Hola a todos!!

En el post de hoy, voy a crear una nueva plantilla de certificados. Las buenas practicas, recomiendan duplicar la plantilla, así no corremos el riesgo de perder la plantilla.

En la consola de la Autoridad Certificadora (CA), podemos crear nuevas plantillas o editar las que vienen por defecto, para eso entramos a gestionar plantillas.25-05-2016 (1)

Aquí tenemos las plantillas que no se están utilizando ahora mismo.25-05-2016 (2)Actualmente tenemos 4 Versiones de plantillas de certificados:

  • Versión 1: No se puede modificar. Compatible con equipos Windows 2000
  • Versión 2: Sí se puede modificar. Windows Server 2003 para la CA, o Windows XP y Windows Server 2003 para los receptores de certificados.
  • Versión 3: Se puede modificar. La CA debe ser Windows Server 2008 R2. Windows Vista y Windows Server 2008 para los receptores de certificados.
  • Versión 4: La obtenemos al duplicar plantillas, para cambiar su configuración o conservar la original. El sistema operativo de la CA debe ser Windows Server 2012 y el sistema operativo de los receptores debe ser Windows 8 o Windows server 2012. Si subimos a Windows Server 2012 R2 en la CA y Windows 8.1 o Windows Server 2012 R2 en los receptores, la versión de la plantilla sigue siendo la 4, pero se añaden funciones de Key Attestation.

Como dije anteriormente, la buena práctica para la gestión de plantillas es duplicar la plantilla que necesitemos usar. Para eso nos colocamos encima de la plantilla y con el botón derecho del ratón, le decimos duplicar plantilla.25-05-2016 (3)

Seleccionamos Basic EFS y la duplicamos, nos abre la configuración de la nueva plantilla, y ya que todas las máquinas que tengo en mi dominio son Windows Server 2012 R2 o Windows 8.1,  voy a subir al máximo nivel de compatibilidad para aprovechar todas las características, que ofrece Windows Server 2012 R2.
25-05-2016 (7)

En la pestaña de General, podemos renombrar la plantilla, yo le voy a dar un nuevo nombre a la plantilla, para ser un poco descriptivo, le pongo Plantilla EFS versión 4.

Le podemos configurar el periodo de validez de la plantilla y el tiempo de renovación antes de que caduque la plantilla. Por defecto es de 1 año emitida y 6 semanas antes de que caduque, ir pidiendo la renovación.
También nos da la opción de publicarlo en el Directorio Activo, y añade la clave pública al AD.
25-05-2016 (8)

En la gestión de peticiones, le podemos dar cual es el uso que se le da a este certificado, al ser una plantilla de EFS, lo logico es Encriptar.

Desde aquí podemos permitir al usuario exportar su clave privada.

25-05-2016 (9)

Podemos elegir el nivel de encriptación.

25-05-2016 (10)

Key Attestation, solo está disponible para Windows Server 2012 R2.

25-05-2016 (11)

La pestaña seguridad, es donde podemos elegir a un grupo o un usuario, para que pueda solicitar este certificado “Enroll”, por defecto los usuarios autentificados sólo pueden leer, y no pueden pedir el certificado. El administrador puede leer y modificar.  Los administradores de dominio pueden leer, modificar y pedir un certificado “enroll”. Los usuarios de dominio pueden hacer “enroll”

25-05-2016 (12)

Aquí le podemos añadir más funciones a la plantilla.

25-05-2016 (13)

En esta pestaña podemos sustituir la plantilla duplicada por otra, si ya tenemos una plantilla publicada antes y queremos que está que estoy editando la sustituya, la seleccionamos desde aquí.
25-05-2016 (14)

Requisitos a la hora de emitir, si quiero que el administrador de la CA apruebe la solicitud del certificado solicitado. Y el número de firmas autorizadas que queremos emitir.

25-05-2016 (15)

Si queremos que la información de la plantilla se almacene en la base de datos de la autoridad certificadora.
25-05-2016 (16)

Desde Subject Name, le doy la opción de que coja directamente el nombre del usuario o de equipo, del directorio activo.
25-05-2016 (17)

Y aquí ya tenemos la plantilla creada, sólo me falta publicarla, para que usuario pueda solicitarla.

25-05-2016 (18)

También desde aquí, si hemos hecho cambios en una plantilla ya emitida y que muchos usuarios ya la tienen descarga, podemos obligar a los usuarios que vuelvan a pedir esta plantilla y se actualicen a la nueva plantilla del certificado.
25-05-2016 (19)

Una vez duplicada la plantilla, cerramos la ventana de gestión de plantillas, en la consola de la autoridad certificadora, en plantillas de certificado, le damos a nueva plantilla para emitir.25-05-2016 (20)

Desde aquí seleccionamos la plantilla que acabamos de modificar. Pulsamos OK, y ya estaría disponible la plantilla para emitir certificados.

25-05-2016 (21)

Esto es todo, espero que te haya gustado,
un saludo!!

 

Autor: Santiago Calvo Gómez
Curso: Microsoft MCSE Private Cloud
Centro: Tajamar
Año académico: 2015-2016
@santicalvogomez