Paso 1: Configurar la autenticación Kerberos

Las siguientes secciones explican cómo habilitar la autenticación Kerberos para los servicios CEP y CES de EJBCA, lo que permite que los usuarios y las computadoras se autentiquen en EJBCA usando sus credenciales de Active Directory.

1. En EJBCA Admin Web, haga clic en Configuración de inscripción automática en el menú lateral.
   

2. Agregue un nuevo alias con el nombre msae , seleccione el alias y haga clic en Editar alias de inscripción automática .

3. Especifique los detalles del servidor AD:

   • Dominio raíz del bosque : Nombre del dominio raíz del bosque AD. Por ejemplo, YOURCOMPANY.COM
     

   • Controlador de dominio de AD: Host y nombre de dominio del controlador de dominio de Active Directory. Por ejemplo, DSSERVER . YOURCOMPANY.COM .
     

   • Nombre de la política : nombre para mostrar de la política de inscripción de certificados recuperada por los clientes (texto libre).
     

   • Nombre principal del servidor : SPN, tal como se creó en la Parte 2: Políticas de grupo y plantillas de certificado . Por ejemplo, HTTP/ejbcaserver.yourcompany.com@YOURCOMPANY.COM .
     

   • Archivo de tabla de claves Kerberos : cargue el archivo de tabla de claves para la cuenta SPN creada en la Parte 2: Políticas de grupo y plantillas de certificado .
     

   • Archivo de configuración Krb5 : Suba un archivo krb5.conf (archivo de configuración de Kerberos) preconfigurado. Este archivo debe crearse manualmente para que coincida con la configuración de su dominio. A continuación, se muestra un ejemplo de archivo Krb5.conf que puede personalizarse para su dominio.

     Los parámetros enctypes pueden modificarse para permitir únicamente conjuntos de cifrado específicos. Sin embargo, el archivo de pestaña de claves creado en la Parte 2: Políticas de grupo y plantillas de certificado debe ser compatible con los mismos cifrados.

     [libdefaults]

     default_realm = YOURCOMPANY.COM

     default_tkt_enctypes = aes256-cts aes256-cts-hmac-sha1- 96 aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

     default_tgs_enctypes = aes256-cts aes256-cts-hmac-sha1- 96 aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

     permitted_enctypes = aes256-cts aes256-cts-hmac-sha1- 96 aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

     [realms]

     YOURCOMPANY.COM = {

     kdc = YOURCOMPANY.COM

     default_domain = YOURCOMPANY.COM

     }

     [domain_realm]

     .yourcompany.com = YOURCOMPANY.COM

   • Usar SSL : Establézcalo como verdadero para habilitar la conexión SSL a Active Directory (LDAPS). Esto es opcional y requiere configuración adicional, como se describe en Habilitar TLS para la conexión a Active Directory .

   • Vinculación de clave de autenticación : si SSL está habilitado, seleccione la vinculación de clave de autenticación que establece la confianza para el certificado LDAPS.

   • Puerto de Active Directory : Puerto LDAP para Active Directory. Los valores predeterminados son 389 y 636 para SSL.
     

   • Inicio de sesión de usuario de AD : cuenta de enlace de Active Directory (creada en la Parte 1: Configurar los servicios de dominio de Active Directory ) en cualquiera de los siguientes formatos:
     

      • "autoenrollmentbind@yourcompany.com" (sAMAccountName followed by @, followed by either DNS name of a domain in the same forest or a value in the uPNSuffixes of the Partitions container in the config NC replica) • "CN=autoenrollment bind,CN=Users,DC=yourcompany,DC=com" (Full DN) • "autoenrollment bind" (Display Name)

   • Contraseña de usuario de AD : Contraseña para la cuenta vinculada.

   • Autoridad de certificación emisora : CA predeterminada, que firma los certificados inscritos.
     

4. Haga clic en "Probar conexión" . El mensaje " Prueba de conexión a Active Directory exitosa " debería aparecer en la parte superior de la página.

5. Haga clic en Guardar para guardar la configuración.
   

Paso 2: Asignación de plantillas de certificado a perfiles EJBCA

Cada solicitud de inscripción procedente de clientes Microsoft contiene una referencia OID de plantilla de certificado. Para inscribir certificados con los atributos adecuados, cada plantilla que se vaya a utilizar debe estar asignada a perfiles EJBCA. Si se ha establecido una conexión con AD correctamente en los pasos anteriores, la sección "Plantillas de inscripción automática de MS" contendrá una lista de todas las plantillas de certificado cargadas desde Active Directory.

Para asignar plantillas de certificado a perfiles EJBCA:

1. Haga clic en Seleccionar una plantilla y seleccione Computer_Auto_Enrollment .

2. Haga clic en Seleccionar perfil de entidad final y seleccione Computer_End_Entity_Profile .

3. Haga clic en Seleccionar perfil de certificado y seleccione Computer_Certificate_Profile .

4. Haga clic en Agregar .

5. Repita los pasos para User_Auto_Enrollment y sus perfiles correspondientes, así como para cualquier otra plantilla para la que desee crear asignaciones.

6. Haga clic en Guardar .

Solo las plantillas que se hayan asignado a perfiles EJBCA serán visibles para los clientes que se inscriban, suponiendo que tengan suficientes permisos de inscripción en la plantilla asignada.

Paso 3: Habilitar el punto final del servicio

De forma predeterminada, EJBCA no permite ningún tráfico entrante a sus servicios CES y CEP.

Para habilitar los servicios:

1. En EJBCA, haga clic en Configuración del sistema y seleccione la pestaña Configuración del protocolo .

2. Haga clic en Habilitar en MSAE .