Compartir a través de

Opcional: Crear un certificado de firma de código para App Control para empresas

Nota

Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.

A medida que implementa App Control para empresas, es posible que tenga que firmar archivos de catálogo o directivas de Control de aplicaciones internamente. Para realizar esta firma, deberá usar el servicio de Firma de confianza de Microsoft, un certificado de firma de código emitido públicamente o una ENTIDAD de certificación interna. Si ha adquirido un certificado de firma de código, puede omitir este artículo y, en su lugar, seguir otros artículos enumerados en la Guía de implementación de App Control for Business.

Si cuentas con una entidad de certificación interna, realiza los siguientes pasos para crear un certificado de firma de código.

Advertencia

Al crear certificados de firma para la firma de directivas de App Control, puede producirse un error de arranque (pantalla azul) si el certificado de firma no sigue estas reglas:

  • Todas las directivas, incluida la base y la complementaria, deben firmarse de acuerdo con el estándar PKCS 7.
  • Use claves RSA solo con tamaño de clave 2K, 3K o 4K. ECDSA no se admite.
  • Puede usar SHA-256, SHA-384 o SHA-512 como algoritmo de resumen en Windows 11, así como Windows 10 y Windows Server 2019 y versiones posteriores después de aplicar la actualización de seguridad acumulativa de noviembre de 2022. Todos los demás dispositivos solo admiten SHA256.

  1. Abre el complemento Microsoft Management Console (MMC) de la entidad de certificación y después selecciona la entidad de certificación emisora.

  2. Cuando esté conectado, haga clic con el botón derecho en Plantillas de certificado y, a continuación, seleccione Administrar para abrir la Consola de plantillas de certificación.

    Complemento de CA que muestra plantillas de certificado.

    Figura 1. Administrar las plantillas de certificado

  3. En el panel de navegación, haga clic con el botón derecho en el certificado de firma de código y, a continuación, seleccione Duplicar plantilla.

  4. En la pestaña Compatibilidad , desactiva la casilla Mostrar cambios resultantes . Selecciona Windows Server 2012 en la lista Entidad de certificación y después selecciona Windows 8/Windows Server 2012 en la lista Destinatario del certificado .

  5. En la pestaña General, especifica el Nombre para mostrar de la plantilla y el Nombre de plantilla. En este ejemplo se usa el nombre Certificado de firma del catálogo de Control de aplicaciones.

  6. En la pestaña Tratamiento de la solicitud, activa la casilla Permitir que la clave privada se pueda exportar.

  7. En la pestaña Extensiones , active la casilla Restricciones básicas y, a continuación, seleccione Editar.

  8. En el cuadro de diálogo Edición de extensión de restricciones básicas, activa la casilla Habilitar esta extensión, como se muestra en la figura 2.

    Editar extensión de restricciones básicas.

    Figura 2. Seleccionar restricciones en la nueva plantilla

  9. Si es necesario que un administrador de certificados apruebe alguno de los certificados emitidos, en la pestaña Requisitos de emisión, selecciona Aprobación del administrador de certificados de entidad de certificación.

  10. En la pestaña Nombre de sujeto , selecciona Proporcionado por el solicitante.

  11. En la pestaña Seguridad , comprueba que cualquier cuenta usada para solicitar el certificado tenga derecho a inscribir el certificado.

  12. Seleccione Aceptar para crear la plantilla y, a continuación, cierre la consola de plantilla de certificado.

Al crear esta plantilla de certificado, debes publicarla en el almacén de plantillas publicadas de la entidad de certificación. Para hacerlo, realiza los siguientes pasos:

  1. En el complemento MMC de entidad de certificación, haga clic con el botón derecho en Plantillas de certificación, seleccione Nuevo y, a continuación, seleccione Plantilla de certificado para emitir, como se muestra en la figura 3.

    Seleccione Plantilla de certificado para emitir.

    Figura 3. Seleccionar el nuevo certificado para emitirlo

    Aparece una lista de las plantillas disponibles que se van a emitir, incluida la plantilla que ha creado.

  2. Seleccione el certificado de firma del catálogo de App Control y, a continuación, seleccione Aceptar.

Ahora que la plantilla está disponible para emitirse, debe solicitar una desde el equipo que ejecuta Windows 10 o Windows 11 en el que crea y firma archivos de catálogo. Para empezar, abre MMC y después realiza los siguientes pasos:

  1. En MMC, en el menú Archivo , seleccione Agregar o quitar complemento. Haz doble clic en Certificadosy después selecciona Mi cuenta de usuario.

  2. En el complemento Certificados, haga clic con el botón derecho en la carpeta Almacén personal, seleccione Todas las tareas y, a continuación, seleccione Solicitar nuevo certificado.

  3. Seleccione Siguiente dos veces para llegar a la lista de selección de certificados.

  4. En la lista Solicitar certificado, selecciona el certificado de firma de código recién creado y después selecciona el texto azul que solicita información adicional, como se muestra en la figura 4.

    Solicitar certificados: se requiere más información.

    Figura 4. Obtener más información sobre el certificado de firma de código

  5. En el cuadro de diálogo Propiedades de certificado, para Tipo, selecciona Nombre común. En Valor, especifique un nombre significativo para el certificado (en este ejemplo, seleccionamos $ContosoSigningCert) y, a continuación, seleccionamos Agregar. Cuando se agregue, seleccione Aceptar.

  6. Inscríbelo y finalízalo.

Nota

Si se requiere un administrador de certificados para aprobar los certificados emitidos y ha seleccionado requerir la aprobación de administración en la plantilla, la solicitud deberá aprobarse en la CA antes de que se emita al cliente.

Este certificado debe instalarse en el almacén personal del usuario en el equipo que firmará los archivos de catálogo y las directivas de integridad de código. Si la firma se realizará en el mismo equipo que usó para solicitar el certificado, puede omitir los pasos siguientes. Si va a iniciar sesión en otro equipo, debe exportar el certificado .pfx con las claves y propiedades necesarias. Para hacerlo, realiza los siguientes pasos:

  1. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas y, a continuación, seleccione Exportar.

  2. Seleccione Siguiente y, a continuación , seleccione Sí, exporte la clave privada.

  3. Elige la configuración predeterminada y después selecciona Exportar todas las propiedades extendidas.

  4. Establezca una contraseña, seleccione una ruta de acceso de exportación y, a continuación, seleccione AppControlCatSigningCert.pfx como nombre de archivo.

Una vez que se haya exportado el certificado, impórtalo al almacén personal del usuario que firmará los archivos de catálogo o las directivas de integridad de código en el equipo concreto que los firmará.