Certificados de controladores de dominio

Puedes usar SCEPman para emitir certificados de autenticación Kerberos a tus controladores de dominio. Esto permite que tus dispositivos unidos a AAD o híbridamente se autentiquen sin problemas al acceder a recursos locales. Esto puede usarse para implementar el Trust de clave híbrida para Windows Hello for Business. SCEPman reemplazará el requisito de una Infraestructura de clave pública. Los detalles se pueden encontrar aquí

CA raíz sin la extensión Enhanced Key Usage (EKU)

Esta función tiene nuevos requisitos para la CA raíz. Si estás actualizando desde una versión anterior como 1.6 debes generar una nueva CA raíz. Para admitir certificados de autenticación Kerberos, el certificado de la CA debe contener o bien ninguna extensión Enhanced Key Usage (EKU) o debe incluir Autenticación Kerberos e Inicio de sesión con tarjeta inteligente.

Si comienzas con SCEPman 1.6 y generas la CA raíz con nuestro SCEPman, puedes omitir los siguientes pasos. De lo contrario, sigue esta guía para generar una nueva CA raíz.

1. Navega a tu Key Vault

2. Comprueba si tu cuenta de usuario está añadida a las políticas de acceso con todos los permisos de certificado

3. Ve a Certificados, selecciona tu certificado CA y haz clic en Eliminar

4. Después de haber eliminado correctamente el certificado de CA debes hacer clic en Administrar certificados eliminados

5. Selecciona tu certificado CA, que eliminaste en el Paso 3, y haz clic en Purgar (Ten en cuenta que una vez que hayas purgado el certificado ¡no puedes restaurarlo!)

6. Ahora reinicia tus App Services de SCEPman

7. Una vez que tus App Services se hayan reiniciado abre el panel de SCEPman navegando a la URL de tu SCEPman

8. Puedes ver la sección Problemas de configuración, sigue los pasos en esta sección.

9. Después de haber generado el nuevo certificado de CA puedes comprobar la idoneidad de la CA en el panel de SCEPman.

Idoneidad de la CA en el panel de SCEPman:

Cambios de configuración del servicio SCEPman

Para habilitar la función, debes añadir dos configuraciones de aplicación en tu servicio SCEPman. En la implementación actual usamos una clave precompartida (contraseña) para las solicitudes de los DC. Genera una nueva clave/contraseña y guárdala en un lugar seguro. (la necesitarás en los pasos siguientes y más tarde, en los controladores de dominio)

1. Navegue a App Services

2. Luego elige tu aplicación SCEPman

3. A continuación, en Configuración haz clic en Variables de entorno

4. Selecciona Añadir

5. Escribe AppConfig:DCValidation:Enabled como Nombre

6. Escribe true como Valor

7. Confirma con Aceptar

8. Selecciona Agregar de nuevo

9. Escribe AppConfig:DCValidation:RequestPassword como Nombre

10. Escribe tu clave/contraseña, que generaste anteriormente, como Valor

11. Confirma con Aceptar

12. Guarda las configuraciones de la aplicación

Confía en el certificado de la CA en el Dominio para Autenticación Kerberos

Los certificados usados para la autenticación Kerberos deben ser confiables dentro del dominio AD como certificados de CA de autenticación. Descarga el certificado de la CA desde el panel de SCEPman. Si guardaste el archivo como scepman-root.cer, puedes publicar el certificado CA de SCEPman (ya sea una CA raíz o una CA intermedia) con el siguiente comando con una cuenta que tenga derechos de Administrador de Empresa:

De manera análoga, ejecuta el siguiente comando para enviar el certificado de la CA raíz (es decir, el certificado CA de SCEPman o en caso de que SCEPman sea una CA intermedia, la CA raíz de la cadena de certificados de la CA de SCEPman) al almacén de certificados de Autoridades de certificación raíz de confianza para todas las máquinas del bosque AD:

Después, el certificado de la CA generalmente será confiable en AD y especialmente confiable para la Autenticación Kerberos. Sin embargo, toma algún tiempo (en la configuración por defecto hasta 8 horas) hasta que todos los dispositivos reciban esta configuración. Puedes acelerar este proceso en cualquier máquina ejecutando gpupdate /force, por ejemplo, en los controladores de dominio.

Esto asegura que los certificados de DC sean confiables dentro del dominio. También son confiables en todos los dispositivos gestionados por Intune dentro del alcance de un perfil de Certificado de confianza que distribuya el certificado de la CA raíz. Puede ser necesario distribuir la CA raíz manualmente a otros servicios como dispositivos de red o servicios en la nube para que los certificados de DC sean confiables para todos los sistemas.

Instalación en el cliente

Entonces debes descargar nuestro software cliente SCEP de código abierto SCEPClient. Las versiones con el sufijo -framework usan .NET Framework 4.6.2, que está preinstalado en Windows Server 2016 y es compatible con versiones más recientes. Otras versiones requieren que el Runtime de .NET Core esté instalado en los sistemas objetivo.

Ejecuta el siguiente comando en un símbolo del sistema elevado en un controlador de dominio para recibir un certificado de Controlador de Dominio desde SCEPman:

Debes añadir la URL de SCEPman en el comando anterior pero mantener la ruta /dc. Reemplaza RequestPassword con la clave/contraseña segura que generaste anteriormente.

La contraseña de solicitud se cifra con el certificado CA de SCEPman, por lo que solo SCEPman puede leerla. Los certificados de Controlador de Dominio solo se emiten con la contraseña de solicitud correcta.

Renovación automatizada de certificados

Para una renovación completamente automatizada de certificados, deberías distribuir ScepClient a todos tus controladores de dominio, junto con el script de PowerShell enroll-dc-certificate.ps1. Añade una tarea programada que ejecute el siguiente comando en un contexto SYSTEM (adapta la URL y la contraseña de solicitud):

Asegúrate de que el script de PowerShell resida en el mismo directorio que SCEPClient.exe y sus dependencias adicionales.

Esto comprueba si existen certificados de DC en el almacén de la máquina. Solo si no hay certificados adecuados con al menos 30 días de validez, utiliza ScepClient.exe para solicitar un nuevo certificado de DC desde SCEPman. Si quieres modificar el umbral de 30 días, usa el parámetro -ValidityThresholdDays del script de PowerShell.

El script escribe un archivo de registro continuo en el directorio donde se almacena. Si no quieres este archivo de registro, omite el -LogToFile parámetro. En su lugar puedes redirigir las secuencias de Información, Error y/o Depuración a archivos (por ejemplo, 6>logfile.txt 2>&1).

Para WHfB, todos los DCs que ejecuten la versión 2016 o posterior necesitan un certificado de Autenticación Kerberos. Los DCs más antiguos reenvían las solicitudes de autenticación a DCs más nuevos, por lo que no requieren necesariamente un certificado de Autenticación Kerberos. Sin embargo, es una buena práctica también proporcionarles certificados.

Retirada de una PKI interna existente

Asegúrate de que las PKI internas no inscriban certificados de DC (Plantillas de certificado "Domain Controller", "Domain Controller Authentication" y "Kerberos Authentication") en paralelo con SCEPman. De lo contrario, los DCs podrían usar el certificado de DC de la PKI interna, que se considera no confiable si, por ejemplo, el CDP no es accesible. El certificado de DC de SCEPman puede usarse para todos los propósitos para los que se pueden usar los certificados de las plantillas mencionadas anteriormente, por ejemplo, autenticación Kerberos y LDAPS.

La forma más sencilla de lograr esto es dejar de emitir desde las CAs internas certificados para las plantillas "Domain Controller", "Domain Controller Authentication" y "Kerberos Authentication". En el complemento MMC de Autoridad de certificación, elimina estas plantillas de la lista de plantillas emitidas de cada CA interna. Luego, elimina los certificados ya emitidos por la CA interna de los almacenes "MY" de tus Controladores de Dominio (certlm.msc y navega a Personal). Incluso después de un gpupdate /force, no debería aparecer un nuevo certificado de DC de la PKI interna en el almacén Personal del DC.