El Servicio web de inscripción de certificados puede procesar solicitudes de inscripción para certificados nuevos y para la renovación de certificados. En ambos casos, el equipo cliente envía la solicitud al servicio web que, a su vez, la envía a la entidad de certificación (CA) en nombre del equipo cliente. Por este motivo, la cuenta de servicio web debe ser de confianza para delegación con el fin de presentar la identidad del cliente a la CA.

El Servicio web de inscripción de certificados que acepta las solicitudes de Internet presenta un mayor riesgo de seguridad, por lo que puede que algunas organizaciones decidan no confiar en la cuenta de servicio web para delegación. El Servicio web de inscripción de certificados se puede configurar para el modo de solo renovación y mitigar el riesgo de aceptar solicitudes de Internet.

En el modo de solo renovación, el servicio web aceptará únicamente solicitudes de renovación de certificados y rechazará las solicitudes para nuevos certificados. Para admitir el modo de solo renovación, la CA debe configurarse para autenticar el equipo cliente mediante la firma de la solicitud de renovación y el certificado existente del equipo cliente. En esta configuración, no hay necesidad de confiar en la cuenta de servicio web para delegación.

El modo de solo renovación tiene los siguientes requisitos:

  • Una CA empresarial que ejecute Windows Server 2008 R2.

  • Equipos cliente que ejecuten Windows 7 o Windows Server 2008 R2.

  • Los equipos cliente que soliciten la renovación de certificados deben tener un certificado que no haya expirado y pueda ser comprobado por la CA emisora.

Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Administradores de organización.

Para configurar el Servicio web de inscripción de certificados para el modo de solo renovación
  1. Abra el Administrador del servidor.

  2. En el árbol de consola, haga clic en Roles.

  3. Si Servicios de certificados de Active Directory se muestra en la página Resumen de roles, haga clic en Agregar servicios de roles y vaya al paso siguiente. Si no se muestra, realice los pasos siguientes antes de continuar:

    1. En la página Resumen de roles, haga clic en Agregar roles.

    2. En la página Antes de comenzar, haga clic en Siguiente.

    3. En la página Seleccionar roles de servidor, haga clic en Servicios de certificados de Active Directory y, a continuación, haga clic en Siguiente.

    4. Revise la información de la página Introducción a Servicios de certificados de Active Directory y, a continuación, haga clic en Siguiente.

  4. En la página Seleccionar servicios de rol, active la casilla Servicio web de inscripción de certificados.

    Nota

    El servicio de rol Entidad de certificación se selecciona automáticamente cuando se agrega el rol AD CS, pero no se puede instalar al mismo tiempo que el Servicio web de inscripción de certificados. Si pretende instalar tanto la CA como el Servicio web de inscripción de certificados, realice la instalación de la CA en primer lugar. Vea Configuración de Servicios de servidor de certificados de Active Directory.

  5. Haga clic en Agregar servicios de rol requeridos cuando se le solicite instalar las características y servicios de rol requeridos y, a continuación, haga clic en Siguiente.

  6. Para especificar una CA, haga clic en Nombre de CA o Nombre de equipo y, a continuación, haga clic en Examinar. Seleccione una CA o escriba un nombre de equipo y, a continuación, haga clic en Aceptar.

  7. Active la casilla Configure el Servicio web de inscripción de certificados para el modo de sólo renovación.

  8. En la página Seleccionar tipo de recuperación, haga clic en Nombre de usuario y contraseña o en Autenticación de certificado de cliente.

  9. En la página Especificar credenciales de cuentas, haga clic en Especificar cuenta de servicio o Usar la identidad del grupo de aplicaciones integrada. Para especificar una cuenta de servicio, haga clic en Seleccionar, escriba un nombre de usuario y una contraseña para la cuenta de dominio y haga clic en Aceptar. Haga clic en Siguiente.

  10. Seleccione un certificado de servidor existente, haga clic en Importar para importar un archivo de certificado o haga clic en Elegir y asignar un certificado de servidor más tarde y, a continuación, en Siguiente. Para obtener más información, vea el tema acerca de la Configuración de certificados de servidor para servicios web de inscripción de certificados.

  11. En la página Introducción a Servidor web (IIS), haga clic en Siguiente.

  12. En la página Seleccionar servicios de rol, revise los servicios de rol seleccionados y, a continuación, haga clic en Siguiente.

  13. Revise la información de la página Confirmar selecciones de instalación y haga clic en Instalar.

  14. Revise la página Resultados de la instalación para ver si hay mensajes. Es posible que se requieran tareas adicionales para configurar el Servicio web de inscripción de certificados antes de que los usuarios puedan enviar solicitudes.

Use estos comandos para configurar y reiniciar los Servicios de certificados de Active Directory. En esta configuración, la CA solo puede procesar solicitudes para nuevos certificados.

Para configurar la CA para que admita el modo de solo renovación
  1. En la CA, en un símbolo del sistema, escriba certutil –setreg policy\editflags +enablerenewonbehalfof y presione ENTRAR.

  2. Abra el complemento Entidad de certificación.

  3. En el árbol de consola, haga clic con el botón secundario en la CA y, a continuación, haga clic en Propiedades.

  4. Haga clic en la ficha Seguridad.

  5. Si la cuenta de servicio web se muestra en Nombres de grupos o usuarios, compruebe que se haya seleccionado el permiso de lectura. Si la cuenta de servicio web no se muestra, realice los pasos siguientes:

    1. Haga clic en Agregar.

    2. Escriba el nombre de cuenta y haga clic en Comprobar nombres. Si el nombre no se encuentra, haga clic en Tipos de objeto y asegúrese de que se haya seleccionado el tipo de cuenta correcto. Haga clic en Aceptar después de que se haya encontrado el nombre de cuenta correcto.

    3. Active la casilla Leer y, a continuación, haga clic en Aceptar.

  6. Escriba sc stop certsvc y presione ENTRAR.

  7. Escriba sc start certsvc y presione ENTRAR.

Referencias adicionales


Tabla de contenido