Todos los certificados de entidad de certificación (CA) del dominio de Active Directory del bosque actual se almacenan en el contenedor NTAuthCertificates. Los certificados de CA de empresa se agregan automáticamente al instalar una nueva CA.
Si un certificado de CA no se agrega automáticamente al crear la nueva CA, como una CA independiente creada por un usuario que no es miembro del grupo Administradores de organización, el certificado de CA puede agregarse manualmente al contenedor NTAuthCertificates. Este proceso se puede usar también para agregar el certificado de CA de una CA que no es de Microsoft y que se ha usado para emitir certificados de inicio de sesión de tarjeta inteligente o de controlador de dominio. Al publicar estos certificados de CA en el almacén NTAuth de empresa, el administrador indica que la CA es de confianza para emitir certificados de estos tipos.
El requisito mínimo para completar este procedimiento es la pertenencia al grupo Administradores de organización o un grupo equivalente.
 | Para agregar un certificado al contenedor NTAuthCertificates con la interfaz de Windows |
Exporte el certificado de la CA a un archivo .cer compatible con el formato binario cifrado con reglas de codificación distinguible (DER) o el formato X.509 cifrado de base64.
Abra el complemento Enterprise PKI, haga clic con el botón secundario en Enterprise PKI en el árbol de consola y haga clic en Administrar contenedores de AD.
Haga clic en el contenedor NTAuthCertificates.
Haga clic en Agregar y desplácese al archivo .cer del certificado que desea agregar. Haga clic en Aceptar.
También puede agregar un certificado al contenedor NTAuthCertificates con la herramienta de línea de comandos Certutil.
| Para agregar un certificado al contenedor NTAuthCertificates con una línea de comandos |
Exporte el certificado de la CA a un archivo .cer compatible con el formato binario cifrado con DER o el formato X.509 cifrado de base64.
Abra una ventana del símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
certutil -dspublish -f filename NTAuthCA