Debe crear una plantilla de certificado que se pueda usar para expedir certificados de corta duración y debe especificar los equipos del dominio que pueden solicitar este tipo de certificado.
Se puede crear más de una plantilla de certificado. Solo puede configurar una plantilla por dominio, pero puede compartir la plantilla en varios. Por ejemplo, si tiene un bosque de Active Directory con tres dominios y quiere usar True SSO en esos tres dominios, puede seleccionar si desea configurar una, dos o tres plantillas. Todos los dominios pueden compartir la misma plantilla, o bien puede tener diferentes plantillas para cada dominio.
Requisitos previos
- Compruebe que tenga una CA empresarial para crear la plantilla descrita en este procedimiento. Consulte Configurar una entidad de certificación empresarial.
- Compruebe que preparara Active Directory para la autenticación de tarjeta inteligente. Para obtener más información, consulte los temas de la sección "Preparar Active Directory" del documento Instalación y actualización de Horizon 8.
- Cree un grupo de seguridad en el dominio y en el bosque para los servidores de inscripción y agregue a ese grupo las cuentas de los equipos de los servidores de inscripción.
Procedimiento
- Para configurar True SSO, en el equipo que está utilizando para la entidad de certificación, inicie sesión en el sistema operativo como un administrador y diríjase a
.
- Expanda el árbol que se encuentra en el panel de la izquierda, haga clic con el botón secundario en Plantillas de certificado y seleccione Administrar.
- Haga clic con el botón secundario en la plantilla Inicio de sesión de tarjeta inteligente y seleccione Duplicar.
- Realice los siguientes cambios en estas pestañas:
Pestaña Acción Pestaña Compatibilidad - Para Entidad de certificación, seleccione el sistema operativo Windows.
- Para Destinatario de certificado, seleccione el sistema operativo Windows.
Pestaña General - Cambie el nombre para mostrar de la plantilla por el nombre que desee. Ejemplo: True SSO.
- Cambie el periodo de validez a un periodo que sea tan amplio como una jornada laboral; es decir, tan amplio como el periodo durante el cual es probable que el usuario tenga la sesión iniciada en el sistema.
Para que el usuario no pierda el acceso a los recursos de la red mientras tiene la sesión iniciada, el periodo de validez debe ser superior al tiempo de renovación TGT de Kerberos en el dominio de los usuarios.
(La duración máxima predeterminada del ticket es 10 horas. Para encontrar la directiva predeterminada del dominio, puede dirigirse a
.) - Cambie el período de renovación del 50 % al 75 % del período de validez.
Pestaña Tratamiento de la solicitud - En Propósito, seleccione Firma e inicio de sesión mediante tarjeta inteligente.
- Seleccione Para renovar automáticamente las tarjetas inteligentes, ...
Pestaña Criptografía - En Categoría del proveedor, seleccione Proveedor de almacenamiento de claves.
- En Nombre de algoritmo, seleccione RSA.
Pestaña Servidor Seleccione No almacenar certificados y solicitudes en la base de datos de CA. Importante: Asegúrese de que la opción No incluir información de revocación en los certificados emitidos no esté seleccionada. (Este cuadro se selecciona cuando selecciona el primero y tiene que desmarcarlo).Pestaña Requisitos de emisión - Seleccione Este nombre de firmas autorizadas y escriba 1 en el cuadro.
- En Tipo de directiva, seleccione Directiva de aplicación y establezca la directiva en Agente de solicitud de certificados.
- En Requiere lo siguiente para volver a hacer la inscripción, seleccione Certificado existente válido.
Nota:Para renovar automáticamente los certificados de tarjeta inteligente, utilice la clave existente si no se puede crear una nueva clave.
Pestaña Seguridad En el grupo de seguridad que creó para las cuentas del equipo del servidor de inscripción, como se describe en los requisitos, proporcione los siguientes permisos: Lectura, Inscripción - Haga clic en Agregar.
- Especifique qué equipos desea permitir que inscriban certificados.
- Para estos equipos, seleccione las casillas de verificación apropiadas para proporcionar a los equipos los siguientes permisos: Lectura, Inscripción.
- Haga clic en Aceptar en el cuadro de diálogo Propiedades de plantilla nueva.
- Cierre la ventana Consola de plantillas de certificado.
- Haga clic con el botón secundario en Plantillas de certificado y seleccione .
Nota: Este paso es obligatorio para todas las entidades de certificación que expiden certificados basados en esta plantilla.
- En la ventana Habilitar plantillas de certificados, seleccione la plantilla que acaba de crear (por ejemplo, Plantilla True SSO) y haga clic en Aceptar.
- Para configurar Agente de inscripción (equipo), en el equipo que está utilizando para la entidad de certificación, inicie sesión en el sistema operativo como administrador y diríjase a
.
- Expanda el árbol que se encuentra en el panel de la izquierda, haga clic con el botón secundario en Plantillas de certificado y seleccione Administrar.
- Busque y abra la plantilla Agente de inscripción (equipo) y, a continuación, realice el siguiente cambio en la pestaña Seguridad:
En el grupo de seguridad que creó para las cuentas del equipo del servidor de inscripción, como se describe en los requisitos, proporcione los siguientes permisos: Lectura, Inscripción
- Haga clic en Agregar.
- Especifique qué equipos desea permitir que inscriban certificados.
- Para estos equipos, seleccione las casillas de verificación apropiadas para proporcionar a los equipos los siguientes permisos: Lectura, Inscripción.
- Haga clic con el botón secundario en Plantillas de certificado y seleccione .
Nota: Este paso es obligatorio para todas las entidades de certificación que expiden certificados basados en esta plantilla.
- En la ventana Habilitar plantillas de certificados, seleccione Agente de inscripción (equipo) y haga clic en Aceptar.
Qué hacer a continuación
Cree un servicio de inscripción.