Las siguientes secciones cubren cómo instalar y configurar las políticas de inscripción de certificados y el servidor de políticas.

Paso 1: Configurar el servicio de política de inscripción de certificados
Paso 2: Configurar plantillas de certificado

Los ejemplos a continuación utilizan las siguientes denotaciones:

El dominio utilizado es tuempresa.com (TUEMPRESA) .
El nombre de host del servidor EJBCA es ejbcaserver .yourcompany.com.

Las etiquetas indicadas en negrita deben reemplazarse con los nombres de su entorno y, en los ejemplos siguientes, el texto entre corchetes angulares debe reemplazarse con los nombres de su entorno.

Paso 1: Configurar el servicio de política de inscripción de certificados

Para configurar EJBCA como servidor de políticas de inscripción de certificados, primero cree y prepare la cuenta de servicio de acuerdo con las instrucciones a continuación.

Para preparar la Cuenta de Servicio:

Si aún no lo ha hecho, cree la cuenta de servicio ( <ra-service> ) para los servlets de inscripción CEP y CES de EJBCA en el servidor de servicios de dominio de Active Directory (AD).
Utilice la cuenta de servicio única si realiza esta instalación con una sola cuenta de servicio en un solo host.
Abra el símbolo del sistema con permisos de administrador.
Establezca el nombre principal del servicio para la cuenta de servicio ejecutando los siguientes comandos como administrador y asegúrese de reemplazar el servidor < FQDN > y los nombres de cuenta con su propia configuración.
setspn -s HTTP/ejbcaserver.yourcompany.com ra-service
Abra un símbolo del sistema de PowerShell con permisos de administrador.
Cree un archivo de pestaña de clave para la cuenta de servicio ra-service . Este archivo se usará posteriormente al habilitar la autenticación Kerberos para los servicios EJBCA CEP y CES en la Parte 3b: Configuración del servidor de políticas EJBCA .

> ktpass /out raservice.keytab /mapuser ra-service @YOURCOMPANY .COM /princ HTTP/ejbcaserver.yourcompany.com @YOURCOMPANY .COM /pass foo123 /pType KRB5_NT_PRINCIPAL /crypto all
El parámetro crypto puede modificarse para permitir únicamente conjuntos de cifrado específicos. Sin embargo, el archivo krb5.conf creado en el Paso 3b: Configuración del servidor de políticas EJBCA debe ser compatible con los mismos cifrados. Si crypto está restringido a AES, la opción de cuenta de usuario del servicio debe actualizarse según corresponda.

La contraseña utilizada para la pestaña de claves debe cumplir con los requisitos del dominio. Las contraseñas que no sean complejas pueden provocar que el comando de generación de la pestaña de claves se cancele.

Paso 2: Configurar plantillas de certificado

Para configurar plantillas de certificado:

Abra Microsoft Management Console (mmc.exe ).
Haga clic en Archivo y luego en Agregar o quitar complemento .
Seleccione Plantillas de certificado y luego haga clic en Agregar , luego haga clic en Aceptar .
Haga doble clic en Plantillas de certificado .
Haga clic con el botón derecho en la plantilla Computadora , seleccione Duplicar plantilla y especifique lo siguiente:
- En Configuración de compatibilidad , especifique Autoridad de certificación= Windows Server 2003 y Destinatario del certificado= Windows XP/Server 2003 .
- Haga clic en la pestaña General y cambie el nombre para mostrar de la plantilla a Computer_Auto_Enrollment .
- Haga clic en la pestaña Seguridad y otorgue a los “Equipos del dominio” permisos de Lectura, Inscripción e Inscripción automática .
- Además, asigne a los controladores de dominio permisos de lectura , inscripción e inscripción automática . Esto es necesario, ya que la cuenta del equipo del controlador de dominio solicitará la validación al servidor de políticas, en lugar del usuario conectado.
- Seleccione la pestaña Nombre del sujeto y cambie el formato del nombre del sujeto a Nombre DNS .
- Seleccione Nombre DNS en el nombre alternativo del asunto.
- En la pestaña Manejo de solicitudes , desmarque la opción Permitir exportar clave privada.
  Si el requisito es poder exportar la clave privada, deje esta opción marcada.
- Haga clic en Aceptar para volver a la lista de plantillas.
Haga clic con el botón derecho en la plantilla Usuario y seleccione Duplicar plantilla y especifique lo siguiente:
- En Configuración de compatibilidad , especifique Autoridad de certificación = Windows Server 2003 y Destinatario del certificado = Windows XP/Server 2003 .
- Haga clic en la pestaña General y cambie el nombre para mostrar de la plantilla a User_Auto_Enrollment .
  Si el requisito es publicar el certificado de usuario en Active Directory y la itinerancia de credenciales está habilitada, asegúrese de seleccionar Publicar certificado en Active Directory y No volver a inscribir automáticamente si existe un certificado duplicado en Active Directory .
- Seleccione la pestaña Seguridad y otorgue a los “Usuarios del dominio” permisos para Inscribirse e Inscribirse automáticamente .
- Seleccione la pestaña Nombre del sujeto y cambie el formato del nombre del sujeto a Nombre común .
- Borrar Incluir nombre de correo electrónico en el nombre del asunto y borrar Nombre de correo electrónico en el nombre alternativo del asunto.
- Seleccione el nombre principal del usuario (UPN) .
- En la pestaña Manejo de solicitudes , desmarque la opción Permitir exportar clave privada .
  Si el requisito es poder exportar la clave privada, deje esta opción marcada.
- Haga clic en Aceptar para volver a la lista de plantillas y luego cierre la ventana Consola de plantillas de certificado .

Siguiente: Configuración de EJBCA

A continuación, configure las autoridades de certificación (CA) y los perfiles en EJBCA, consulte la Parte 3a: Configuración de EJBCA .