Instalación de certificados digitales mediante el uso de GPO


#1

Buenas tardes, buscando por Google sobre buenas prácticas de uso de los certificados digitales para los usuarios de un dominio y nada más que recibo complejas configuraciones en la administración de GPO y creando un script. ¿Vosotros sabéis cual es la mejor manera de administrar correctamente varios certificados de una empresa y no tener que instalar en equipos locales?


#2

Hola,

Para la gestión centralizada, control y auditoria de uso de certificados digital en un entorno corporativo puedes usar una solución comercial como, por ejemplo, https://redtrust.com/. Con estas soluciones, el certificado reside en un servidor central, normalmente con un HSM donde se guardan los certificados (la clave privada nueva sale del servidor), y mediante políticas centralizadas se “asigna” al usuario(s) que lo necesite. En la política se le puede especificar donde puede usarlo (Sitios webs especificos o aplicaciones concretas), incluso el horario de uso. Esta solución requiere de instalación de un agente en el equipo. Es compatible con el almacen de certificados de Windows (que usa IE, Edge y Chrome) así como con el PKCS#11 de Firefox. Si tienes que administrar diferentes certificados digitales, ya sean de persona física o de representante de persona jurídica (que a nivel empresarial con la LPAC tienen una sensibilidad especial), estas aplicaciones te ayudan en dicha tarea. Ya debes valorar si la inversión necesaria se ajusta a tus presupuestos.

También puedes mirar el producto nebulaCert (https://www.vintegris.tech/es/gestion-certificados-digitales-nebulacert/).

Un saludo.


#3

Buenas @thidalgosalvador. Disculpa la respuesta tarde he estado estos días muy liado.

En primer lugar no quiero app o servicios de terceros, teniendo un servidor en condiciones con AD y GPO quisiera implementar los certificados digitales con políticas a nivel de usuario en Terminal Servers. ¿No se si alguno lo habéis hecho? A partir de Octubre toda solicitudes se presentarán por vía telemática con certificados digitales de la entidad.

Tenemos como tres certificados y lo utiliza al menos 5 usuarios, como se administra bien estos certificados.

Saludos.


#4

Pues la verdad es que la pregunta se las trae, no sé exactamente cómo ayudarte, pero comento para que no se cierre. Quizá @femarper tenga una idea.


#5

En verdad, no he llegado a instalarlo. La teoría dice que deberías instalar el rol ADCS (Active Directory Certificate Services) y ya jugar con él… Aquí puedes empezar a mirar algo: http://blog.jgaitpro.com/windows-server-2012-r2-instalar-y-configurar-active-directory-certifcate-services-adcs/
No lo he probado, así que no se como va, pero seguro que va por ahí.


#6

Chrome si mal no recuerdo proveía de un paquete con unas plantillas para GPO que podías definir. Al menos puedes tirar por ahí


#7

Gracias @femarper por el vídeo compartido que es la parte más importante para preparar el rol de ADCS dentro de un controlador del dominio. Una vez aplicada este rol me quedaría solo implementar las correspondientes política de objetos en el GPO que creo que esta parte no sería tan complicado.

Chrome si mal no recuerdo proveía de un paquete con unas plantillas para GPO que podías definir. Al menos puedes tirar por ahí

@LordCalvister He mirado por Google y me encuentro con esta página Definir políticas de Chrome en dispositivos para ordenadores gestionados, no creo que eso es lo que yo andaba buscando para implementar certificados para varios usuarios a través de maquinas terminal server, o puede que me equivoque.

Ahora me toca investigar sobre la política de objetos en el GPO para los certificados, darle acceso a determinados usuarios que lo vayan a utilizarlo en el terminal server y no a todos, también a su vez poder revocar dicho acceso en caso de no necesitarlo.


#8

Guay, ponlo por el foro si encuentras lo que necesitas, que es una idea muy muy interesante.