Introducción a las tarjetas inteligentes virtuales: guía paso a paso

Advertencia

las claves de seguridad Windows Hello para empresas y FIDO2 son métodos modernos de autenticación en dos fases para Windows. Se recomienda a los clientes que usan tarjetas inteligentes virtuales que pasen a Windows Hello para empresas o FIDO2. En el caso de las nuevas instalaciones de Windows, se recomienda Windows Hello para empresas o las claves de seguridad FIDO2.

En este tema para profesionales de TI se describe cómo configurar un entorno de prueba básico para usar tarjetas inteligentes virtuales de TPM.

Las tarjetas inteligentes virtuales son una tecnología de Microsoft que ofrece ventajas de seguridad comparables en la autenticación en dos fases a las tarjetas inteligentes físicas. También ofrecen más comodidad para los usuarios y menor costo para que las organizaciones se implementen. Mediante el uso de dispositivos del Módulo de plataforma segura (TPM) que proporcionan las mismas capacidades criptográficas que las tarjetas inteligentes físicas, las tarjetas inteligentes virtuales logran las tres propiedades clave deseadas por las tarjetas inteligentes: no exportabilidad, criptografía aislada y anti-martillo.

En este tutorial paso a paso se muestra cómo configurar un entorno de prueba básico para usar tarjetas inteligentes virtuales de TPM. Después de completar este tutorial, tendrá instalada una tarjeta inteligente virtual funcional en el equipo Windows.

Debería poder completar este tutorial en menos de una hora, excepto la instalación de software y la configuración del dominio de prueba.

Pasos del tutorial

• Requisitos previos
• Paso 1: Crear la plantilla de certificado
• Paso 2: Creación de la tarjeta inteligente virtual tpm
• Paso 3: Inscribirse para el certificado en la tarjeta inteligente virtual de TPM

Importante

Esta configuración básica es solo para fines de prueba. No está pensado para su uso en un entorno de producción.

Requisitos previos

Necesitarás:

• Un equipo que ejecuta Windows 10 con un TPM instalado y totalmente funcional (versión 1.2 o versión 2.0)
• Un dominio de prueba al que se puede unir el equipo enumerado anteriormente
• Acceso a un servidor de ese dominio con una entidad de certificación (CA) totalmente instalada y en ejecución.

Paso 1: Crear la plantilla de certificado

En el servidor de dominio, debe crear una plantilla para el certificado que solicita para la tarjeta inteligente virtual.

Para crear la plantilla de certificado

1. En el servidor, abra Microsoft Management Console (MMC). Una manera de hacerlo es escribir mmc.exe en el menú Inicio, hacer clic con el botón derecho enmmc.exey seleccionar Ejecutar como administrador.
2. SeleccioneAgregar o quitar complemento de archivo>
3. En la lista de complementos disponibles, seleccione Plantillas de certificado y, a continuación, seleccione Agregar.
4. Las plantillas de certificado ahora se encuentran en Raíz de la consola en MMC. Haga doble clic en él para ver todas las plantillas de certificado disponibles.
5. Haga clic con el botón derecho en la plantilla Inicio de sesión de tarjeta inteligente y seleccione Plantilla duplicada.
6. En la pestaña Compatibilidad , en Entidad de certificación, revise la selección y cámbiela si es necesario.
7. En la pestaña General :
   1. Especificar un nombre, como inicio de sesión de tarjeta inteligente virtual de TPM
   2. Establecer el período de validez en el valor deseado
8. En la pestaña Control de solicitudes :
   1. Establezca la finalidad en Inicio de sesión de firma y tarjeta inteligente
   2. Seleccione Preguntar al usuario durante la inscripción
9. En la pestaña Criptografía :
   1. Establecer el tamaño mínimo de clave en 2048
   2. Seleccione Solicitudes debe usar uno de los siguientes proveedores y, a continuación, seleccione Proveedor criptográfico de tarjeta inteligente base de Microsoft.
10. En la pestaña Seguridad , agregue el grupo de seguridad al que desea conceder acceso de inscripción . Por ejemplo, si desea conceder acceso a todos los usuarios, seleccione el grupo Usuarios autenticados y, a continuación, seleccione Inscribir permisos para ellos.
11. Seleccione Aceptar para finalizar los cambios y crear la nueva plantilla. La nueva plantilla debería aparecer ahora en la lista de plantillas de certificado.
12. Seleccione Archivo y, a continuación, seleccione Agregar o quitar complemento para agregar el complemento Entidad de certificación a la consola mmc. Cuando se le pregunte qué equipo desea administrar, seleccione el equipo en el que se encuentra la entidad de certificación, probablemente equipo local.
13. En el panel izquierdo de MMC, expanda Entidad de certificación (local) y, a continuación, expanda la entidad de certificación en la lista Entidad de certificación.
14. Haga clic con el botón derecho en Plantillas de certificado, seleccione Nuevo y, a continuación, seleccione Plantilla de certificado para emitir
15. En la lista, seleccione la nueva plantilla que creó (inicio de sesión de tarjeta inteligente virtual de TPM) y, a continuación, seleccione Aceptar.

Nota

La plantilla puede tardar algún tiempo en replicarse en todos los servidores y estar disponible en esta lista.

1. Una vez replicada la plantilla, en MMC, haga clic con el botón derecho en la lista Entidad de certificación, seleccione Todas las tareas y, a continuación, seleccione Detener servicio. A continuación, vuelva a hacer clic con el botón derecho en el nombre de la entidad de certificación, seleccione Todas las tareas y, a continuación, seleccione Iniciar servicio.

Paso 2: Creación de la tarjeta inteligente virtual tpm

En este paso, creará la tarjeta inteligente virtual en el equipo cliente mediante la herramienta de línea de comandos ,Tpmvscmgr.exe.

Para crear la tarjeta inteligente virtual tpm

1. En un equipo unido a un dominio, abra una ventana del símbolo del sistema con credenciales administrativas.
2. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

Esto crea una tarjeta inteligente virtual con el nombre TestVSC, omite la clave de desbloqueo y genera el sistema de archivos en la tarjeta. El PIN se establece en el valor predeterminado, 12345678.

1. Espere varios segundos a que finalice el proceso. Al finalizar, Tpmvscmgr.exe proporciona el identificador de instancia de dispositivo para la tarjeta inteligente virtual de TPM. Almacene este identificador para una referencia posterior porque necesita administrar o quitar la tarjeta inteligente virtual. Para que se le pida un PIN, en lugar de /pin predeterminado , puede escribir /pin prompt.

Para obtener más información sobre la herramienta de línea de comandos tpmvscmgr, consulte Uso de tarjetas inteligentes virtuales y Tpmvscmgr.

Paso 3: Inscribirse para el certificado en la tarjeta inteligente virtual de TPM

La tarjeta inteligente virtual debe aprovisionarse con un certificado de inicio de sesión para que sea totalmente funcional.

Para inscribir el certificado

1. Para abrir la consola certificados, escriba certmgr.msc en el menú Inicio .
2. Haga clic con el botón derecho en Personal, seleccione Todas las tareas y, a continuación, seleccione Solicitar nuevo certificado.
3. Siga las indicaciones y, cuando se le ofrezca una lista de plantillas, active la casilla Inicio de sesión de tarjeta inteligente virtual de TPM (o lo que haya llamado a la plantilla en el paso 1)
4. Si se le solicita un dispositivo, seleccione la tarjeta inteligente virtual de Microsoft que corresponda a la que creó en la sección anterior. Se muestra como Dispositivo de identidad (perfil de Microsoft)
5. Escriba el PIN que se estableció al crear la tarjeta inteligente virtual tpm y, a continuación, seleccione Aceptar.
6. Espere a que finalice la inscripción y, a continuación, seleccione Finalizar.

La tarjeta inteligente virtual ahora se puede usar como una credencial alternativa para iniciar sesión en el dominio. Para comprobar que la configuración de la tarjeta inteligente virtual y la inscripción de certificados se realizaron correctamente, cierre la sesión actual e inicie sesión. Al iniciar sesión, verá el icono de la nueva tarjeta inteligente virtual tpm en la pantalla De escritorio seguro (inicio de sesión) o se le dirigirá automáticamente al cuadro de diálogo de inicio de sesión de la tarjeta inteligente de TPM. Seleccione el icono, escriba el PIN (si es necesario) y, a continuación, seleccione Aceptar. Debería iniciar sesión en su cuenta de dominio.

Consulte también

• Comprender y evaluar las tarjetas inteligentes virtuales
• Uso de tarjetas inteligentes virtuales
• Implementación de tarjetas inteligentes virtuales