Implementación de Microsoft Identity Manager Certificate Manager 2016 (MIM CM)

La instalación de Microsoft Identity Manager Certificate Manager 2016 (MIM CM) implica varios pasos. Como una manera de simplificar el proceso, estamos desglosando las cosas. Hay pasos preliminares que deben realizarse antes de los pasos reales de MIM CM. Sin el trabajo preliminar, es probable que se produzca un error en la instalación.

En el diagrama siguiente se muestra un ejemplo del tipo de entorno que se puede usar. Los sistemas con números se incluyen en la lista debajo del diagrama y son necesarios para completar correctamente los pasos descritos en este artículo. Por último, se usan servidores de Windows 2016 Datacenter:

1. CORPDC: controlador de dominio
2. CORPCM: servidor MIM CM
3. CORPCA: entidad de certificación
4. CORPCMR – web de la API Rest de MIM CM – CM Portal for Rest API – Se usa para el futuro
5. CORPSQL1: SQL 2016 SP1
6. CORPWK1 – Unido a un dominio de Windows 10

Descripción general de la implementación

• Instalación del sistema operativo base

  El laboratorio consta de servidores de windows 2016 Datacenter.

  Nota:

  Para obtener más información sobre las plataformas admitidas para MIM 2016, eche un vistazo al artículo titulado Plataformas admitidas para MIM 2016.

1. Pasos previos a la implementación

   • Extensión del esquema

   • Creación de cuentas de servicio

   • Creación de plantillas de certificado

   • IIS

   • Configuración de Kerberos

   • Pasos relacionados con la base de datos

     • Requisitos de configuración de SQL

     • Permisos de base de datos

2. Implementación

Pasos previos a la implementación

El Asistente para la configuración de MIM CM requiere que se proporcione información a lo largo del proceso para que se complete correctamente.

Extensión del esquema

El proceso de extensión del esquema es sencillo, pero debe abordarse con precaución debido a su naturaleza irreversible.

Nota:

Este paso requiere que la cuenta usada tenga derechos de administrador de esquema.

1. Navegue a la ubicación del medio MIM y diríjase a la carpeta \Certificate Management\x64.

2. Copie la carpeta Esquema en CORPDC y, a continuación, vaya a ella.

   

3. Ejecute el script resourceForestModifySchema.vbs en un escenario de bosque único. Para el escenario bosque de recursos, ejecute los scripts:

   • DomainA – Usuarios ubicados (userForestModifySchema.vbs)

   • ResourceForestB: ubicación de la instalación de CM (resourceForestModifySchema.vbs).

     Nota:

     Los cambios de esquema son una operación unidireccional y requieren una recuperación del bosque para revertirlo, así que asegúrese de que tiene copias de seguridad necesarias. Para obtener más información sobre los cambios realizados en el esquema mediante la realización de esta operación, revise el artículo Cambios en el esquema de administración de certificados de Forefront Identity Manager 2010.

     

4. Ejecute el script y debería recibir un mensaje de operación correcta una vez completado el script.

   

El esquema de AD ahora se amplía para admitir MIM CM.

Creación de cuentas de servicio y grupos

En la tabla siguiente se resumen las cuentas y los permisos necesarios para MIM CM. Puede permitir que MIM CM cree automáticamente las siguientes cuentas o puede crearlas antes de la instalación. Se pueden cambiar los nombres de cuenta reales. Si crea las cuentas usted mismo, considere la posibilidad de asignar nombres a las cuentas de usuario de forma que sea fácil hacer coincidir el nombre de la cuenta de usuario con su función.

Usuarios:

Rol	Nombre de inicio de sesión de usuario
Agente de CM de MIM	MIMCMAgent
Agente de recuperación de claves de MIM CM	MIMCMKRAgent
Agente de autorización de MIM CM	MIMCMAuthAgent
Agente del administrador de CA de MIM CM	MIMCMManagerAgent
Agente de grupo web de MIM CM	MIMCMWebAgent
Agente de inscripción de MIM CM	MIMCMEnrollAgent
Servicio de actualización de CM de MIM	MIMCMService
Cuenta de instalación de MIM	MIMINSTALL
Agente del departamento de soporte técnico	CMHelpdesk1-2
Administrador de Gestión de Contenidos	CMManager1-2
Usuario del suscriptor	CMUser1-2

Grupos:

Rol	Grupo
Miembros del departamento de soporte técnico de CM	MIMCM-Centro de Ayuda
Miembros del administrador de CM	MIMCM-Gerentes
Miembros de suscriptores de CM	Suscriptores de MIMCM

Powershell: Cuentas del agente:

import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent"; 
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers" 
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}

## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab


#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com")  -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}


#Create Users
$cmusers.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}

Actualización de la directiva local del servidor CORPCM para las cuentas del agente

Nombre de inicio de sesión de usuario	Descripción y permisos
MIMCMAgent	Proporciona los siguientes servicios: : recupera claves privadas cifradas de la ENTIDAD de certificación. - Protege la información del PIN de tarjeta inteligente en la base de datos de FIM CM. - Protege la comunicación entre FIM CM y la CA. Esta cuenta de usuario requiere la siguiente configuración de control de acceso: - Permitir el inicio de sesión localmente derecho de usuario. - Emita y administre el derecho de usuario certificados . - Permiso de lectura y escritura en la carpeta temp del sistema en la siguiente ubicación: %WINDIR%\Temp. - Un certificado de firma digital y cifrado emitido e instalado en el almacén de usuarios.
MIMCMKRAgent	Recupera las claves privadas archivadas de la entidad de certificación. Esta cuenta de usuario requiere la siguiente configuración de control de acceso: - Permitir el inicio de sesión localmente derecho de usuario. - Pertenencia al grupo administradores local. - Inscribir el permiso en la plantilla de certificado KeyRecoveryAgent . - El certificado del Agente de recuperación de claves se emite e instala en el almacén de usuario. El certificado debe agregarse a la lista de agentes de recuperación de claves en la entidad de certificación. - Permiso de lectura y Permiso de escritura en la carpeta Temp del sistema en la siguiente ubicación: %WINDIR%\\Temp.
MIMCMAuthAgent	Determina los derechos y permisos de usuario para usuarios y grupos. Esta cuenta de usuario requiere la siguiente configuración de control de acceso: - Pertenencia al grupo de dominios de acceso compatible con Pre-Windows 2000. - Se ha concedido el derecho de usuario de Generar auditorías de seguridad.
MIMCMManagerAgent	Realiza actividades de administración de CA. A este usuario se le debe asignar el permiso Administrar entidad de certificación.
MIMCMWebAgent	Proporciona la identidad del grupo de aplicaciones de IIS. FIM CM se ejecuta dentro de un proceso de interfaz de programación de aplicaciones de Microsoft Win32® que usa las credenciales de este usuario. Esta cuenta de usuario requiere la siguiente configuración de control de acceso: - Pertenencia a la IIS_WPG local , windows 2016 = IIS_IUSRS grupo. - Pertenencia al grupo de administradores local.- Se ha concedido el derecho de usuario . - Se le concedió el derecho de usuario de Actuar como parte del sistema operativo. - Concedida la Sustituir token de nivel de proceso derecho del usuario. - Asignado como la identidad del grupo de aplicaciones IIS, CLMAppPool. - Se ha concedido permiso de lectura en la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CLM\v1.0\Server\WebUser . - Esta cuenta también debe ser confiable para la delegación.
MIMCMEnrollAgent	Realiza la inscripción en nombre de un usuario. Esta cuenta de usuario requiere la siguiente configuración de control de acceso: un certificado del Agente de Inscripción emitido e instalado en el almacén de usuarios. - el derecho de usuario para permitir el inicio de sesión localmente. - Permiso de inscripción en la plantilla de certificado del Enrollment Agent (o la plantilla personalizada, si se utiliza una).

Creación de plantillas de certificado para cuentas de servicio de MIM CM

Tres de las cuentas de servicio usadas por MIM CM requieren un certificado y el asistente para configuración requiere que proporcione el nombre de las plantillas de certificados que debe usar para solicitar certificados.

Las cuentas de servicio que requieren certificados son:

• MIMCMAgent: esta cuenta necesita un certificado de usuario

• MIMCMEnrollAgent: esta cuenta necesita un certificado de agente de inscripción.

• MIMCMKRAgent: esta cuenta necesita un certificado del agente de recuperación de claves

Ya hay plantillas presentes en AD, pero es necesario crear nuestras propias versiones para trabajar con MIM CM. Dado que es necesario realizar modificaciones sobre las plantillas base originales.

Las tres cuentas anteriores tendrán derechos elevados dentro de su organización y deben controlarse cuidadosamente.

Creación de la plantilla de certificado de firma de MIM CM

1. En Herramientas administrativas, abra Entidad de certificación.

2. En la Consola de Entidad de Certificación, en el árbol de consola, expanda Contoso-CorpCA y, a continuación, haga clic en Plantillas de Certificado.

3. Haga clic con el botón secundario en Plantillas de certificadoy, a continuación, haga clic en Administrar.

4. En la Consola de plantillas de certificado, en el panel de detalles, seleccione y haga clic con el botón derecho en Usuario y, a continuación, haga clic en Duplicar plantilla.

5. En el cuadro de diálogo Plantilla duplicada, seleccione Windows Server 2003 Enterprise y, a continuación, haga clic en Aceptar.

   

   Nota:

   MIM CM no funciona con certificados basados en plantillas de certificado de la versión 3. Debe crear una plantilla de certificado de Windows Server® 2003 Enterprise (versión 2). Consulte los detalles de V3 para obtener más información.

6. En el cuadro de diálogo Propiedades de nueva plantilla, en la pestaña General, en el cuadro Nombre para mostrar de la plantilla, escriba MIM CM Signing. Cambie el período de validez a 2 años y, a continuación, desactive la casilla Publicar certificado en Active Directory .

7. En la pestaña Control de solicitudes, asegúrese de que la casilla Permitir la exportación de la clave privada esté activada y, a continuación, haga clic en la pestaña Criptografía.

8. En el cuadro de diálogo Selección de criptografía, deshabilite Proveedor criptográfico mejorado de Microsoft v1.0, habilite Rsa mejorado de Microsoft y Proveedor criptográfico AES y, a continuación, haga clic en Aceptar.

9. En la pestaña Nombre del sujeto, desactive las casillas Incluir nombre de correo electrónico en nombre del sujeto y Nombre de correo electrónico.

10. En la pestaña Extensiones, en las extensiones incluidas en esta lista de plantillas, asegúrese de que las directivas de aplicación estén seleccionadas y, a continuación, haga clic en Editar.

11. En el cuadro de diálogo Editar directivas de aplicación de extensión, seleccione tanto el Sistema de archivos cifrados como las directivas de aplicación de Correo electrónico seguro. Haga clic en Quitar y, a continuación, haga clic en Aceptar.

12. En la pestaña Seguridad, realice los siguientes pasos:

    • Eliminar Administrador.

    • Quitar Administradores de Dominio.

    • Quitar usuarios de dominio.

    • Asigne solo permisos de lectura y escritura a administradores de empresa.

    • Agregue MIMCMAgent.

    • Asigne permisos de lectura e inscripción a MIMCMAgent.

13. En el cuadro de diálogo Propiedades de nueva plantilla , haga clic en Aceptar.

14. Deje abierta la Consola de plantillas de certificado.

Creación de la plantilla de certificado Agente de inscripción de CM de MIM

1. En la Consola de plantillas de certificado, en el panel de detalles, seleccione y haga clic con el botón derecho en Agente de inscripción y, a continuación, haga clic en Duplicar plantilla.

2. En el cuadro de diálogo Plantilla duplicada, seleccione Windows Server 2003 Enterprise y, a continuación, haga clic en Aceptar.

3. En el cuadro de diálogo Propiedades de nueva plantilla, en la pestaña General, en el cuadro Nombre de plantilla para mostrar, escriba Agente de inscripción de MIM CM. Asegúrese de que el período de validez es de 2 años.

4. En la pestaña Control de solicitudes, habilite Permitir que se exporte la clave privada y, a continuación, haga clic en CSP o pestaña Criptografía.

5. En el cuadro de diálogo Selección de CSP, deshabilite Microsoft Base Cryptographic Provider v1.0, deshabilite Microsoft Enhanced Cryptographic Provider v1.0, habilite Microsoft Enhanced RSA y AES Cryptographic Provider y, a continuación, haga clic en Aceptar.

6. En la pestaña Seguridad , realice lo siguiente:

   • Eliminar Administrador.

   • Quitar Administradores de Dominio.

   • Asigne solo permisos de lectura y escritura a administradores de empresa.

   • Agregue MIMCMEnrollAgent.

   • Asigne permisos de lectura e inscripción a MIMCMEnrollAgent.

7. En el cuadro de diálogo Propiedades de nueva plantilla , haga clic en Aceptar.

8. Deje abierta la Consola de plantillas de certificado.

Creación de la plantilla de certificado del agente de recuperación de claves de MIM CM

1. En la consola Plantillas de Certificado, en el panel de detalles, seleccione y haga clic con el botón derecho en Agente de Recuperación de Claves y, a continuación, haga clic en Duplicar plantilla.

2. En el cuadro de diálogo Plantilla duplicada, seleccione Windows Server 2003 Enterprise y, a continuación, haga clic en Aceptar.

3. En el cuadro de diálogo Propiedades de nueva plantilla, en la pestaña General, en el cuadro Nombre para mostrar de plantilla, escriba Agente de recuperación de claves de CM de MIM. Asegúrese de que el período de validez es de 2 años en la pestaña Criptografía.

4. En el cuadro de diálogo Selección de proveedores, deshabilite Proveedor criptográfico mejorado de Microsoft v1.0, habilite Rsa mejorado de Microsoft y Proveedor criptográfico AES y, a continuación, haga clic en Aceptar.

5. En la pestaña Requisitos de emisión, asegúrese de que la aprobación del administrador de certificados de CA esté deshabilitada.

6. En la pestaña Seguridad , realice lo siguiente:

   • Eliminar Administrador.

   • Quitar Administradores de Dominio.

   • Asigne solo permisos de lectura y escritura a administradores de empresa.

   • Agregue MIMCMKRAgent.

   • Asigne permisos de lectura e inscripción a KRAgent.

7. En el cuadro de diálogo Propiedades de nueva plantilla , haga clic en Aceptar.

8. Cierre la Consola de plantillas de certificado.

Publicación de las plantillas de certificado necesarias en la entidad de certificación

1. Restaure la consola Autoridad de Certificación.

2. En la consola de entidad de certificación, en el árbol de consola, haga clic con el botón derecho en Plantillas de certificado, apunte a Nuevo y luego haga clic en Plantilla de certificado para emitir.

3. En el cuadro de diálogo Habilitar plantillas de certificado, seleccione Agente de inscripción de MIM CM, Agente de recuperación de claves de MIM CM y Firma de CM de MIM. Haga clic en OK.

4. En el árbol de consola, haga clic en Plantillas de certificados.

5. Compruebe que las tres nuevas plantillas aparecen en el panel de detalles y, a continuación, cierre entidad de certificación.

   

6. Cierre todas las ventanas abiertas y cierre sesión.

Configuración de IIS

Para hospedar el sitio web para CM, instale y configure IIS.

Instalación y configuración de IIS

1. Iniciar sesión en CORLog como cuenta de MIMINSTALL

   Importante

   La cuenta de instalación de MIM debe ser un administrador local.

2. Abra PowerShell y ejecute el siguiente comando.

   Install-WindowsFeature –ConfigurationFilePath

Nota:

Un sitio denominado Sitio web predeterminado se instala de forma predeterminada con IIS 7. Si se ha cambiado el nombre de ese sitio o se ha quitado un sitio con el nombre Sitio web predeterminado debe estar disponible para poder instalar MIM CM.

Configuración de Kerberos

La cuenta de MIMCMWebAgent ejecutará el portal de MIM CM. La autenticación en modo kernel se utiliza de forma predeterminada en IIS y versiones posteriores. Deshabilitará la autenticación en modo kernel de Kerberos y configurará SPN en la cuenta MIMCMWebAgent en su lugar. Algunos comandos requerirán permisos elevados en active directory y en el servidor CORPCM.

#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}

Actualización de IIS en CORPCM

add-pssnapin WebAdministration

Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true

Nota:

Deberá agregar un registro A de DNS para "cm.contoso.com" y apuntar a la dirección IP de CORPCM.

Requerir SSL en el portal de MIM CM

Se recomienda encarecidamente que necesite SSL en el portal de MIM CM. Si no lo haces, ni siquiera te avisará de ello.

1. Registrar un certificado web en cm.contoso.com asignado al sitio predeterminado

2. Abra el Administrador de IIS y vaya a Administración de certificados.

3. En Vista de características, haga doble clic en Configuración SSL.

4. En la página Configuración de SSL, seleccione Requerir SSL.

5. En el panel Acciones, haga clic en Aplicar.

Configuración de base de datos CORPSQL para MIM CM

1. Asegúrese de que está conectado al servidor de CORPSQL01.

2. Asegúrese de que ha iniciado sesión como DBA de SQL.

3. Ejecute el siguiente script de T-SQL para permitir que la cuenta CONTOSO\MIMINSTALL cree la base de datos cuando vayamos al paso de configuración.

   Nota:

   Tendremos que volver a SQL cuando estémos listos para el módulo exit & policy

   create login [CONTOSO\\MIMINSTALL] from windows;
   exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator';
   exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';  
   

Implementación de administración de certificados de Microsoft Identity Manager 2016

1. Asegúrese de que está conectado al servidor CORPCM y que la cuenta MIMINSTALL es miembro del grupo de administradores locales.

2. Asegúrese de que ha iniciado sesión como Contoso\MIMINSTALL.

3. Monte el ISO del Service Pack de Microsoft Identity Manager 2016 SP1 o posterior.

4. Abra el directorio Administración de certificados\x64 .

5. En la ventana x64, haga clic con el botón derecho en Configurar y, a continuación, haga clic en Ejecutar como administrador.

6. En la página Asistente para configuración de administración de certificados de Microsoft Identity Manager, haga clic en Siguiente.

7. En la página Contrato de licencia de usuario final, lea el contrato, habilite la casilla Acepto los términos en el contrato de licencia y, a continuación, haga clic en Siguiente.

8. En la página Configuración personalizada, asegúrese de que el MIM CM Portal y los componentes del servicio de actualización de MIM CM estén configurados para instalarse, y luego haga clic en Siguiente.

9. En la página Carpeta web virtual, asegúrese de que el nombre de la carpeta virtual sea CertificateManagement y, a continuación , haga clic en Siguiente.

10. En la página Instalar Administración de certificados de Microsoft Identity Manager, haga clic en Instalar.

11. En la página Completado del Asistente para la instalación de administración de certificados de Microsoft Identity Manager, haga clic en Finalizar.

Asistente para configuración de Administración de certificados de Microsoft Identity Manager 2016

Antes de iniciar sesión en CORPCM, agregue MIMINSTALL a los grupos de administradores de dominio, administradores de esquema y administradores locales para el asistente de configuración. Esto se puede quitar más adelante una vez completada la configuración.

1. En el menú Inicio , haga clic en Asistente para configuración de administración de certificados. Y ejecutar como administrador

2. En la página Asistente para configuración , haga clic en Siguiente.

3. En la página Configuración de CA, asegúrese de que la CA seleccionada sea Contoso-CORPCA-CA, asegúrese de que el servidor seleccionado esté CORPCA.CONTOSO.COM y, a continuación, haga clic en Siguiente.

4. En la página Configurar la base de datos de Microsoft® SQL Server®, en el cuadro Nombre de SQL Server , escriba CORPSQL1 , habilite la casilla Usar mis credenciales para crear la base de datos y, a continuación, haga clic en Siguiente.

5. En la página Configuración de base de datos, acepte el nombre predeterminado de la base de datos fiMCertificateManagement, asegúrese de que la autenticación integrada de SQL esté seleccionada y, a continuación, haga clic en Siguiente.

6. En la página Configurar Active Directory , acepte el nombre predeterminado proporcionado para el punto de conexión de servicio y, a continuación, haga clic en Siguiente.

7. En la página Método de autenticación, confirme que la autenticación integrada de Windows está seleccionada y, a continuación, haga clic en Siguiente.

8. En la página Agentes – FIM CM, desactive la casilla Usar la configuración predeterminada de FIM CM y, a continuación, haga clic en Cuentas personalizadas.

9. En el cuadro de diálogo Agentes – FIM CM con varias pestañas, en cada pestaña, escriba la siguiente información:

   • Nombre de usuario: actualizar

   • Contraseña: Pass@word1

   • Confirmar contraseña: Pass@word1

   • Uso de un usuario existente: Habilitado

     Nota:

     Hemos creado estas cuentas anteriormente. Asegúrese de que los procedimientos del paso 8 se repiten para las seis pestañas de la cuenta del agente.

     

10. Cuando se complete toda la información de la cuenta del agente, haga clic en Aceptar.

11. En la página Agentes – MIM CM , haga clic en Siguiente.

12. En la página Configurar certificados de servidor, habilite las siguientes plantillas de certificado:

    • Plantilla de certificado que se usará para el certificado del agente de recuperación Key Recovery Agent: MIMCMKeyRecoveryAgent.

    • Plantilla de certificado que se usará para el certificado del agente de CM de FIM: MIMCMSigning.

    • Plantilla de certificado que se usará para el certificado del agente de registro: FIMCMEnrollmentAgent.

13. En la página Configurar certificados de servidor, haga clic en Siguiente.

14. En la página Configurar servidor de correo electrónico, impresión de documentos, en el cuadro Especificar el nombre del servidor SMTP que desea usar para las notificaciones de registro de correo electrónico y, a continuación, haga clic en Siguiente.

15. En la página Listo para configurar, haga clic en Configurar.

16. En el cuadro de diálogo de advertencia Asistente para configuración: Microsoft Forefront Identity Manager 2010 R2 , haga clic en Aceptar para confirmar que SSL no está habilitado en el directorio virtual de IIS.

    

    Nota:

    No haga clic en el botón Finalizar hasta que se complete la ejecución del asistente para configuración. Puede encontrar el archivo de registro para el asistente aquí: %programfiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log

17. Haga clic en Finalizar

    

18. Cierre todas las ventanas abiertas.

19. Agregue https://cm.contoso.com/certificatemanagement a la zona de intranet local en el explorador.

20. Visite el sitio desde el servidor CORPCM https://cm.contoso.com/certificatemanagement

    

Comprobación del servicio de aislamiento de claves de CNG

1. En Herramientas administrativas, abra Servicios.

2. En el panel de detalles , haga doble clic en Aislamiento de claves CNG.

3. En la pestaña General, cambie el tipo de inicio a Automático.

4. En la pestaña General, inicie el servicio si no está en funcionamiento.

5. En la pestaña General , haga clic en Aceptar.

Instalación y configuración de los módulos de CA:

En este paso, instalaremos y configuraremos los módulos de CA de FIM CM en la entidad de certificación.

1. Configuración de FIM CM para inspeccionar solo los permisos de usuario para las operaciones de administración

2. En la ventana C:\Archivos de programa\Microsoft Forefront Identity Manager\2010\Certificate Management\web, realice una copia de web.config nombrando la copia web.1.config.

3. En la ventana Web, haga clic con el botón derecho en Web.config y, a continuación, haga clic en Abrir.

   Nota:

   El archivo Web.config se abre en el Bloc de notas.

4. Cuando se abra el archivo, presione CTRL+F.

5. En el cuadro de diálogo Buscar y reemplazar , en el cuadro Buscar qué , escriba UseUser y, a continuación, haga clic en Buscar siguiente tres veces.

6. Cierre el cuadro de diálogo Buscar y reemplazar .

7. Debe estar en la línea <add key="Clm.RequestSecurity.Flags" value="UseUser,UseGroups" />. Cambie la línea para leer <add key="Clm.RequestSecurity.Flags" value="UseUser" />.

8. Cierre el archivo y guarde todos los cambios.

9. Crear una cuenta para el equipo CA en el servidor SQL <sin script>

10. Asegúrese de que está conectado al servidor de CORPSQL01 .

11. Asegúrese de que ha iniciado sesión como DBA

12. En el menú Inicio , inicie SQL Server Management Studio.

13. En el cuadro de diálogo Conectar al servidor, en el cuadro Nombre del servidor, escriba CORPSQL01 y, a continuación, haga clic en Conectar.

14. En el árbol de consola, expanda Seguridad y luego haga clic en Inicios de sesión.

15. Haz clic con el botón derecho en Inicios de sesión y, luego, haz clic en Nuevo inicio de sesión.

16. En la página General , en el cuadro Nombre de inicio de sesión, escriba contoso\CORPCA$. Seleccione Autenticación de Windows. La base de datos predeterminada es FIMCertificateManagement.

17. En el panel izquierdo, seleccione Asignación de usuarios. En el panel derecho, haga clic en la casilla de verificación de la columna Mapa situada junto a FIMCertificateManagement. En la pertenencia a roles de base de datos para FIMCertificateManagement, habilite el rol clmApp.

18. Haga clic en OK.

19. Cierra Microsoft SQL Server Management Studio.

Instalación de los módulos de CA de FIM CM en la entidad de certificación

1. Asegúrese de que está conectado al servidor CORPCA .

2. En las ventanas X64, haga clic con el botón derecho en Setup.exe y, a continuación, haga clic en Ejecutar como administrador.

3. En la página de Bienvenida al Asistente de Configuración de Administración de Certificados de Microsoft Identity Manager, haga clic en Siguiente.

4. En la página de Acuerdo de Licencia de Usuario Final, lea el acuerdo. Active la casilla Acepto los términos en el contrato de licencia y, a continuación, haga clic en Siguiente.

5. En la página Configuración personalizada, seleccione PORTAL de MIM CM y, a continuación, haga clic en Esta característica no estará disponible.

6. En la página Configuración personalizada, seleccione MIM CM Update Service y, a continuación, haga clic en Esta característica no estará disponible.

   Nota:

   Esto dejará los archivos de CA de MIM CM como la única característica habilitada para la instalación.

7. En la página Configuración personalizada, haga clic en Siguiente.

8. En la página Instalar Administrador de Certificados de Microsoft Identity Manager, haga clic en Instalar.

9. En la página Completado el Asistente de configuración de administración de certificados de Microsoft Identity Manager, haga clic en Finalizar.

10. Cierre todas las ventanas abiertas.

Configuración del módulo de salida de CM de MIM

1. En Herramientas administrativas, abra Entidad de certificación.

2. En el árbol de consola, haga clic con el botón derecho en contoso-CORPCA-CA y, a continuación, haga clic en Propiedades.

3. En la pestaña Exit Module, seleccione FIM CM Exit Module (Módulo de salida de FIM CM) y, a continuación, haga clic en Propiedades.

4. En el cuadro Especificar la cadena de conexión de la base de datos CM, escriba Connect Timeout=15; Persist Security Info=True; Integrated Security=sspi; Initial Catalog=FIMCertificateManagement; Origen de datos=CORPSQL01. Deje la casilla Cifrar la cadena de conexión habilitada y, a continuación, haga clic en Aceptar.

5. En el cuadro de mensaje de Administración de certificados de Microsoft FIM, haga clic en OK.

6. En el cuadro de diálogo contoso-CORPCA-CA Propiedades, haga clic en Aceptar.

7. Haga clic con el botón derecho en contoso-CORPCA-CA, seleccione Todas las tareas y, a continuación, haga clic en Detener servicio. Espere hasta que Active Directory Certificate Services se detenga.

8. Haga clic con el botón derecho en contoso-CORPCA-CA, seleccione Todas las tareas y, a continuación, haga clic en Iniciar servicio.

9. Minimice la consola de Autoridad de certificación.

10. En Herramientas administrativas, abra Visor de eventos.

11. En el árbol de consola, expanda Registros de aplicaciones y servicios y, a continuación, haga clic en Administración de certificados FIM.

12. En la lista de eventos, compruebe que los eventos más recientes no incluyen ningún evento de advertencia o error desde el último reinicio de Servicios de certificados.

    Nota:

    El último evento debe indicar que el módulo de salida se cargó usando la configuración de: SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.Exit

13. Minimice el Visor de eventos.

Copiar la huella digital del certificado MIMCMAgent en el Portapapeles de Windows®

1. Restaure la consola de la entidad certificadora.

2. En el árbol de consola, expanda contoso-CORPCA-CA y, a continuación, haga clic en Certificados emitidos.

3. En el panel de detalles, haga doble clic en el certificado con CONTOSO\MIMCMAgent en la columna Nombre del solicitante y con FIM CM Firma en la columna Plantilla de certificado.

4. En la pestaña Detalles, seleccione el campo Huella digital.

5. Seleccione la huella digital y presione CTRL+C.

   Nota:

   No incluya el espacio inicial en la lista de caracteres de huella digital.

6. En el cuadro de diálogo Certificado , haga clic en Aceptar.

7. En el menú Inicio , en el cuadro Buscar programas y archivos , escriba Bloc de notas y presione ENTRAR.

8. En el Bloc de notas, en el menú Editar, haga clic en Pegar.

9. En el menú Editar , haga clic en Reemplazar.

10. En el cuadro Buscar qué, escriba un carácter de espacio y, a continuación, haga clic en Reemplazar todo.

    Nota:

    Esto quita todos los espacios entre los caracteres de la huella digital.

11. En el cuadro de diálogo Reemplazar , haga clic en Cancelar.

12. Seleccione la cadena de huella digital convertida y presione CTRL+C.

13. Cierre el Bloc de notas sin guardar los cambios.

Configuración del módulo de directivas de FIM CM

1. Restaure la consola de la Autoridad de Certificación.

2. Haga clic con el botón derecho en contoso-CORPCA-CA y, a continuación, haga clic en Propiedades.

3. En el cuadro de diálogo de Propiedades contoso-CORPCA-CA, en la pestaña Módulo de directivas, haga clic en Propiedades.

   • En la pestaña General, asegúrese de que esté seleccionada la opción de pasar solicitudes de CM no FIM al módulo de directiva predeterminado para su procesamiento.

   • En la pestaña Certificados de firma , haga clic en Agregar.

   • En el cuadro de diálogo Certificado, haga clic con el botón derecho en el cuadro Por favor especifique hash del certificado codificado en hexadecimal y, a continuación, haga clic en Pegar.

   • En el cuadro de diálogo Certificado , haga clic en Aceptar.

     Nota:

     Si el botón Aceptar no está habilitado, incluyó accidentalmente un carácter oculto en la cadena de huella digital al copiar la huella digital del certificado clmAgent. Repita todos los pasos a partir de la tarea 4: Copie la huella digital del certificado MIMCMAgent en el Portapapeles de Windows en este ejercicio.

4. En el cuadro de diálogo Propiedades de configuración, asegúrese de que la huella digital aparece en la lista Certificados de firma válidos y, a continuación, haga clic en Aceptar.

5. En el cuadro de mensaje Administración de certificados FIM, haga clic en Aceptar.

6. En el cuadro de diálogo contoso-CORPCA-CA Propiedades, haga clic en Aceptar.

7. Haga clic con el botón derecho en contoso-CORPCA-CA, seleccione Todas las tareas y, a continuación, haga clic en Detener servicio.

8. Espere hasta que Active Directory Certificate Services se detenga.

9. Haga clic con el botón derecho en contoso-CORPCA-CA, seleccione Todas las tareas y, a continuación, haga clic en Iniciar servicio.

10. Cierre la consola de la Autoridad de Certificación.

11. Cierre todas las ventanas abiertas y cierre la sesión.

El último paso de la implementación es asegurarnos de que CONTOSO\MIMCM-Managers puede implementar y crear plantillas y configurar el sistema sin tener que ser administrador de esquemas y dominios. El siguiente script aclá los permisos para las plantillas de certificado mediante dsacls. Por favor, ejecute con una cuenta que tenga permisos completos para cambiar los permisos de lectura y escritura de seguridad en cada plantilla de certificado existente en el bosque.

Primeros pasos: Configurar el punto de conexión de servicio y los permisos de grupo de destino y delegar la administración de plantillas de perfil

1. Configurar permisos en el punto de conexión de servicio (SCP).

2. Configurar la administración de plantillas de perfil delegadas.

3. Configurar permisos en el punto de conexión de servicio (SCP). <sin guion>

4. Asegúrese de que está conectado al servidor virtual CORPDC .

5. Iniciar sesión como contoso\corpadmin

6. En Herramientas administrativas, abra Usuarios y equipos de Active Directory.

7. En Usuarios y equipos de Active Directory, en el menú Ver, asegúrese de que las características avanzadas están habilitadas.

8. En el árbol de consola, expanda Contoso.com | Sistema | Microsoft | Administrador de ciclo de vida de certificados, y a continuación, haga clic en CORPCM.

9. Haga clic con el botón derecho en CORPCM y, a continuación, haga clic en Propiedades.

10. En el cuadro de diálogo Propiedades de CORPCM, en la pestaña Seguridad , agregue los siguientes grupos con los permisos correspondientes:

    Grupo	Permisos
    mimcm-Gerentes	Lee FIM CM Auditoría FIM CM Agente de Inscripción FIM CM Solicitud de Inscripción FIM CM Solicitud de Recuperación FIM CM Solicitud de Renovación FIM CM Solicitud de Revocación FIM CM Solicitud para Desbloquear Tarjeta Inteligente
    mimcm-SoporteTécnico	Leer Agente de inscripción FIM CM FIM CM Solicitud de revocación Solicitud FIM CM Desbloquear tarjeta inteligente

11. En el cuadro de diálogo Propiedades de CORPDC, haga clic en Aceptar.

12. Salir Usuarios y equipos de Active Directory abrir.

Configuración de permisos en los objetos de usuario descendientes

1. Asegúrese de que todavía está en la consola de Usuarios y equipos de Active Directory.

2. En el árbol de consola, haga clic con el botón derecho en Contoso.com y, a continuación, haga clic en Propiedades.

3. En la pestaña Seguridad, haga clic en Opciones avanzadas.

4. En el cuadro de diálogo Configuración de seguridad avanzada para Contoso , haga clic en Agregar.

5. En el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo , en el cuadro Escribir el nombre del objeto para seleccionar , escriba mimcm-Managers y, a continuación, haga clic en Aceptar.

6. En el cuadro de diálogo Entrada de permiso para Contoso, en la lista Aplicar a, seleccione Objetos de usuario descendiente y, a continuación, habilite la casilla Permitir para los Permisos siguientes:

   • Leer todas las propiedades

   • Permisos de lectura

   • Auditoría de FIM CM

   • Agente de inscripción de FIM CM

   • Solicitud de inscripción en FIM CM

   • Recuperación de solicitud FIM CM

   • Renovación de la solicitud de FIM CM

   • Revocación de solicitud de FIM CM

   • Solicitud para desbloquear tarjeta inteligente FIM CM

7. En el cuadro de diálogo Entrada de permiso para Contoso , haga clic en Aceptar.

8. En el cuadro de diálogo Configuración de seguridad avanzada para Contoso , haga clic en Agregar.

9. En el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo , en el cuadro Escribir el nombre del objeto para seleccionar , escriba mimcm-HelpDesk y, a continuación, haga clic en Aceptar.

10. En el cuadro de diálogo Entrada de permiso para Contoso, en la lista Aplicar a, seleccione Objetos de usuario descendiente y, a continuación, seleccione la opción casilla Permitir para los Permisos siguientes:

    • Leer todas las propiedades

    • Permisos de lectura

    • Agente de inscripción de FIM CM

    • Revocación de solicitud de FIM CM

    • Solicitud para desbloquear tarjeta inteligente FIM CM

11. En el cuadro de diálogo Entrada de permiso para Contoso , haga clic en Aceptar.

12. En el cuadro de diálogo Configuración de seguridad avanzada para Contoso , haga clic en Aceptar.

13. En el cuadro de diálogo Propiedades de contoso.com , haga clic en Aceptar.

14. Salir Usuarios y equipos de Active Directory abrir.

Configurar permisos en los objetos de usuario descendiente <no script>

1. Asegúrese de que todavía está en la consola de Usuarios y equipos de Active Directory.

2. En el árbol de consola, haga clic con el botón derecho en Contoso.com y, a continuación, haga clic en Propiedades.

3. En la pestaña Seguridad, haga clic en Opciones avanzadas.

4. En el cuadro de diálogo Configuración de seguridad avanzada para Contoso , haga clic en Agregar.

5. En el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo , en el cuadro Escribir el nombre del objeto para seleccionar , escriba mimcm-Managers y, a continuación, haga clic en Aceptar.

6. En el cuadro de diálogo Entrada de permiso para CONTOSO, en la lista Aplicar a, seleccione Objetos de usuario descendiente y, a continuación, habilite la casilla Permitir para los Permisos siguientes:

   • Leer todas las propiedades

   • Permisos de lectura

   • Auditoría de FIM CM

   • Agente de inscripción de FIM CM

   • Solicitud de inscripción en FIM CM

   • Recuperación de solicitud FIM CM

   • Renovación de la solicitud de FIM CM

   • Revocación de solicitud de FIM CM

   • Solicitud para desbloquear tarjeta inteligente FIM CM

7. En el cuadro de diálogo Entrada de permiso para CONTOSO , haga clic en Aceptar.

8. En el cuadro de diálogo Configuración de seguridad avanzada para CONTOSO , haga clic en Agregar.

9. En el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo , en el cuadro Escribir el nombre del objeto para seleccionar , escriba mimcm-HelpDesk y, a continuación, haga clic en Aceptar.

10. En el cuadro de diálogo Entrada de permiso para CONTOSO, en la lista Aplicar a, seleccione Objetos de usuario descendiente y, a continuación, seleccione la opción casilla Permitir para los Permisos siguientes:

    • Leer todas las propiedades

    • Permisos de lectura

    • Agente de inscripción de FIM CM

    • Revocación de solicitud de FIM CM

    • Solicitud para desbloquear tarjeta inteligente FIM CM

11. En el cuadro de diálogo Entrada de permiso para contoso , haga clic en Aceptar.

12. En el cuadro de diálogo Configuración de seguridad avanzada para Contoso , haga clic en Aceptar.

13. En el cuadro de diálogo Propiedades de contoso.com , haga clic en Aceptar.

14. Salir Usuarios y equipos de Active Directory abrir.

Segundo paso: Delegar permisos de administración de plantillas de certificado <script>

• Delegar permisos en el contenedor Plantillas de certificados.

• Delegación de permisos en el contenedor de OID.

• Delegar permisos en las plantillas de certificado existentes.

Defina los permisos en el contenedor Plantillas de certificado:

1. Restaure la consola sitios y servicios de Active Directory.

2. En el árbol de consola, expanda Servicios, expanda Servicios de Clave Pública y, a continuación, haga clic en Plantillas de Certificado.

3. En el árbol de consola, haga clic con el botón derecho en Plantillas de certificados y, a continuación, haga clic en Delegar control.

4. En el Asistente para delegación de control , haga clic en Siguiente.

5. En la página Usuarios o grupos , haga clic en Agregar.

6. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , en el cuadro Escribir los nombres de objeto que se van a seleccionar , escriba mimcm-Managers y, a continuación, haga clic en Aceptar.

7. En la página Usuarios o grupos , haga clic en Siguiente.

8. En la página Tareas a delegar , haga clic en Crear una tarea personalizada para delegar y, a continuación, haga clic en Siguiente.

9. En la página Tipo de objeto de Active Directory, asegúrese de que esta carpeta, los objetos existentes de esta carpeta y la creación de nuevos objetos de esta carpeta estén seleccionados y, a continuación, haga clic en Siguiente.

10. En la página Permisos, en la lista Permisos, active la casilla Control Total y, a continuación, haga clic en Siguiente.

11. En la página del Asistente para la Finalización de la Delegación de Control, haga clic en Finalizar.

Definir permisos en el contenedor de OID:

1. En el árbol de consola, haga clic con el botón derecho en OID y, a continuación, haga clic en Propiedades.

2. En el cuadro de diálogo Propiedades de OID, en la pestaña Seguridad, haga clic en Avanzadas.

3. En el cuadro de diálogo Configuración de seguridad avanzada para OID , haga clic en Agregar.

4. En el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo , en el cuadro Escribir el nombre del objeto para seleccionar , escriba mimcm-Managers y, a continuación, haga clic en Aceptar.

5. En el cuadro de diálogo Entrada de permisos para OID , asegúrese de que los permisos se aplican a Este objeto y a todos los objetos descendientes, haga clic en Control total y, a continuación, haga clic en Aceptar.

6. En el cuadro de diálogo Configuración de seguridad avanzada para OID , haga clic en Aceptar.

7. En el cuadro de diálogo Propiedades de OID, haga clic en Aceptar.

8. Cierre sitios y servicios de Active Directory.

Scripts: Permisos en el contenedor OID, en la & Plantilla de perfil y en las Plantillas de certificado

import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}

Scripts: delegación de permisos en las plantillas de certificado existentes.

dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO