Puede establecer una entidad de certificación (CA) de Windows Server 2012 mediante el Asistente de Service Manager.

Los siguientes son pasos estándar para configurar una entidad de certificación de Microsoft. Se detallan aquí de una forma sencilla adecuada para su uso en un entorno de laboratorio, pero se recomienda que siga las prácticas recomendadas del sector para la configuración de la entidad de certificación para un sistema de producción real.

Si necesita instrucciones adicionales sobre la configuración de una entidad de certificación, consulte las referencias técnicas estándar de Microsoft: Active Directory Certificate Services Step-by-Step Guide (Guía paso a paso de los servicios de certificado de Active Directory) e Instalación de una entidad de certificación raíz.

Nota: Los procedimientos en este tema son para Windows Server 2012 R2. Pueden seguirse pasos muy similares en Windows Server 2008 R2.

Procedimiento

  1. En el panel Administrador de servidores, haga clic en Agregar funciones y características para abrir el asistente y, a continuación y haga clic en Siguiente.
  2. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en funciones, y haga clic en Siguiente.
  3. En la página Selección del servidor, deje los valores predeterminados y haga clic en Siguiente.
  4. En la página Funciones de servidor:
    1. Seleccione Servicios de certificados de Active Directory.
    2. En el cuadro de diálogo, seleccione Incluir la herramienta de administración (si corresponde) y haga clic en Agregar funciones.
    3. Haga clic en Siguiente.
  5. En la página Funciones, haga clic en Siguiente.
  6. En la página AD CS, haga clic en Siguiente.
  7. En la página Servicios de función, seleccione la entidad de certificación y haga clic en Siguiente.
  8. En la página Confirmación, seleccione Es obligatorio reiniciar el servidor de destino automáticamente y haga clic en Instalar.
    Se muestra el progreso de la instalación. Cuando se complete la instalación, aparecerá un vínculo URL, que le permite configurar la entidad de certificación recién instalada como "Configurar servicios de certificados de Active Directory" en el servidor de destino.
  9. Haga clic en el vínculo de configuración para iniciar el Asistente de configuración.
  10. En la página Credenciales, introduzca las credenciales de usuario del grupo de administradores de organización y haga clic en Siguiente.
  11. En la página Servicios de función, seleccione la entidad de certificación y haga clic en Siguiente.
  12. En la página Tipo de instalación, seleccione Entidad de certificación empresarial y haga clic en Siguiente.
  13. En la página Tipo de entidad de certificación, seleccione Entidad de certificación raíz o Entidad de certificación subordinada según corresponda (en este ejemplo es una entidad de certificación raíz) y haga clic en Siguiente.
  14. En la página Clave privada, seleccione Crear una nueva clave privada y haga clic en Siguiente.
  15. En la página Criptografía, introduzca la siguiente información.
    Campo Descripción
    Proveedor de servicios criptográfico Proveedor de almacenamiento de claves de software de Microsoft/RSA
    Longitud de la clave 4096 (u otra longitud si prefiere)
    Algoritmo hash SHA256 (u otro algoritmo SHA si prefiere)
  16. En la página Nombre de entidad de certificación, configure como prefiera o acepte los valores predeterminados, y haga clic en Siguiente.
  17. En la página Período de validez, configure como prefiera y haga clic en Siguiente.
  18. En la página Base de datos del certificado, haga clic en Siguiente.
  19. En la página Confirmación, revise la información y haga clic en Configurar.
  20. Complete el proceso de configuración. Para ello realice las siguientes tareas (ejecute todos los comandos de la línea de comandos).
    1. Configurar la entidad de certificación para proceso del certificado no persistente
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Configurar la entidad de certificación para que omita los errores de CRL sin conexión
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. Reiniciar el servicio de CA
      net stop certsvc
      net start certsvc

Qué hacer a continuación

Configurar una plantilla de certificado en la entidad de certificación