Una vez instalada la entidad de certificación (CA) raíz, muchas organizaciones instalan una o más CA subordinadas para implementar restricciones de directiva en la infraestructura de clave pública (PKI) y emitir certificados para los clientes finales. El uso de una CA subordinada como mínimo puede facilitar la protección de la CA raíz frente a una exposición innecesaria.

Si la CA subordinada se va a usar para emitir certificados para los usuarios o equipos con cuentas en un dominio de Active Directory, la instalación de la CA subordinada como una CA de empresa le permite usar los datos de las cuentas existentes del cliente en los Servicios de dominio de Active Directory (AD DS) para emitir y administrar certificados y para publicar los certificados en AD DS.

El mínimo requerido para completar este procedimiento es la pertenencia al grupo Administradores local o un grupo equivalente. Si se trata de una CA de empresa, el requisito mínimo para completar este procedimiento es la pertenencia al grupo Admins. del dominio o un grupo equivalente. Para obtener más información, vea Implementación de la administración basada en funciones.

Para instalar una CA subordinada

  1. Abra Administrador del servidor, haga clic en Agregar roles, en Siguiente y en Servicios de certificados de Active Directory. Haga clic en Siguiente dos veces.

  2. En la página Seleccionar servicios de rol, haga clic en Entidad de certificación y, a continuación, en Siguiente.

  3. En la página Especificar tipo de instalación, haga clic en Independiente o Empresa y, a continuación, haga clic en Siguiente.

    Para obtener más información, vea Tipos de entidades de certificación.

    Nota

    Debe tener una conexión de red con un controlador de dominio para instalar una CA de empresa.

  4. En la página Especificar tipo de CA, haga clic en CA subordinada y, a continuación, en Siguiente.

  5. En la página Configurar clave privada, haga clic en Crear una nueva clave privada y, a continuación, haga clic en Siguiente.

  6. En la página Configurar criptografía, seleccione un proveedor de servicios de cifrado, la longitud de la clave y el algoritmo hash. Haga clic en Siguiente.

    Para obtener más información, vea Opciones de cifrado para CA.

  7. En la página Solicitar certificado, busque la CA raíz o, si la CA raíz no está conectada a la red, guarde la solicitud de certificado en un archivo para poder procesarla más tarde. Haga clic en Siguiente.

    Nota

    La CA subordinada no se puede usar hasta que se haya emitido para ella un certificado de CA raíz y este certificado se haya usado para completar la instalación de la CA subordinada.

  8. En la página Configurar nombre de CA, cree un nombre único para identificar la CA. Haga clic en Siguiente.

    Para obtener más información, vea Nomenclatura de entidades de certificación.

  9. En la página Establecer el período de validez, especifique el número de años o meses durante los cuales será válido el certificado de la CA. Haga clic en Siguiente.

  10. En la página Configurar base de datos de certificados, acepte las ubicaciones predeterminadas a menos que desee especificar una ubicación personalizada para la base de datos de certificados y el registro de la base de datos de certificados. Haga clic en Siguiente.

    Para obtener más información, vea Base de datos de certificados.

  11. En la página Confirmar opciones de instalación, revise todas las opciones de configuración seleccionadas. Si desea aceptar todas estas opciones, haga clic en Instalar y espere hasta que haya finalizado el proceso de instalación.

Referencias adicionales

Tabla de contenido