Inicios de sesión con SmartCard en el Directorio Activo

¡Muy buenas a todos! Tras el periodo invernal y el descansito que suelo usar para coger fuerzas… volvemos con un montón de posts en el tintero y muchas ganas de dar guerra!!! Hoy empezamos con el uso de SmartCard o tarjetas inteligentes en nuestra organización, para permitir que los usuarios se puedan validar, ¡empezamos!

 

En este post vamos a intentar ver qué cómodo puede ser el uso de SmartCards o tarjetas inteligentes en nuestras organizaciones, el poder usar una tarjeta que les permita validarse en los servicios que necesiten. En este primer post veremos todo lo necesario en el Directorio Activo para poder emitir estos certificados, así cómo para validarse en sus puestos o por escritorio remoto.

 

Pero también pretendo acercaros esta tecnología, que a parte de brindarnos una capa más segura a las autenticaciones, (y nosotros tener el control), pues que es algo accesible. Esto es, que podemos comprar packs de tarjetas criptográficas blancas para nosotros con un lector de tarjetas poder insertarle los certificados que generamos en nuestro Directorio Activo. Si tenéis dudas, en la FNMT podréis adquirir lo que necesitáis, o en otros sitios claro.

Y para la ‘imprenta’ del diseño, pues, como nos imaginamos, se podrían comprar online y nos llegan ya impresas con nuestros diseños, o podemos adquirir una impresora de tickets adhesivos, de calidad, a color, sin cartuchos… que podamos usar nosotros para imprimir nosotros las etiquetas y pegarlas fácilmente. No es por hacer publicidad, pero por si a alguno le orienta yo uso para esto una Brother VC-500W que tiene una cinta de 5 cm de ancho, ideal para estas tareas. La uso también para imprimir los códigos QR que envío a los clientes que la necesitan para ver sus datos de monitorización con cintas más pequeñas.

 

Bueno, empezamos, vamos a dividir el artículo en varios bloques

  1. Primero: Comenzamos con el ‘Agente de inscripción’, esto es, quién podrá solicitar y firmar los certificados que vamos a necesitar generar para nuestros usuarios. Definiremos una plantilla nueva de certificados personalizada y luego la usaremos para generar el certificado. El poseedor de este certificado podrá crear los certificados de los usuarios. El certificado podrá estar instalado en el usuario/equipo o luego también se puede meter en un SmartCard.
  2. Segundo: Después crearemos una plantilla de certificados para nuestra organización, después la usaremos para generar los certificados que serán emitidos para las SmartCard.
  3. Tercero: Solicitaremos un certificado en nombre de otro usuario del Directorio Activo.
  4. Cuarto: Y lo probamos! Al final también crearemos una GPO para que cuando el usuario extraiga el SmartCard, su equipo se bloqueé de manera inmediata.

 

Creando un certificado de Agente de inscripción,

Lo dicho, en este apartado veremos cómo finalmente obtendremos un certificado, que con él podremos generar los certificados que necesitaremos de nuestros usuarios. El poseedor del certificado podrá solicitar y firmar los certificados que necesitaremos a futuro.

 

Abrimos la Consola de plantillas de certificados (certtmpl.msc) y duplicamos la plantilla «Agente de inscripción»,

 

Nos abrirá las propiedades para editar esta plantilla de certificados, en la pestaña «General» indicamos el Nombre para mostrar de la plantilla, así como marcaremos la opción para que publique los certificados en el Directorio Activo. En la pestaña «Compatibilidad» habilitaremos las versiones más altas adaptándolas a nuestro entorno.

 

En la pestaña de «Tratamiento de la solicitud» marcaremos la opción de ‘Preguntar al usuario durante la inscripción’. En la pestaña de «Criptografía» cambiamos el proveedor a «Proveedor de servicios criptográficos heredados» y «Microsoft base Cryptographic Provider v 1.0».

 

Y en la pestaña de «Seguridad» nos aseguramos que el usuario o grupo al que vamos a permitir generar los certificados tenga los permisos de ‘Leer’ y ‘Escribir’.

 

Desde la consola de administración de la Entidad de certificación (certsrv.msc) publicaremos la plantilla que acabamos de crear, para poder ser usada. Desde Plantillas de certificados > Nuevo > Plantilla de certificado que se va a emitir.

 

Seleccionamos la plantilla que acabamos de crear y pulsamos en «Aceptar»,

 

Nien, ahora que la plantilla de certificados existe, o sea, está publicada en el Active Directory, ya podremos solicitar el certificado que necesitamos para el Agente de certificados. Para ello, abrimos la consola de gestión de certificados del usuario (certmgr.msc), y desde Personal > Todas las tareas > Solicitas un nuevo certificado…

 

«Siguiente»,

 

Seleccionamos «Directiva de inscripción de Active Directory» & «Siguiente»,

 

Ahora seleccionamos desde qué plantilla vamos a solicitar el certificado, esto es, que tipo de certificado vamos a necesitar, seleccionamos la nuestra & «Siguiente»,

 

Listo! Ya tenemos el certificado para nuestro usuario, podremos con él ya crear certificados para nuestros usuarios finales. Si pulsamos en «Detalles» > «Ver certificado» podremos acceder a él y exportarlo en PFX y llevarlo a donde lo necesitemos.

 

Creando la plantilla de certificados para emitirlos a las SmartCard,

Como dijimos antes, ahora será necesario crear una plantilla de certificados en nuestro Directorio Activo para poder emitir certificados a nuestras SmartCard o tarjetas inteligentes. Este ya es el último paso antes de poder hacer lo que queremos, ¡crear certificados!

 

Abrimos la Consola de plantillas de certificados (certtmpl.msc) y duplicamos la plantilla «Usuario de tarjeta inteligente»,

 

Nos abrirá las propiedades para editar esta plantilla de certificados, en la pestaña «General» indicamos el Nombre para mostrar de la plantilla, así como marcaremos la opción para que publique los certificados en el Directorio Activo. En la pestaña «Compatibilidad» habilitaremos las versiones más altas adaptándolas a nuestro entorno.

 

En la pestaña de «Tratamiento de la solicitud» marcaremos las opciones de ‘Permitir que la clave privada se pueda exportar’, ‘Para la renovación automática de certificados inteligentes usar la clave existente si no se puede crear una clave nueva’ y ‘Preguntar al usuario durante la inscripción’.

 

En la pestaña de «Seguridad», añadimos «Usuarios del dominio» que deben tener permisos de Leer, Inscribirse y Inscripción automática. En la pestaña «Requisitos de emisión» marcaremos a 1 el nombre de firmas autorizadas, seleccionaremos la ‘Directiva de aplicación’ para la firma y como directiva de aplicación indicamos ‘Agente de solicitud de certificados’.

 

Y ya para ir acabando, desde la consola de administración de la Entidad de certificación (certsrv.msc) publicaremos la plantilla que acabamos de crear para poder ser usada. Desde Plantillas de certificados > Nuevo > Plantilla de certificado que se va a emitir.

 

Seleccionamos la plantilla que acabamos de crear y la publicamos!

 

Creando certificados para SmartCard en nombre de otro usuario,

Y acabamos con lo que ya sí que pueda ser una tarea habitual, que no es más que la necesidad de que tengamos que ir creando certificados para nuestros usuarios.

 

Bien, abrimos nuestra consola de certificados de usuario (certmgr.msc), y desde Personal > Certificados > Todas las tareas > Operaciones avanzadas > Inscribirse en nombre de…

 

«Siguiente»,

Seleccionamos «Directiva de inscripción de Active Directory» y «Siguiente»,

 

Nos solicita el certificado para firmar la solicitud del certificado, tendremos que tenerlo instalado previamente en la máquina (o tenerlo en un SmartCard), pulsamos en «Examinar»,

 

Introducimos el certificado…

Y seguimos con el asistente, pulsamos en «Siguiente»,

Debemos seleccionar la plantilla que usaremos para crear el certificado, esto es, el tipo de certificado, así que marcamos la nuestra y continuamos, «Siguiente»,

Desde el botón de «Examinar…» podremos buscar el usuario de nuestro Directorio Activo que necesitemos, al que le vamos a generar el certificado. Pulsamos en «Inscribir»,

Y nada, podemos seguir solicitando otros certificados para otros usuarios, o antes exportar el certificado que nos ha generado en formato PFX para luego importarlo en el SmartCard.

 

Instalación del certificado en el SmartCard y a probarlo!

Llegó la hora de guardar el certificado que nos ha generado el Directorio Activo en la tarjeta inteligente o SmartCard.

 

En mi caso particular uso el Importador de certificados de la FNMT que es un software que os podréis descargar, y por si alguién tiene dudas, sí, en una tarjeta puedes meter más de 1 certificado, podrás meter el certificado de otros usuarios del AD, como tu usuario con privilegios administrativos, u otros como el de representante de alguna sociedad, el de la FNMT por supuesto…

 

Ahora, en cualquier equipo Windows 10, Windows 11 que tengamos en dominio, será tan sencillo como introducir el smart card en el lector de tarjetas y meter el PIN de la tarjeta para acceder. En Opciones de inicio de sesión nos saldrá el icono del medio al detectarnos el un certificado válido para loguearnos, si tuvieramos otros certificados saldrían más iconos de esos.

 

También los podremos usar al conectarnos por Escritorio remoto a nuestros servidores,

 

Y una cosa muy importante, si queremos que en cuanto se saque la tarjeta del dispositivo se bloqueé la sesión del usuario, podremos crear una GPO donde haremos 2 cosas, (i) indicar en Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad > Inicio de sesión interactivo > Habilitaremos la directiva ‘Inicio de sesión interactivo: comportamiento de extracción de la tarjeta inteligente», indicando en este caso ‘Bloquear la estación de trabajo’, tenemos otras opciones como cerrar la sesión… Y (ii) debemos tener en cuenta que el servicio «Directiva de extracción de tarjetas inteligentes» debe estar como ‘Automático ‘e ‘Iniciado’, así que en la misma GPO que aplicaremos a nuestros equipos en Preferencias > Configuración del Panel de control > Servicios > Lo añadimos e indicamos dichas configuraciones.

 

Y con esto listo! Ya podremos generar tantos certificados cómo necesitemos, grabarlos en nuestras smart cards e incluso personalizarlos y darles un toque corporativo! Como siempre, espero que a algún alma pueda interesarle y venirle bien. Es una forma de ir securizando nuestra organización y quitar accesos sin contraseñas, ni tokens…

 

Un abrazo!

 

Héctor Herrero