Esta es la segunda parte de una serie de posts en los que quiero mostrar como configurar una entidad certificadora privada de Windows y cómo usarla para desplegar certificados a todos nuestros equipos del dominio así como el uso de una SmartCard.

En la Parte I hemos visto como instalar esta entidad certificadora en un servidor ahora vamos a ver cómo configurar una plantilla para desplegar certificados de máquina a todos nuestros equipos del dominio.

Una de las partes que componen una entidad certificadora son las plantillas de certificados, estas son una serie de configuraciones preestablecidas con la información necesaria que contendrá cada uno de los certificados cuando se emitan; cuando se pide un certificado siempre se asocia a una plantilla.

Una vez tenemos instalada la CA tenemos que configurar las plantillas que utilizaremos para la generación y despliegue de certificados. En este caso vamos a utilizar la plantilla de equipo para certificados de máquina que son los certificados que queremos desplegar.

En este documento vamos a configurar al grupo Domain Admins como administradores de las plantillas de la CA, en producción lo idóneo es crear un grupo especial para administrarlas.

Para preparar la plantilla, en el servidor donde se haya instalado la CA ejecutar la consola de Entidad Certificadora (Certification Authority) con el comando certsrv.msc y seguir los siguientes pasos:

1.       Desplegar los componentes de la CA creada e ir a la sección “Certificate Templates”
2.       Con el botón derecho sobre “Certificate Templates” elegir “Manage

 

 
3.       Aparece una nueva ventana con todas las plantillas que se han generado al instalar la CA, dependiendo de la versión de sistema operativo esta lista puede variar, la mostrada es de 2016.  
4.       La recomendación es no modificar las plantillas generadas y crear nuevas a partir de la que necesitemos y configurar los parámetros necesarios.
5.       Localizamos la plantilla “Computer”, pulsamos con el botón derecho del ratón y elegimos “Duplicate template”. Nos muestra una ventana con los datos de la plantilla base que podemos modificar.

Vamos a la pestaña General y modificamos el nombre y el periodo de validez, yo tengo costumbre de nombrar a todas las plantillas que creo con el prefijo “Plantilla” pero esto no es obligado.

6.       Vamos a la pestaña General y modificamos el nombre y el periodo de validez.

Es importante tener en cuenta que nosotros escribimos el nombre que muestra que puede tener espacios pero el genera el campo Template Name que es el verdadero nombre de la plantilla, que no lleva espacios. Este nombre es el que deberíamos usar en caso de querer acceder a la plantilla desde otros dispositivos no Windows o por comandos.

 
7.       En la pestaña Request Handling podemos marcar Allow private key to be exported para, posteriormente,  poder realizar la exportación de certificados con la clave pública.

Esto dependerá del uso posterior que le demos a los certificados.

Yo en el caso de los certificados de máquina para el dominio no suelo marcarla.

 

 
8.       Ahora vamos a la pestaña Subject Name y marcamos los datos que se ven en la imagen.

Con esto conseguimos que cuando el equipo en el dominio solicite el certificado lo cree con su Common Name y como alternativo su FQDN y el UPN.

 

 
9.       Por último nos queda determinar quién puede solicitar certificados con esta plantilla y quien la puede administrar

Ahora vamos a la pestaña Security, marcamos Domain Computers y marcamos Enroll y Autoenroll de esta forma permitimos que todos los equipos de dominio puedan solicitar un certificado y puedan inscribirse automáticamente.

 
10.   En la misma pestaña marcaremos (o añadiremos) el grupo Domain Admins. Y le daremos derechos de lectura y escritura para que pueda administrar esta plantilla.  
11.   Cerramos la ventana de consola de plantillas y volvemos a la consola de la entidad certificadora. Hasta este momento hemos creado una plantilla pero no le hemos dicho a la CA que puede usarla. Es importante tener esto en cuenta ya que crear una plantilla no implica que se pueda usar automáticamente. Para activarla hay que emitirla en la CA.
12.   Con el botón derecho sobre Certificate Templates , elegir Nuevo (New) -> “Plantilla de certificado que se va a emitir” (Certificate Template to issue)

 

 
13.   Nos muestra otra ventana con todas las plantillas creadas.

Seleccionar la plantilla que hemos creado y pulsar Ok.

NOTA: En esta lista solo aparecen las plantillas que no se han emitido todavía.

 

 

 
14.   Comprobar que la plantilla aparece ahora en la sección de “Certificate Templates”, como se muestra en la imagen.

 

 

 

Con todo lo anterior ya hemos configurado nuestra CA privada ahora lo que nos queda es decirle a todas las máquinas de nuestro dominio que “pidan” un certificado, esto lo haremos usando las políticas de grupo.

Para ello seguimos los siguientes pasos:

1.       Desde un DC o una máquina del dominio con las herramientas administrativas instaladas abrimos la consola de políticas con el comando gpmc.msc
2.       Desplegamos la rama del dominio, una vez abierta pulsamos botón derecho sobre él y elegimos Create a GPO in this Domain and Link it here. Nos pide el nombre de esta GPO, le damos el que queramos.

 

 
3.       Una vez creado la debemos modificar, botón derecho sobre ella y elegimos Edit.  
4.       Una vez en la ventana de edición vamos a Computer Configuration / Policies / Windows Settings / Security Settings / Public Key Policies.  
5.       Botón derecho sobre “Certificate Services Client – Auto-Enrollment”, propiedades

En Configuration mode le decimos Enabled y marcamos las dos opciones de renovación y actualización.

 
6.       Pulsamos OK y cerramos el editor de la GPO.
7.       Por defecto las políticas se filtran por el grupo Aunthenticated Users, en nuestro caso es válido ya que este incluye a todos los ordenadores del dominio. En el caso que queramos filtrar por los equipos que pertenezcan a un determinado grupo, se elimina el por defecto y se le añade el deseado.  
8.     El siguiente paso no es obligado pero si recomendado para que la preferencia de esta GPO supere a la Default Domain. Seleccionamos el dominio, en la parte derecha, seleccionamos nuestra GPO y pulsamos sobre la flecha hacia arriba para subir el nivel.
9.       Después de esto tendremos que la GPO de Autoenrollment es la primera que se ejecutará.

En el momento que se ejecute la política se le emitirá un certificado de máquina al igual que se le instalará como entidad de confianza la CA que lo emite.

10.   Ahora esperamos un poco a que se apliquen las políticas de los equipos y, en la entidad certificadora, veremos cómo se van desplegando los certificados a nuestros equipos de una forma trasparente.

Con estos pasos ya habremos utilizado nuestra CA configurada en la Parte I para desplegar automáticamente los certificados a nuestros ordenadores del dominio.

En la Parte III veremos cómo utilizarlo para acceder a nuestros ordenadores con una SmartCard.