Guía de implementación de confianza de clave híbrida

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:

• Tipo de implementación:híbrido
• Tipo de confianza:.
• Tipo de combinación: Microsoft Entra unirse a , Microsoft Entra unión híbrida

---

Importante

Windows Hello para empresas confianza de Kerberos en la nube es el modelo de implementación recomendado en comparación con el modelo de confianza clave. Para obtener más información, consulte Implementación de confianza de Kerberos en la nube.

Requisitos

Antes de iniciar la implementación, revise los requisitos descritos en el artículo Planeamiento de una implementación de Windows Hello para empresas.

Asegúrese de que se cumplen los siguientes requisitos antes de comenzar:

• Infraestructura de clave pública
• Authentication
• Configuración de dispositivos
• Preparar a los usuarios para usar Windows Hello

Pasos de implementación

Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas consta de los pasos siguientes:

• Configuración y validación de la infraestructura de clave pública
• Configuración e inscripción en Windows Hello para empresas
• (opcional) Configuración del inicio de sesión único para dispositivos unidos a Microsoft Entra

Configuración y validación de la infraestructura de clave pública

Windows Hello para empresas debe tener una infraestructura de clave pública (PKI) al usar el modelo de confianza de claves. Los controladores de dominio deben tener un certificado, que actúa como raíz de confianza para los clientes. El certificado garantiza que los clientes no se comuniquen con controladores de dominio no autorizados.

Las implementaciones de confianza clave no necesitan certificados emitidos por el cliente para la autenticación local. Microsoft Entra Connect Sync configura cuentas de usuario de Active Directory para la asignación de claves públicas, mediante la sincronización de la clave pública de la credencial de Windows Hello para empresas a un atributo en el objeto de Active Directory (msDS-KeyCredentialLink atributo) del usuario.

Se puede usar una PKI basada en Windows Server o una entidad de certificación que no sea de Microsoft Enterprise. Para obtener más información, vea Requisitos para certificados de controlador de dominio de una CA que no es de Microsoft.

Implementación de una entidad de certificación empresarial

En esta guía se supone que la mayoría de empresas ya tienen una infraestructura de clave pública. Windows Hello para empresas depende de una PKI empresarial que ejecute el rol Servicios de certificados de Active Directory de Windows Server.
Si no tiene una PKI existente, revise Guía de la entidad de certificación para diseñar correctamente la infraestructura. A continuación, consulte la Guía del laboratorio de pruebas: Implementación de una jerarquía de PKI de AD CS Two-Tier para obtener instrucciones sobre cómo configurar la PKI mediante la información de la sesión de diseño.

PKI basada en laboratorio

Las siguientes instrucciones se pueden usar para implementar una infraestructura de clave pública sencilla que sea adecuada para un entorno de laboratorio.

Inicie sesión con credenciales equivalentes de administrador de empresa en un servidor Windows Server en el que quiera instalar la entidad de certificación (CA).

Nota

Nunca instale una entidad de certificación en un controlador de dominio en un entorno de producción.

1. Abrir una solicitud de Windows PowerShell con privilegios elevados
2. Usa el siguiente comando para instalar el rol Servicios de certificados de Active Directory.

   Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
   

3. Use el siguiente comando para configurar la entidad de certificación mediante una configuración básica de entidad de certificación.

   Install-AdcsCertificationAuthority
   

Configuración de la PKI empresarial

Configuración de certificados de controlador de dominio

Los clientes deben confiar en los controladores de dominio y la mejor manera de habilitar la confianza es asegurarse de que cada controlador de dominio tiene un certificado de autenticación Kerberos . La instalación de un certificado en los controladores de dominio permite al Centro de distribución de claves (KDC) demostrar su identidad a otros miembros del dominio. Los certificados proporcionan a los clientes una raíz de confianza externa al dominio, es decir, la entidad de certificación empresarial.

Los controladores de dominio solicitan automáticamente un certificado de controlador de dominio (si se publica) cuando detectan que se agrega una ENTIDAD de certificación empresarial a Active Directory. Los certificados basados en las plantillas de certificado controlador de dominio y autenticación de controlador de dominio no incluyen el identificador de objeto de autenticación de KDC (OID), que se agregó más adelante a la RFC de Kerberos. Por lo tanto, los controladores de dominio deben solicitar un certificado basado en la plantilla de certificado de autenticación Kerberos .

De forma predeterminada, la CA de Active Directory proporciona y publica la plantilla de certificado de autenticación Kerberos . La configuración de criptografía incluida en la plantilla se basa en API de criptografía más antiguas y con menos rendimiento. Para asegurarse de que los controladores de dominio solicitan el certificado adecuado con la mejor criptografía disponible, use la plantilla de certificado de autenticación Kerberos como línea base para crear una plantilla de certificado de controlador de dominio actualizada.

Importante

Los certificados emitidos a los controladores de dominio deben cumplir los siguientes requisitos:

• La extensión del punto de distribución de lista de revocación de certificados (CRL) debe apuntar a una CRL válida o a una extensión de acceso a la información de entidad (AIA) que apunte a un respondedor del Protocolo de estado de certificado en línea (OCSP)
• Opcionalmente, la sección asunto del certificado podría contener la ruta de acceso del directorio del objeto de servidor (el nombre distintivo)
• La sección uso de claves de certificado debe contener firma digital y cifrado de claves.
• Opcionalmente, la sección Restricciones básicas del certificado debe contener: [Subject Type=End Entity, Path Length Constraint=None]
• La sección de uso de clave extendida del certificado debe contener autenticación de cliente (1.3.6.1.5.5.7.3.2), autenticación de servidor (1.3.6.1.5.5.7.3.1) y autenticación KDC (1.3.6.1.5.2.3.5)
• La sección nombre alternativo del firmante del certificado debe contener el nombre del sistema de nombres de dominio (DNS)
• La plantilla de certificado debe tener una extensión que tenga el valor DomainController, codificado como BMPstring. Si usa la entidad de certificación empresarial de Windows Server, esta extensión ya se incluye en la plantilla de certificado del controlador de dominio.
• El certificado del controlador de dominio debe instalarse en el almacén de certificados del equipo local.

Inicie sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Abrir la consola de administración de la entidad de certificación

2. Haga clic con el botón derecho en Administrar plantillas > de certificado

3. En la consola de plantilla de certificado, haga clic con el botón derecho en la plantilla Autenticación Kerberos en el panel de detalles y seleccione Duplicar plantilla.

4. Use la tabla siguiente para configurar la plantilla:

   Nombre de pestaña	Configuraciones
   Compatibilidad	Desactive la casilla Mostrar cambios resultantes Seleccione Windows Server 2016 en la lista Entidad de certificación Seleccione Windows 10/Windows Server 2016 en la lista Destinatario de certificación
   General	Especifique un nombre para mostrar de plantilla, por ejemplo, Autenticación de controlador de dominio (Kerberos) Establecer el período de validez en el valor deseado Tome nota del nombre de la plantilla para más adelante, que debe ser el mismo que el nombre para mostrar de la plantilla menos espacios.
   Nombre del firmante	Seleccione Compilar en esta información de Active Directory. Seleccione Ninguno en la lista Formato de nombre de firmante . Seleccione el nombre DNS en la lista Incluir esta información en el asunto alternativo . Borrar todos los demás elementos
   Criptografía	Establecer la categoría de proveedor en Proveedor de almacenamiento de claves Establecer el nombre del algoritmo en RSA Establecer el tamaño mínimo de clave en 2048 Establecer el hash de solicitud en SHA256

5. Seleccione Aceptar para finalizar los cambios y crear la nueva plantilla.

6. Cierre la consola

Nota

No se requiere la inclusión del OID de autenticación de KDC en el certificado de controlador de dominio para Microsoft Entra dispositivos unidos a híbridos. El OID es necesario para habilitar la autenticación con Windows Hello para empresas a recursos locales mediante Microsoft Entra dispositivos unidos.

Importante

Para que Microsoft Entra dispositivos unidos se autentiquen en recursos locales, asegúrese de:

• Instale el certificado de CA raíz en el almacén de certificados raíz de confianza del dispositivo. Vea cómo implementar un perfil de certificado de confianza a través de Intune
• Publique la lista de revocación de certificados en una ubicación que esté disponible para Microsoft Entra dispositivos unidos, como una dirección URL basada en web.

Reemplazar los certificados de controlador de dominio existentes

Los controladores de dominio pueden tener un certificado de controlador de dominio existente. Servicios de certificados de Active Directory proporciona una plantilla de certificado predeterminada para los controladores de dominio denominada certificado de controlador de dominio. Las versiones posteriores de Windows Server proporcionaron una nueva plantilla de certificado denominada certificado de autenticación de controlador de dominio. Estas plantillas de certificado se proporcionaron antes de la actualización de la especificación kerberos que indicaba que los centros de distribución de claves (KDC) realizaban la autenticación de certificados necesaria para incluir la extensión de autenticación de KDC .

La plantilla de certificado de autenticación Kerberos es la plantilla de certificado más actual designada para los controladores de dominio y debe ser la que implemente en todos los controladores de dominio.
La característica de inscripción automática permite reemplazar los certificados del controlador de dominio. Use la siguiente configuración para reemplazar los certificados de controlador de dominio anteriores por otros nuevos mediante la plantilla de certificado de autenticación Kerberos .

Inicie sesión en una entidad de certificación o estaciones de trabajo de administración con credenciales equivalentes de administrador de empresa .

1. Abrir la consola de administración de la entidad de certificación
2. Haga clic con el botón derecho en Administrar plantillas > de certificado
3. En la consola de plantilla de certificado, haga clic con el botón derecho en la plantilla Autenticación de controlador de dominio (Kerberos) (o en el nombre de la plantilla de certificado que creó en la sección anterior) en el panel de detalles y seleccione Propiedades.
4. Seleccione la pestaña Plantillas sustituidas . Seleccione Agregar.
5. En el cuadro de diálogo Agregar plantilla sustituida, seleccione la plantilla de certificado controlador de dominio y seleccione Aceptar > agregar.
6. En el cuadro de diálogo Agregar plantilla sustituida, seleccione la plantilla Certificado de autenticación de controlador de dominio y seleccione Aceptar.
7. En el cuadro de diálogo Agregar plantilla sustituida, seleccione la plantilla certificado de autenticación Kerberos y seleccione Aceptar.
8. Agregue cualquier otra plantilla de certificado de empresa configurada anteriormente para controladores de dominio a la pestaña Plantillas sustituidas
9. Seleccione Aceptar y cierre la consola plantillas de certificado

La plantilla de certificado está configurada para reemplazar todas las plantillas de certificado proporcionadas en la lista de plantillas reemplazadas .
Sin embargo, la plantilla de certificado y la supersedación de plantillas de certificado no están activas hasta que la plantilla se publica en una o varias entidades de certificación.

Nota

El certificado del controlador de dominio debe encadenarse a una raíz en el almacén NTAuth. De forma predeterminada, el certificado raíz de la entidad de certificación de Active Directory se agrega al almacén NTAuth. Si usa una CA que no es de Microsoft, es posible que no se haga de forma predeterminada. Si el certificado del controlador de dominio no se encadene a una raíz en el almacén NTAuth, se producirá un error en la autenticación del usuario. Para ver todos los certificados en el almacén NTAuth, use el siguiente comando:

Certutil -viewstore -enterprise NTAuth

Anular la publicación de plantillas de certificado reemplazadas

La entidad de certificación solo emite certificados basados en plantillas de certificado publicadas. Por motivos de seguridad, se recomienda anular la publicación de plantillas de certificado que la entidad de certificación no esté configurada para emitir, incluidas las plantillas publicadas previamente desde la instalación de roles y las plantillas sustituidas.

La plantilla de certificado de autenticación de controlador de dominio recién creada reemplaza a las plantillas de certificado de controlador de dominio anteriores. Por lo tanto, debes anular la publicación de estas plantillas de certificado de todas las entidades de certificación emisoras.

Inicie sesión en la entidad de certificación o la estación de trabajo de administración con credenciales equivalentes de administrador de empresa .

1. Abrir la consola de administración de la entidad de certificación
2. Expanda el nodo primario desde el panel > de navegación Plantillas de certificado
3. Haga clic con el botón derecho en la plantilla de certificado controlador de dominio y seleccione Eliminar. Seleccione Sí en la ventana Deshabilitar plantillas de certificado .
4. Repita el paso 3 para las plantillas de certificado autenticación de controlador de dominio y autenticación Kerberos

Publicación de la plantilla de certificado en la entidad de certificación

Una entidad de certificación solo puede emitir certificados para las plantillas de certificado que se publican en ella. Si tiene más de una ENTIDAD de certificación y quiere que más ENTIDADes de certificación emitan certificados basados en la plantilla de certificado, debe publicar la plantilla de certificado en ellos.

Inicie sesión en la entidad de certificación o en las estaciones de trabajo de administración con enterprise Administración credenciales equivalentes.

1. Abrir la consola de administración de la entidad de certificación
2. Expanda el nodo primario desde el panel de navegación.
3. Seleccione Plantillas de certificado en el panel de navegación.
4. Haz clic con el botón secundario en el nodo Plantillas de certificado. Seleccione Nueva > plantilla de certificado para emitir
5. En la ventana Habilitar plantillas de certificados, seleccione la plantilla Autenticación de controlador de dominio (Kerberos) que creó en los pasos > anteriores y seleccione Aceptar.
6. Cierre la consola

Importante

Si tiene previsto implementar Microsoft Entra dispositivos unidos y requiere el inicio de sesión único (SSO) en recursos locales al iniciar sesión con Windows Hello para empresas, siga los procedimientos para actualizar la entidad de certificación para incluir un punto de distribución CRL basado en HTTP.

Configuración e implementación de certificados en controladores de dominio

Configuración de la inscripción automática de certificados para los controladores de dominio

Los controladores de dominio solicitan automáticamente un certificado de la plantilla de certificado de controlador de dominio . Sin embargo, los controladores de dominio no son conscientes de las plantillas de certificado más recientes o de las configuraciones reemplazadas en las plantillas de certificado. Para que los controladores de dominio inscriban y renueve automáticamente los certificados, configure un GPO para la inscripción automática de certificados y vincúlelo a la unidad organizativa Controladores de dominio .

1. Abra la consola de administración de directiva de grupo (gpmc.msc)
2. Expanda el dominio y seleccione el nodo directiva de grupo Objeto en el panel de navegación.
3. Haz clic con el botón secundario en Objeto de directiva de grupo y selecciona Nuevo.
4. Escriba Inscripción automática de certificados del controlador de dominio en el cuadro de nombre y seleccione Aceptar.
5. Haga clic con el botón derecho en el objeto De inscripción automática de certificados del controlador de dominio directiva de grupo y seleccione Editar.
6. En el panel de navegación, expanda Directivas en Configuración del equipo.
7. Expanda Directivas de clave pública de configuración de seguridad de Configuración > de > Windows
8. En el panel de detalles, haga clic con el botón derecho en Cliente de Servicios de certificados: inscripción automática y seleccione Propiedades.
9. Seleccione Habilitado en la lista Modelo de configuración
10. Active la casilla Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados .
11. Active la casilla Actualizar certificados que usan plantillas de certificado .
12. Seleccione Aceptar.
13. Cierre el Editor de administración de directiva de grupo

Implementación del GPO de inscripción automática de certificados del controlador de dominio

Inicie sesión en el controlador de dominio o en estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Inicia la Consola de administración de directivas de grupo (gpmc.msc).
2. En el panel de navegación, expanda el dominio y expanda el nodo con el nombre de dominio de Active Directory. Haga clic con el botón derecho en la unidad organizativa Controladores de dominio y seleccione Vincular un GPO existente...
3. En el cuadro de diálogo Seleccionar GPO, seleccione Inscripción automática de certificados de controlador de dominio o el nombre de la inscripción de certificados del controlador de dominio directiva de grupo objeto que creó anteriormente.
4. Seleccione Aceptar.

Validación de la configuración

Windows Hello para empresas es un sistema distribuido, que a simple vista parece muy complejo. La clave para una implementación correcta es validar las fases de trabajo antes de pasar a la fase siguiente.

Confirme que los controladores de dominio inscriben los certificados correctos y no las plantillas de certificado sustituidas. Compruebe que cada controlador de dominio completó la inscripción automática del certificado.

Uso de los registros de eventos

Inicie sesión en el controlador de dominio o en estaciones de trabajo de administración con credenciales equivalentes de administrador de dominio .

1. Con el Visor de eventos, vaya al registro de eventos Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System.
2. Busque un evento que indique una nueva inscripción de certificados (inscripción automática):
   • Los detalles del evento incluyen la plantilla de certificado en la que se emitió el certificado.
   • El nombre de la plantilla de certificado usada para emitir el certificado debe coincidir con el nombre de plantilla de certificado incluido en el evento.
   • La huella digital del certificado y las EEKU del certificado también se incluyen en el evento
   • El EKU necesario para la autenticación de Windows Hello para empresas adecuada es la autenticación Kerberos, además de otras EKU que proporciona la plantilla de certificado.

Los certificados reemplazados por el nuevo certificado de controlador de dominio generan un evento de archivo en el registro de eventos. El evento de archivo contiene el nombre de la plantilla de certificado y la huella digital del certificado que ha sido reemplazado por el nuevo certificado.

Administrador de certificados

Puedes usar la consola del Administrador de certificados para validar que el controlador de dominio tenga el certificado inscrito correctamente en función de la plantilla de certificado correcta con los EKU adecuados. Usa certlm.msc para ver el certificado en los almacenes de certificados de los equipos locales. Expande el almacén Personal y ve los certificados que se han inscrito para el equipo. Los certificados archivados no aparecen en el Administrador de certificados.

Certutil.exe

Puede usar certutil.exe el comando para ver los certificados inscritos en el equipo local. Certutil muestra los certificados inscritos y archivados para el equipo local. Desde un símbolo del sistema con privilegios elevados, ejecute el siguiente comando:

certutil.exe -q -store my

Para ver información detallada sobre cada certificado del almacén y validar la inscripción automática de certificados inscritos en los certificados adecuados, use el siguiente comando:

certutil.exe -q -v -store my

Solución de problemas

Windows activa la inscripción automática de certificados en el equipo durante el arranque y cuando se actualiza una directiva de grupo. Puedes actualizar una directiva de grupo desde un símbolo del sistema con privilegios elevados mediante gpupdate.exe /force.

También puedes activar forzosamente la inscripción automática de certificados con certreq.exe -autoenroll -q desde un símbolo del sistema con privilegios elevados.

Usa los registros de eventos para supervisar la inscripción de certificados y el archivo. Revise la configuración, como publicar plantillas de certificado en la entidad de certificación emisora y permitir permisos de inscripción automática.

Revisión de sección y pasos siguientes

Antes de pasar a la sección siguiente, asegúrese de que se han completado los pasos siguientes:

• Configuración de la plantilla de certificado del controlador de dominio
• Reemplazar los certificados de controlador de dominio existentes
• Anular la publicación de plantillas de certificado reemplazadas
• Publicación de la plantilla de certificado en la entidad de certificación
• Implementación de certificados en los controladores de dominio
• Validar la configuración de los controladores de dominio

Siguiente: configurar e inscribirse en Windows Hello para empresas >