Instalar la entidad de certificación
Puede usar este procedimiento para instalar lo Servicios de certificados de Active Directory (AD CS) para poder inscribir un certificado de servidor en servidores que ejecutan el servidor de directivas de redes (NPS), el enrutamiento y el servicio de acceso remoto (RRAS), o ambos.
Importante
- Antes de instalar los Servicios de certificados de Active Directory, es necesario asignar un nombre al equipo, configurar el equipo con una dirección IP estática y unir el equipo al dominio. Para más información sobre cómo realizar estas tareas, consulte la Guía de red principal de Windows Server 2016.
- Para realizar este procedimiento, el equipo en el que se va a instalar AD CS debe unirse a un dominio donde están instalados los Servicios de dominio de Active Directory (AD DS).
El requisito mínimo para completar este procedimiento es la pertenencia al grupo Administradores de empresas y al grupo Admins. del dominio del dominio raíz.
Nota
Para llevar a cabo este procedimiento con Windows PowerShell, abra Windows PowerShell y escriba el siguiente comando. A continuación, presione Entrar.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
Una vez instalado AD CS, escriba el siguiente comando y presione la tecla Entrar.
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
Para instalar los Servicios de certificados de Active Directory
Sugerencia
Si desea usar Windows PowerShell para instalar Servicios de certificados de Active Directory, consulte Install-AdcsCertificationAuthority para cmdlets y parámetros opcionales.
Inicie sesión como miembro del grupo Administradores de empresas y del grupo Admins. del dominio del dominio raíz.
En el Administrador del servidor, haga clic en Administrar y en Agregar roles y características. Se abre el Asistente para agregar roles y características.
En Antes de comenzar, haga clic en Siguiente.
Nota
La página Antes de comenzar del Asistente para agregar roles y características no se muestra si ha seleccionado anteriormente Omitir esta página de forma predeterminada al ejecutar el asistente.
En Seleccionar tipo de instalación, asegúrese de que la opción Instalación basada en características o en roles está seleccionada y, a continuación, haga clic en Siguiente.
En Seleccionar servidor de destino, asegúrese de que la opción Seleccionar un servidor del grupo de servidores está seleccionada. En Grupo de servidores, asegúrese de que el equipo local está seleccionado. Haga clic en Next.
En la pantalla Seleccionar roles de servidor, en Roles, seleccione Servicios de certificados de Active Directory. Cuando se le pida que agregue roles y características, haga clic en Agregar características y, a continuación, en Siguiente.
En Seleccionar características, haga clic en Siguiente.
En Servicios de certificados de Active Directory, lea la información proporcionada y, a continuación, haga clic en Siguiente.
En Confirmar selecciones de instalación, haga clic en Instalar. No cierre el asistente durante el proceso de instalación. Una vez completada la instalación, haga clic en Configurar Servicios de certificados de Active Directory en el servidor de destino. Se abrirá el asistente de configuración de AD CS. Lea la información de las credenciales y, si es necesario, proporcione las credenciales de una cuenta que sea miembro del grupo Administradores de empresas. Haga clic en Next.
En Servicios de rol, haga clic en Entidad de certificacióny, a continuación, haga clic en Siguiente.
En la página Tipo de instalación, compruebe que la opción CA empresarial está seleccionada y, a continuación, haga clic en Siguiente.
En la página Especificar tipo de CA, compruebe que la opción CA raíz está seleccionada y, a continuación, haga clic en Siguiente.
En la página Especificar el tipo de clave privada, compruebe que la opción Crear una nueva clave privada esté seleccionada y, a continuación, haga clic en Siguiente.
En la página Criptografía para CA, mantenga la configuración predeterminada para CSP (RSA#Microsoft Software Key Storage Provider) y el algoritmo hash (SHA2), y determine la mejor longitud de caracteres clave para la implementación. Las grandes longitudes de caracteres clave proporcionan una seguridad óptima; sin embargo, pueden afectar al rendimiento del servidor y es posible que no sean compatibles con las aplicaciones heredadas. Se recomienda mantener la configuración predeterminada de 2048. Haga clic en Next.
En la página Nombre de CA, conserve el nombre común sugerido para la CA o cambie el nombre de acuerdo con sus requisitos. Asegúrese de que el nombre de la entidad de certificación es compatible con las convenciones de nomenclatura y los propósitos, ya que no puede cambiar el nombre de la entidad de certificación después de haber instalado AD CS. Haga clic en Next.
En el Período de validez, en Especificar el período de validez, escriba el número y seleccione un valor de tiempo (años, meses, semanas o días). Se recomienda el valor predeterminado de cinco años. Haga clic en Next.
En la página Base de datos de CA, en Especificar las ubicaciones de la base de datos, especifique la ubicación de la carpeta para la base de datos de certificados y el registro de base de datos de certificados. Si especifica ubicaciones distintas de las ubicaciones predeterminadas, asegúrese de que las carpetas estén protegidas mediante listas de control de acceso (ACL) que impidan que usuarios o equipos no autorizados tengan acceso a los archivos de registro y la base de datos de la entidad de certificación. Haga clic en Next.
En Confirmación, haga clic en Configurar para aplicar las selecciones y, a continuación, haga clic en Cerrar.