Compartir a través de


Instalar la entidad de certificación en Windows Server

Siga estos pasos para configurar Servicios de certificados de Active Directory (AD CS). Esto le permite emitir certificados de servidor para servidores que ejecutan el servidor de directivas de red (NPS), el enrutamiento y el servicio de acceso remoto (RRAS) o ambos.

Prerrequisitos

  • La pertenencia tanto a los administradores de empresa como al grupo administradores de dominio raíz es el requisito mínimo para completar este procedimiento.

  • Antes de instalar Servicios de certificados de Active Directory , debe asignar un nombre al equipo, configurar el equipo con una dirección IP estática y unir el equipo al dominio.

    • Para obtener más información sobre cómo realizar estas tareas, consulta los componentes de red de Windows Server Core.
    • Para realizar este procedimiento, el equipo en el que va a instalar AD CS debe estar unido a un dominio donde está instalado Active Directory Domain Services (AD DS).

Instalación de Servicios de certificados de Active Directory mediante PowerShell

Para usar Windows PowerShell para instalar Servicios de certificados de Active Directory, complete los pasos siguientes.

  1. Abra Windows PowerShell y escriba el siguiente comando y presione ENTRAR.

    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  2. Una vez instalado AD CS, escriba el siguiente comando y presione la tecla Entrar.

    Install-AdcsCertificationAuthority -CAType EnterpriseRootCA  
    

Para obtener más información sobre este cmdlet y sus parámetros disponibles, consulte Install-AdcsCertificationAuthority.

Instalación de Servicios de certificados de Active Directory mediante el Administrador del servidor

Para usar el Administrador del servidor para instalar Servicios de certificados de Active Directory, complete los pasos siguientes.

  1. Inicie sesión como miembro del grupo de administradores de empresa y del grupo de administradores de dominio del dominio raíz.

  2. En el Administrador del servidor, seleccione Administrar y, a continuación, seleccione Agregar roles y características para abrir el Asistente para agregar roles y características.

  3. En Antes de comenzar, seleccione Siguiente.

    Nota

    La página Antes de comenzar del Asistente para agregar roles y características no se muestra si ha seleccionado Omitir esta página de forma predeterminada.

  4. En Seleccionar tipo de instalación, asegúrese de que Role-Based o la instalación basada en características esté seleccionada y, a continuación, seleccione Siguiente.

  5. En Seleccionar servidor de destino, asegúrese de seleccionar un servidor del grupo de servidores. En Grupo de servidores, asegúrese de que el equipo local está seleccionado. Seleccione Siguiente.

  6. En Seleccionar roles de servidor, en Roles, seleccione Servicios de certificados de Active Directory. Cuando se le pida que agregue características necesarias, seleccione Agregar características y, a continuación, seleccione Siguiente.

  7. En Seleccionar características, seleccione Siguiente.

  8. En Servicios de certificados de Active Directory, lea la información proporcionada y, a continuación, seleccione Siguiente.

  9. En Confirmar selecciones de instalación, seleccione Instalar. No cierre el asistente durante el proceso de instalación. Una vez completada la instalación, seleccione Configurar Servicios de certificados de Active Directory en el servidor de destino. Se abrirá el asistente de configuración de AD CS. Lea la información de las credenciales y, si es necesario, proporcione las credenciales de una cuenta que sea miembro del grupo Administradores de empresas. Seleccione Siguiente.

  10. En Servicios de función, seleccione Entidad de certificación y, a continuación, seleccione Siguiente.

  11. En la página Tipo de instalación , compruebe que la ENTIDAD de certificación empresarial está seleccionada y, a continuación, seleccione Siguiente.

  12. En la página Especificar el tipo de entidad de certificación , compruebe que la CA raíz está seleccionada y, a continuación, seleccione Siguiente.

  13. En la página Especificar el tipo de la clave privada , compruebe que está seleccionada la opción Crear una nueva clave privada y, a continuación, seleccione Siguiente.

  14. En la página Criptografía para CA , mantenga la configuración predeterminada para CSP (RSA#Proveedor de almacenamiento de claves de software de Microsoft) y algoritmo hash (SHA2) y determine la mejor longitud de caracteres de clave para la implementación. Las grandes longitudes de caracteres clave proporcionan una seguridad óptima; sin embargo, pueden afectar al rendimiento del servidor y es posible que no sean compatibles con las aplicaciones heredadas. Se recomienda mantener la configuración predeterminada de 2048. Seleccione Siguiente.

  15. En la página Nombre de CA, mantenga el nombre común sugerido para la CA o cambie el nombre según sus necesidades. Asegúrese de que está seguro de que el nombre de la ENTIDAD de certificación es compatible con las convenciones de nomenclatura y los propósitos, ya que no puede cambiar el nombre de la ENTIDAD de certificación después de haber instalado AD CS. Seleccione Siguiente.

  16. En la página Período de validez, en Especificar el período de validez, escriba el número y seleccione un valor de hora (Años, Meses, Semanas o Días). Se recomienda el valor predeterminado de cinco años. Seleccione Siguiente.

  17. En la página Base de datos de CA , en Especificar las ubicaciones de la base de datos, especifique la ubicación de la carpeta para la base de datos de certificados y el registro de la base de datos de certificados. Si especifica ubicaciones distintas de las ubicaciones predeterminadas, asegúrese de que las carpetas estén protegidas mediante listas de control de acceso (ACL) que impidan que usuarios o equipos no autorizados tengan acceso a los archivos de registro y la base de datos de la entidad de certificación. Seleccione Siguiente.

  18. En Confirmación, seleccione Configurar para aplicar las selecciones y, a continuación, seleccione Cerrar.