Crear perfiles de certificado
Se aplica a: Configuration Manager (rama actual)
Importante
A partir de la versión 2203, esta característica de acceso a recursos de empresa ya no se admite. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.
Use perfiles de certificado en Configuration Manager para aprovisionar dispositivos administrados con los certificados que necesitan para acceder a los recursos de la empresa. Antes de crear perfiles de certificado, configure la infraestructura de certificados como se describe en Configuración de la infraestructura de certificados.
En este artículo se describe cómo crear perfiles de certificado SCEP (Protocolo de inscripción de certificados simple) y raíz de confianza. Si desea crear perfiles de certificado PFX, consulte Creación de perfiles de certificado PFX.
Para crear un perfil de certificado:
- Inicie el Asistente para crear perfil de certificado.
- Proporcione información general sobre el certificado.
- Configure un certificado de entidad de certificación (CA) de confianza.
- Configure la información del certificado SCEP.
- Especifique las plataformas admitidas para el perfil de certificado.
Inicio del asistente
Para iniciar create certificate profile (Crear perfil de certificado):
En la consola de Configuration Manager, vaya al área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento, expanda Acceso a recursos de empresa y, a continuación, seleccione el nodo Perfiles de certificado.
En la pestaña Inicio de la cinta de opciones, en el grupo Crear , seleccione Crear perfil de certificado.
General
En la página General del Asistente para crear perfiles de certificado, especifique la siguiente información:
Nombre: escriba un nombre único para el perfil de certificado. Puede usar un máximo de 256 caracteres.
Descripción: proporcione una descripción que proporcione información general sobre el perfil de certificado. Incluya también otra información relevante que ayude a identificarla en la consola de Configuration Manager. Puede usar un máximo de 256 caracteres.
Especifique el tipo de perfil de certificado que desea crear:
Certificado de entidad de certificación de confianza: seleccione este tipo para implementar una entidad de certificación raíz (CA) de confianza o un certificado de CA intermedio para formar una cadena de certificados de confianza cuando el usuario o dispositivo debe autenticar otro dispositivo. Por ejemplo, el dispositivo podría ser un servidor de servicio de usuario de acceso telefónico local (RADIUS) de autenticación remota o un servidor de red privada virtual (VPN).
Configure también un perfil de certificado de CA de confianza para poder crear un perfil de certificado SCEP. En este caso, el certificado de ca de confianza debe ser para la entidad de certificación que emite el certificado al usuario o dispositivo.
Configuración simple del Protocolo de inscripción de certificados (SCEP): seleccione este tipo para solicitar un certificado para un usuario o dispositivo con el protocolo de inscripción de certificados simple y el servicio de rol servicio de inscripción de dispositivos de red (NDES).
Configuración de PKCS de Intercambio de información personal #12 (PFX): importar: seleccione esta opción para importar un certificado PFX. Para obtener más información, vea Importar perfiles de certificado PFX.
Configuración de PKCS #12 de Intercambio de información personal (PFX): crear: seleccione esta opción para procesar certificados PFX mediante una entidad de certificación. Para obtener más información, consulte Creación de perfiles de certificado PFX.
Certificado de entidad de certificación de confianza
Importante
Antes de crear un perfil de certificado SCEP, configure al menos un perfil de certificado de ca de confianza.
Una vez implementado el certificado, si cambia alguno de estos valores, se solicita un nuevo certificado:
- Proveedor de almacenamiento de claves
- Nombre de plantilla de certificado
- Tipo de certificado
- Formato de nombre del asunto
- Nombre alternativo de sujeto
- Período de validez del certificado
- Uso de la clave
- Tamaño de la clave
- Uso mejorado de clave
- Certificado de entidad de certificación raíz
En la página Certificado de entidad de certificación de confianza del Asistente para crear perfil de certificado, especifique la siguiente información:
Archivo de certificado: seleccione Importar y, a continuación, vaya al archivo de certificado.
Almacén de destino: en el caso de los dispositivos que tienen más de un almacén de certificados, seleccione dónde almacenar el certificado. En el caso de los dispositivos que solo tienen un almacén, esta configuración se omite.
Use el valor de huella digital Certificado para comprobar que ha importado el certificado correcto.
Certificados SCEP
1. Servidores SCEP
En la página Servidores SCEP del Asistente para crear perfil de certificado, especifique las direcciones URL de los servidores NDES que emitirán certificados a través de SCEP. Puede asignar automáticamente una dirección URL de NDES en función de la configuración del punto de registro de certificados o agregar direcciones URL manualmente.
2. Inscripción de SCEP
Complete la página Inscripción de SCEP del Asistente para crear perfil de certificado.
Reintentos: especifique el número de veces que el dispositivo reintenta automáticamente la solicitud de certificado en el servidor NDES. Esta configuración admite el escenario en el que un administrador de CA debe aprobar una solicitud de certificado antes de que se acepte. Esta configuración se usa normalmente para entornos de alta seguridad o si tiene una entidad de certificación emisora independiente en lugar de una CA empresarial. También puede usar esta configuración con fines de prueba para poder inspeccionar las opciones de solicitud de certificado antes de que la entidad de certificación emisora procese la solicitud de certificado. Use esta configuración con la opción Retraso de reintento (minutos ).
Retraso de reintento (minutos): especifique el intervalo, en minutos, entre cada intento de inscripción cuando use la aprobación del administrador de CA antes de que la entidad de certificación emisora procese la solicitud de certificado. Si usa la aprobación del administrador con fines de prueba, especifique un valor bajo. A continuación, no espera mucho tiempo a que el dispositivo vuelva a intentar la solicitud de certificado después de aprobar la solicitud.
Si usa la aprobación del administrador en una red de producción, especifique un valor superior. Este comportamiento permite tiempo suficiente para que el administrador de ca apruebe o deniegue las aprobaciones pendientes.
Umbral de renovación (%): especifique el porcentaje de duración del certificado que permanece antes de que el dispositivo solicite la renovación del certificado.
Proveedor de almacenamiento de claves (KSP): especifique dónde se almacena la clave del certificado. Elija de uno de los valores siguientes:
Instale en el módulo de plataforma segura (TPM) si está presente: instala la clave en el TPM. Si el TPM no está presente, la clave se instala en el proveedor de almacenamiento para la clave de software.
De lo contrario, se produce un error al instalar en el módulo de plataforma segura (TPM): instala la clave en el TPM. Si el módulo tpm no está presente, se produce un error en la instalación.
Instalar en Windows Hello para empresas de lo contrario se produce un error: esta opción está disponible para dispositivos Windows 10 o posteriores. Permite almacenar el certificado en el almacén de Windows Hello para empresas, que está protegido por la autenticación multifactor. Para obtener más información, consulte Windows Hello para empresas.
Nota:
Esta opción no admite el inicio de sesión de tarjeta inteligente para el uso mejorado de claves en la página Propiedades del certificado.
Instalar en el proveedor de almacenamiento de claves de software: instala la clave en el proveedor de almacenamiento para la clave de software.
Dispositivos para la inscripción de certificados: si implementa el perfil de certificado en una colección de usuarios, permita la inscripción de certificados solo en el dispositivo principal del usuario o en cualquier dispositivo en el que el usuario inicie sesión.
Si implementa el perfil de certificado en una recopilación de dispositivos, permita la inscripción de certificados solo para el usuario principal del dispositivo o para todos los usuarios que inicien sesión en el dispositivo.
3. Propiedades del certificado
En la página Propiedades del certificado del Asistente para crear perfil de certificado, especifique la siguiente información:
Nombre de plantilla de certificado: seleccione el nombre de una plantilla de certificado que configuró en NDES y agregó a una CA emisora. Para ir correctamente a las plantillas de certificado, la cuenta de usuario necesita permiso de lectura para la plantilla de certificado. Si no puede buscar el certificado, escriba su nombre.
Importante
Si el nombre de la plantilla de certificado contiene caracteres que no son ASCII, el certificado no se implementa. (Un ejemplo de estos caracteres es del alfabeto chino). Para asegurarse de que el certificado está implementado, cree primero una copia de la plantilla de certificado en la entidad de certificación. A continuación, cambie el nombre de la copia mediante caracteres ASCII.
Si busca seleccionar el nombre de la plantilla de certificado, algunos campos de la página se rellenan automáticamente desde la plantilla de certificado. En algunos casos, no puede cambiar estos valores a menos que elija una plantilla de certificado diferente.
Si escribe el nombre de la plantilla de certificado, asegúrese de que el nombre coincida exactamente con una de las plantillas de certificado. Debe coincidir con los nombres que aparecen en el registro del servidor NDES. Asegúrese de especificar el nombre de la plantilla de certificado y no el nombre para mostrar de la plantilla de certificado.
Para buscar los nombres de las plantillas de certificado, vaya a la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
. Enumera las plantillas de certificado como los valores de EncryptionTemplate, GeneralPurposeTemplate y SignatureTemplate. De forma predeterminada, el valor de las tres plantillas de certificado es IPSECIntermediateOffline, que se asigna al nombre para mostrar de la plantilla IPSec (solicitud sin conexión).Advertencia
Al escribir el nombre de la plantilla de certificado, Configuration Manager no puede comprobar el contenido de la plantilla de certificado. Es posible que pueda seleccionar opciones que la plantilla de certificado no admite, lo que puede dar lugar a una solicitud de certificado con errores. Cuando se produzca este comportamiento, verá un mensaje de error para w3wp.exe en el archivo CPR.log que indica que el nombre de la plantilla en la solicitud de firma de certificado (CSR) y el desafío no coinciden.
Al escribir el nombre de la plantilla de certificado especificada para el valor GeneralPurposeTemplate , seleccione el cifrado clave y las opciones firma digital para este perfil de certificado. Si desea habilitar solo la opción Cifrado de claves en este perfil de certificado, especifique el nombre de la plantilla de certificado para la clave EncryptionTemplate . Del mismo modo, si desea habilitar solo la opción Firma digital en este perfil de certificado, especifique el nombre de la plantilla de certificado para la clave SignatureTemplate .
Tipo de certificado: seleccione si va a implementar el certificado en un dispositivo o un usuario.
Formato de nombre de firmante: seleccione cómo Configuration Manager crea automáticamente el nombre del firmante en la solicitud de certificado. Si el certificado es para un usuario, también puede incluir la dirección de correo electrónico del usuario en el nombre del firmante.
Nota:
Si selecciona número IMEI o número de serie, puede diferenciar entre diferentes dispositivos que son propiedad del mismo usuario. Por ejemplo, esos dispositivos podrían compartir un nombre común, pero no un número IMEI o número de serie. Si el dispositivo no notifica un IMEI o un número de serie, el certificado se emite con el nombre común.
Nombre alternativo del firmante: especifique cómo Configuration Manager crea automáticamente los valores para el nombre alternativo del firmante (SAN) en la solicitud de certificado. Por ejemplo, si seleccionó un tipo de certificado de usuario, puede incluir el nombre principal de usuario (UPN) en el nombre alternativo del firmante. Si el certificado de cliente se autenticará en un servidor de directivas de red, establezca el nombre alternativo del firmante en el UPN.
Período de validez del certificado: si establece un período de validez personalizado en la entidad de certificación emisora, especifique la cantidad de tiempo restante antes de que expire el certificado.
Sugerencia
Establezca un período de validez personalizado con la siguiente línea de comandos:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
Para obtener más información sobre este comando, consulte Infraestructura de certificados.Puede especificar un valor inferior al período de validez de la plantilla de certificado especificada, pero no superior. Por ejemplo, si el período de validez del certificado de la plantilla de certificado es de dos años, puede especificar un valor de un año, pero no un valor de cinco años. El valor también debe ser inferior al período de validez restante del certificado de la CA emisora.
Uso de claves: especifique las opciones de uso de claves para el certificado. Seleccione una de las opciones siguientes:
Cifrado de clave: permite el intercambio de claves solo si la clave está cifrada.
Firma digital: permite el intercambio de claves solo cuando una firma digital ayuda a proteger la clave.
Si ha buscado una plantilla de certificado, no puede cambiar esta configuración, a menos que seleccione una plantilla de certificado diferente.
Configure la plantilla de certificado seleccionada con una o ambas opciones de uso de clave anteriores. Si no es así, verá el siguiente mensaje en el archivo de registro de punto de registro de certificado, Crp.log: El uso de claves en CSR y el desafío no coinciden.
Tamaño de clave (bits): seleccione el tamaño de la clave en bits.
Uso extendido de claves: agregue valores para el propósito previsto del certificado. En la mayoría de los casos, el certificado requiere autenticación de cliente para que el usuario o dispositivo pueda autenticarse en un servidor. Puede agregar cualquier otro uso de clave según sea necesario.
Algoritmo hash: seleccione uno de los tipos de algoritmo hash disponibles que se van a usar con este certificado. Seleccione el nivel máximo de seguridad que admiten los dispositivos de conexión.
Nota:
SHA-2 admite SHA-256, SHA-384 y SHA-512. SHA-3 solo admite SHA-3.
Certificado de CA raíz: elija un perfil de certificado de CA raíz que configuró e implementó anteriormente en el usuario o dispositivo. Este certificado de CA debe ser el certificado raíz de la entidad de certificación que emitirá el certificado que va a configurar en este perfil de certificado.
Importante
Si especifica un certificado de entidad de certificación raíz que no está implementado en el usuario o dispositivo, Configuration Manager no iniciará la solicitud de certificado que va a configurar en este perfil de certificado.
Plataformas compatibles
En la página Plataformas admitidas del Asistente para crear perfil de certificado, seleccione las versiones del sistema operativo donde desea instalar el perfil de certificado. Elija Seleccionar todo para instalar el perfil de certificado en todos los sistemas operativos disponibles.
Pasos siguientes
El nuevo perfil de certificado aparece en el nodo Perfiles de certificado del área de trabajo Activos y cumplimiento . Está listo para realizar la implementación en usuarios o dispositivos. Para obtener más información, consulte Cómo implementar perfiles.