Este registro de certificados se basa en los XCEP y WSTEP protocolos que todas las versiones recientes de Windows admiten de forma nativa. En entornos de Active Directory, los ajustes necesarios se pueden aplicar mediante directivas de grupo (GPO) para que los equipos unidos a AD registren certificados de SCEPman.
En este escenario, se requieren tres configuraciones de directiva de grupo para un despliegue de certificados totalmente automatizado.
1
Registro del servidor CEP
El servidor CEP (Certificate Enrollment Policy) (parte de SCEPman) proporcionará a un cliente autenticado una directiva que contiene todas las plantillas de certificados configuradas en SCEPman para el registro en Active Directory. El servidor CEP debe añadirse en los clientes en el registro. Windows incluye plantillas de GPO para configurar los ajustes necesarios en la interfaz gráfica.
Configuración de la directiva
Para las plantillas de certificado Dispositivo y DC, debes ir a la Configuración del equipo hive. Para Usuario, navega en la Configuración de usuario hive. Si utilizas plantillas de certificado de ambos tipos, tendrás que configurar ambas. En ese caso, normalmente usarás dos GPO, una aplicada a los usuarios con la Configuración de usuario y otra aplicada a los equipos con la Configuración del equipo.
Ubicación de la configuración en el Editor de administración de directivas de grupo (gpmc.msc)
Configuración del equipo / Configuración de usuario
└-Directivas
└-Configuración de Windows
└-Configuración de seguridad
└-Directivas de clave pública
└-Cliente de servicios de certificados - Servidor de directiva de inscripción de certificados
En la configuración, agrega un nuevo servidor CEP en la lista e introduce la URI del servidor de directivas en el campo correspondiente. Puedes copiar esta URI desde la página principal de SCEPman. Sigue el esquema de https://scepman.contoso.com/step/policy. Después de introducir y validar el servidor CEP, puedes finalizar la configuración añadiéndolo y confirmando el diálogo.
Durante el proceso de configuración, el cliente ya realiza una llamada de validación al servidor CEP. Por lo tanto, el contexto de cuenta usado para la configuración debe tener permiso para acceder al endpoint CEP de SCEPman, es decir, autenticarse con Kerberos, y acceso de red saliente al puerto 443 de SCEPman.
Consulta la Problemas conocidos sección en caso de que recibas un error durante la validación del servidor CEP.
Si estás usando el servidor CEP de SCEPman en paralelo con tu ADCS existente, debes elegir un servidor predeterminado y asegurarte de conservar la directiva de inscripción existente.
2
Habilitar la inscripción automática
Con el servidor CEP registrado, tus usuarios/equipos pueden solicitar certificados a SCEPman. Normalmente querrás que lo hagan automáticamente sin interacción del usuario y, para ello, debes habilitar la inscripción automática. Ten en cuenta que podría ya estar habilitada si antes usabas la inscripción automática con Microsoft Active Directory Certificate Services (AD CS).
Ubicación de la configuración en el Editor de administración de directivas de grupo (gpmc.msc)
Configuración del equipo / Configuración de usuario
└-Directivas
└-Configuración de Windows
└-Configuración de seguridad
└-Directivas de clave pública
└-Cliente de servicios de certificados - Inscripción automática
Asegúrate de marcar Actualizar certificados que usan plantillas de certificado para habilitar la inscripción automática.
3
Instalar la CA raíz de confianza
Con el servidor de directivas de inscripción y la configuración de inscripción automática ya establecidos, solo necesitas asegurarte de que tus dispositivos o usuarios de destino confíen en el certificado de la CA de SCEPman. Para que esto ocurra, deberás importar el certificado de la CA en la configuración correspondiente de GPO.
Ubicación de la configuración en el Editor de administración de directivas de grupo (gpmc.msc)
Configuración del equipo / Configuración de usuario
└-Directivas
└-Configuración de Windows
└-Configuración de seguridad
└-Directivas de clave pública
└-Autoridades de certificados raíz de confianza
└- Importar (menú contextual)
Descarga el certificado de la CA de SCEPman desde su página principal y asegúrate de importarlo en este cuadro de diálogo.
