Debe crear una plantilla de certificado que se pueda usar para expedir certificados de corta duración y debe especificar los equipos del dominio que pueden solicitar este tipo de certificado.

Por qué y cuándo se efectúa esta tarea

Puede crear más de una plantilla de certificado, pero solo puede configurar que se use una plantilla cada vez.

Requisitos

  • Compruebe que tenga una CA empresarial para crear la plantilla descrita en este procedimiento. Consulte Configurar una entidad de certificación empresarial.

  • Compruebe que preparara Active Directory para la autenticación de tarjeta inteligente. Para obtener más información, consulte el documento Instalación de View.

  • Cree un grupo de seguridad en el dominio y en el bosque para los servidores de inscripción y agregue a ese grupo las cuentas de los equipos de los servidores de inscripción.

Procedimiento

  1. En el equipo que está utilizando para la entidad de certificación, inicie sesión en el sistema operativo como un administrador y diríjase a Herramientas administrativas > Entidad de certificación.
  2. Expanda el árbol que se encuentra en el panel de la izquierda, haga clic con el botón secundario en Plantillas de certificado y seleccione Administrar.
  3. Haga clic con el botón secundario en la plantilla Inicio de sesión de tarjeta inteligente y seleccione Duplicar.
  4. Realice los siguientes cambios en estas pestañas:

    Pestaña

    Acción

    Pestaña Compatibilidad

    • En Entidad de certificación, seleccione Windows Server 2008 R2.

    • En Destinatario del certificado, seleccione Windows 7/Windows Server 2008 R2.

    Pestaña General

    • Cambie el nombre para mostrar de la plantilla a True SSO.

    • Cambie el periodo de validez a un periodo que sea tan amplio como una jornada laboral; es decir, tan amplio como el periodo durante el cual es probable que el usuario tenga la sesión iniciada en el sistema.

      Para que el usuario no pierda el acceso a los recursos de la red mientras tiene la sesión iniciada, el periodo de validez debe ser superior al tiempo de renovación TGT de Kerberos en el dominio de los usuarios.

      (La duración máxima predeterminada del ticket es 10 horas. Para encontrar la directiva predeterminada del dominio, puede dirigirse a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuenta > Directiva Kerberos: Vigencia máxima del vale de usuario.)

    • Cambie el periodo de renovación a 1 día.

    Pestaña Tratamiento de la solicitud

    • En Propósito, seleccione Firma e inicio de sesión mediante tarjeta inteligente.

    • Seleccione Para renovar automáticamente las tarjetas inteligentes, ...

    Pestaña Criptografía

    • En Categoría del proveedor, seleccione Proveedor de almacenamiento de claves.

    • En Nombre de algoritmo, seleccione RSA.

    Pestaña Servidor

    Seleccione No almacenar certificados y solicitudes en la base de datos de CA.

    Importante:

    Asegúrese de que la opción No incluir información de revocación en los certificados emitidos no esté seleccionada. (Este cuadro se selecciona cuando selecciona el primero y tiene que desmarcarlo).

    Pestaña Requisitos de emisión

    • Seleccione Este nombre de firmas autorizadas y escriba 1 en el cuadro.

    • En Tipo de directiva, seleccione Directiva de aplicación y establezca la directiva en Agente de solicitud de certificados.

    • En Requiere lo siguiente para volver a hacer la inscripción, seleccione Certificado existente válido.

    Pestaña Seguridad

    En el grupo de seguridad que creó para las cuentas del equipo del servidor de inscripción, como se describe en los requisitos, proporcione los siguientes permisos: Lectura, Inscripción

    1. Haga clic en Agregar.

    2. Especifique qué equipos desea permitir que inscriban certificados.

    3. Para estos equipos, seleccione las casillas de verificación apropiadas para proporcionar a los equipos los siguientes permisos: Lectura, Inscripción.

  5. Haga clic en Aceptar en el cuadro de diálogo Propiedades de plantilla nueva.
  6. Cierre la ventana Consola de plantillas de certificado.
  7. Haga clic con el botón secundario en Plantillas de certificado y seleccione Nuevo > Plantilla de certificado que se va a emitir.
    Nota:

    Este paso es obligatorio para todas las entidades de certificación que expiden certificados basados en esta plantilla.

  8. En la ventana Habilitar plantillas de certificados, seleccione la plantilla que acaba de crear (por ejemplo, Plantilla True SSO) y haga clic en Aceptar.
  9. En la ventana Habilitar plantillas de certificados, seleccione Agente de inscripción (equipo) y haga clic en Aceptar.

Qué hacer a continuación

Cree un servicio de inscripción. Consulte Instalar y configurar un servidor de inscripción.