LAB Server 2012 Entidad Certificadora CA ESPAÑOL

WS2012 Gua del laboratorio de pruebas: Implementar
una jerarqua de PKI de dos niveles para AD CS

Actualizado: febrero de 2013
Se aplica a: Windows Server 2012
El propsito de esta gua del laboratorio de pruebas (TLG) es ayudarle a crear una jerarqua de
infraestructura de clave pblica (PKI) de dos niveles, mediante Windows Server 2012 y Servicios
de certificados de Active Directory (AD CS).
Este documento contiene instrucciones para ampliar la Gua del laboratorio de pruebas (TLG) para la
configuracin bsica de Windows Server 2012, de forma que incluya un entidad de certificacin raz
sin conexin, y para instalar una entidad de certificacin subordinada de empresa en lnea en el
equipo APP1 desde dicha gua. En esta gua va a implementar una jerarqua de PKI de dos niveles,
configurar un punto de distribucin (CDP) de lista de revocacin de certificados (CRL), implementar
automticamente certificados en el dominio y utilizar un certificado para habilitar la comunicacin a
travs de Capa de sockets seguros (SSL) con el sitio web de APP1.
La configuracin del laboratorio de pruebas descrita en esta gua ampla la TLG de configuracin
bsica de Windows Server 2012 en un equipo servidor nico. El equipo adicional funcionar como
una entidad de certificacin raz sin conexin y se designar como ORCA1. Esta gua del laboratorio
de pruebas requiere completar seis pasos principales que incluyen varios procedimientos
subordinados.
1. Completar la configuracin bsica de la TLG
2. Configurar ORCA1
3. Configurar APP1 para distribuir certificados y CRL
4. Configurar APP1 como una entidad de certificacin subordinada de la empresa
5. Habilitar la inscripcin automtica de certificados
6. Configurar SSL para APP1
Requisitos de hardware y software

A continuacin se enumeran los componentes requeridos para una configuracin mnima
del laboratorio de pruebas:
1. El disco del producto o los archivos de Windows Server 2012.
3. Cinco equipos que cumplan los requisitos mnimos de hardware para Windows Server
2012. Uno de estos equipos (EDGE1) tiene instalados dos adaptadores de red.
4. Un equipo que cumpla los requisitos mnimos de hardware para Windows 8.
Nota
Necesitar solo los equipos DC1, APP1 y CLIENT1 en la configuracin bsica del
laboratorio de pruebas para completar este laboratorio. Adems compilar el equipo
ORCA1.
5. Un medio extrable con espacio suficiente para contener unos pocos certificados y listas
de revocacin de certificados (unos 10 kilobytes). Puede ser un medio extrable fsico o
virtual, en funcin de si el laboratorio usa equipos fsicos o virtuales.
Nota
Para obtener instrucciones de transferencia de archivos mediante un disquete virtual con
Microsoft Windows Server Hyper-V, consulte el tema sobre la creacin, el uso y la
transferencia de archivos mediante disquetes virtuales
(http://social.technet.microsoft.com/wiki/contents/articles/4272.aspx).
6. Si desea implementar el laboratorio de pruebas de configuracin bsica en un entorno
virtualizado, la solucin de virtualizacin debe admitir mquinas virtuales de 64 bits de
Windows Server 2012. El hardware de servidor debe ser compatible con la cantidad de
RAM necesaria para ejecutar los sistemas operativos virtuales en el laboratorio de
pruebas de configuracin bsica y cualquier otra mquina virtual que pueda ser requerida
por TLG adicionales.
Importante
Ejecute Windows Update en todos los equipos o mquinas virtuales durante la
instalacin o inmediatamente despus de instalar los sistemas operativos. Tras
ejecutar Windows Update, puede aislar su laboratorio de pruebas fsico o virtual de
la red de produccin.
Paso 1: Completar la configuracin bsica de la TLG
La Gua del laboratorio de pruebas (TLG) de configuracin bsica de Windows Server
2012 se encuentra en http://go.microsoft.com/fwlink/p/?LinkId=236358.
Paso 2: Configurar ORCA1
Los procedimientos para completar la configuracin de la entidad de certificacin raz sin
conexin, denominada ORCA1, incluyen:
Instalar el sistema operativo
Cambiar el nombre del equipo
Preparar el archivo CAPolicy.inf para la entidad de certificacin raz independiente
Instalar la entidad de certificacin raz independiente
Establecer la configuracin de la entidad de certificacin raz
Copiar el certificado de la entidad de configuracin raz y la CRL a un medio extrable
Distribuir la entidad de certificacin raz a travs de GPO
Crear una zona DNS contoso.com interna y el registro de host www

Para instalar el sistema operativo en ORCA1
1. No conecte este equipo a una red.

2. Inicie la instalacin de Windows Server 8 Beta.
3. Siga las instrucciones para completar la instalacin, especificando Windows Server 8
Beta (instalacin completa) y una contrasea segura para la cuenta de administrador
local. Inicie sesin con la cuenta de administrador local.
Para cambiar el nombre del equipo
1. Abra Windows PowerShell.
2. Escriba rename-computer orca1 y presione ENTRAR.

3. Escriba restart-computer y presione ENTRAR.
Cuando se haya reiniciado el equipo, inicie sesin con la cuenta de administrador local.
Para preparar el archivo CAPolicy.inf para la entidad de certificacin raz independiente
1. Abra Windows PowerShell, escriba notepad c:\Windows\CAPolicy.inf y presione
ENTRAR.
2. Cuando se le pida que cree un archivo nuevo, haga clic en S.
3. Como contenido del archivo, escriba lo siguiente:
Copiar
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
CRLPeriod=weeks
CRLPeriodUnits=26
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=0
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
Nota
El identificador de objetos (OID) que se muestra en el ejemplo es el de Microsoft. La
organizaciones individuales deben obtener sus propios OID. Para obtener ms
informacin acerca de identificadores de objetos, consulte el tema sobre la obtencin de
un OID de raz de una entidad de registro de nombres ISO
(http://msdn.microsoft.com/library/windows/desktop/ms677621.aspx).
Sugerencia
Al configurar CRLDeltaPeriodUnits=0 en CAPolicy.inf se deshabilita la publicacin de
diferencias CRL, que es la configuracin apropiada para una entidad de certificacin raz
sin conexin.
4. Haga clic en Guardar como. Compruebe que:
o
Nombre de archivo est establecido en CAPolicy.inf
Tipo est establecido en Todos los archivos

4
Codificacin sea ANSI
5. Cuando se le pregunte si desea sobrescribir el archivo, haga clic en S.
Precaucin
Asegrese de guardar el archivo CAPolicy.inf con la extensin inf. Si no escribe
especficamente .inf al final de un nombre de archivo y selecciona las opciones de la
manera descrita, el archivo se guardar como un archivo de texto y no se usar durante la
instalacin de la entidad de certificacin.
6. Cierre el Bloc de notas.
Importante
Puede ver que en el archivo CAPolicy.inf hay una lnea que especifica la direccin
URL http://www.contoso.com/pki/cps.txt. La seccin Internal Policy del archivo
CAPolicy.inf se muestra como ejemplo de cmo se especificara la ubicacin de una
orden de prcticas de certificacin (CPS). Para obtener ms informacin acerca de los
enunciados de directivas, incluidas las CPS, consulte el tema sobre la creacin de
directivas de certificado y rdenes de prcticas de certificacin
(http://technet.microsoft.com/library/cc780454.aspx) y RFC 2527
(http://www.ietf.org/rfc/rfc2527.txt). Para obtener ms informacin acerca de la
sintaxis y el propsito del archivo CAPolicy.inf, consulte el tema sobre la sintaxis de
CA Policy.inf (http://technet.microsoft.com/library/cc728279.aspx).
Para instalar la entidad de certificacin raz independiente
1. En Administrador del servidor, haga clic en Administrar y, a continuacin, haga clic en
Agregar roles y caractersticas.
2. En la pantalla Antes de comenzar, haga clic en Siguiente.
3. En la pantalla Seleccionar tipo de instalacin, asegrese de que est activada la
seleccin predeterminada de Instalacin basada en caractersticas o en roles. Haga clic
en Siguiente.
5
4. En la pantalla Seleccionar servidor de destino, asegrese de que la opcin orca1 est

seleccionada y, a continuacin, haga clic en Siguiente.
5. En la pantalla Seleccionar roles de servidor, haga clic en el rol Servicios de
certificados de Active Directory.
6. Cuando se le pida que instale Herramientas de administracin remota del servidor,
haga clic en Agregar caractersticas. Haga clic en Siguiente.
7. En la pantalla Seleccionar caractersticas, haga clic en Siguiente.
8. En la pantalla Servicios de certificados de Active Directory, haga clic en Siguiente.
9. En la pantalla Seleccionar servicios de rol aparece seleccionado de manera
predeterminada el rol Entidad de certificacin. Haga clic en Siguiente.
10. En la pantalla Confirmar selecciones de instalacin, revise la informacin y haga clic
en Instalar.
11. Espere hasta que finalice la instalacin. Se muestra la pantalla de progreso de la
instalacin mientras se instalan los archivos binarios para la entidad de certificacin.
Cuando haya finalizado la instalacin de archivos binarios, haga clic en el vnculo
Configurar Servicios de certificados de Active Directory en el servidor de destino.
Sugerencia
Si hace clic en Cerrar antes de que haya finalizado la instalacin, podr completar la
6
configuracin del servicio de rol mediante un vnculo para completar la configuracin en

el icono de notificacin del Administrador del servidor.
12. En la pantalla Credenciales, asegrese de que se muestra ORCA1\Administrator en el
cuadro Credenciales. Haga clic en Siguiente.
Nota
Al instalar una entidad de certificacin independiente, debe usar una cuenta que sea
miembro del grupo Administrators local.
13. En la pantalla Servicios de rol, seleccione Entidad de certificacin. Esta es la nica
seleccin disponible cuando solo estn instalados en el servidor los archivos binarios
para el rol de entidad de certificacin. Haga clic en Siguiente.
14. La nica seleccin disponible en la pantalla Tipo de instalacin es CA independiente.
Esto se debe a que la cuenta usada para instalar es miembro del grupo Administradores
local y el servidor no es miembro de un dominio Servicios de dominio de Active
Directory (AD DS). Haga clic en Siguiente.
15. En la pantalla Tipo de CA aparece la opcin CA raz de manera predeterminada. Haga
clic en Siguiente.
16. En la pantalla Clave privada, deje activada la seleccin predeterminada Crear una
nueva clave privada. Haga clic en Siguiente.
17. En la pantalla Criptografa para la CA, asegrese de que el proveedor de servicios
criptogrficos sea RSA#Microsoft Software Key Storage Provider, la longitud de la
clave est establecida en 2048 y el algoritmo est establecido en SHA1. A continuacin,
haga clic en Siguiente.
Nota
No active la casilla Permitir interaccin del administrador cuando la CA obtiene
acceso a la clave privada. Esta configuracin normalmente se usa con mdulos de
seguridad de hardware (HSM) y dispositivos similares de proteccin de claves, para
obtener informacin adicional cuando se tiene acceso a la clave privada.
18. En la pantalla Nombre de CA, en el cuadro de texto Nombre comn para esta entidad
de certificacin, escriba ContosoRootCA y, a continuacin, haga clic en Siguiente.
19. En la pantalla Perodo de validez, escriba 20 como el nmero de aos que ser valido el
certificado.
20. En la pantalla Base de datos de CA, mantenga las ubicaciones predeterminadas de los
archivos y el registro de la base de datos. Haga clic en Siguiente.
21. En la pantalla Confirmacin, haga clic en Cerrar.
22. Se muestra la pantalla Progreso durante el proceso de configuracin y, a continuacin,

aparece la pantalla Resultados. Haga clic en Cerrar. Si la pantalla Progreso de la
instalacin permanece abierta, tambin debe hacer clic en Cerrar en esa pantalla.
Sugerencia
Los siguientes comandos de Windows PowerShell realizarn la accin indicada arriba.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
Install-AdcsCertificationAuthority CAType StandaloneRootCA
CACommonName ContosoRootCA KeyLength 2048 HashAlgorithm SHA1
CryptoProviderName RSA#Microsoft Software Key Storage Provider
Para establecer la configuracin de la entidad de certificacin raz

1. En Administrador del servidor, haga clic en Herramientas y, a continuacin, haga clic en
Entidad de certificacin.
2. En el rbol de consola Entidad de certificacin, expanda ORCA1-CA. Haga clic con el
botn secundario en Certificados revocados y, a continuacin, haga clic en
Propiedades.
3. En la pestaa Parmetros para la publicacin de listas de revocacin, asegrese de
que la opcin Publicar diferencias CRL est sin activar (no seleccionada). Haga clic en
Aceptar.
4. En el rbol de consola Entidad de certificacin, haga clic con el botn secundario en
ORCA1-CA y, a continuacin, haga clic en Propiedades.
5. Haga clic en la pestaa Extensiones. Asegrese de que la opcin Seleccionar
extensiones est establecida en Punto de distribucin de lista de revocacin de
certificados (CDP) y, en Especifique una lista de direcciones URL donde los usuarios
pueden obtener una lista de revocacin de certificados (CRL), revise la configuracin
predeterminada.
6. Cambie Seleccionar extensin a Acceso a la informacin de entidad emisora (AIA) y
revise la configuracin predeterminada. Haga clic en Aceptar. Cuando se le pregunte si
desea reiniciar Servicios de certificados de Active Directory, haga clic en No. Reiniciar
el servicio una vez que modifique las rutas de acceso predeterminadas en el siguiente
paso.
7. En Windows PowerShell ejecute los siguiente comandos:
certutil -setreg CA\CRLPublicationURLs
"1:C:\Windows\system32\CertSrv\CertEnroll\
%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"
certutil setreg CA\CACertPublicationURLs
"2:http://www.contoso.com/pki/%1_%3%4.crt"
restartservice certsvc
certutil -crl
Nota
8
Los dos comandos certutil de arriba establecen las rutas de acceso de CDP y AIA
respectivamente para la entidad de certificacin raz. La misma configuracin puede
lograrse mediante los comandos cmdlets de PowerShell:
$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist)

{Remove-CACrlDistributionPoint $crl.uri -Force};
Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\
%3%8.crl -PublishToServer -Force
Add-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8.crl
-AddToCertificateCDP -Force
$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist)
{Remove-CAAuthorityInformationAccess $aia.uri -Force};
Add-CAAuthorityInformationAccess -AddToCertificateAia
http://www.contoso.com/pki/%1_%3%4.crt -Force
Para ver el AIA y CDP, puede ejecutar los siguientes comandos: GetCAAuthorityInformationAccess | format-list y Get-CACRLDistributionPoint
| format-list. Tambin puede volver a la pestaa Extensiones de un cuadro de
dilogo de propiedades de entidad de certificacin y ver que aparecen los cambios
realizados en AIA y CDP.
Para copiar el certificado de la entidad de configuracin raz y la CRL a un medio
extrable
1. En Windows PowerShell, ejecute el comando dir
C:\Windows\system32\certsrv\certenroll\*.cr*, que muestra los certificados y las CRL
del almacn de certificados predeterminado.
2. Copie el certificado de la entidad de configuracin raz y la CRL a un medio extrable
Por ejemplo, si va a ejecutar comandos para copiar el certificado y la CRL a un disquete
(A:), debe ejecutar los siguientes comandos:
1.
copy C:\Windows\system32\certsrv\certenroll\*.cr* A:\
2.
dir A:\
Sugerencia
Sustituya la letra de unidad A: por la del medio extrable en los comandos mostrados
arriba. El medio extrable puede ser fsico o virtual, como se indic en Requisitos de
hardware y software. Adems, si ve el mensaje de error El volumen no contiene un
sistema de archivos reconocido, es posible que tenga que formatear el medio. Por
ejemplo, si se trata de un disquete, puede que tenga que escribir format a: y presionar
ENTRAR.
Para distribuir el certificado de la entidad de certificacin raz
1. En APP1, inicie sesin con la cuenta User1, que es miembro de Domain Admins y
Enterprise Admins. Abra Windows PowerShell como administrador. Para ello, haga clic
con el botn secundario en el icono de Windows PowerShell y, a continuacin, haga clic
en Ejecutar como administrador. Cuando se le pregunte por el Control de cuentas de
usuario, haga clic en S.
9
2. Inserte el disco extrable que contiene el certificado de entidad de certificacin raz sin
conexin en APP1.
3. En Windows PowerShell, cambie la unidad de medios extrables con el comando cd
(como en la ejecucin de cd a:\ para cambiar la raz de la unidad A).
4. En Windows PowerShell, en la unidad de medios extrables, ejecute los siguientes
comandos:
certutil dspublish f orca1_ContosoRootCA.crt RootCA
certutil addstore f root orca1_ ContosoRootCA.crt
certutil addstore f root ContosoRootCA.crl
Nota
El primer comando ubica el certificado pblico de entidad de certificacin raz en el
contenedor Configuracin de Active Directory. Al hacerlo se permite a los equipos
cliente del dominio confiar automticamente en el certificado de entidad de certificacin
raz y ya no ser necesario distribuir ese certificado en la directiva de grupo. Los
comandos segundo y tercero ubican el certificado de entidad de certificacin raz y la
CRL en el almacn local de APP1. Esto le proporciona a APP1 la confianza inmediata
del certificado pblico de entidad de certificacin raz y el conocimiento de la CRL de la
entidad de certificacin raz. APP1 podra obtener el certificado a partir de la directiva de
grupo y la CRL de la ubicacin CDP, pero publicar estos dos elementos en el almacn
local de APP1 es til para acelerar la configuracin de APP1 como una CA subordinada.
Los certificados pblicos, listas de revocacin de certificados y enunciados de
procedimientos de certificados deben colocarse todos en la ubicacin
http://www.contoso.com/pki. Los equipos cliente internos no podrn resolver este
nombre de equipo como el sitio web interno (APP1) a menos que se coloque una entrada
de DNS apropiada en el servidor DNS.
Para crear una zona DNS contoso.com interna y un registro de host www
1. En DC1, abra la consola DNS. En Administrador del servidor, haga clic en
Herramientas y, a continuacin, haga clic en DNS.
2. Expanda lo siguiente en el rbol de consola DNS: DC1, Zonas de bsqueda directa.
3. Haga clic con el botn secundario en Zonas de bsqueda directa y, a continuacin,
haga clic en Zona nueva.
4. En la pantalla Asistente para nueva zona, haga clic en Siguiente.
5. De manera predeterminada, ver que la opcin Zona principal est seleccionada y que la
zona se almacenar en Active Directory. Para aceptar esta configuracin predeterminada,
6. Deje la configuracin predeterminada y haga clic en Siguiente.
10
7. En la pantalla Nombre de zona, escriba contoso.com y, a continuacin, haga clic en

Siguiente.
8. En la pantalla Actualizacin dinmica, deje la configuracin predeterminada y haga clic
en Siguiente.
9. En la pantalla Finalizacin del Asistente para nueva zona, haga clic en Finalizar.
10. En el rbol de consoIa de la consola DNS, haga clic con el botn secundario en la zona
contoso.com y, a continuacin, haga clic en Host nuevo (A o AAAA).
Sugerencia
Es posible que tenga que hacer clic en la zona corp.contoso.com una vez para poder
acceder a las opciones de men contextual.
11. En Nombre (si se deja en blanco, se usa el nombre del dominio primario), escriba
www.
12. En Direccin IP, escriba 10.0.0.3. Esta zona y este registro dirigirn las comunicaciones
de los clientes internos para www.contoso.com a la direccin de APP1. Haga clic en
Agregar host.
13. Haga clic en Aceptar para confirmar que se cre el registro. Haga clic en Listo.
14. Cierre la consola DNS
Paso 3: Configurar APP1 para distribuir certificados y CRL
En las extensiones de la entidad de certificacin raz se declar que la CRL de la entidad
de certificacin raz estara disponible a travs de http://www.contoso.com/pki.
Actualmente no hay un directorio virtual PKI en APP1, por lo que hay que crear uno. En
un entorno de produccin, normalmente separara el rol de CA emisora del rol de host de
AIA y CDP. No obstante, este laboratorio combina ambos para reducir la cantidad de
recursos necesarios para completarlo.
Sugerencia
Si una entidad de certificacin no encuentra las CRL de su CA primaria, el servicio
AD DS (certsvc) no se podr iniciar en la CA subordinada. Esto solo se puede solucionar
resolviendo el problema de distribucin de la CRL (se recomienda) o cambiando el nivel
de registro de la entidad de certificacin del nivel 3 al nivel 2. Para obtener ms
informacin acerca de los niveles de registro de CA, consulte el artculo 305018 de
Microsoft Knowledge Base http://support.microsoft.com/kb/305018.
Para configurar APP1 para distribuir certificados y CRL
1. Asegrese de iniciar sesin con la cuenta User1. Abra Windows PowerShell como
Administrador y ejecute los siguientes comandos:
New-item -path c:\pki type directory
11
write-output "Example CPS statement" | out-file c:\pki\cps.txt

new-smbshare -name pki c:\pki -FullAccess SYSTEM,"CORP\Domain Admins"
-ChangeAccess "CORP\Cert Publishers"
2. Abra la consola de IIS. En Administrador del servidor, haga clic en Herramientas y, a

continuacin, haga clic en Administrador de Internet Information Services (IIS).
3. En el rbol de consola del Administrador de Internet Information Services (IIS), expanda
APP1. Si se le invita a ver una introduccin a la Plataforma web de Microsoft, haga clic
en Cancelar.
4. Expanda Sitios y haga clic con el botn secundario en Sitio web predeterminado; a
continuacin, haga clic en Agregar directorio virtual.
5. En Alias, escriba pki y como ruta de acceso fsica escriba C:\pki; a continuacin, haga
clic en Aceptar.
6. Habilite el acceso annimo al directorio virtual pki. Para ello:
1.
En el panel Conexiones, asegrese de que la opcin pki est activada.
2.
En Pgina principal de pki, haga clic en Autenticacin.
3.
En el panel Acciones, haga clic en Editar permisos.
4.
En la pestaa Seguridad, haga clic en Editar.
5.
En el cuadro de dilogo Permisos de pki, haga clic en Agregar.
6.
En Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, escriba

Publicadores de certificados y, a continuacin, haga clic en Comprobar nombres.
7.
En Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, haga clic en

Tipos de objeto.
8.
En Tipos de objeto, seleccione Cuentas de servicio y, a continuacin, haga clic en

Aceptar.
9.
En Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, haga clic en

Ubicaciones.
10.
11.
En Ubicaciones, haga clic en APP1 y, a continuacin, en Aceptar.

En Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, despus de
Publicadores de certificados escriba ;IIS AppPool\DefaultAppPool y, a continuacin,
haga clic en Comprobar nombres. Haga clic en Aceptar.
Nota
Estos pasos han concedido al grupo de aplicaciones predeterminadas de IIS los permis
12
Leer y ejecutar, Mostrar el contenido de la carpeta y Leer. IIS usa el grupo de

aplicaciones predeterminadas para permitir el acceso annimo. Esto permitir a los
usuarios comprobar el AIA y CDP hospedados en IIS.
12.
En Permisos de pki, seleccione Publicadores de certificados (CORP\Publicadores

de certificados). En Permisos de publicadores de certificados, active la casilla
Modificar en la columna Permitir y, a continuacin, haga clic en Aceptar. Cierre el
cuadro de dilogo Propiedades de pki.
Nota
Conceder permisos de modificacin de la carpeta de pki a Cert Publishers permite qu
las entidades de certificacin de la empresa publiquen certificados y listas de revocaci
de certificados en la carpeta.
7. En el panel Pgina principal de pki, haga doble clic en Filtrado de solicitudes.
8. La pestaa Extensiones de nombre de archivo se selecciona de manera predeterminada
en el panel Filtrado de solicitudes. En el panel Acciones, haga clic en Modificar
configuracin de caracterstica.
9. En Modificar configuracin del filtrado de solicitudes, active Permitir doble escape
y, a continuacin, haga clic en Aceptar. Cierre el Administrador de Internet Information
Services (IIS).
Nota
Es necesario permitir doble escape si publica diferencias CRL en IIS, porque el archivo
de diferencias CRL contiene un smbolo +. Para obtener ms informacin, vea el artculo
942076 de Microsoft Knowledge Base (http://support.microsoft.com/kb/942076).
10. Ejecute Windows PowerShell como administrador. En Windows PowerShell, ejecute el
comando iisreset.
Paso 4: Configurar APP1 como una entidad de certificacin subordinada de empresa
Los pasos para configurar APP1 como una CA subordinada de la empresa, incluyen los
siguientes procedimientos:
1. Configurar el archivo CAPolicy.inf
2. Instalar el rol de CA subordinada de empresa
3. Configurar el AIA y el CDP
Para configurar el archivo CAPolicy.inf
1. En APP1, con la cuenta de User1, abra Windows PowerShell como administrador y
escriba notepad c:\Windows\CAPolicy.inf; a continuacin, presione ENTRAR.
13
2. Cuando se le pregunte si desea crear el archivo, Haga clic en S.

3. Use la siguiente informacin para el archivo CAPolicy.inf de la CA subordinada de
empresa.
Copiar
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
Precaucin
Los clientes Windows XP no admiten el algoritmo de firma alternativo. Si desea que los
clientes Windows XP puedan inscribirse para certificados, no agregue la lnea
AlternateSignatureAlgorithm=1 a CAPolicy.inf. Para obtener ms informacin, vea el
tema sobre las instrucciones para usar formatos de firma alternativos
(http://technet.microsoft.com/library/cc753169.aspx).
4. Haga clic en Archivo, Guardar como y asegrese de guardarlo como un archivo ANSI
con el nombre CAPolicy.inf en la carpeta C:\Windows. Tendr que cambiar el valor de
Tipo a Todos los archivos para poder usar la extensin inf en lugar de txt. Cuando se le
pregunte si desea reemplazar CAPolicy.inf, haga clic en S.
5. Cierre el Bloc de notas.
Para instalar el rol de CA subordinada de empresa
1. En APP1, con la cuenta User1, ejecute Windows PowerShell como administrador y, a
continuacin, ejecute el siguiente comando gpupdate /force. Esta accin garantiza que
se aplica el GPO para la entidad de certificacin raz de confianza a APP1.
2. En Administrador del servidor, haga clic en Administrar y, a continuacin, haga clic en
Agregar roles y caractersticas.
3. En Antes de comenzar, haga clic en Siguiente.
4. En la pantalla Seleccionar tipo de instalacin, asegrese de que est activada la
seleccin predeterminada de Instalacin basada en caractersticas o en roles. Haga clic
en Siguiente.
14
5. En la pantalla Seleccionar servidor de destino, asegrese de que la opcin APP1 est

6. En la pantalla Seleccionar roles de servidor, haga clic en el rol Servicios de
certificados de Active Directory.
7. Cuando se le pida que instale Herramientas de administracin remota del servidor,
haga clic en Agregar caractersticas. Haga clic en Siguiente.
9. En la pantalla Servicios de certificados de Active Directory, haga clic en Siguiente.
10. En la pantalla Seleccionar servicios de rol, asegrese de que la opcin Entidad de
certificacin est seleccionada y, a continuacin, haga clic en Siguiente.
11. En la pantalla Confirmar selecciones de instalacin, revise la informacin y haga clic
en Instalar.
12. Espere hasta que finalice la instalacin. Se muestra la pantalla de progreso de la
instalacin mientras se instalan los archivos binarios para la entidad de certificacin.
Cuando haya finalizado la instalacin de archivos binarios, haga clic en el vnculo
Configurar Servicios de certificados de Active Directory en el servidor de destino.
Sugerencia
Si hace clic en Cerrar antes de que haya finalizado la instalacin, podr completar la
configuracin del servicio de rol mediante un vnculo para completar la configuracin en
el icono de notificacin del Administrador del servidor.
13. En la pantalla Credenciales, aparecen las credenciales de User1. Haga clic en Siguiente.
14. En la pantalla Servicios de rol, seleccione Entidad de certificacin.
15. En la pantalla Tipo de instalacin, asegrese de que la opcin CA empresarial est
Nota
Si el equipo es un miembro del dominio y las credenciales suministradas anteriormente
eran para una cuenta que es miembro del grupo Enterprise Admins, puede seleccionar
CA empresarial o CA independiente. Si el equipo no es un miembro del dominio o se
especificaron las credenciales para una cuenta que no es miembro de Enterprise
Admins, solo estar disponible la opcin CA independiente.
16. En la pantalla Tipo de CA, seleccione CA subordinada para instalar una CA
subordinada de empresa. Haga clic en Siguiente.
17. En la pgina Clave privada, asegrese de que la opcin Crear una nueva clave
privada est seleccionada y, a continuacin, haga clic en Siguiente.
15
18. En la pantalla Criptografa para la CA, asegrese de que el proveedor de servicios

criptogrficos sea RSA#Proveedor de almacenamiento de claves de software de
Microsoft, la longitud de la clave est establecida en 2048 y el algoritmo hash est
establecido en SHA1. Haga clic en Siguiente.
19. En la pantalla Nombre de CA, en Nombre comn para esta entidad de certificacin,
escriba IssuingCA-APP1. Ver que el nombre distintivo cambia a CN=IssuingCAAPP1,DC=corp,DC=contoso,DC=com. Haga clic en Siguiente.
20. En la pantalla Solicitud de certificado, observe que la opcin Guardar una solicitud de
certificado en un archivo del equipo de destino est seleccionada. Esta es la opcin
correcta porque en esta configuracin usamos una entidad de certificacin primaria sin
conexin (la CA raz). Deje la configuracin predeterminada y haga clic en Siguiente.
21. En la pantalla Base de datos de CA, deje la base de datos y las ubicaciones de registro
predeterminadas y, a continuacin, haga clic en Siguiente.
22. En la pantalla Confirmacin, haga clic en Cerrar.
23. En la pantalla Resultados, ver que debe llevar la solicitud de certificado a
ContosoRootCA para completar la configuracin. Haga clic en Cerrar.
Nota
Los comandos de Windows PowerShell que realizan la instalacin de la CA subordinada
de empresa, como se muestra en esta seccin, son:
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA
-CACommonName "IssuingCA-APP1" -KeyLength 2048 -HashAlgorithm SHA1
-CryptoProviderName "RSA#Microsoft Software Key Storage Provider"
24. Copie la solicitud de certificado al medio extrable para llevarla a ORCA1. Por ejemplo,
si desea copiar el archivo desde la unidad C:\ a un disquete con letra de unidad A:\, puede
ejecutar el siguiente comando desde Windows PowerShell:copy C:\*.req A:\
25. Lleve el medio extrable con el archivo de solicitud de certificado a ORCA1. Inicie
sesin en la entidad de certificacin raz con una cuenta que sea miembro del grupo
Administrators local.
26. En ORCA1, desde Windows PowerShell, enve la solicitud con el siguiente comando (se
supone que A:\ es la letra de unidad del medio extrable):
certreq -submit A:\APP1.corp.contoso.com_IssuingCA-APP1.req
Nota
Si el medio extrable tiene una letra de unidad distinta, sustituya esa letra por A:\.
27. En Lista de entidades de certificacin, asegrese de que la entidad de certificacin
ContosoRootCA (Kerberos) est seleccionada y, a continuacin, haga clic en Aceptar.
Se recibe la solicitud y se le asigna un nmero de identificacin de solicitud. Asegrese
de anotar el nmero de id. de solicitud.
16
28. En ORCA1, en Administrador del servidor, haga clic en Herramientas y, a continuacin,

haga clic en Entidad de certificacin. Expanda el objeto ContosoRootCA y, a
continuacin, haga clic en Solicitudes pendientes.
29. Haga clic con el botn secundario en el id. de solicitud correspondiente al que vio cuando
envi la solicitud en el paso anterior. Haga clic en Todas las tareas y, a continuacin, en
Emitir.
30. Haga clic en Certificados emitidos y vea el certificado emitido en el panel Detalles.
31. En ORCA1, vuelva al smbolo del sistema y recupere el certificado emitido ejecutando el
comando
certreq retrieve <identificadorSolicitud> <unidad>:\APP1.corp.contoso.com_corpAPP1-CA.crt.
Reemplace el nmero real de la solicitud cuando se envi por <identificadorSolicitud> y
la letra de unidad real del medio extrable por <unidad>. Por ejemplo, si el id. de
solicitud fuera 2 y la letra de unidad del medio extrable fuera A, la solicitud sera:
certreq retrieve 2 a:\APP1.corp.contoso.com_IssuingCA-APP1.crt. Cuando
se le pida que seleccione la entidad de certificacin, asegrese de seleccionar ORCA1CA y, a continuacin haga clic en Aceptar.
32. En ORCA1, ejecute el comando dir A:\ (se supone que A es la letra de unidad del medio
extrable; en caso contrario, sustityala por la letra de unidad correcta). Ahora ORCA1CA.crl, orca1_ORCA1-CA.crt y APP1.corp.contoso.com_corp-APP1-CA.crt ya estn
guardados en el medio extrable. Mueva el medio extrable a APP1.
33. En APP1, en Windows PowerShell, ejecute los siguientes comandos para copiar los
Certificados y las CRL a la carpeta de pki (se supone que la letra de la unidad extrable es
A; en caso contrario, reemplcela por la letra de unidad correcta):
copy a:\*.cr* c:\pki\
34. En APP1, en la consola de entidad de certificacin, haga clic con el botn secundario en
IssuingCA-APP1, haga clic en Todas las tareasy, a continuacin, haga clic en Instalar
el certificado de CA.
35. En Seleccione un archivo para completar la instalacin de la CA, establezca el tipo de
archivo en Certificado X.509 (*.cer; *.crt) y despus navegue al medio extrable y
seleccione APP1.corp.contoso.com_IssuingCA-APP1.crt. Haga clic en Abrir.
36. Inicie Servicios de certificados de Active Directory. Para ello, haga clic con el botn
secundario en corp-APP1-CA, haga clic en Todas las tareas y, a continuacin,
seleccione Iniciar servicio.
37. En APP1, copie la CRL desde APP1 a la carpeta C:\pki. En Windows PowerShell, ejecute
el comando copy c:\Windows\system32\certsrv\certenroll\*.cr* c:\pki\.
Sugerencia
ORCA1 ya no es necesaria para este laboratorio, as que puede apagarlo. Para apagar un
equipo desde Windows PowerShell, puede ejecutar el comando stop-computer.
Configurar el AIA y el CDP
17
1. En APP1, con la cuenta de User1, haga clic con el botn secundario en Windows
PowerShell y despus haga clic en Ejecutar como administrador. Haga clic en S para
confirmar que desea ejecutar Windows PowerShell como administrador.
2. En Windows PowerShell, ejecute los siguiente comandos:
certutil -setreg CA\CRLPublicationURLs
"65:C:\Windows\system32\CertSrv\CertEnroll\
%3%8%9.crl\n6:http://www.contoso.com/pki/
%3%8%9.crl\n65:file://\\App1.corp.contoso.com\pki\%3%8%9.crl"
certutil setreg CA\CACertPublicationURLs
"2:http://www.contoso.com/pki/%1_
%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt"
3. En Windows PowerShell, ejecute los siguientes comandos para reiniciar el servicio de

CA: restart-service certsvc
Nota
Los dos comandos certutil establecen la rutas de acceso de CDP y AIA respectivamente
para la entidad de certificacin. La misma configuracin puede lograrse mediante los
siguientes comandos de PowerShell:
$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist)
{Remove-CACrlDistributionPoint $crl.uri -Force};
Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\
%3%8%9.crl -PublishToServer -PublishDeltaToServer -Force
Add-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8%9.crl
-AddToCertificateCDP -Force
Add-CACRLDistributionPoint -Uri file://\\App1.corp.contoso.com\pki\
%3%8%9.crl -PublishToServer -PublishDeltaToServer -Force
$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist)
{Remove-CAAuthorityInformationAccess $aia.uri -Force};
http://www.contoso.com/pki/%1_%3%4.crt -Force
file://\\App1.corp.contoso.com\pki\%1_%3%4.crt -Force
Al compartir la carpeta de pki y al incluir la ruta de acceso de archivo

file://\\App1.corp.contoso.com\pki\%3%8%9.crl como una extensin CDP, las CRL y la
diferencias CRL se copiarn en el recurso compartido cuando ejecute el comando
certutil crl. Si desea restringir an ms el acceso al recurso compartido, puede
crear un grupo independiente e incluir solo las entidades de certificacin que desea
autorizar para que publiquen en el recurso compartido de ese grupo. Luego comparta la
carpeta de pki solo con ese grupo especfico y la cuenta SYSTEM.
4. En Windows PowerShell, ejecute los siguientes comandos para publicar la CRL:
certutil -crl
Importante
Un elemento de configuracin que se suele realizar en entidades de certificacin de
produccin y que no forma parte de este laboratorio es habilitar Auditar el acceso a
objetos (http://technet.microsoft.com/library/cc776774.aspx) y despus habilitar todos
los eventos de auditora mediante la ejecucin del siguiente comando: certutil -setreg
18
CA\AuditFilter 127. Una vez hecho esto, asegrese de archivar regularmente el registro
de eventos de seguridad y seguir lo indicado en el artculo sobre procedimientos
recomendados de auditora de eventos de seguridad
(http://technet.microsoft.com/library/cc778162.aspx).
Paso 5: Configurar la inscripcin automtica de certificados
Hay dos procedimientos para configurar la inscripcin automtica de certificados del
equipo:
1. Habilitar la inscripcin automtica de certificados mediante una directiva de grupo.
2. Configurar una plantilla de certificado de autenticacin de cliente y servidor para la
inscripcin automtica
Para habilitar la inscripcin automtica de certificados mediante una directiva de grupo.
1. En DC1, inicie sesin como User1. En Administrador del servidor, haga clic en
Herramientas y, a continuacin, haga clic en Administracin de directivas de grupo.
2. En el rbol de consola, expanda los siguientes objetos: Bosque: corp.contoso.com,
Dominios, corp.contoso.com.
Nota
Es posible que vea una advertencia de que algunas directivas vinculadas al dominio
afectarn a todos los equipos a los que estn vinculadas las directivas. En ese caso, lala
y haga clic en Aceptar.
3. En el rbol de consola, haga clic con el botn secundario en Directiva predeterminada
de dominios y, a continuacin, haga clic en Editar.
4. En el rbol de consola del Editor de administracin de directivas de grupo, en
Configuracin de equipo, expanda los siguientes objetos: Directivas, Configuracin
de Windows, Configuracin de seguridad y, a continuacin, haga clic en Directivas de
clave pblica.
5. En el panel de detalles, haga doble clic en Cliente de Servicios de servidor de
certificados - Inscripcin automtica. En Modelo de configuracin, seleccione
Habilitado.
6. Seleccione Renovar certificados expirados, actualizar certificados pendientes y
quitar certificados revocados y Actualizar certificados que usan plantillas de
certificado. Haga clic en Aceptar.
7. Cierre el Editor de administracin de directivas de grupo y la consola Administracin de
directivas de grupo.
Para configurar una plantilla de certificado de autenticacin de cliente y servidor para la
inscripcin automtica
19
1. En APP1, en el panel de la consola Entidad de certificacin, asegrese de que el nodo

IssuingCA-APP1 est expandido.
2. Haga clic con el botn secundario en Plantillas de certificado y, a continuacin, haga
clic en Administrar.
3. En el panel de detalles, haga clic con el botn secundario en Autenticacin de estacin
de trabajo y, a continuacin, haga clic en Plantilla duplicada.
4. Haga clic en la pestaa General, en Nombre para mostrar plantilla escriba ClientServer Authentication y, a continuacin, seleccione Publicar certificado en Active
Directory.
5. En la pestaa Extensiones, haga clic en Directivas de aplicacin y, a continuacin, haga
clic en Editar.
6. Haga clic en Agregar y, a continuacin, haga clic en Autenticacin del servidor. Haga
clic en Aceptar dos veces.
7. En el cuadro de dilogo Propiedades de plantilla nueva, haga clic en la pestaa
Seguridad.
8. En Nombres de grupos o usuarios, haga clic en Equipos del dominio (CORP\Equipos
del dominio.
9. En la fila Inscripcin automtica, active la casilla Permitir. Esto otorga a todos los
equipos del dominio la capacidad de inscribirse automticamente para certificados
mediante esta plantilla.
Nota
Los equipos tambin necesitan el permiso Leer para que la plantilla pueda inscribirse.
No obstante, este permiso ya se le concedi al grupo Usuarios autenticados. Todas las
cuentas de equipos del dominio son miembros del grupo Usuarios autenticados, de modo
tal que ya tienen el permiso para leer la plantilla.
10. Haga clic en Aceptar. Cierre la Consola de plantillas de certificado.
11. Haga clic con el botn secundario en Plantillas de certificado, haga clic en Nueva y
haga clic en Plantilla de certificado que se va a emitir.
12. En el cuadro de dilogo Habilitar plantillas de certificados, haga clic en Autenticacin
del cliente-servidor y, a continuacin, haga clic en Aceptar. Cierre la consola de entidad
de certificacin.
Paso 6: Configurar SSL para APP1
20
Para demostrar cmo se pueden usar los certificados implementados a travs de AD DS y

AD CS, va a proteger el sitio web de APP1 con SSL y despus va a conectarse a ese sitio
seguro con CLIENT1. Hay dos procedimientos en este paso:
1. Proteger el sitio web predeterminado de APP1
2. Conectarse al sitio web seguro.
Para proteger el sitio web predeterminado de APP1
1. En APP1, como User1, ejecute Windows PowerShell como administrador. A
continuacin, ejecute los siguientes comandos:
Gpupdate /force.
Espere a que finalice la actualizacin de la directiva de grupo y

despus cierre el smbolo del sistema. Esto garantiza que el certificado de inscripcin
automtica distribuido a travs de la directiva de grupo se emite a APP1.
cd cert:\LocalMachine\My
dir | format-list
Debe ver que tiene dos certificados. Uno fue emitido por ContosoRootCA, que es el
certificado de la CA de APP1. El otro certificado fue emitido por IssuingCA-APP1 y se
puede usar para proteger al sitio web predeterminado de APP1.
2. Abra la consola del Administrador de Internet Information Services (IIS). Para ello, en
Administrador del servidor, haga clic en Herramientas y, a continuacin, haga clic en
Administrador de Internet Information Services (IIS). En el panel de contenido,
expanda la siguiente ruta: APP1, Sitios y Sitio web predeterminado.
Nota
Si ve un mensaje del Administrador de Internet Information Services (IIS) que le
pregunta si desea ver una introduccin a la Plataforma web de Microsoft, haga clic en
Cancelar.
3. Haga clic en Sitio web predeterminado. En el panel Acciones, haga clic en Enlaces.
4. En el cuadro de dilogo Enlaces de sitios, haga clic en Agregar.
5. En el cuadro de dilogo Agregar enlace de sitio, en Tipo, seleccione https.
6. En Certificado SSL, haga clic en Seleccionar.
7. En Seleccionar certificado, use el cuadro de seleccin para seleccionar el certificado
emitido por IssuingCA-APP1 a travs de la directiva de grupo. Este ser un certificado
con una cadena alfanumrica larga, a diferencia del que lee IssuingCA-APP1. Para
comprobar que tiene el certificado correcto, haga clic en Ver. Asegrese de que el
certificado que seleccione indica que fue emitido para APP1.corp.contoso.com por
21
IssuingCA-APP1. Cuando tenga el certificado correcto, haga clic en Aceptar, en el

cuadro de dilogo Certificado.
8. En el cuadro de dilogo Agregar enlace de sitio, haga clic Aceptar.
9. En el cuadro de dilogo Enlaces de sitios, haga clic en Cerrar.
Para conectarse al sitio web seguro.
1. Conecte CLIENT1 a la red corporativa.
2. Inicie sesin en CLIENT1 como User1.
3. Abra Internet Explorer en CLIENT1.
4. En Internet Explorer, escriba la direccin https://app1.corp.contoso.com y presione
ENTRAR. Cuando vea la pgina web predeterminada de IIS 8, confirmar que https y el
enlace SSL funcionan para el sitio web predeterminado en APP1.
Sugerencia
Si, en lugar de ello, ve que hay un problema en el certificado, es probable que haya seleccionado un
certificado incorrecto en el procedimiento anterior. Debe seleccionar el certificado que se emiti para
el nombre APP1.corp.contoso.com. Adems, puede ser que la directiva de grupo an no haya
actualizado las entidades de certificacin raz de confianza. Para asegurarse de que las
actualizaciones de la directiva de grupo estn aplicadas, abra el Explorador y escriba cmd en la barra
de direcciones del Explorador. A continuacin, escriba gpupdate /force y presione ENTRAR.
Importante
La lista de revocacin de certificados (CRL) de ORCA1 es vlida durante 26 semanas (lo
establecido en la configuracin almacenada en CAPolicy.inf). La CRL de APP1 debe actualizarse
cada semana de manera predeterminada. Para actualizar la CRL, use el comando:
Certutil crl, que publica la CRL en las ubicaciones que especific en la pestaa de extensiones
de las propiedades de CA
22
Gua del laboratorio de pruebas:

Demostrar la renovacin de certificados
basada en claves
Actualizado: enero de 2013
Se aplica a: Windows Server 2012
El objetivo de esta gua del laboratorio de pruebas es proporcionarle experiencia

prctica mediante la configuracin de los servicios de rol Servicio web de inscripcin de
certificados y Servicio de directiva web de inscripcin de certificados. Estos servicios de
rol forman parte del rol del servidor Servicios de certificados de Active Directory
(AD CS) en Windows Server 2012.
Este documento proporciona instrucciones que explican cmo ampliar la gua del
laboratorio de pruebas para implementar una jerarqua de PKI de dos niveles para AD
CS a fin de ofrecer Servicios web de inscripcin de certificados. En Windows Server
2012 y Windows 8, puede configurar la renovacin automtica de certificados para los
equipos que se encuentran fuera del dominio. Esto incluye equipos de otros bosques,
dominios y grupos de trabajo. En este laboratorio, se demuestran los pasos para emitir
un certificado para un equipo que no est unido al dominio y, a continuacin,
configurarlo para que se renueve automticamente.
Informacin general sobre el laboratorio de pruebas
La siguiente configuracin del laboratorio de pruebas agrega tres equipos a la
configuracin detallada en la gua del laboratorio de pruebas para implementar una
jerarqua de PKI de dos niveles para AD CS. Uno de los equipos adicionales ser un
servidor de Servicios web de inscripcin de certificados. Otro equipo ser un servidor
de Servicios web de directiva de inscripcin de certificados. El tercer equipo ser un
servidor web que no estar unido al dominio. Son siete los pasos principales que deben
completarse, los cuales incluyen varios procedimientos subordinados.
1. Paso 1: Completar el laboratorio de pruebas de configuracin bsica
2. Paso 2: Completar la gua del laboratorio de pruebas para implementar una
jerarqua de PKI de dos niveles para AD CS
3. Paso 3: Configurar el servidor CEP1
4. Paso 4: Configurar el servidor CES1
5. Paso 5: Preparar una plantilla de certificado adecuada
23
6. Paso 6: Configurar WEB1

7. Paso 7: Obtener un certificado y probar la renovacin automtica
Requisitos de hardware y software
A continuacin se enumeran los componentes requeridos para una configuracin

mnima de este laboratorio de pruebas:
2. El disco del producto o los archivos de Windows 8.
3. Ocho equipos que cumplan con los requisitos de hardware mnimos para
Windows Server 2012. Uno de estos equipos (EDGE1) tiene instalados dos
adaptadores de red.
Sugerencia
Se debe asignar a los servidores CEP1 y CES1 un mnimo de 1,5 GB de RAM, si es
posible.
4. Un equipo que cumpla con los requisitos de hardware mnimos para Windows 8.
5. Un dispositivo de almacenamiento extrable con espacio suficiente para contener
unos pocos certificados y listas de revocacin de certificados (unos 10 kilobytes).
Este puede ser un dispositivo de almacenamiento extrable fsico o virtual, en
funcin de si el laboratorio usa equipos fsicos o virtuales.
Nota
Para obtener instrucciones sobre cmo transferir archivos mediante un disquete virtual
en un servidor que ejecuta Hyper-V, vea el tema sobre cmo crear, usar y transferir
mediante disquetes virtuales.
6. Si desea implementar el laboratorio de pruebas de configuracin bsica en un
entorno virtualizado, la solucin de virtualizacin debe admitir mquinas
virtuales de 64 bits de Windows Server 2012. El hardware de servidor debe ser
compatible con la cantidad de RAM necesaria para ejecutar los sistemas
operativos virtuales en el laboratorio de pruebas de configuracin bsica y
cualquier otra mquina virtual que puedan requerir otras guas del laboratorio de
pruebas.
Importante
Ejecute Windows Update en todos los equipos o mquinas virtuales durante la
instalacin de los sistemas operativos o inmediatamente despus. Tras ejecutar
Windows Update, puede aislar su laboratorio de pruebas fsico o virtual de la red de
produccin.
Nota
24
Ejecute los comandos de Windows PowerShell como administrador. Cuando no inicia

sesin como el administrador predeterminado, puede hacer clic con el botn
secundario en el icono del programa Windows PowerShell y, a continuacin, seleccionar
Ejecutar como administrador.
Paso 1: Completar el laboratorio de pruebas de configuracin bsica
Antes de comenzar con las instrucciones de esta gua, debe completar el laboratorio de
pruebas de configuracin bsica. Para obtener ms informacin, vea la gua del
laboratorio de pruebas bsica para Windows Server 2012.
Paso 2: Completar la gua del laboratorio de pruebas para implementar una jerarqua de
PKI de dos niveles para AD CS
La jerarqua de PKI de dos niveles proporciona la base del laboratorio que se explica en
este tema. Para obtener ms informacin, vea la gua del laboratorio de pruebas para
implementar una jerarqua de PKI de dos niveles para AD CS .
Importante
La lista de revocacin de certificados (CRL) ORCA1 para este laboratorio se configur
mediante el archivo CAPolicy.inf y tiene una validez de 26 semanas. La CRL APP1 debe
actualizarse cada semana. Para actualizar la CRL, ejecute el siguiente comando en
APP1 desde Windows PowerShell: certutil -crl
Paso 3: Configurar el servidor CEP1
La configuracin del servidor CEP1 permite dos mtodos para que los equipos cliente
obtengan directivas de inscripcin de certificados:
1. Autenticacin de nombre de usuario y contrasea
2. Autenticacin de certificado
Sugerencia
Para el resto de este laboratorio, solo son necesarios el controlador de dominio (DC1) y
el servidor APP1 de la gua del laboratorio de pruebas de configuracin bsica.
Instalar tres servidores adicionales: CEP1, CES1 y WEB1. Antes de instalar los
servidores nuevos, asegrese de que DC1 y APP1 estn en ejecucin.
Los procedimientos para configurar el servidor CEP1 para que admita la configuracin
descrita en esta gua son los siguientes:
1. Instalar el sistema operativo
25
2. Configurar TCP/IP
3. Unir el equipo al dominio
4. Instalar el Servicio web de directiva de inscripcin de certificados para usar la
autenticacin de nombre de usuario y contrasea
5. Instalar el Servicio web de directiva de inscripcin de certificados para usar la
autenticacin de certificado
Para instalar el sistema operativo
1. Inicie la instalacin de Windows Server 2012.

2. Siga las instrucciones para completar la instalacin. Especifique Windows Server
2012 (instalacin completa) y cree una contrasea segura para la cuenta de
administrador local. A continuacin, inicie sesin con la cuenta de administrador
local.
3. Conecte el equipo a una red que tenga acceso a Internet y ejecute Windows
Update para instalar las ltimas actualizaciones de Windows Server 2012.
4. Conecte el equipo a la subred Corpnet.
Para configurar TCP/IP
1. Desde Windows PowerShell, ejecute ncpa.cpl.

2. En Conexiones de red, haga clic con el botn secundario en Ethernet y, a
continuacin, haga clic en Propiedades.
3. Haga clic en Protocolo de Internet versin 4 (TCP/IPv4) y, a continuacin,
en Propiedades.
4. Seleccione Usar la siguiente direccin IP. En Direccin IP, escriba 10.0.0.4.
En Mscara de subred, escriba 255.255.255.0.
5. Seleccione Usar las siguientes direcciones de servidor DNS. En Servidor
DNS preferido, escriba 10.0.0.1.
6. Haga clic en Aceptar y, a continuacin, en Cerrar.
7. Cierre la ventana Conexiones de red.
8. En Windows PowerShell, ejecute sysdm.cpl.
9. En el cuadro de dilogo Propiedades del sistema, en la pestaa Nombre del
equipo, haga clic en Cambiar.
26
10.En Nombre del equipo, escriba CEP1 como el nuevo nombre del equipo y, a
continuacin, haga clic en Aceptar.
11.Cuando se le indique que debe reiniciar el equipo, haga clic en Aceptar.
12.En el cuadro de dilogo Propiedades del sistema, haga clic en Cerrar.
13.Cuando se le pida que reinicie el equipo, haga clic en Reiniciar ahora.
14.Despus de reiniciar, inicie sesin con la cuenta de administrador local.
Sugerencia
Los comandos de Windows PowerShell para cambiar la direccin IP y el nombre del
equipo son los siguientes:
$NetIP = Get-NetIPAddress | where {$_.Addressfamily -eq "IPv4" -and $_.InterfaceAlias
-like "*Ethernet*"}
$NetAlias = $NetIP.InterfaceAlias
New-NetIPAddress -InterfaceAlias $NetAlias -IPAddress 10.0.0.4 -PrefixLength 24
Set-DnsClientServerAddress -InterfaceAlias $NetAlias -ServerAddresses 10.0.0.1
Set-DnsClient -InterfaceAlias $NetAlias -ConnectionSpecificSuffix corp.contoso.com
Rename-computer CEP1
Restart-computer
Para unir el equipo al dominio
1. Desde Windows PowerShell, ejecute sysdm.cpl.

2. En el cuadro de dilogo Propiedades del sistema, haga clic en la pestaa
Nombre del equipo y, a continuacin, en Cambiar.
3. En Miembro de, seleccione Dominio, escriba corp.contoso.com y, a
4. Cuando se le pida un nombre de usuario y una contrasea, escriba las
credenciales de User1 y, a continuacin, haga clic en Aceptar.
5. Cuando vea un cuadro de dilogo en el que se le da la bienvenida al dominio
corp.contoso.com, haga clic en Aceptar.
6. Cuando se le indique que debe reiniciar el equipo, haga clic en Aceptar.
7. En el cuadro de dilogo Propiedades del sistema, haga clic en Cerrar.
8. Cuando se le pida que reinicie el equipo, haga clic en Reiniciar ahora.
27
9. Una vez reiniciado el equipo, haga clic en Cambiar de usuario y, a

continuacin, en Otro usuario. Inicie sesin en el dominio CORP con la cuenta
User1, que pertenece a los grupos Administradores de dominio y
Administradores de empresas.
Sugerencia
Los comandos de Windows PowerShell para unir el equipo al dominio son los
siguientes:
Add-Computer -DomainName CORP -Credential CORP\User1
Restart-computer
Para instalar el Servicio web de directiva de inscripcin de certificados para usar la
autenticacin de nombre de usuario y contrasea
1. En el servidor CEP1, asegrese de haber iniciado sesin como User1. Haga clic
con el botn secundario en Windows PowerShell, haga clic en Ejecutar como
administrador y, a continuacin, ejecute los siguientes comandos:
Copiar
gpupdate /force
dir | format-list
Importante
Necesita un certificado de autenticacin de servidor para que el servidor CEP1 realice
el siguiente procedimiento. El certificado debe distribuirse automticamente en el
equipo mediante la directiva de grupo y la entidad de certificacin (CA) que se est
ejecutando en APP1, la cual se configur en la gua del laboratorio de pruebas para
implementar una jerarqua de PKI de dos niveles. El comando gpupdate fuerza a la
directiva de grupo a actualizar y descargar el certificado. Debera ver que tiene un
certificado emitido por IssuingCA-APP1, el cual usar para instalar el Servicio web de
directiva de inscripcin de certificados. Si no ve el certificado inmediatamente despus
de ejecutar estos comandos, espere un par de minutos y, a continuacin, vuelva a
ejecutar el comando dir | format-list.
2. En el Administrador del servidor, haga clic en Administrar y, a continuacin, en
Agregar roles y caractersticas. En la pantalla Antes de comenzar, haga
clic en Siguiente.
3. En la pantalla Seleccionar tipo de instalacin, asegrese de que la opcin
Instalacin basada en caractersticas o en roles est seleccionada y, a
continuacin, haga clic en Siguiente.
28
4. En la pantalla Seleccionar servidor de destino, asegrese de que est

seleccionado CEP1.corp.contoso.com y, a continuacin, haga clic en
Siguiente.
5. En la pantalla Seleccionar roles de servidor, seleccione Servicios de
certificados de Active Directory. Cuando se le pida que agregue las
Herramientas de administracin remota del servidor, haga clic en Agregar
caractersticas y, a continuacin, en Siguiente.
7. En la pantalla Servicios de certificados de Active Directory, haga clic en
Siguiente.
8. En la pantalla Seleccionar servicios de rol, desactive el rol Entidad de
certificacin y seleccione el Servicio web de directiva de inscripcin de
certificados. Cuando se le pida que agregue roles y caractersticas, haga clic en
Agregar caractersticas y, a continuacin, en Siguiente.
9. En la pantalla Rol Servidor web (IIS), haga clic en Siguiente.
10.En la pantalla Seleccionar servicios de rol, haga clic en Siguiente.
11.En la pantalla Confirmar selecciones de instalacin, haga clic en Instalar.
12.Una vez completada la instalacin, haga clic en Configurar Servicios de
certificados de Active Directory en el servidor de destino.
Sugerencia
Si hizo clic en Cerrar antes de que se completara la instalacin, puede completar la
configuracin del servicio de rol a travs de un vnculo en el icono de notificaciones del
Administrador del servidor.
13.En la pantalla Credenciales, haga clic en Siguiente.
14.En la pantalla Servicio de rol, seleccione Servicio web de directiva de
inscripcin de certificados y, a continuacin, haga clic en Siguiente.
15.En la pantalla Tipo de autenticacin para CEP, seleccione Nombre de
usuario y contrasea y, a continuacin, haga clic en Siguiente.
16.En la pantalla Habilitar renovacin basada en claves para CEP, active la
casilla Habilitar renovacin basada en claves y, a continuacin, haga clic en
Siguiente.
17.En la pantalla Certificado de servidor, seleccione el certificado
CEP1.corp.contoso.com emitido por IssuingCA-APP1 y, a continuacin, haga
clic en Siguiente.
18.En la pantalla Confirmacin, haga clic en Configurar.
29
19.Una vez completada la configuracin, en la pantalla Resultados, haga clic en

Cerrar y, a continuacin, en el Asistente para agregar roles y
caractersticas, haga clic en Cerrar.
Sugerencia
Los siguientes comandos de Windows PowerShell ejecutados desde la ruta de acceso
Cert:\LocalMachine\My como administrador tambin llevan a cabo la instalacin
descrita en los pasos anteriores:
Install-WindowsFeature Web-WebServer -IncludeManagementTools
Add-WindowsFeature Adcs-Enroll-Web-Pol
Install-AdcsEnrollmentPolicyWebService -AuthenticationType Username
-KeyBasedRenewal -SSLCertThumbprint (dir -dnsname
cep1.corp.contoso.com).Thumbprint
20.En el Administrador del servidor, haga clic en Herramientas y, a continuacin,
en Internet Information Services.
21.En el panel Conexiones de la consola del Administrador de Internet Information
Services (IIS), expanda el servidor CEP1.
Nota
Si se le pide que inicie la Plataforma web de Microsoft, haga clic en Cancelar.
22.Expanda Sitios y, a continuacin, expanda Default Web Site.
23.Haga clic en el directorio virtual
KeyBasedRenewal_ADPolicyProvider_CEP_UsernamePassword.
24.En el panel central, haga doble clic en Configuracin de aplicaciones.
25.En Configuracin de aplicaciones, haga doble clic en FriendlyName. En el
cuadro de texto Valor, escriba SSL Server Certificates y, a continuacin, haga
clic en Aceptar.
26.En Configuracin de aplicaciones, haga doble clic en URI y asegrese de que
el valor de URI sea
https://cep1.corp.contoso.com/KeybasedRenewal_ADPolicyProvider_CEP
_UsernamePassword/service.svc/CEP.
Nota
Este URI se usar en un comando de Windows PowerShell ms adelante desde WEB1
para ponerse en contacto con el servidor CEP1 para la inscripcin de certificados.
27.Haga clic en Aceptar y, a continuacin, cierre el Administrador de Internet
Information Services (IIS).
30
Para instalar el Servicio web de directiva de inscripcin de certificados para usar la

autenticacin de certificado
1. Para instalar una segunda instancia del Servicio web de directiva de inscripcin
de certificados en el servidor CEP1, debe usar Windows PowerShell. Abra
Windows PowerShell como administrador y ejecute el comando siguiente:
Copiar
Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate
-KeyBasedRenewal -SSLCertThumbprint (dir -dnsname
cep1.corp.contoso.com).Thumbprint
2. Cuando se le pida que confirme, escriba Y y, a continuacin, presione ENTRAR.
Nota
Ver una confirmacin con el texto ErrorString. Si la confirmacin est vaca debajo
de ErrorString, la instalacin se complet correctamente. De lo contrario, revise el
comando en busca de errores, corrjalos y vuelva a intentarlo.
3. En el Administrador del servidor, haga clic en Herramientas y, a continuacin,
en Internet Information Services.
4. En el panel Conexiones de la consola del Administrador de Internet Information
Services (IIS), expanda el servidor CEP1.
Nota
Si se le pide que inicie la Plataforma web de Microsoft, haga clic en Cancelar.
5. Expanda Sitios y, a continuacin, expanda Default Web Site.
6. Haga clic en el directorio virtual
KeyBasedRenewal_ADPolicyProvider_CEP_Certificate.
7. En el panel central, haga doble clic en Configuracin de aplicaciones.
8. En Configuracin de aplicaciones, haga doble clic en FriendlyName y, a
continuacin, en el cuadro de texto Valor, escriba SSL Server Certificates.
Haga clic en Aceptar.
9. En Configuracin de aplicaciones, haga doble clic en URI y asegrese de que
el valor de URI sea
https://cep1.corp.contoso.com/KeybasedRenewal_ADPolicyProvider_CEP
_Certificate/service.svc/CEP. Este URI se usar para configurar WEB1 para que
se ponga en contacto con el servidor CEP1 para la renovacin de certificados.
Paso 4: Configurar el servidor CES1
31
Los procedimientos para configurar el servidor CES1 para que admita la configuracin
descrita en esta gua son los siguientes:
3. Unir el equipo al dominio
4. Configurar la cuenta de servicio
5. Instalar el Servicio web de inscripcin de certificados para usar la autenticacin
de nombre de usuario y contrasea
6. Instalar el Servicio web de inscripcin de certificados para usar la autenticacin
de certificado
7. Conceder permiso de lectura a la cuenta de servicio en la CA
8. Confiar en la cuenta de servicio para la delegacin
El servidor de Servicios web de inscripcin de certificados se usa para enviar solicitudes
de certificado a la CA. La cuenta de servicio de Servicios web de directiva de inscripcin
de certificados enva las solicitudes de certificado a APP1 en nombre de los usuarios,
equipos y dispositivos que las solicitan. Adems de la configuracin para aceptar la
autenticacin de nombre de usuario y contrasea y la autenticacin de certificado, la
cuenta de servicio requiere permiso de lectura en la CA.

2. Siga las instrucciones para completar la instalacin, especificando Windows
Server 2012 (instalacin completa) y una contrasea segura para la cuenta de
administrador local. Inicie sesin con la cuenta de administrador local.

en Propiedades.
32

10.En Nombre del equipo, escriba CES1 como el nuevo nombre del equipo y, a
Sugerencia
Como alternativa, puede usar Windows PowerShell para cambiar la direccin IP y el
nombre del equipo. Para ello, ejecute los comandos siguientes:
-like "*Ethernet*"}
Rename-computer CES1
Restart-computer
Para unir el equipo al dominio

2. En el cuadro de dilogo Propiedades del sistema, haga clic en la pestaa
Nombre del equipo y en Cambiar.
33
3. En Miembro de, seleccione Dominio y, a continuacin, escriba

corp.contoso.com. Haga clic en Aceptar.
4. Cuando se le pida un nombre de usuario y una contrasea, escriba un nombre de
usuario y una contrasea del dominio (puede usar cualquier cuenta de usuario
vlida, incluida la cuenta de administrador predeterminada) y, a continuacin,
haga clic en Aceptar.
5. Cuando vea un cuadro de dilogo en el que se le da la bienvenida al dominio
corp.contoso.com, haga clic en Aceptar.
6. Cuando se le indique que debe reiniciar el equipo, haga clic en Aceptar.
7. En el cuadro de dilogo Propiedades del sistema, haga clic en Cerrar.
8. Cuando se le pida que reinicie el equipo, haga clic en Reiniciar ahora.
9. Una vez que se reinicie el equipo, haga clic en Cambiar de usuario, despus en
Otro usuario y, a continuacin, inicie sesin en el dominio CORP con una
cuenta que sea miembro de Enterprise Admins.
Sugerencia
Como alternativa, puede usar Windows PowerShell para unir el equipo al dominio. Para
ello, ejecute los comandos siguientes:
Add-Computer -DomainName CORP -Credential CORP\User1
Restart-computer
Para configurar la cuenta de servicio
1. En el controlador de dominio DC1, como User1, en el Administrador del servidor,

haga clic en Herramientas y, a continuacin, en Centro de administracin
de Active Directory.
2. En el rbol de consola, haga clic en corp (local).
3. En el panel Tareas, haga clic en Nuevo y, a continuacin, en Usuario.
4. En el cuadro de dilogo Crear usuario, en Nombre completo, escriba CES, en
Inicio de sesin SamAccountName de usuario:, asegrese de que se
muestre corp\ como el dominio y, a continuacin, escriba CES como el nombre
de cuenta.
5. En Contrasea, escriba la contrasea que desea usar para esta cuenta y, en
Confirmar contrasea, vuelva a escribir la contrasea.
6. En Opciones de contrasea, seleccione Otras opciones de contrasea y, a
continuacin, seleccione La contrasea nunca expira.
34
7. Haga clic en Aceptar para crear la cuenta de usuario y, a continuacin, cierre el

cuadro de dilogo Crear usuario.
Sugerencia
Como alternativa, puede crear la cuenta de servicio mediante Windows PowerShell.
Puede ejecutar el siguiente comando para agregar la cuenta de usuario de CES a
Servicios de dominio de Active Directory (AD DS):
New-ADUser -SamAccountName ces -AccountPassword (read-host "Set user password"
-assecurestring) -name "ces" -enabled $true -PasswordNeverExpires $true
-ChangePasswordAtLogon $false
8. La cuenta de usuario de CES requiere un nombre de entidad de seguridad de
servicio (SPN) al que se deleguen permisos de inscripcin en web. Para crear el
SPN, abra Windows PowerShell y ejecute el siguiente comando: setspn -s
http/ces1.corp.contoso.com corp\ces
9. En CES1, inicie sesin como User1. En el Administrador del servidor, haga clic
en Herramientas y, a continuacin, en Administracin de equipos.
10.En el rbol de consola, expanda Usuarios y grupos locales y, a continuacin,
haga clic en Grupos.
11.En el panel de detalles, haga doble clic en IIS_IUSRS.
12.En Propiedades de IIS_IUSRS, haga clic en Agregar.
13.En Seleccionar usuarios, equipos, cuentas de servicio o grupos, escriba
CES y, a continuacin, haga clic en Comprobar nombres. Haga clic en
Aceptar dos veces.
Sugerencia
Como, alternativa, puede usar Windows PowerShell para agregar la cuenta de usuario
de CES al grupo local IIS_IUSRS. Para ello, ejecute el comando siguiente:
Net localgroup IIS_IUSRS corp\ces /Add
Importante
Necesita un certificado de autenticacin de servidor para que el servidor CES1 realice
el siguiente procedimiento. El certificado debe distribuirse automticamente en el
equipo mediante la directiva de grupo y la CA que se est ejecutando en APP1, la cual
se configur en la gua del laboratorio de pruebas para implementar una jerarqua de
PKI de dos niveles. El primer comando que se le pide que ejecute en el siguiente
procedimiento actualiza la directiva de grupo para garantizar que el certificado se
distribuya a CES1.
Para instalar el Servicio web de inscripcin de certificados para usar la autenticacin de
nombre de usuario y contrasea
35
1. En CES1, como User1, abra Windows PowerShell como administrador y ejecute el

comando siguiente:
Copiar
gpupdate /force
dir | format-list
Debera ver que tiene un certificado emitido por IssuingCA-APP1, el cual usar para
instalar el Servicio web de inscripcin de certificados. Si no ve el certificado, reinicie el
equipo.
2. En el Administrador del servidor, haga clic en Administrar y, a continuacin, en
Agregar roles y caractersticas. Si aparece la pantalla Antes de comenzar,
3. En la pantalla Seleccionar tipo de instalacin, seleccione Instalacin
basada en caractersticas o en roles y, a continuacin, haga clic en
Siguiente.
4. En la pantalla Seleccionar servidor de destino, seleccione
CES1.corp.contoso.com y, a continuacin, haga clic en Siguiente.
5. En la pantalla Seleccionar roles de servidor, seleccione Servicios de
certificados de Active Directory. Cuando se le pida que agregue las
Herramientas de administracin remota del servidor, haga clic en Agregar
caractersticas y, a continuacin, en Siguiente.
7. En la pantalla Servicios de certificados de Active Directory, haga clic en
Siguiente.
8. En la pantalla Seleccionar servicios de rol, desactive el rol Entidad de
certificacin y, a continuacin, seleccione el Servicio web de inscripcin de
certificados. Cuando se le pida que agregue roles y caractersticas, haga clic en
Agregar caractersticas y, a continuacin, en Siguiente.
9. En la pantalla Rol Servidor web (IIS), haga clic en Siguiente.
10.En la pantalla Seleccionar servicios de rol, haga clic en Siguiente.
11.En la pantalla Confirmar selecciones de instalacin, haga clic en Instalar.
12.Una vez completada la instalacin, haga clic en Configurar Servicios de
certificados de Active Directory en el servidor de destino.
Sugerencia
36
Si hizo clic en Cerrar antes de que se completara la instalacin, puede completar la

configuracin del servicio de rol a travs de un vnculo en el icono de notificaciones del
Administrador del servidor.
13.En la pantalla Credenciales, asegrese de que aparezca CORP\User1 como la
cuenta que se usar para la instalacin y, a continuacin, haga clic en
Siguiente.
14.En la pantalla Servicio de rol, seleccione Servicio web de inscripcin de
certificados y, a continuacin, haga clic en Siguiente.
15.En la pantalla CA para CES, haga clic en Seleccionar. En Seleccionar entidad
de certificacin, seleccione IssuingCA-APP1, haga clic en Aceptar y, a
continuacin, en Siguiente.
16.En la pantalla Tipo de autenticacin para CES, seleccione Nombre de
usuario y contrasea, y, a continuacin, haga clic en Siguiente.
17.En la pantalla Cuenta de servicio para CES, asegrese de que est
seleccionada la opcin Especificar cuenta de servicio (recomendado) y, a
continuacin, haga clic en Seleccionar.
18.En Configuracin de AD CS, escriba CORP\CES como nombre de usuario. Escriba
la contrasea de la cuenta y, a continuacin, haga clic en Aceptar.
19.En la pantalla Certificado de servidor, seleccione el certificado
CES1.corp.contoso.com emitido por IssuingCA-APP1 y, a continuacin, haga
clic en Siguiente.
20.En la pantalla Confirmacin, haga clic en Configurar.
21.Una vez completada la configuracin, en la pantalla Resultados, haga clic en
Cerrar y, a continuacin, en el Asistente para agregar roles y
caractersticas, haga clic en Cerrar.
Sugerencia
Como alternativa, pueden ejecutarse como administrador los siguientes comandos de
Windows PowerShell desde la ruta de acceso Cert:\LocalMachine\My para llevar a
cabo la instalacin y configuracin descritas en los pasos anteriores:
Install-WindowsFeature Web-WebServer -IncludeManagementTools
Add-WindowsFeature Adcs-Enroll-Web-Svc
Install-AdcsEnrollmentWebService -ServiceAccountName "CORP\CES" -CAConfig
"APP1.corp.contoso.com\IssuingCA-APP1" -SSLCertThumbprint (dir -dnsname
ces1.corp.contoso.com).Thumbprint -AuthenticationType Username
37
Para instalar el Servicio web de inscripcin de certificados para usar la autenticacin de

certificado
1. Para instalar una segunda instancia del Servicio web de inscripcin de

certificados en el servidor CES1, debe usar Windows PowerShell. Abra Windows
PowerShell.
2. Escriba cd cert:\LocalMachine\My y presione ENTRAR.
3. Escriba certutil y presione ENTRAR. Tome nota de la lnea con el texto Config..
Esta es la configuracin que usar al instalar el Servicio web de inscripcin de
certificados. Para este laboratorio, la configuracin es
APP1.corp.contoso.com\IssuingCA-APP1.
Nota
La ltima lnea de los resultados de la configuracin muestra Servidores de inscripcin
en web y https://ces1.corp.contoso.com/IssuingCAAPP1_CES_UsernamePassword/service.svc/CES, que es el URI que el Servicio web de
directiva de inscripcin de certificados pasar al cliente durante la inscripcin de
certificados.
4. Escriba el siguiente comando para instalar el Servicio web de inscripcin de
certificados:
Copiar
Install-AdcsEnrollmentWebService -CAConfig "APP1.corp.contoso.com\IssuingCA-APP1"
-SSLCertThumbprint (dir -dnsname ces1.corp.contoso.com).Thumbprint
-AuthenticationType Certificate -RenewalOnly -AllowKeyBasedRenewal
5. Cuando se le pida, escriba la contrasea de la cuenta de usuario de CES y, a
continuacin, presione ENTRAR.
6. Cuando se le pida que confirme, escriba Y y, a continuacin, presione ENTRAR.
Nota
1. Ver una confirmacin con el texto ErrorString. Si la confirmacin est
vaca debajo de ErrorString, la instalacin se complet correctamente.
De lo contrario, revise el comando en busca de errores, corrjalos y vuelva
a intentarlo.
2. Una vez configurado el servicio, vuelva a escribir certutil. Ver que ahora
hay dos Servidores de inscripcin en web. El URI agregado en este
procedimiento es https://ces1.corp.contoso.com/IssuingCAAPP1_CES_Certificate/services.svc/CES. Es el URI que el Servicio web de
inscripcin de certificados pasar al cliente durante la renovacin.
Conceder permiso de lectura a la cuenta de servicio en la CA
38
1. En APP1, abra la consola de entidad de certificacin como CORP\User1.

2. En el panel de navegacin, haga clic con el botn secundario en IssuingCAAPP1 y, a continuacin, haga clic en Propiedades.
3. En la pestaa Seguridad, haga clic en Agregar.
4. En Escriba los nombres de objeto que desea seleccionar, escriba CES,
haga clic en Comprobar nombres y, a continuacin, en Aceptar.
5. Seleccione CES y, a continuacin, en Permisos de CES, active las casillas que
corresponden a los permisos Permitir Y Leer. Desactive las casillas que
corresponden a Permitir y Solicitar certificados y, a continuacin, haga clic
en Aceptar.
Nota
El grupo Usuarios autentificados tiene el permiso Solicitar certificados
establecido de manera predeterminada e incluye todas las cuentas de equipo del
dominio. Esto significa que CES ya tiene el permiso Solicitar certificados por su
pertenencia a Usuarios autentificados.
Confiar en la cuenta de servicio para la delegacin
1. En DC1, abra Usuarios y equipos de Active Directory como User1.

2. En el panel de navegacin, expanda corp.contoso.com y, a continuacin, haga
clic en Users.
3. En el panel de detalles, haga clic con el botn secundario en CES y, a
4. En la pestaa Delegacin, seleccione Confiar en este usuario para la
delegacin slo a los servicios especificados. Seleccione Usar cualquier
protocolo de autenticacin y, a continuacin, haga clic en Agregar.
5. En Agregar servicios, haga clic en Usuarios o equipos.
6. En Usuarios o equipos, en Escriba los nombres de objeto que desea
seleccionar, escriba APP1, haga clic en Comprobar nombres y, a
7. En la lista de servicios disponibles, seleccione los servicios HOST y rpcss. Haga
clic en Aceptar dos veces.
Sugerencia
Puede mantener presionada la tecla Ctrl para seleccionar varios servicios de esta
39
interfaz.
8. Cierre Usuarios y equipos de Active Directory.
Paso 5: Preparar una plantilla de certificado adecuada
Para que Servicios web de inscripcin de certificados proporcione certificados a los

clientes, debe configurarse y publicarse una plantilla de certificado adecuada.
Para preparar una plantilla de certificado
1. En el panel de navegacin de la consola de entidad de certificacin en APP1,

expanda IssuingCA-APP1.
2. Haga clic con el botn secundario en Plantillas de certificado y, a
continuacin, haga clic en Administrar. Se abrir la consola de plantillas de
certificado.
3. En Nombre para mostrar de la plantilla, haga clic con el botn secundario en
la plantilla Servidor web y, a continuacin, haga clic en Plantilla duplicada.
4. En la pestaa Compatibilidad, en Configuracin de compatibilidad,
establezca Entidad de certificacin en Windows Server 2012. Cuando se abra
el cuadro de dilogo Cambios resultantes, haga clic en Aceptar.
5. Establezca Destinatario del certificado en Windows 8/Windows Server 2012.
Cuando se abra el cuadro de dilogo Cambios resultantes, haga clic en
Aceptar.
Nota
Al establecer la entidad de certificacin y el cliente del certificado en Windows Server
2012/Windows 8, se habilita la renovacin basada en claves, que permite al cliente
renovar su certificado usando el certificado existente.
6. En la pestaa General, en Nombre para mostrar de la plantilla, escriba
Internet Server para cambiar el nombre de la plantilla. Establezca el Perodo
de validez en 1 aos y asegrese de que el Perodo de renovacin est
establecido en 6semanas.
7. En la pestaa Seguridad, en Nombres de grupos o de usuario, seleccione
Usuarios autentificados y, a continuacin, active la casilla que corresponde a
los permisos Permitir e Inscribir. Esto garantiza que la plantilla est visible
para todos los miembros del grupo Authenticated Users, lo que incluye todas
las cuentas (usuario, equipo o dispositivo) que se autentican correctamente en el
dominio.
Nota
40
En un entorno de produccin, es posible que decida proteger esta plantilla an ms

para que solo los miembros de un grupo especfico puedan acceder a ella.
8. En la pestaa Extensiones, en Extensiones incluidas en esta plantilla,
seleccione Directivas de aplicacin y, a continuacin, haga clic en Editar.
9. En Editar extensin de directivas de aplicacin, haga clic en Agregar.
10.En Agregar directivas de aplicacin, en Directivas de aplicacin, haga
doble clic en Autenticacin del cliente. En Editar extensin de directivas
de aplicacin, haga clic en Aceptar.
Nota
En la descripcin de las directivas de aplicacin, deben aparecer Autenticacin
del cliente y Autenticacin del servidor. Autenticacin del cliente permite a un
certificado comprobar la identidad del cliente de Servicios de servidor de certificados.
Autenticacin del servidor permite a un certificado comprobar la identidad de un
servidor web.
11.En la pestaa Nombre del sujeto, seleccione Proporcionado por el
solicitante y, a continuacin, seleccione Usar la informacin del firmante
de certificados existentes para las solicitudes de renovacin de
inscripcin automtica.
12.En la pestaa Requisitos de emisin, en Requiere lo siguiente para la
inscripcin, seleccione Aprobacin del administrador de certificados de
entidad de certificacin. En Requiere lo siguiente para la inscripcin,
seleccione Certificado existente vlido y, a continuacin, Permitir
renovacin basada en claves. Haga clic en Aceptar.
13.Abra Windows PowerShell como administrador. Escriba certutil y presione
ENTRAR. Podr ver la configuracin de la CA que se usa en el siguiente comando.
14.Ejecute el siguiente comando:
Certutil -config "APP1.corp.contoso.com\IssuingCA-APP1" -setreg policy\EditFlags
+EDITF_ENABLERENEWONBEHALFOF
15.Ejecute el siguiente comando para reiniciar el servicio de la CA para garantizar
que se complete el cambio en la configuracin:
Restart-service certsvc
16.Cierre Windows PowerShell.
17.Cierre la consola de plantillas de certificado.
18.En la consola de entidad de certificacin, en el rbol de consola de navegacin,
haga clic en Plantillas de certificado. El panel de detalles muestra las
plantillas de certificado emitidas.
41
19.En el rbol de consola, haga clic con el botn secundario en Plantillas de

certificado, haga clic en Nueva y, a continuacin, haga clic en Plantilla de
certificado que se va a emitir.
20.En el cuadro de dilogo Habilitar plantillas de certificados, en Nombre,
haga clic en Servidor de Internet y, a continuacin, en Aceptar.
Nota
Tambin puede habilitar la plantilla de certificado Servidor de Internet en Windows
PowerShell ejecutando el siguiente comando:
Add-CATemplate InternetServer
Paso 6: Configurar WEB1
En este paso, configurar WEB1 como miembro de un grupo de trabajo que se

encuentra conectado a la subred CorpNet. Configurar WEB1 para confiar en la CA raz
de corp.contoso.com. Los procedimientos para completar este paso son los siguientes:
3. Configurar WEB1 para que confe en la CA raz

2. Siga las instrucciones para completar la instalacin, especificando Windows
Server 2012 (instalacin completa) y una contrasea segura para la cuenta de
administrador local. Inicie sesin con la cuenta de administrador local.

en Propiedades.
42

8. En Windows PowerShell, ejecute sysdm.cpl.
10.En Nombre del equipo, escriba WEB1 como el nuevo nombre del equipo y, a
Sugerencia
Los comandos de Windows PowerShell para cambiar la direccin IP y el nombre del
equipo son los siguientes:
-like "*Ethernet*"}
Rename-computer WEB1
Restart-computer
Para configurar WEB1 para que confe en la CA raz
1. En WEB1, inserte el dispositivo de almacenamiento extrable que contiene los

certificados de APP1 y ORCA1.
Sugerencia
43
Si ya no dispone del dispositivo de almacenamiento extrable, puede copiar los

archivos de orca1_ORCA-CA.crt a un dispositivo de almacenamiento extrable de la
carpeta c:\pki en APP1. El dispositivo de almacenamiento puede ser fsico o virtual,
como se explic en Requisitos de hardware y software anteriormente en este
documento.
2. En WEB1, abra Windows PowerShell como administrador y, a continuacin,
escriba mmc.
3. Haga clic en Archivo y, a continuacin, en Agregar o quitar complemento.
4. En Agregar o quitar complemento, haga clic en Certificados y, a
continuacin, en Agregar.
5. En Complemento Certificados, seleccione Cuenta de equipo. Haga clic en
Siguiente.
6. En Seleccionar equipo, deje seleccionado Equipo local, haga clic en Finalizar
y, a continuacin, en Aceptar.
7. En el panel de navegacin, expanda Certificados (equipo local).
8. Haga clic con el botn secundario en Entidades de certificacin raz de
confianza, haga clic en Todas las tareas y, a continuacin, en Importar.
9. En el Asistente para importar certificados, haga clic en Siguiente.
10.En la pantalla Archivo para importar, en Nombre de archivo, escriba la ruta
de acceso al certificado de ORCA1 que se encuentra en su dispositivo de
almacenamiento extrable. Por ejemplo, si el certificado de ORCA1 se llama
orca1_ORCA1-CA.crt y se encuentra en un disquete, escribira A:\orca1_ORCA1CA.crt. Como alternativa, puede usar el botn Examinar para buscar el
certificado. Seleccione APP1.corp.contoso.com_IssuingCA-APP1.crt y, a
continuacin, haga clic en Siguiente.
11.En la pantalla Almacn de certificados, seleccione Colocar todos los
certificados en el siguiente almacn y establezca Almacn de certificados
en Entidades de certificacin raz de confianza. Haga clic en Siguiente y, a
continuacin, en Finalizar. Cuando el Asistente para importar certificados
muestre que la importacin se realiz correctamente, haga clic en Aceptar.
12.En Console1, haga clic en Archivo y, a continuacin, en Guardar. Asegrese
de que Guardar en est establecido en Escritorio (para guardar la consola en
el escritorio de la cuenta de usuario actual). En Nombre de archivo, escriba
Certificates para cambiar el nombre de la consola de Console1 a Certificates.
Haga clic en Aceptar.
Paso 7: Obtener un certificado y probar la renovacin automtica
44
Usar la autenticacin de nombre de usuario y contrasea a travs de Servicios web de

inscripcin de certificados para solicitar un certificado inicial. Despus simular la
renovacin automtica de ese certificado usando el certificado existente. Los
procedimientos para completar este paso son los siguientes:
1. Solicitar un certificado
2. Aprobar la solicitud de certificado
3. Instalar el certificado
4. Configurar WEB1 para la renovacin automtica de certificados
5. Probar la renovacin de certificados
Para solicitar un certificado
1. Para usar la autenticacin basada en certificados, primero debe obtener un

certificado. En WEB1, inicie sesin como administrador local. Ejecute Windows
PowerShell como administrador. Ejecute el siguiente comando para obtener el
certificado inicial mediante la autenticacin de nombre de usuario y contrasea:
Get-Certificate -template InternetServer -Url
"https://cep1.corp.contoso.com/KeybasedRenewal_ADPolicyProvider_CEP_UsernamePass
word/service.svc/CEP" -SubjectName "CN=WEB1" -DnsName "web1.treyresearch.com"
-Credential (Get-Credential) -CertStoreLocation "cert:\LocalMachine\My"
Escriba las credenciales de Corp\User1 cuando se le indique.
Nota
La solicitud estar pendiente y debe aprobarla en APP1. Si no se completa
correctamente, compruebe la sintaxis del comando y vuelva a intentarlo. Si se agota el
tiempo de espera de la solicitud, vuelva a intentarlo.
Para aprobar la solicitud de certificado
1. En APP1, como User1, abra la consola de entidad de certificacin. En el panel de

navegacin, haga clic en Solicitud pendiente.
2. En el panel de detalles, tome nota del nmero de Id. de solicitud y, a
continuacin, haga clic con el botn secundario en la solicitud pendiente. Haga
clic en Todas las tareas y, a continuacin, en Emitir.
Para instalar el certificado
45
1. En WEB1, ejecute los siguientes comandos de Windows PowerShell para

recuperar el certificado.
Cd Cert:\LocalMachine\Request
Dir | Get-Certificate -Credential (Get-Credential)
Escriba sus credenciales de Corp\User1 cuando se le indique. Si la solicitud no se
completa correctamente la primera vez, compruebe la sintaxis del comando y vuelva a
intentarlo. Si se agota el tiempo de espera de la solicitud, vuelva a intentarlo.
Para configurar WEB1 para la renovacin automtica de certificados
1. En WEB1, abra la consola del Editor de directivas de grupo local. Para ello, abra
Windows PowerShell como administrador y escriba el comando gpedit.msc.
2. En el panel de navegacin del Editor de directivas de grupo local, expanda
Directiva de equipo local, Configuracin del equipo, Configuracin de
Windows, Configuracin de seguridad y, a continuacin, haga clic en
Directivas de clave pblica.
3. En el panel de detalles, haga doble clic en Cliente de Servicios de servidor
de certificados - Inscripcin automtica.
4. En la pestaa Configuracin de directivas de inscripcin, establezca
Modelo de configuracin en Habilitado. Seleccione Renovar certificados
expirados, actualizar certificados pendientes y quitar certificados
revocados, seleccione Actualizar certificados que usan plantillas de
certificado y, a continuacin, haga clic en Aceptar.
5. En el panel de detalles de la consola del Editor de directivas de grupo local, haga
doble clic en Cliente de Servicios de servidor de certificados - Directiva
de inscripcin de certificados.
6. Establezca Modelo de configuracin en Habilitado.
7. En la pestaa Directiva de inscripcin, haga clic en Agregar.
8. En Servidor de directivas de inscripcin de certificados, en el cuadro de
texto Especifique el URI del servidor de directivas de inscripcin, escriba
el siguiente URI:
https://cep1.corp.contoso.com/KeyBasedRenewal_ADPolicyProvider_CEP_Certi
ficate/service.svc/CEP
9. Establezca Tipo de autenticacin en Certificado X.509.
10.Haga clic en Validar servidor. Seguridad de Windows mostrar el certificado
web1.treyresearch.com. Haga clic en Aceptar.
46
Nota
Si recibe un error de tiempo de espera de la operacin, asegrese de que los
servidores CEP1 y CES1 estn en lnea y, a continuacin, vuelva a intentarlo.
11.Una vez validada correctamente la ruta de acceso, haga clic en Agregar.
12.En la pestaa Directiva de inscripcin, en la lista Directiva de inscripcin
de certificados, active la casilla Predeterminado para Certificado SSL de
servidor y, a continuacin, haga clic en Aceptar.
Para probar la renovacin de certificados
1. En WEB1, ejecute el siguiente comando desde Windows PowerShell como
administrador:
Copiar
Cd Cert:\LocalMachine\My
Dir | format-list
Copie la huella digital del certificado de los resultados. (Para ello, seleccione el texto y
haga clic con el botn secundario).
2. Ejecute el siguiente comando para eliminar la cach de directivas:
certutil -f -policyserver * -policycache delete
3. Ejecute el siguiente comando para renovar el certificado. Reemplace
<thumbprint> por los caracteres reales de la huella digital del certificado que
copi. (Para pegar, haga clic con el botn secundario).
certreq -machine -q -enroll -cert <thumbprint> renew
Nota
Si se agota el tiempo de espera de la operacin, vuelva a intentarlo. Si se producen
otros errores, asegrese de que los servidores CEP1 y CES1 estn en lnea; para ello,
ejecute el comando iisreset desde Windows PowerShell en los servidores CES1 y CEP1,
y, a continuacin, vuelva a intentarlo.
4. En WEB1, ejecute el siguiente comando desde Windows PowerShell como
administrador:
Copiar
Cd Cert:\LocalMachine\My
Dir | format-list
Observe que la huella digital del certificado ha cambiado. Esto demuestra que el
certificado se renov correctamente.
47
48

LAB Server 2012 Entidad Certificadora CA ESPAÑOL

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

LAB Server 2012 Entidad Certificadora CA ESPAÑOL

Caricato da

Copyright:

Formati disponibili

WS2012 Gua del laboratorio de pruebas: Implementar

una jerarqua de PKI de dos niveles para AD CS

Requisitos de hardware y software

Instalar el sistema operativo

Cambiar el nombre del equipo

Preparar el archivo CAPolicy.inf para la entidad de certificacin raz independiente

Instalar la entidad de certificacin raz independiente

Establecer la configuracin de la entidad de certificacin raz

Copiar el certificado de la entidad de configuracin raz y la CRL a un medio extrable

Distribuir la entidad de certificacin raz a travs de GPO

Crear una zona DNS contoso.com interna y el registro de host www

1. No conecte este equipo a una red.

2. Escriba rename-computer orca1 y presione ENTRAR.

Nombre de archivo est establecido en CAPolicy.inf

Tipo est establecido en Todos los archivos

Codificacin sea ANSI

5. Cuando se le pregunte si desea sobrescribir el archivo, haga clic en S.

4. En la pantalla Seleccionar servidor de destino, asegrese de que la opcin orca1 est

configuracin del servicio de rol mediante un vnculo para completar la configuracin en

22. Se muestra la pantalla Progreso durante el proceso de configuracin y, a continuacin,

Para establecer la configuracin de la entidad de certificacin raz

$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist)

copy C:\Windows\system32\certsrv\certenroll\*.cr* A:\

7. En la pantalla Nombre de zona, escriba contoso.com y, a continuacin, haga clic en

write-output "Example CPS statement" | out-file c:\pki\cps.txt

2. Abra la consola de IIS. En Administrador del servidor, haga clic en Herramientas y, a

En el panel Conexiones, asegrese de que la opcin pki est activada.

En Pgina principal de pki, haga clic en Autenticacin.

En el panel Acciones, haga clic en Editar permisos.

En la pestaa Seguridad, haga clic en Editar.

En el cuadro de dilogo Permisos de pki, haga clic en Agregar.

En Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, escriba

En Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, haga clic en

En Tipos de objeto, seleccione Cuentas de servicio y, a continuacin, haga clic en

En Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, haga clic en

En Ubicaciones, haga clic en APP1 y, a continuacin, en Aceptar.

Leer y ejecutar, Mostrar el contenido de la carpeta y Leer. IIS usa el grupo de

En Permisos de pki, seleccione Publicadores de certificados (CORP\Publicadores

2. Cuando se le pregunte si desea crear el archivo, Haga clic en S.

5. En la pantalla Seleccionar servidor de destino, asegrese de que la opcin APP1 est

18. En la pantalla Criptografa para la CA, asegrese de que el proveedor de servicios

28. En ORCA1, en Administrador del servidor, haga clic en Herramientas y, a continuacin,

3. En Windows PowerShell, ejecute los siguientes comandos para reiniciar el servicio de

Al compartir la carpeta de pki y al incluir la ruta de acceso de archivo

1. En APP1, en el panel de la consola Entidad de certificacin, asegrese de que el nodo

Para demostrar cmo se pueden usar los certificados implementados a travs de AD DS y

Espere a que finalice la actualizacin de la directiva de grupo y

IssuingCA-APP1. Cuando tenga el certificado correcto, haga clic en Aceptar, en el

Gua del laboratorio de pruebas:

Se aplica a: Windows Server 2012

El objetivo de esta gua del laboratorio de pruebas es proporcionarle experiencia

6. Paso 6: Configurar WEB1

A continuacin se enumeran los componentes requeridos para una configuracin

Ejecute los comandos de Windows PowerShell como administrador. Cuando no inicia

1. Inicie la instalacin de Windows Server 2012.

1. Desde Windows PowerShell, ejecute ncpa.cpl.

1. Desde Windows PowerShell, ejecute sysdm.cpl.

9. Una vez reiniciado el equipo, haga clic en Cambiar de usuario y, a

4. En la pantalla Seleccionar servidor de destino, asegrese de que est

19.Una vez completada la configuracin, en la pantalla Resultados, haga clic en

Para instalar el Servicio web de directiva de inscripcin de certificados para usar la

1. Inicie la instalacin de Windows Server 2012.

1. Desde Windows PowerShell, ejecute ncpa.cpl.

4. Seleccione Usar la siguiente direccin IP. En Direccin IP, escriba 10.0.0.5.

copy C:\Windows\system32\certsrv\certenroll\.cr A:\