# Autenticación basada en certificados para RDP

Puedes usar SCEPman para emitir certificados de inicio de sesión con tarjeta inteligente a tus usuarios. Al inscribirlos en Windows Hello for Business (*Microsoft Passport Key Storage Provider*) pueden usar estos certificados para autenticarse en recursos locales utilizando su PIN de Hello u opciones biométricas.

Esto permitirá a los usuarios, por ejemplo, conectarse a otros clientes a través del Protocolo de Escritorio Remoto (RDP) usando sus credenciales de Windows Hello for Business.

## Configurar Active Directory

### Requisitos

* El certificado CA de SCEPman debe publicarse en el **NTAuth** almacén para autenticar usuarios en Active Directory
* Los Domain Controllers necesitan tener un certificado de controlador de dominio para autenticar usuarios de tarjeta inteligente
* Los Domain Controllers y las máquinas de destino deben confiar en la CA raíz de SCEPman

Sigue nuestra guía sobre certificados de Domain Controller para publicar el certificado de CA raíz de SCEPman en el **NTAuth** almacén e emitir certificados a tus Domain Controllers:

{% content-ref url="/pages/2a950846262d55c306793bb75d3113bf35d3aa7e" %}
[Certificados de controlador de dominio](/es/administracion-de-certificados/domain-controller-certificates.md)
{% endcontent-ref %}

Puedes crear un **Objeto de directiva de grupo** para gestionar la distribución del certificado raíz a las máquinas involucradas:[ Para distribuir certificados a equipos cliente mediante Directiva de grupo](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy#to-distribute-certificates-to-client-computers-by-using-group-policy)

El certificado debe implementarse en todos los Domain Controllers que gestionen las autenticaciones y en todas las máquinas de destino a las que los usuarios quieran conectarse usando este método.

{% hint style="danger" %}
Ten en cuenta que, una vez que el certificado raíz de SCEPman se publique en el almacén NTAuth, los usuarios que puedan influir en el contenido de los certificados emitidos por SCEPman (por ejemplo, administradores de Intune) podrán suplantar a cualquier principal de Active Directory.
{% endhint %}

## Implementar los certificados de tarjeta inteligente mediante Intune

### Perfil de certificado de confianza

Tus clientes tendrán que [confiar en el certificado raíz de SCEPman](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#root-certificate).

Si ya usas SCEPman para implementar certificados en tus clientes, ya tendrás este perfil configurado.

### Certificado de tarjeta inteligente

Cree un perfil para **Windows 10 y posteriores** con tipo **certificado SCEP** en Microsoft Intune y configura el perfil como se describe:

<details>

<summary>Tipo de certificado: <code>Usuario</code></summary>

</details>

<details>

<summary>Formato del nombre del sujeto: <code>CN={{UserPrincipalName}}</code></summary>

Si el sufijo UPN de los usuarios objetivo en Entra ID resulta ser diferente del usado en Active Directory, deberías usar `CN={{OnPrem_Distinguished_Name}}`

</details>

<details>

<summary>Nombre alternativo del sujeto: valor UPN: <code>{{UserPrincipalName}}</code> y valor URI: <code>{{OnPremisesSecurityIdentifier}}</code></summary>

La URI con el SID es necesaria para tener una [Asignación de certificado fuerte](/es/configuracion-de-scepman/application-settings/certificates.md#appconfig-addsidextension) en AD. Como alternativa, puedes configurar SCEPman para [añadir una extensión con el SID](/es/configuracion-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-waitforsuccessnotificationresponse) a los certificados de usuario y no configurar la URI.

</details>

<details>

<summary>Proveedor de almacenamiento de claves (KSP): <code>Inscribirse en Windows Hello for Business, de lo contrario fallar (Windows 10 y posteriores)</code></summary>

</details>

<details>

<summary>Uso de la clave: <code>Firma digital</code> y <code>Cifrado de clave</code></summary>

</details>

<details>

<summary>Tamaño de clave (bits): <code>2048</code></summary>

</details>

<details>

<summary>Algoritmo de hash: <code>SHA-2</code></summary>

</details>

<details>

<summary>Certificado raíz: <code>Perfil del paso anterior (Perfil de certificado de confianza)</code></summary>

</details>

<details>

<summary>Uso extendido de clave: <code>Autenticación de cliente</code> y <code>Inicio de sesión con tarjeta inteligente</code>en</summary>

`Autenticación de cliente, 1.3.6.1.5.5.7.3.2`

`Inicio de sesión con tarjeta inteligente, 1.3.6.1.4.1.311.20.2.2`

</details>

<details>

<summary>URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de <a href="#device-certificates">Intune MDM</a></summary>

</details>

### Usar Windows Hello for Business para conectarse a hosts remotos

Con el certificado implementado en el cliente de autenticación, solo conéctate al host remoto y selecciona el proveedor de credenciales de Windows Hello for Business configurado.&#x20;

<figure><img src="/files/3cd25582c707c3b07b974fd7d6ffd13074168943" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/es/implementacion-de-scepman/deployment-guides/scenarios/certificate-based-authentication-for-rdp.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.