Certificados de controlador de dominio

Puede usar SCEPman para emitir certificados de autenticación Kerberos a sus controladores de dominio. Esto permite que sus dispositivos unidos a AAD o híbridos se autentiquen sin problemas al acceder a recursos locales. Esto puede usarse para implementar el Trust de clave híbrida para Windows Hello para empresas. SCEPman reemplazará el requisito de una infraestructura de clave pública. Los detalles se pueden encontrar aquí

CA raíz sin la extensión Enhanced Key Usage (EKU)

Esta característica tiene nuevos requisitos para la CA raíz. Si está actualizando desde una versión anterior como 1.6 debe generar una nueva CA raíz. Para admitir certificados de autenticación Kerberos, el certificado de la CA debe contener o bien ninguna extensión de Enhanced Key Usage (EKU) o debe incluir Kerberos Authentication y Smart Card Logon.

Si está empezando con SCEPman 1.6 y genera la CA raíz con nuestro SCEPman, puede omitir los siguientes pasos. De lo contrario, siga esta guía para generar una nueva CA raíz.

1. Navegue a su Key Vault

2. Compruebe si su cuenta de usuario está añadida a las políticas de acceso con todos los permisos de certificado

3. Vaya a Certificados, seleccione su certificado de CA y haga clic en Eliminar

4. Después de haber eliminado correctamente el certificado de CA debe hacer clic en Administrar certificados eliminados

5. Seleccione su certificado de CA, que eliminó en el Paso 3, y haga clic en Purgar (Tenga en cuenta que después de purgar el certificado no podrá restaurarlo.)

6. Ahora reinicie sus App Services de SCEPman

7. Una vez que sus App Services se hayan reiniciado, abra el panel de SCEPman navegando a su URL de SCEPman

8. Puede ver la sección Problemas de configuración, siga los pasos en esta sección.

9. Después de haber generado el nuevo certificado de CA puede comprobar la idoneidad de la CA en el panel de SCEPman.

Idoneidad de la CA en el panel de SCEPman:

Cambios de configuración del servicio SCEPman

Para habilitar la función, debe agregar dos configuraciones de aplicación en su servicio SCEPman. En la implementación actual, usamos una clave precompartida (contraseña) para las solicitudes de DC. Genere una nueva clave/contraseña y guárdela en un lugar seguro. (la necesitará en los siguientes pasos y más tarde, en los controladores de dominio)

1. Navegue a App Services

2. Luego elija su aplicación SCEPman

3. A continuación, en Configuración haga clic en Variables de entorno

4. Seleccione Agregar

5. Escriba AppConfig:DCValidation:Enabled como Nombre (use __ en lugar de : para SCEPman basado en Linux)

6. Escriba true como Valor

7. Confirme con Aceptar

8. Seleccione Agregar de nuevo

9. Escriba AppConfig:DCValidation:RequestPassword como Nombre (use __ en lugar de : para SCEPman basado en Linux)

10. Escriba su clave/contraseña, que generó antes, como Valor

11. Confirme con Aceptar

12. Guarde las configuraciones de la aplicación

Confíe en el certificado de la CA en el dominio para la autenticación Kerberos

Los certificados utilizados para la autenticación Kerberos deben ser confiables dentro del dominio AD como certificados de CA de autenticación. Por favor descargue el certificado de la CA desde el panel de SCEPman. Si guardó el archivo como scepman-root.cer, puede publicar el certificado CA de SCEPman (ya sea una CA raíz o una CA intermedia) con el siguiente comando usando una cuenta que tenga derechos de Administrador de Empresa:

De manera análoga, ejecute el siguiente comando para empujar el certificado de la CA raíz (es decir, el certificado CA de SCEPman o, en caso de que SCEPman sea una CA intermedia, la CA raíz para la cadena de certificados de la CA de SCEPman) al almacén de Certificados de raíz de confianza para todas las máquinas en el bosque AD:

Después, el certificado de la CA generalmente es confiable en AD y especialmente confiable para la autenticación Kerberos. Sin embargo, toma algún tiempo (en la configuración predeterminada hasta 8 horas) hasta que todos los dispositivos reciban esta configuración. Puede acelerar este proceso en cualquier máquina ejecutando gpupdate /force, p. ej. en los controladores de dominio.

Esto asegura que los certificados de los DC sean confiables dentro del dominio. También son confiables en todos los dispositivos gestionados por Intune en el alcance de un perfil de Certificado de confianza que distribuya el certificado de la CA raíz. Puede ser necesario distribuir manualmente la CA raíz a otros servicios como appliances o servicios en la nube para que los certificados de DC sean confiables para todos los sistemas.

Instalación en el cliente

Luego debe descargar nuestro software cliente SCEP de código abierto SCEPClient. Las versiones con el sufijo -framework usan .NET Framework 4.6.2, que está preinstalado en Windows Server 2016 y es compatible con versiones más recientes. Otras versiones requieren que el Runtime de .NET Core esté instalado en los sistemas de destino.

Ejecute el siguiente comando en un símbolo del sistema elevado en un controlador de dominio para recibir un certificado de controlador de dominio desde SCEPman:

Debe agregar la URL de SCEPman en el comando anterior, pero conservar la ruta /dc. Reemplace RequestPassword con la clave/contraseña segura que generó antes.

La contraseña de la solicitud está cifrada con el certificado CA de SCEPman, por lo que solo SCEPman puede leerla. Los certificados de los controladores de dominio solo se emiten con la contraseña de solicitud correcta.

Renovación automática de certificados

Para una renovación totalmente automatizada de certificados, debería distribuir ScepClient a todos sus controladores de dominio, junto con el script de PowerShell enroll-dc-certificate.ps1. Añada una tarea programada que ejecute el siguiente comando en un contexto SYSTEM (adapte la URL y la contraseña de solicitud):

Asegúrese de que el script de PowerShell resida en el mismo directorio que SCEPClient.exe y sus dependencias adicionales.

Esto comprueba si hay certificados de DC existentes en el almacén del equipo. Solo si no hay certificados adecuados con al menos 30 días de validez, usa ScepClient.exe para solicitar un nuevo certificado de DC desde SCEPman. Si desea modificar el umbral de 30 días, use el parámetro -ValidityThresholdDays del script de PowerShell.

El script escribe un archivo de registro continuo en el directorio donde está almacenado. Si no desea este archivo de registro, omita el -LogToFile parámetro. En su lugar, puede redirigir los flujos Information, Error y/o Debug a archivos (p. ej. 6>logfile.txt 2>&1).

Para WHfB, todos los DC que ejecuten la versión 2016 o posterior necesitan un certificado de autenticación Kerberos. Los DC más antiguos reenvían las solicitudes de autenticación a DC más nuevos, por lo que no requieren necesariamente un certificado de autenticación Kerberos. Sin embargo, es una buena práctica proporcionarles certificados también.

Eliminación gradual de una PKI interna existente

Por favor asegúrese de que las PKI internas no inscriban certificados de DC (Plantillas de certificado "Domain Controller", "Domain Controller Authentication" y "Kerberos Authentication") en paralelo con SCEPman. De lo contrario, los DC podrían usar el certificado de DC de la PKI interna, que se considera no confiable si, por ejemplo, el CDP es inalcanzable. El certificado de DC de SCEPman puede usarse para todos los fines para los que se pueden usar los certificados de las plantillas mencionadas arriba, p. ej. autenticación Kerberos y LDAPS.

La forma más sencilla de lograr esto es detener que las CA internas emitan certificados para las plantillas "Domain Controller", "Domain Controller Authentication" y "Kerberos Authentication". En la consola MMC de Autoridad de Certificación, elimine estas plantillas de la lista de plantillas emitidas de cada CA interna. Luego, elimine los certificados ya emitidos por la CA interna de los almacenes "Personal" ("MY") de sus controladores de dominio (certlm.msc y navegue a Personal). Incluso después de una gpupdate /force, no debería aparecer un nuevo certificado de DC de la PKI interna en el almacén Personal del DC.