En este tema se presupone una comprensión del encadenamiento de confianza de certificados, de la firma de certificados, y de la infraestructura de clave pública y los principios de configuración de certificados. Para obtener información acerca de la configuración de PKI en Windows Server 2008, vea la información acerca de ITPROADD-204: Mejora de PKI en Windows Vista y Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=93995 (puede estar en inglés)). Para obtener información acerca de la configuración de PKI en Windows Server 2003, vea la página sobre la infraestructura de clave pública (https://go.microsoft.com/fwlink/?LinkID=54917 (puede estar en inglés)).

De manera predeterminada, se usa la Seguridad de la capa de transporte (TLS) 1.0 para cifrar las comunicaciones entre los clientes Servicios de Escritorio remoto y los servidores de Puerta de enlace de Escritorio remoto en Internet. TLS es un protocolo estándar que se usa para ofrecer comunicaciones web en Internet o en las intranets. TLS es la versión más segura y más reciente del protocolo de Seguridad de la capa de transporte (SSL). Para obtener más información acerca de TLS, vea los artículos sobre:

Para que TLS funcione correctamente, debe instalar un certificado X.509 compatible con SSL en el servidor de Puerta de enlace de Escritorio remoto.

Introducción al proceso de configuración e instalación de certificados

El proceso de obtención, instalación y configuración de un certificado para el servidor de Puerta de enlace de Escritorio remoto implica estos pasos.

Paso 1: Obtener un certificado para el servidor de puerta de Escritorio remoto

Puede obtener un certificado para el servidor de Puerta de enlace de Escritorio remoto con uno de los métodos siguientes:

  • Si su compañía mantiene una CA de empresa o independiente configurada para emitir certificados X.509 compatibles con SSL que cumplen con los requisitos de Puerta de enlace de Escritorio remoto, puede generar y enviar una solicitud de certificado de varias maneras, según las directivas y la configuración de la CA de la organización. Entre los métodos para obtener un certificado se incluyen:

    • Inicio de la inscripción automática desde el complemento Certificados.

    • Solicitud de certificados con el Asistente para solicitud de certificados.

    • Solicitud de un certificado a través de la Web.

      Nota

      Si tiene una CA de Windows Server 2003 CA, tenga en cuenta que la funcionalidad de inscripción web de Windows Server 2003 Certificate Services depende de un control ActiveX denominado Xenroll. Este control ActiveX está disponible en Microsoft Windows Server 2003, Microsoft Windows 2000 y Windows XP. Sin embargo, Xenroll ha quedado obsoleto en Windows Server 2008 y Windows Vista. Las páginas web de inscripción de certificados de muestra que se incluyen con la versión original de Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) y Windows Server 2003 Service Pack 2 (SP2) no están diseñadas para tratar el cambio en la manera en la que Windows Server 2008 y Windows Vista llevan a cabo operaciones de inscripción de certificados web. Para obtener información acerca de los pasos que puede realizar para tratar este tema, vea el artículo 922706 de Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=94472 (puede estar en inglés)).

    • Uso de la herramienta de línea de comandos Certreq

    Para obtener más información acerca del uso de cualquiera de estos métodos para obtener certificados para Windows Server 2008 R2, vea el tema sobre la obtención de un certificado en la Ayuda del complemento de certificados y el tema sobre Certreq en la referencia de comandos de Windows Server 2008 R2. Para revisar los temas de la ayuda del complemento de certificados, haga clic en Inicio, en Ejecutar, escriba hh certmgr.chm y, a continuación, haga clic en Aceptar. Para obtener información acerca de cómo solicitar certificados para Windows Server 2003, vea la información sobre solicitud de certificados (https://go.microsoft.com/fwlink/?LinkID=19638 (puede estar en inglés)).

    Un certificado emitido por una CA de empresa o independiente debe estar firmado de manera conjunta por una CA pública de confianza que participe en el programa de certificados raíz de Microsoft (https://go.microsoft.com/fwlink/?LinkID=59547 (puede estar en inglés)). De lo contrario, puede que los usuarios que se conectan desde equipos domésticos o quioscos no sean capaces de conectarse a los servidores de Puerta de enlace de TS o Puerta de enlace de Escritorio remoto. Se puede producir un error en estas conexiones debido a que es posible que la raíz emitida por la CA no sea de confianza para los equipos que no son miembros de dominios, como los equipos domésticos o los quioscos.

  • Si la compañía no mantiene una CA de empresa o independiente configurada para emitir certificados X.509 compatibles con SSL, puede adquirir un certificado de una CA pública de confianza que participe en el programa de certificados raíz de Microsoft (https://go.microsoft.com/fwlink/?LinkID=59547 (puede estar en inglés)). Algunos de estas CA públicas pueden ofrecer certificados sin ningún costo como prueba.

  • Como alternativa, si la compañía no mantiene una CA empresarial o independiente, y no dispone de un certificado compatible de una CA pública de confianza, puede crear e importar un certificado de firma automática para su servidor de Puerta de enlace de Escritorio remoto para fines de pruebas y evaluación técnica. Para obtener más información, vea Crear un certificado autofirmado para el servidor de puerta de enlace de Escritorio remoto.

    Importante

    Si usa uno de los dos primeros métodos para obtener un certificado (es decir, si obtiene un certificado de una CA empresarial o independiente o una CA pública de confianza), también debe: Importar un certificado en el servidor de puerta de enlace de Escritorio remoto y Seleccionar un certificado existente de puerta de enlace de Escritorio remoto. Sin embargo, si crea un certificado de firma automática con el Asistente para agregar roles durante la instalación del servicio de rol de puerta de enlace de Escritorio remoto o mediante Administrador de puerta de enlace de Escritorio remoto después de la instalación (como se describe en Crear un certificado autofirmado para el servidor de puerta de enlace de Escritorio remoto), no es necesario que instale o asigne el certificado al servidor de Puerta de enlace de Escritorio remoto. En este caso, el certificado se crea automáticamente, se instala en la ubicación correcta del servidor de Puerta de enlace de Escritorio remoto y se asigna al servidor de Puerta de enlace de Escritorio remoto.

    Tenga en cuenta que los clientes Servicios de Escritorio remoto deben tener el certificado de la CA que emitió el certificado del servidor en su almacén Entidades de certificación raíz de confianza. Para obtener instrucciones paso a paso sobre la instalación del certificado en el cliente, vea Instalar el certificado raíz del servidor de puerta de enlace de Escritorio remoto en el cliente para Servicios de Escritorio remoto.

    Si ha usado uno de los dos primeros métodos para obtener un certificado y el equipo cliente de Servicios de Escritorio remoto confía en la CA de emisión, no es necesario que instale el certificado de la CA que emitió el certificado de servidor en el almacén de certificados del equipo cliente. Por ejemplo, no es necesario que instale el certificado de la CA de emisión en el almacén de certificados del equipo cliente si un certificado de VeriSign u otro certificado de CA de confianza público está instalado en el servidor de Puerta de enlace de Escritorio remoto. Si usa el tercer método para obtener un certificado (es decir, si crea un certificado de firma automática), no es necesario instalar el certificado de la CA que emitió el certificado de servidor en el almacén Entidades de certificación raíz de confianza en el equipo cliente. Para obtener más información, vea Instalar el certificado raíz del servidor de puerta de enlace de Escritorio remoto en el cliente para Servicios de Escritorio remoto.

Paso 2: Importar un certificado

Una vez que obtiene el certificado, puede importarlo al servidor Puerta de enlace de Escritorio remoto mediante uno de los métodos siguientes:

Referencias adicionales


Tabla de contenido