Guía de implementación de confianza de certificados locales

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:

• Tipo de implementación: local
• Tipo de confianza:.
• Tipo de combinación:dominio

---

Requisitos

Antes de iniciar la implementación, revise los requisitos descritos en el artículo Planeamiento de una implementación de Windows Hello para empresas.

Asegúrese de que se cumplen los siguientes requisitos antes de comenzar:

• Infraestructura de clave pública
• Authentication
• Configuración de dispositivos
• Licencias para servicios en la nube
• Requisitos de Windows
• Requisitos de Windows Server
• Preparar a los usuarios para usar Windows Hello

Pasos de implementación

Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas consta de los pasos siguientes:

• Configuración y validación de la infraestructura de clave pública
• Preparación e implementación de AD FS con MFA
• Configuración e inscripción en Windows Hello para empresas

Configuración y validación de la infraestructura de clave pública

En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:

• Tipo de implementación: local
• Tipo de confianza:.
• Tipo de combinación:dominio

---

Windows Hello para empresas debe tener una infraestructura de clave pública (PKI) al usar los modelos de confianza de claves o de confianza de certificados. Los controladores de dominio deben tener un certificado, que actúa como raíz de confianza para los clientes. El certificado garantiza que los clientes no se comuniquen con controladores de dominio no autorizados. El modelo de confianza de certificado amplía la emisión de certificados a los equipos clientes. Durante el aprovisionamiento de Windows Hello para empresas, el usuario recibe un certificado de inicio de sesión.

Implementación de una entidad de certificación empresarial

En esta guía se supone que la mayoría de empresas ya tienen una infraestructura de clave pública. Windows Hello para empresas depende de una PKI empresarial que ejecute el rol Servicios de certificados de Active Directory de Windows Server.
Si no tiene una PKI existente, revise Guía de la entidad de certificación para diseñar correctamente la infraestructura. A continuación, consulte la Guía del laboratorio de pruebas: Implementación de una jerarquía de PKI de AD CS Two-Tier para obtener instrucciones sobre cómo configurar la PKI mediante la información de la sesión de diseño.

PKI basada en laboratorio

Las siguientes instrucciones se pueden usar para implementar una infraestructura de clave pública sencilla que sea adecuada para un entorno de laboratorio.

Inicie sesión con credenciales equivalentes de administrador de empresa en un servidor Windows Server en el que quiera instalar la entidad de certificación (CA).

Nota

Nunca instale una entidad de certificación en un controlador de dominio en un entorno de producción.

1. Abrir una solicitud de Windows PowerShell con privilegios elevados
2. Usa el siguiente comando para instalar el rol Servicios de certificados de Active Directory.

   Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
   

3. Use el siguiente comando para configurar la entidad de certificación mediante una configuración básica de entidad de certificación.

   Install-AdcsCertificationAuthority
   

Configuración de la PKI empresarial

Configuración de certificados de controlador de dominio

Los clientes deben confiar en los controladores de dominio y la mejor manera de habilitar la confianza es asegurarse de que cada controlador de dominio tiene un certificado de autenticación Kerberos . La instalación de un certificado en los controladores de dominio permite al Centro de distribución de claves (KDC) demostrar su identidad a otros miembros del dominio. Los certificados proporcionan a los clientes una raíz de confianza externa al dominio, es decir, la entidad de certificación empresarial.

Los controladores de dominio solicitan automáticamente un certificado de controlador de dominio (si se publica) cuando detectan que se agrega una ENTIDAD de certificación empresarial a Active Directory. Los certificados basados en las plantillas de certificado controlador de dominio y autenticación de controlador de dominio no incluyen el identificador de objeto de autenticación de KDC (OID), que se agregó más adelante a la RFC de Kerberos. Por lo tanto, los controladores de dominio deben solicitar un certificado basado en la plantilla de certificado de autenticación Kerberos .

De forma predeterminada, la CA de Active Directory proporciona y publica la plantilla de certificado de autenticación Kerberos . La configuración de criptografía incluida en la plantilla se basa en API de criptografía más antiguas y con menos rendimiento. Para asegurarse de que los controladores de dominio solicitan el certificado adecuado con la mejor criptografía disponible, use la plantilla de certificado de autenticación Kerberos como línea base para crear una plantilla de certificado de controlador de dominio actualizada.

Importante

Los certificados emitidos a los controladores de dominio deben cumplir los siguientes requisitos:

• La extensión del punto de distribución de lista de revocación de certificados (CRL) debe apuntar a una CRL válida o a una extensión de acceso a la información de entidad (AIA) que apunte a un respondedor del Protocolo de estado de certificado en línea (OCSP)
• Opcionalmente, la sección asunto del certificado podría contener la ruta de acceso del directorio del objeto de servidor (el nombre distintivo)
• La sección uso de claves de certificado debe contener firma digital y cifrado de claves.
• Opcionalmente, la sección Restricciones básicas del certificado debe contener: [Subject Type=End Entity, Path Length Constraint=None]
• La sección de uso de clave extendida del certificado debe contener autenticación de cliente (1.3.6.1.5.5.7.3.2), autenticación de servidor (1.3.6.1.5.5.7.3.1) y autenticación KDC (1.3.6.1.5.2.3.5)
• La sección nombre alternativo del firmante del certificado debe contener el nombre del sistema de nombres de dominio (DNS)
• La plantilla de certificado debe tener una extensión que tenga el valor DomainController, codificado como BMPstring. Si usa la entidad de certificación empresarial de Windows Server, esta extensión ya se incluye en la plantilla de certificado del controlador de dominio.
• El certificado del controlador de dominio debe instalarse en el almacén de certificados del equipo local.

Inicie sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Abrir la consola de administración de la entidad de certificación

2. Haga clic con el botón derecho en Administrar plantillas > de certificado

3. En la consola de plantilla de certificado, haga clic con el botón derecho en la plantilla Autenticación Kerberos en el panel de detalles y seleccione Duplicar plantilla.

4. Use la tabla siguiente para configurar la plantilla:

   Nombre de pestaña	Configuraciones
   Compatibilidad	Desactive la casilla Mostrar cambios resultantes Seleccione Windows Server 2016 en la lista Entidad de certificación Seleccione Windows 10/Windows Server 2016 en la lista Destinatario de certificación
   General	Especifique un nombre para mostrar de plantilla, por ejemplo, Autenticación de controlador de dominio (Kerberos) Establecer el período de validez en el valor deseado Tome nota del nombre de la plantilla para más adelante, que debe ser el mismo que el nombre para mostrar de la plantilla menos espacios.
   Nombre del firmante	Seleccione Compilar en esta información de Active Directory. Seleccione Ninguno en la lista Formato de nombre de firmante . Seleccione el nombre DNS en la lista Incluir esta información en el asunto alternativo . Borrar todos los demás elementos
   Criptografía	Establecer la categoría de proveedor en Proveedor de almacenamiento de claves Establecer el nombre del algoritmo en RSA Establecer el tamaño mínimo de clave en 2048 Establecer el hash de solicitud en SHA256

5. Seleccione Aceptar para finalizar los cambios y crear la nueva plantilla.

6. Cierre la consola

Reemplazar los certificados de controlador de dominio existentes

Los controladores de dominio pueden tener un certificado de controlador de dominio existente. Servicios de certificados de Active Directory proporciona una plantilla de certificado predeterminada para los controladores de dominio denominada certificado de controlador de dominio. Las versiones posteriores de Windows Server proporcionaron una nueva plantilla de certificado denominada certificado de autenticación de controlador de dominio. Estas plantillas de certificado se proporcionaron antes de la actualización de la especificación kerberos que indicaba que los centros de distribución de claves (KDC) realizaban la autenticación de certificados necesaria para incluir la extensión de autenticación de KDC .

La plantilla de certificado de autenticación Kerberos es la plantilla de certificado más actual designada para los controladores de dominio y debe ser la que implemente en todos los controladores de dominio.
La característica de inscripción automática permite reemplazar los certificados del controlador de dominio. Use la siguiente configuración para reemplazar los certificados de controlador de dominio anteriores por otros nuevos mediante la plantilla de certificado de autenticación Kerberos .

Inicie sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de empresa .

1. Abrir la consola de administración de la entidad de certificación
2. Haga clic con el botón derecho en Administrar plantillas > de certificado
3. En la consola de plantilla de certificado, haga clic con el botón derecho en la plantilla Autenticación de controlador de dominio (Kerberos) (o en el nombre de la plantilla de certificado que creó en la sección anterior) en el panel de detalles y seleccione Propiedades.
4. Seleccione la pestaña Plantillas sustituidas . Seleccione Agregar.
5. En el cuadro de diálogo Agregar plantilla sustituida, seleccione la plantilla de certificado controlador de dominio y seleccione Aceptar > agregar.
6. En el cuadro de diálogo Agregar plantilla sustituida, seleccione la plantilla Certificado de autenticación de controlador de dominio y seleccione Aceptar.
7. En el cuadro de diálogo Agregar plantilla sustituida, seleccione la plantilla certificado de autenticación Kerberos y seleccione Aceptar.
8. Agregue cualquier otra plantilla de certificado de empresa configurada anteriormente para controladores de dominio a la pestaña Plantillas sustituidas
9. Seleccione Aceptar y cierre la consola plantillas de certificado

La plantilla de certificado está configurada para reemplazar todas las plantillas de certificado proporcionadas en la lista de plantillas reemplazadas .
Sin embargo, la plantilla de certificado y la supersedación de plantillas de certificado no están activas hasta que la plantilla se publica en una o varias entidades de certificación.

Nota

El certificado del controlador de dominio debe encadenarse a una raíz en el almacén NTAuth. De forma predeterminada, el certificado raíz de la entidad de certificación de Active Directory se agrega al almacén NTAuth. Si usa una CA que no es de Microsoft, es posible que no se haga de forma predeterminada. Si el certificado del controlador de dominio no se encadene a una raíz en el almacén NTAuth, se producirá un error en la autenticación del usuario. Para ver todos los certificados en el almacén NTAuth, use el siguiente comando:

Certutil -viewstore -enterprise NTAuth

Configuración de una plantilla de certificado de servidor web interno

Los clientes de Windows se comunican con AD FS a través de HTTPS. Para satisfacer esta necesidad, se debe emitir un certificado de autenticación de servidor a todos los nodos de la granja de servidores de AD FS. Las implementaciones locales pueden usar un certificado de autenticación de servidor emitido por la PKI empresarial. Se debe configurar una plantilla de certificado de autenticación de servidor para que los nodos de AD FS puedan solicitar un certificado.

Inicie sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Abrir la consola de administración de la entidad de certificación

2. Haga clic con el botón derecho en Administrar plantillas > de certificado

3. En la consola de plantilla de certificado, haga clic con el botón derecho en la plantilla Servidor web en el panel de detalles y seleccione Plantilla duplicada.

4. Use la tabla siguiente para configurar la plantilla:

   Nombre de pestaña	Configuraciones
   Compatibilidad	Desactive la casilla Mostrar cambios resultantes Seleccione Windows Server 2016 en la lista Entidad de certificación Seleccione Windows 10/Windows Server 2016 en la lista Destinatario de certificación
   General	Especificar un nombre para mostrar de plantilla, por ejemplo, servidor web interno Establecer el período de validez en el valor deseado Tome nota del nombre de la plantilla para más adelante, que debe ser el mismo que el nombre para mostrar de la plantilla menos espacios.
   Control de solicitudes	Seleccione Permitir que se exporte la clave privada.
   Nombre del firmante	Seleccione Suministro en la solicitud.
   Seguridad	Agregar equipos de dominio con acceso de inscripción
   Criptografía	Establecer la categoría de proveedor en Proveedor de almacenamiento de claves Establecer el nombre del algoritmo en RSA Establecer el tamaño mínimo de clave en 2048 Establecer el hash de solicitud en SHA256

5. Seleccione Aceptar para finalizar los cambios y crear la nueva plantilla.

6. Cierre la consola

Configuración de una plantilla de certificado de agente de inscripción

Una entidad de registro de certificados (CRA) es una entidad de confianza que valida la solicitud de certificado. Una vez que valida la solicitud, presenta la solicitud a la entidad de certificación (CA) para su emisión. La entidad de certificación emite el certificado, lo devuelve a la CRA, que devuelve el certificado al usuario solicitante. Windows Hello para empresas implementaciones de confianza de certificados usan AD FS como CRA.

La CRA se inscribe para un certificado de agente de inscripción. Una vez que la CRA comprueba la solicitud de certificado, firma la solicitud de certificado mediante su certificado de agente de inscripción y la envía a la CA. La plantilla de certificado de autenticación de Windows Hello para empresas está configurada para emitir certificados únicamente para certificar solicitudes que hayan sido firmadas con un certificado de agente de inscripción. La entidad de certificación solo emite un certificado para esa plantilla si la entidad de registro firma la solicitud de certificado.

Importante

Siga los procedimientos siguientes en función de la cuenta de servicio de AD FS que se usa en su entorno.

Creación de un certificado de agente de inscripción para cuentas de servicio administradas de grupo (GMSA)

Inicie sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Abrir la consola de administración de la entidad de certificación

2. Haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.

3. En la consola de plantilla de certificado, haga clic con el botón derecho en el panel de detalles de la plantilla Agente de inscripción de Exchange (solicitud sin conexión) y seleccione Plantilla duplicada.

4. Use la tabla siguiente para configurar la plantilla:

   Nombre de pestaña	Configuraciones
   Compatibilidad	Desactive la casilla Mostrar cambios resultantes Seleccione Windows Server 2016 en la lista Entidad de certificación Seleccione Windows 10/Windows Server 2016 en la lista Destinatario de certificación
   General	Especifique un nombre para mostrar de plantilla, por ejemplo, el agente de inscripción de WHFB. Establecer el período de validez en el valor deseado
   Nombre del firmante	Seleccione Suministro en la solicitud. Nota: Las cuentas de servicio administradas de grupo (GMSA) no admiten la opción Compilar a partir de esta información de Active Directory y provocarán que el servidor de AD FS no inscriba el certificado del agente de inscripción. Debe configurar la plantilla de certificado con Suministro en la solicitud para asegurarse de que los servidores de AD FS pueden realizar la inscripción y renovación automáticas del certificado del agente de inscripción.
   Criptografía	Establecer la categoría de proveedor en Proveedor de almacenamiento de claves Establecer el nombre del algoritmo en RSA Establecer el tamaño mínimo de clave en 2048 Establecer el hash de solicitud en SHA256
   Seguridad	Seleccione Agregar. Seleccione Tipos de objeto y active la casilla Cuentas de servicio . Seleccione Aceptar. Escriba adfssvc en el cuadro de texto Escriba los nombres de objeto para seleccionar y seleccione Aceptar. Seleccione adfssvc en la lista Nombres de grupo o usuarios . En la sección Permisos para adfssvc : En la sección Permisos para adfssvc , active la casilla Permitir para el permiso Inscribir . Excluyendo el usuario adfssvc , desactive la casilla Permitir para los permisos Inscribir y Inscribir automáticamente para todos los demás elementos de la lista Nombres de grupo o usuarios . Seleccione Aceptar.

5. Seleccione Aceptar para finalizar los cambios y crear la nueva plantilla.

6. Cierre la consola

Creación de un certificado de agente de inscripción para una cuenta de servicio estándar

Inicie sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Abrir la consola de administración de la entidad de certificación

2. Haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.

3. En la consola de plantilla de certificado, haga clic con el botón derecho en el panel de detalles de la plantilla Agente de inscripción de Exchange (solicitud sin conexión) y seleccione Plantilla duplicada.

4. Use la tabla siguiente para configurar la plantilla:

   Nombre de pestaña	Configuraciones
   Compatibilidad	Desactive la casilla Mostrar cambios resultantes Seleccione Windows Server 2016 en la lista Entidad de certificación Seleccione Windows 10/Windows Server 2016 en la lista Destinatario del certificado
   General	Especifique un nombre para mostrar de plantilla, por ejemplo, el agente de inscripción de WHFB. Establecer el período de validez en el valor deseado
   Nombre del firmante	Seleccione Compilar en esta información de Active Directory. Seleccione Nombre completo de la lista Formato de nombre de firmante Active la casilla Nombre principal de usuario (UPN) en Incluir esta información en el nombre del firmante alternativo.
   Criptografía	Establecer la categoría de proveedor en Proveedor de almacenamiento de claves Establecer el nombre del algoritmo en RSA Establecer el tamaño mínimo de clave en 2048 Establecer el hash de solicitud en SHA256
   Seguridad	Seleccione Agregar. Seleccione Tipos de objeto y active la casilla Cuentas de servicio . Seleccione Aceptar. Escriba adfssvc en el cuadro de texto Escriba los nombres de objeto para seleccionar y seleccione Aceptar. Seleccione adfssvc en la lista Nombres de grupo o usuarios . En la sección Permisos para adfssvc : En la sección Permisos para adfssvc , active la casilla Permitir para el permiso Inscribir . Excluyendo el usuario adfssvc , desactive la casilla Permitir para los permisos Inscribir y Inscribir automáticamente para todos los demás elementos de la lista Nombres de grupo o usuarios . Seleccione Aceptar.

5. Seleccione Aceptar para finalizar los cambios y crear la nueva plantilla.

6. Cierre la consola

Configuración de una plantilla de certificado de autenticación de Windows Hello para empresas

Durante Windows Hello para empresas aprovisionamiento, los clientes de Windows solicitan un certificado de autenticación de AD FS, que solicita el certificado de autenticación en nombre del usuario. Esta tarea configura la plantilla de certificado de autenticación de Windows Hello para empresas.

Inicie sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Abrir la consola de administración de la entidad de certificación

2. Haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.

3. En la consola de plantilla de certificado, haga clic con el botón derecho en la plantilla Inicio de sesión de tarjeta inteligente y seleccione Plantilla duplicada.

4. Use la tabla siguiente para configurar la plantilla:

   Nombre de pestaña	Configuraciones
   Compatibilidad	Desactive la casilla Mostrar cambios resultantes Seleccione Windows Server 2016 en la lista Entidad de certificación Seleccione Windows 10/Windows Server 2016 en la lista Destinatario de certificación
   General	Especificar un nombre para mostrar de plantilla, por ejemplo, autenticación WHFB Establecer el período de validez en el valor deseado Tome nota del nombre de la plantilla para más adelante, que debe ser el mismo que el nombre para mostrar de la plantilla menos espacios.
   Nombre del firmante	Seleccione Compilar en esta información de Active Directory. Seleccione Nombre completo de la lista Formato de nombre de firmante Active la casilla Nombre principal de usuario (UPN) en Incluir esta información en el nombre del firmante alternativo.
   Criptografía	Establecer la categoría de proveedor en Proveedor de almacenamiento de claves Establecer el nombre del algoritmo en RSA Establecer el tamaño mínimo de clave en 2048 Establecer el hash de solicitud en SHA256
   Extensions	Comprobación de que la extensión Directivas de aplicación incluye inicio de sesión con tarjeta inteligente
   Requisitos de emisión	Active la casilla Este número de firmas autorizadas . Escriba 1 en el cuadro de texto. Seleccione Directiva de aplicación en el tipo de directiva requerido en la firma. Seleccione Agente de solicitud de certificado en la lista Directiva de aplicación . Seleccione la opción Certificado existente válido.
   Control de solicitudes	Active la casilla Renovar con la misma clave .
   Seguridad	Seleccione Agregar. Tenga como destino un grupo de seguridad de Active Directory que contenga los usuarios que desea inscribir en Windows Hello para empresas. Por ejemplo, si tiene un grupo llamado Window Hello para usuarios empresariales, escriba en el cuadro de texto Escriba los nombres de objeto para seleccionar y seleccione Aceptar. Seleccione el Windows Hello para empresas Usuarios en la lista Nombres de grupo o usuarios. En la sección Permisos para Windows Hello para empresas usuarios: Active la casilla Permitir para el permiso Inscribir. Excluyendo el grupo anterior (por ejemplo, Window Hello para usuarios profesionales), desactive la casilla Permitir para los permisos de inscripción y inscripción automática para todas las demás entradas de la sección Nombres de grupo o usuarios si las casillas aún no están desactivadas. Seleccione Aceptar.

5. Seleccione Aceptar para finalizar los cambios y crear la nueva plantilla.

6. Cierre la consola

Marca la plantilla como plantilla de inicio de sesión de Windows Hello

Inicio de sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de empresa

Abra un extremo del símbolo del sistema con privilegios elevados y ejecute el siguiente comando.

certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

Si la plantilla se cambió correctamente, la salida del comando contendrá valores antiguos y nuevos de los parámetros de plantilla. El nuevo valor debe contener el CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY parámetro . Por ejemplo:

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication

Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)

New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."

Nota

Si le dio a la plantilla de certificado de autenticación de Windows Hello para empresas un nombre diferente, reemplace WHFBAuthentication en el comando anterior por el nombre de la plantilla de certificado. Es importante que uses el nombre de plantilla en lugar del nombre de plantilla para mostrar. Puedes ver el nombre de plantilla en la pestaña General de la plantilla del certificado con la consola de administración de Plantillas de certificado (certtmpl.msc). O bien, puede ver el nombre de la plantilla mediante el Get-CATemplate cmdlet ADCS Administration Windows PowerShell en la entidad de certificación.

Anular la publicación de plantillas de certificado reemplazadas

La entidad de certificación solo emite certificados basados en plantillas de certificado publicadas. Por motivos de seguridad, se recomienda anular la publicación de plantillas de certificado que la entidad de certificación no esté configurada para emitir, incluidas las plantillas publicadas previamente desde la instalación de roles y las plantillas sustituidas.

La plantilla de certificado de autenticación de controlador de dominio recién creada reemplaza a las plantillas de certificado de controlador de dominio anteriores. Por lo tanto, debes anular la publicación de estas plantillas de certificado de todas las entidades de certificación emisoras.

Inicie sesión en la entidad de certificación o la estación de trabajo de administración con credenciales equivalentes de administrador de empresa .

1. Abrir la consola de administración de la entidad de certificación
2. Expanda el nodo primario desde el panel > de navegación Plantillas de certificado
3. Haga clic con el botón derecho en la plantilla de certificado controlador de dominio y seleccione Eliminar. Seleccione Sí en la ventana Deshabilitar plantillas de certificado .
4. Repita el paso 3 para las plantillas de certificado autenticación de controlador de dominio y autenticación Kerberos

Publicación de plantillas de certificado en la entidad de certificación

Una entidad de certificación solo puede emitir certificados para las plantillas de certificado que se publican en ella. Si tiene más de una ENTIDAD de certificación y quiere que más ENTIDADes de certificación emitan certificados basados en la plantilla de certificado, debe publicar la plantilla de certificado en ellos.

Inicie sesión en la entidad de certificación o en las estaciones de trabajo de administración con enterprise Administración credenciales equivalentes.

1. Abrir la consola de administración de la entidad de certificación
2. Expanda el nodo primario desde el panel de navegación.
3. Seleccione Plantillas de certificado en el panel de navegación.
4. Haz clic con el botón secundario en el nodo Plantillas de certificado. Seleccione Nueva > plantilla de certificado para emitir
5. En la ventana Habilitar plantillas de certificados , seleccione las plantillas Autenticación de controlador de dominio (Kerberos),Servidor web interno, Agente de inscripción WHFB y Autenticación WHFB que creó en los pasos anteriores. Seleccione Aceptar para publicar las plantillas de certificado seleccionadas en la entidad de certificación.
6. Si ha publicado la plantilla de certificado autenticación de controlador de dominio (Kerberos), anótelo en la lista de plantillas sustituidas.
   • Para anular la publicación de una plantilla de certificado, haga clic con el botón derecho en la plantilla de certificado que desea anular y seleccione Eliminar. Seleccione Sí para confirmar la operación.
7. Cierre la consola

Configuración e implementación de certificados en controladores de dominio

Configuración de la inscripción automática de certificados para los controladores de dominio

Los controladores de dominio solicitan automáticamente un certificado de la plantilla de certificado de controlador de dominio . Sin embargo, los controladores de dominio no son conscientes de las plantillas de certificado más recientes o de las configuraciones reemplazadas en las plantillas de certificado. Para que los controladores de dominio inscriban y renueve automáticamente los certificados, configure un GPO para la inscripción automática de certificados y vincúlelo a la unidad organizativa Controladores de dominio .

1. Abra la consola de administración de directiva de grupo (gpmc.msc)
2. Expanda el dominio y seleccione el nodo directiva de grupo Objeto en el panel de navegación.
3. Haz clic con el botón secundario en Objeto de directiva de grupo y selecciona Nuevo.
4. Escriba Inscripción automática de certificados del controlador de dominio en el cuadro de nombre y seleccione Aceptar.
5. Haga clic con el botón derecho en el objeto De inscripción automática de certificados del controlador de dominio directiva de grupo y seleccione Editar.
6. En el panel de navegación, expanda Directivas en Configuración del equipo.
7. Expanda Directivas de clave pública de configuración de seguridad de Configuración > de > Windows
8. En el panel de detalles, haga clic con el botón derecho en Cliente de Servicios de certificados: inscripción automática y seleccione Propiedades.
9. Seleccione Habilitado en la lista Modelo de configuración
10. Active la casilla Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados .
11. Active la casilla Actualizar certificados que usan plantillas de certificado .
12. Seleccione Aceptar.
13. Cierre el Editor de administración de directiva de grupo

Implementación del GPO de inscripción automática de certificados del controlador de dominio

Inicie sesión en el controlador de dominio o en estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Inicia la Consola de administración de directivas de grupo (gpmc.msc).
2. En el panel de navegación, expanda el dominio y expanda el nodo con el nombre de dominio de Active Directory. Haga clic con el botón derecho en la unidad organizativa Controladores de dominio y seleccione Vincular un GPO existente...
3. En el cuadro de diálogo Seleccionar GPO, seleccione Inscripción automática de certificados de controlador de dominio o el nombre de la inscripción de certificados del controlador de dominio directiva de grupo objeto que creó anteriormente.
4. Seleccione Aceptar.

Validación de la configuración

Windows Hello para empresas es un sistema distribuido, que a simple vista parece muy complejo. La clave para una implementación correcta es validar las fases de trabajo antes de pasar a la fase siguiente.

Confirme que los controladores de dominio inscriben los certificados correctos y no las plantillas de certificado sustituidas. Compruebe que cada controlador de dominio completó la inscripción automática del certificado.

Uso de los registros de eventos

Inicie sesión en el controlador de dominio o en estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Con el Visor de eventos, vaya al registro de eventos Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System.
2. Busque un evento que indique una nueva inscripción de certificados (inscripción automática):
   • Los detalles del evento incluyen la plantilla de certificado en la que se emitió el certificado.
   • El nombre de la plantilla de certificado usada para emitir el certificado debe coincidir con el nombre de plantilla de certificado incluido en el evento.
   • La huella digital del certificado y las EEKU del certificado también se incluyen en el evento
   • El EKU necesario para la autenticación de Windows Hello para empresas adecuada es la autenticación Kerberos, además de otras EKU que proporciona la plantilla de certificado.

Los certificados reemplazados por el nuevo certificado de controlador de dominio generan un evento de archivo en el registro de eventos. El evento de archivo contiene el nombre de la plantilla de certificado y la huella digital del certificado que ha sido reemplazado por el nuevo certificado.

Administrador de certificados

Puedes usar la consola del Administrador de certificados para validar que el controlador de dominio tenga el certificado inscrito correctamente en función de la plantilla de certificado correcta con los EKU adecuados. Usa certlm.msc para ver el certificado en los almacenes de certificados de los equipos locales. Expande el almacén Personal y ve los certificados que se han inscrito para el equipo. Los certificados archivados no aparecen en el Administrador de certificados.

Certutil.exe

Puede usar certutil.exe el comando para ver los certificados inscritos en el equipo local. Certutil muestra los certificados inscritos y archivados para el equipo local. Desde un símbolo del sistema con privilegios elevados, ejecute el siguiente comando:

certutil.exe -q -store my

Para ver información detallada sobre cada certificado del almacén y validar la inscripción automática de certificados inscritos en los certificados adecuados, use el siguiente comando:

certutil.exe -q -v -store my

Solución de problemas

Windows activa la inscripción automática de certificados en el equipo durante el arranque y cuando se actualiza una directiva de grupo. Puedes actualizar una directiva de grupo desde un símbolo del sistema con privilegios elevados mediante gpupdate.exe /force.

También puedes activar forzosamente la inscripción automática de certificados con certreq.exe -autoenroll -q desde un símbolo del sistema con privilegios elevados.

Usa los registros de eventos para supervisar la inscripción de certificados y el archivo. Revise la configuración, como publicar plantillas de certificado en la entidad de certificación emisora y permitir permisos de inscripción automática.

Revisión de sección y pasos siguientes

Antes de pasar a la sección siguiente, asegúrese de que se han completado los pasos siguientes:

• Configuración de plantillas de certificado de servidor web y controlador de dominio
• Reemplazar los certificados de controlador de dominio existentes
• Anular la publicación de plantillas de certificado reemplazadas
• Configuración de una plantilla de certificado de agente de inscripción
• Publicación de las plantillas de certificado en la entidad de certificación
• Implementación de certificados en los controladores de dominio
• Validar la configuración de los controladores de dominio

Siguiente: preparación e implementación de AD FS >