La estación de inscripción para tarjetas inteligentes permite a un empleado o a un agente designado emitir tarjetas inteligentes desde una estación de trabajo centralizada o desde una de las estaciones de trabajo designadas. La designación de estaciones y agentes de inscripción simplifica la preparación física de la tarjeta que se va a emitir, reduce la probabilidad de interrupción del servicio de certificados y evita que los usuarios y administradores validen su propia identificación y emitan sus propios certificados, sobre todo en el caso de las organizaciones o los entornos con distintos niveles de seguridad y acceso.
Preparación de la estación de inscripción para tarjetas inteligentes
Para poder solicitar certificados de inicio de sesión de tarjeta inteligente para los usuarios:
-
Los certificados de agente de inscripción e inicio de sesión de tarjeta inteligente o los certificados de usuario de tarjeta inteligente se deben configurar y habilitar para la entidad de certificación (CA).
-
Si se desea, se pueden configurar restricciones del agente de inscripción.
-
El agente de inscripción se debe inscribir en nombre de otros usuarios en el certificado de agente de inscripción.
-
En el equipo que se va a usar para instalar las tarjetas inteligentes, siga las instrucciones del fabricante para instalar el lector de tarjetas inteligentes.
En los siguientes procedimientos se explica cómo inscribirse en los certificados de tarjeta inteligente en nombre de otros usuarios y cómo preparar la estación de inscripción una vez que el certificado de agente de inscripción está disponible. Estos procedimientos se pueden realizar en cualquier equipo que ejecute Windows 7 o Windows Vista o en un servidor miembro de Windows Server 2008 R2 o de Windows Server 2008 que desee usar como estación de inscripción de certificados de tarjeta inteligente.
La pertenencia al grupo Usuarios y el certificado de agente de inscripción son los requisitos mínimos para completar este procedimiento.
Para realizar la inscripción de un certificado en nombre de otros usuarios |
Abra el complemento Certificados para un usuario.
Para confirmar que está en la vista Almacenes lógicos de certificados, haga clic con el botón secundario en Certificados: usuario actual, seleccione Ver, haga clic en Opciones, compruebe que se ha seleccionado Almacenes lógicos de certificados y, a continuación, haga clic en Aceptar.
En el árbol de consola, expanda el almacén Personal y, a continuación, haga clic en Certificados.
En el menú Acción, seleccione Todas las tareas, haga clic en Operaciones avanzadas y, a continuación, haga clic en Inscribirse a nombre de para iniciar el asistente para inscripción de certificados. Haga clic en Siguiente.
Busque el certificado de agente de inscripción que va a usar para firmar la solicitud de certificado que está procesando. Haga clic en Siguiente.
Seleccione el tipo de certificado para el que desee inscribirse. Cuando esté preparado para solicitar un certificado, haga clic en Inscribir.
Una vez completado el asistente para inscripción de certificados, haga clic en Cerrar.
Para realizar el siguiente procedimiento, debe iniciar sesión como un usuario del dominio con los privilegios correspondientes para agregar complementos.
Para preparar la estación de inscripción para tarjetas inteligentes |
Haga clic en Inicio, en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
En el menú Archivo, haga clic en Agregar o quitar complemento y, a continuación, en Agregar.
En Complemento, haga doble clic en Certificados.
Haga clic en Mi cuenta de usuario y, a continuación, haga clic en Finalizar.
Haga clic en Cerrar y, después, en Aceptar.
Haga doble clic en Certificados: usuario actual.
En el árbol de consola, haga clic en Personal.
En el menú Acción, seleccione Todas las tareas y, a continuación, haga clic en Solicitar un nuevo certificado.
En el asistente para inscripción de certificados, haga clic en la plantilla de certificado Agente de inscripción y proporcione la información solicitada.
Cuando se lo pida el asistente para inscripción de certificados, haga clic en Instalar certificado.
Consideraciones adicionales
-
Puede instalar el certificado de agente de inscripción en una tarjeta inteligente. Para ello, debe usar el proveedor de servicios de cifrado (CSP) del fabricante de la tarjeta inteligente al solicitar el certificado. (Para seleccionar un CSP de tarjeta inteligente para el certificado de agente de inscripción, en el Asistente para solicitud de certificados, haga clic en Opciones avanzadas).
-
Una vez que el usuario tiene el certificado de agente de inscripción, éste puede realizar una inscripción de un certificado y generar una tarjeta inteligente en nombre de cualquier usuario de la organización. La tarjeta inteligente resultante se puede usar para iniciar una sesión en la red y suplantar al usuario real. Por lo tanto, se recomienda que la organización mantenga directivas de alto nivel de seguridad para restringir el uso de certificados de agente de inscripción.
Referencias adicionales
-
Para configurar una plantilla de certificado de agente de inscripción para su emisión desde una entidad de certificación, vea Administración de plantillas de certificado (
https://go.microsoft.com/fwlink/?LinkId=142230 (puede estar en inglés) ).
-
Para configurar un agente de inscripción restringido, vea el tema sobre cómo Establecimiento de agentes de inscripción restringidos.