circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Directiva de grupo

Esta inscripción de certificado se basa en el XCEParrow-up-right y WSTEParrow-up-right protocolos que todas las versiones recientes de Windows soportan de forma nativa. En entornos de Active Directory, las configuraciones necesarias se pueden aplicar mediante directivas de grupo (GPO) para que los equipos unidos a AD soliciten certificados desde SCEPman.

En este escenario, se requieren tres ajustes de directiva de grupo para un despliegue de certificados totalmente automatizado.

1

hashtag
Registro del servidor CEP

El servidor CEP (Certificate Enrollment Policy) (parte de SCEPman) proporcionará a un cliente autenticado una directiva que contiene todas las plantillas de certificados configuradas en SCEPman para el registro en Active Directory. El servidor CEP debe añadirse en los clientes en el registro. Windows incluye plantillas de GPO para configurar los ajustes necesarios en la interfaz gráfica.

hashtag
Configuración de la directiva

Para las plantillas de certificado Dispositivo y DC, tienes que ir a la Configuración del equipo sección. Para Usuario, navega en la Configuración del usuario sección. Si usas plantillas de certificado de ambos tipos, tendrás que configurar ambas. En ese caso, normalmente usarás dos GPO, una aplicada a los usuarios con la Configuración de usuario y otra aplicada a los equipos con la Configuración del equipo.

Ubicación del ajuste en el Editor de administración de directivas de grupo (gpmc.msc)
Configuración del equipo / Configuración del usuario
└-Directivas
  └-Configuración de Windows
    └-Configuración de seguridad
      └-Directivas de clave pública
        └-Cliente de servicios de certificados - Servidor de directivas de inscripción de certificados

En el ajuste, añade un nuevo servidor CEP en la lista e introduce el URI del servidor de directivas en el campo correspondiente. Puedes copiar este URI desde la página de inicio de tu SCEPman. Sigue el esquema de https://scepman.contoso.com/step/policy. Tras introducir y validar el servidor CEP puedes finalizar el ajuste agregándolo y confirmando el diálogo.

circle-exclamation

En el proceso de configuración, el cliente ya realiza una llamada de validación al servidor CEP. Por lo tanto, el contexto de cuenta usado para la configuración debe tener permiso para acceder al endpoint CEP de SCEPman, es decir, autenticarse con Kerberos, y acceso de red saliente al puerto 443 de SCEPman.

circle-exclamation

Por favor, consulta la Problemas Conocidos sección en caso de que recibas un error durante la validación del servidor CEP.

circle-info

Si estás usando el servidor CEP de SCEPman en paralelo con tu ADCS existente, necesitas elegir un servidor predeterminado y asegurarte de mantener la directiva de inscripción existente.

2

hashtag
Habilitar el registro automático

Con el servidor CEP registrado, tus usuarios/equipos pueden solicitar certificados desde SCEPman. Normalmente, querrás que lo hagan automáticamente sin interacción del usuario y para ello debes habilitar el Registro automático. Ten en cuenta que puede que ya esté habilitado si ya usabas el Registro automático antes con Microsoft Active Directory Certificate Services (AD CS).

Ubicación del ajuste en el Editor de administración de directivas de grupo (gpmc.msc)
Configuración del equipo / Configuración del usuario
└-Directivas
  └-Configuración de Windows
    └-Configuración de seguridad
      └-Directivas de clave pública
        └-Cliente de servicios de certificados - Registro automático

Asegúrate de marcar Actualizar certificados que usan plantillas de certificado para habilitar el registro automático.

3

hashtag
Instalar la CA raíz de confianza

Con el servidor de directivas de inscripción y los ajustes de registro automático en su lugar, solo necesitas asegurarte de que tus dispositivos o usuarios objetivo confían en el certificado CA de tu SCEPman. Para que esto ocurra, necesitarás importar el certificado de la CA en el ajuste correspondiente de la GPO.

Ubicación del ajuste en el Editor de administración de directivas de grupo (gpmc.msc)
Configuración del equipo / Configuración del usuario
└-Directivas
  └-Configuración de Windows
    └-Configuración de seguridad
      └-Directivas de clave pública
        └-Entidades de certificación raíz de confianza
          └- Importar (menú contextual)

Descarga el certificado CA de tu SCEPman desde su página de inicio y asegúrate de importarlo en este cuadro de diálogo.

Última actualización

¿Te fue útil?