-List Message, TimeCreated
```
{% endcode %}
> Se ha instalado un nuevo certificado basado en plantilla para que lo use el servidor RD Session Host para la autenticación y el cifrado de Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL)
> \
> . El nombre de este certificado es svr01.Conitoso.local. El hash SHA1 del certificado se proporciona en los datos del evento.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.scepman.com/es/administracion-de-certificados/active-directory/escenarios/certificado-de-servidor-rdp.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.