Muy buenas a todos, hoy expondremos en este post sobre despliegue y gestión de certificados en Windows Server 2016, el tema de los métodos de Enrollment y en especial, los Enrollment Agent restringido.

En este caso, Enrollment significa obtener un certificado a partir de una CA (Certification Authority). Tenemos 2 métodos principales de Enrollment:

  • Enrollment manual: El usuario o el equipo solicita un certificado basándose en una plantilla mediante la consola MMC o la utilidad certreq
  • Autoenrollment: Es útil en escenarios en los que tenemos que emitir certificados para muchos usuarios o muchos equipos. Para esto tenemos que cumplir varios requisitos:
    • El principal (equipo, usuario …) para el que se va a emitir el certificado debe tener el permiso de autoenrollment en la plantilla. Para esto la plantilla debe ser mínimo versión 2 y la CA debe ser Enterprise.
    • El principal para el que se va a emitir el certificado debe tener los permisos read y enroll en la plantilla.
    • Mediante una GPO definimos la política de autoenrollment para el principal.

En algunos escenarios puede ser necesario que un usuario pueda pedir certificados de parte de otros usuarios o equipos. Este usuario se denomina Enrollment Agent.

El escenario típico es aquel en el que se utilizan Smart Cards para la autenticación de usuarios. Necesitamos generar Smart Cards para los usuarios de un determinado grupo y estas Smart Cards incluyen un certificado a nombre de cada usuario. Como los usuarios aún no han podido iniciar sesión para pedir un certificado, necesitamos que otro usuario los pueda pedir de su parte.

El Enrollment Agent es un usuario crítico porque puede asumir la identidad de cualquier otro usuario. Desde Windows Server 2012 podemos restringir el ámbito de usuarios y equipos de parte de los que el Enrollment Agent puede pedir certificados. Un Enrollment Agent restringido.

Configuración:

Para asignar a un usuario este rol tenemos que darle un certificado que se lo de. Esto lo encontramos abriendo la consola de certificados de nuestra CA, y desde la carpeta de Certificates Templates, debemos duplicar (ya que es necesario elevar la versión de esquema de 1 a 4) la plantilla Enrollment Agent, y en la pestaña de seguridad de esta, añadir con permisos de read y enroll al usuario que queramos designar como Enrollment Agent. Después nos quedaría preparar esa plantilla para emitirla.

Luego desde las propiedades de nuestra CA, desde la pestaña Enrollment Agent, debemos indicar al usuario que es nuestro Enrollment Agent en primer lugar; a continuación, las plantillas que puede pedir y por último al grupo de usuarios o usuarios por los que los puede pedir.

Enrollment Agent

Para acabar es necesario que desde otra máquina con dicho usuario, en la consola MMC, pidamos ese certificado emitido.

Una vez que ya tengamos entregado ese certificado, es una buena práctica eliminar la plantilla de Enrollment Agent que hemos creado, de todas las CAs, para evitar que otro usuario pueda pedirlo.

A continuación, dejo un videotutorial donde paso a paso, se explica este proceso detalladamente.

https://web.microsoftstream.com/video/57a1b380-8feb-4fc1-bf56-0c5390be5693

 

Autor/a: Borja Jiménez García

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2017-2018