Configuración del Servicio de inscripción de dispositivos de red para usar una cuenta de usuario de dominio

Se aplica a: Windows Server (todas las versiones compatibles)

Se recomienda configurar NDES para especificar una cuenta de usuario, lo que requiere pasos adicionales. Si se opta por la identidad integrada del grupo de aplicaciones, no será necesario configurar nada más.

En este artículo, aprenderá a configurar el Servicio de inscripción de dispositivos de red (NDES) para que se ejecute como una cuenta de servicio especificada.

El Servicio de inscripción de dispositivos de red permite a enrutadores y otros dispositivos de red obtener certificados a través del Protocolo de inscripción de certificados simple (SCEP) sin usar credenciales de dominio de usuario.

SCEP se desarrolló para poder emitir certificados de forma segura y escalable a dispositivos de red por medio de las entidades de certificación (CA) existentes. Este protocolo admite la distribución de claves públicas de entidades de certificación y de entidades de registro, la inscripción y revocación de certificados, y las consultas relativas a los certificados y a su revocación.

Para obtener más información sobre NDES y cómo funciona con certificados basados en el Servicio de inscripción de certificados simple, consulte ¿Qué es el Servicio de inscripción de dispositivos de red para Servicios de certificados de Active Directory?.

Requisitos previos

Después de instalar el servicio de rol NDES para Servicios de certificados de Active Directory (AD CS), compruebe que cumple los siguientes requisitos previos:

• Ser una cuenta de usuario de dominio.

• Ser miembro del grupo local IIS_IUSRS.

• Tener permisos de solicitud en la entidad de certificación (CA) configurada.

• Tener permisos de lectura e inscripción en la plantilla de certificado de NDES, que se configura automáticamente.

• Si usa un nombre de red con equilibrio de carga o CNAME, configure un nombre de entidad de servicio (SPN) en Active Directory Domain Services.

Crear una cuenta de usuario de dominio que sea la cuenta de servicio de NDES.

Debe crear una cuenta de usuario de dominio como la cuenta de servicio de NDES.

1. Inicia sesión en el controlador de dominio o equipo administrativo en el que se haya instalado Herramientas de administración remota del servidor de Servicios de dominio de Active Directory. Abre Usuarios y equipos de Active Directory con una cuenta que tenga permisos para agregar usuarios al dominio.

2. En el árbol de la consola, expande la estructura hasta ver el contenedor en el que quieras crear la cuenta de usuario (por ejemplo, algunas organizaciones tienen una cuenta llamada OU de servicios o similar). Haga clic con el botón derecho en el contenedor, seleccione Nuevo y, a continuación, seleccione Usuario.

3. En los cuadros de texto Nuevo objeto - Usuario, escriba los nombres que correspondan a cada uno de los campos y que denoten que se está creando una cuenta de usuario. Asegúrate de seguir la directiva de la organización para crear cuentas de servicio (si la hay). Como ejemplo, se podría especificar lo siguiente y seleccionar Siguiente.

   • Nombre: Ndes

   • Apellidos: Service

   • Nombre de inicio de sesión de usuario: NdesService

4. Define una contraseña de cierta complejidad para la cuenta y confírmala. Configura las opciones de contraseña de forma que se respeten las directivas de seguridad de la organización relativas a las cuentas de servicio. Si la contraseña está configurada para que expire, deberá existir un proceso que permita restablecerla en los intervalos necesarios.

5. Seleccione Siguiente y después elija Terminado.

Sugerencia

• También puedes usar el comando de Windows PowerShell New-ADUser para agregar una cuenta de usuario de dominio.

• Según cuál sea la configuración de Servicios de dominio de Active Directory (AD DS), existirá la posibilidad de implementar una cuenta de servicio administrada o una cuenta de servicio administrada de grupo para NDES. Para obtener más información sobre las cuentas de servicio administradas, consulta Cuentas de servicio administradas. Para obtener más información sobre las cuentas de servicio administradas de grupo, consulta Información general de las cuentas de servicio administradas de grupo.

Agregar la cuenta de servicio de NDES al grupo local IIS_IUSERS

Después de crear correctamente una cuenta de usuario de dominio como cuenta de servicio NDES, debe agregar esta cuenta de servicio NDES al grupo local IIS_IUSRS.

1. En el servidor donde se hospeda el servicio de NDES, abra Administración de equipos (compmgmt.msc).

2. En el árbol de la consola de Administración de equipos, en Herramientas del sistema, expande Usuarios y grupos locales. Seleccione Grupos.

3. En el panel de detalles, seleccione IIS_IUSRS.

4. En la pestaña General, haga clic en Agregar.

5. En el cuadro de texto Seleccionar usuarios, equipos, cuentas de servicio y grupos, escribe el nombre de inicio de sesión de usuario de la cuenta que se haya configurado para ser la cuenta de servicio.

6. Haga clic en Comprobar nombres, seleccione Aceptar dos veces y, luego, cierre Administración de equipos.

Sugerencia

También puede usar net localgroup IIS_IUSRS <domain>\<username> /Add para agregar la cuenta de servicio de NDES al grupo local IIS_IUSRS. El símbolo del sistema o Windows PowerShell debe ejecutarse como administrador. Para obtener más información, consulte el comando de PowerShell Add-LocalGroupMember].

Configuración del permiso de solicitud en la entidad de certificación

Las cuentas de servicio NDES deben solicitar permiso en la entidad de certificación que va a usar NDES.

1. En la CA que NDES vaya a usar, abra la consola de entidad de certificación con una cuenta que tenga permisos de administración de CA.

2. Abre la consola de entidad de certificación. Haga clic con el botón derecho en la entidad de certificación y, luego, seleccione Propiedades.

3. En la pestaña Seguridad se pueden ver las cuentas con permiso Solicitar certificados. El grupo Usuarios autenticados tiene este permiso de forma predeterminada. Cuando está en uso, la cuenta de servicio que ha creado pertenece a Usuarios autenticados. Por lo tanto, no será necesario concederle más permisos, siempre y cuando Usuarios autenticados tenga el permiso Solicitar certificados. Si no es así, habrá que conceder el permiso Solicitar certificados a la cuenta de servicio de NDES en la CA. Para ello:

   • Seleccione Agregar.

   • En el cuadro de texto Seleccionar usuarios, equipos, cuentas de servicio o grupos, escriba el nombre de la cuenta de servicio de NDES, seleccione Comprobar nombres y, luego, Aceptar.

   • Asegúrate de que has seleccionado la cuenta de servicio de NDES. Asimismo, confirma que la casilla Permitir correspondiente a Solicitar certificados está activada. Seleccione Aceptar.

Compruebe si es necesario establecer un nombre de entidad de servicio para NDES.

Debe configurar un nombre de entidad de servicio (SPN) en Active Directory si usa un equilibrador de carga o un nombre virtual. En esta sección, aprenderá a determinar si es necesario establecer un SPN en Active Directory.

• Si usa un único servidor NDES y su nombre de host real (escenario más común), la cuenta no necesita un SPN registrado. Los SPN predeterminados de cuentas de equipo para HOST/computerFQDN cubren este caso. Si usa todos los demás valores predeterminados (especialmente en torno a la autenticación en modo kernel de IIS), puede ir directamente a la sección siguiente de este artículo.

• Si usa un registro A personalizado como nombre de host o equilibrio de carga con una dirección IP virtual, es necesario registrar un SPN en la cuenta de servicio de NDES (SCEPSvc). Para registrar un SPN en la cuenta de servicio NDES, haga lo siguiente:

  1. Use la sintaxis del comando Setspn de Setspn -s HTTP/<computerfqdn> <domainname\accountname> al escribir los comandos. Por ejemplo, el dominio es Fabrikam.com, el CNAME de NDES es NDESFARM y usa una cuenta de servicio denominada SCEPSvc. En el ejemplo, ejecutaría los siguientes comandos.

     • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
     • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

  2. A continuación, deshabilite la autenticación en modo kernel de IIS para el sitio.

Configuración del servicio de rol NDES

Una vez finalizada la instalación, debe realizar algunos pasos para terminar de configurar el equipo NDES.

Si NDES está instalado en una CA, no existirá la posibilidad de seleccionar una CA, ya que se usa la CA local.

Si NDES está instalado en un equipo que no es una CA, sí habrá que seleccionar la CA de destino. Las CA se pueden seleccionar por nombre de CA o por nombre de equipo.

Para seleccionar la CA, haga lo siguiente:

1. Abra Configuración de AD CS desde Administrador del servidor.

2. Seleccione CA para NDES

3. Seleccione Nombre de CA o Nombre del equipo y, luego, Seleccionar.

4. La opción que elija determinará el tipo de cuadro de diálogo que se va a abrir:

   • Si hizo clic en Nombre de CA, se abrirá el cuadro de diálogo Seleccionar entidad de certificación, que muestra una lista de CA que se pueden escoger.

     o

   • Si hiciste clic en Nombre del equipo, verás el cuadro de diálogo Seleccionar equipo, donde se pueden definir las Ubicaciones y escribir el nombre de equipo que quieras especificar como CA.

Ya está listo para completar la configuración del servicio de rol NDES. Los pasos restantes comprueban la información de la entidad de registro y configuran la criptografía.

1. La información de la entidad de registro (RA) que se indique aquí se usará para crear el certificado de firma que se emite al servicio. En el Administrador de servidores Seleccione información de RA.

2. Compruebe todos los campos y confirme que la información de la entidad de registro es correcta (o está establecida en los valores predeterminados).

NDES usa dos certificados y sus claves para permitir la inscripción de dispositivos. Las organizaciones pueden usar diferentes proveedores de servicios criptográficos (CSP) para almacenar estas claves o, también, cambiar la longitud de las claves que el servicio utiliza. Para las claves de RA se admiten únicamente proveedores de servicios de Interfaz de programación de aplicaciones criptográficas (CryptoAPI). No se pueden usar proveedores de API de Cryptography Next Generation (CNG).

1. Para configurar la criptografía, en Administrador del servidor, seleccione Criptografía para NDES.

2. Escriba los valores de Proveedor de claves de firma o Proveedor de claves de cifrado y decida los valores de longitud de clave.

3. Continúe con el asistente para completar la instalación de NDES.

Ahora que ha configurado el servicio de rol, puede obtener información detallada sobre la configuración y la operación de NDES. Consulte Servicio de inscripción de dispositivos de red (NDES) en Servicios de certificados de Active Directory (AD CS).

Sugerencia

Si realiza cambios en la configuración para NDES o en las plantillas de certificado que usa NDES, tienes que detener y reiniciar NDES, IIS y el servicio de CA.

Pasos siguientes

• Uso de un módulo de directivas con el servicio de inscripción de dispositivos de red

• Preguntas más frecuentes (P+F) sobre la infraestructura de clave pública (PKI) de los Servicios de certificados de Active Directory (AD CS)