La Autoridad de registro de mantenimiento (HRA) debe configurarse con al menos una entidad de certificación (CA) desde la cual solicitar certificados de mantenimiento en nombre de equipos cliente. Los certificados se solicitan cuando hay clientes nuevos que se conectan a la red o cuando el período de validez del certificado de mantenimiento está a punto de expirar en un equipo cliente compatible. Asimismo, los certificados se pueden eliminar y volver a emitir para equipos cliente si su estado de mantenimiento cambia mientras están conectados a la red. HRA solo solicitará certificados de mantenimiento desde la CA configurada en primer lugar, a menos que el servidor no esté disponible o no responda.

Configuración de CA

Use este procedimiento para configurar CA en HRA. Las CA se pueden agregar, eliminar o cambiar de orden. También puede especificar el número de minutos que hay que esperar entre solicitudes antes de identificar una CA como no disponible. Si usa una CA de empresa, puede seleccionar las plantillas de certificado autenticadas y anónimas que se van a usar. Si usa una CA independiente con control de acceso a la red, puede habilitar información de estado de cliente ampliada habilitando OID de directivas.

Para completar este procedimiento debe pertenecer como mínimo al grupo Domain Admins o a un grupo equivalente. Revise los detalles acerca del uso de las cuentas y pertenencias a grupos correspondientes en https://go.microsoft.com/fwlink/?LinkId=83477 (puede estar en inglés).

Agregar una CA nueva

Para obtener un rendimiento óptimo, deberá usar una CA subordinada independiente y dedicada para emitir certificados de mantenimiento. Cuando configure más de una CA en el complemento HRA, se proporcionará tolerancia a errores. Se puede lograr un equilibrio de carga mediante la configuración de una HRA adicional con un orden de procesamiento de CA diferente. Puede usar el procedimiento siguiente para configurar CA para su uso con HRA.

Para agregar una entidad de certificación nueva mediante la interfaz de Windows

  1. Abra la consola HRA.

  2. En el árbol de consola, haga clic con el botón secundario en Entidad de certificación y, a continuación, haga clic en Agregar entidad de certificación. Se abrirá el cuadro de diálogo Agregar entidad de certificación.

  3. Haga clic en Examinar. Se abrirá el cuadro de diálogo Seleccionar entidad de certificación.

  4. En CA, haga clic en el nombre de la CA que se va a usar para emitir certificados de mantenimiento NAP y, a continuación, haga clic en Aceptar dos veces.

  5. En el árbol de la consola HRA, haga clic en Entidad de certificación y compruebe el nombre y el orden de las CA configuradas.

    Nota

    No puede desplazarse a una CA desde un entorno de grupo de trabajo.

Configuración del tiempo de espera de la CA

HRA solo intentará obtener certificados de mantenimiento de la CA configurada en primer lugar en el orden de procesamiento, a menos que esta CA se haya marcado como no disponible. Puede usar el procedimiento siguiente para cambiar el número de minutos que se esperará antes de identificar una CA como no disponible.

Para configurar el tiempo de espera de la entidad de certificación mediante la interfaz de Windows

  1. Abra la consola HRA.

  2. En el árbol de consola, haga clic con el botón secundario en Entidad de certificación y, a continuación, haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de entidades de certificación.

  3. Escriba el número de minutos que se esperará entre solicitudes antes de identificar una CA como no disponible y, a continuación, haga clic en Aceptar.

Configuración del período de validez del certificado de mantenimiento

El período de validez predeterminado de los certificados de mantenimiento es de 4 horas. Los clientes intentarán renovar un certificado de mantenimiento 15 minutos antes de que expire o cuando tenga lugar un cambio en el estado de mantenimiento del cliente. Puede usar el procedimiento siguiente para configurar un período de validez personalizado para los certificados de mantenimiento.

Para configurar el tiempo de validez de los certificados de mantenimiento aprobado por HRA mediante la interfaz de Windows

  1. Abra la consola HRA.

  2. En el árbol de consola, haga clic con el botón secundario en Entidad de certificación y, a continuación, haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de entidades de certificación.

  3. Seleccione la unidad de tiempo en la lista desplegable. Puede seleccionar Minutos, Horas, Días o Semanas.

  4. Tras elegir una unidad de tiempo, escriba el número de unidades deseado y, a continuación, haga clic en Aceptar.

  5. Si usa una CA de empresa, debe seguir los pasos siguientes para reemplazar el período de validez configurado en las plantillas de certificado.

    1. Haga clic en Inicio, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

    2. En la ventana del símbolo del sistema, escriba Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE y, a continuación, presione Entrar.

    3. En la ventana del símbolo del sistema, escriba net stop certsvc && net start certsvc y, a continuación, presione Entrar.

    4. Compruebe que los Servicios de certificados de Active Directory® (AD CS) se detienen y se inician correctamente.
Importante

El período máximo de validez del certificado de mantenimiento viene determinado por el período de validez de la CA, que se establece de forma predeterminada en 52 semanas. Tenga cuidado cuando configure un período de validez de menos de una hora, ya que es posible que se produzcan problemas de rendimiento en el servidor de CA. No use un período de validez de 15 minutos o menos.

Selección del tipo de CA

Use el procedimiento siguiente para configurar el tipo de entidad de certificación NAP. Es importante elegir un tipo de CA que se corresponda con la CA configurada en el procedimiento anterior. Si usa una CA empresarial, debe configurar plantillas antes de llevar a cabo este procedimiento.

Para elegir el tipo de entidad de certificación mediante la interfaz de Windows

  1. Abra la consola HRA.

  2. En el árbol de consola, haga clic con el botón secundario en Entidad de certificación y, a continuación, haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de entidades de certificación.

  3. Si usa una CA independiente, elija Usar entidad de certificación independiente.

  4. No active la casilla Habilitar OID de directiva a menos que use información de estado de cliente ampliada para el control de acceso a la red.

  5. Si usa una CA de empresa integrada en Active Directory o usa CA tanto de empresa como independientes, elija Usar entidad de certificación empresarial y, a continuación, use la lista desplegable para seleccionar una Plantilla de certificado compatible autenticado y una Plantilla de certificado compatible anónimo de la lista de plantillas disponibles. Si durante la instalación de HRA eligió no permitir solicitudes anónimas de certificados de mantenimiento, la configuración de una plantilla anónima en este procedimiento no habilita las solicitudes de certificado anónimas.

Configuración del orden o eliminación de CA

Use el procedimiento siguiente para modificar la prioridad de las CA usadas por HRA o para quitar CA de la configuración de HRA. HRA solo solicitará certificados de la primera CA configurada en la lista, a menos que esa CA se haya marcado como no disponible.

Para configurar el orden o eliminar entidades de certificación mediante la interfaz de Windows

  1. Abra la consola HRA.

  2. En el árbol de consola, haga clic en Entidades de certificación.

  3. Haga clic con el botón secundario en el nombre de una CA de la lista de servidores. Haga clic en Subir para aumentar la preferencia por este servidor en el orden. También puede hacer clic en Bajar para disminuir la preferencia por este servidor en el orden.

  4. Para eliminar la CA de la lista, haga clic con el botón secundario en el nombre de la CA y, a continuación, haga clic en Eliminar.

Referencias adicionales

Tabla de contenido