Instalando certificados para nuestros usuarios mediante GPO

Print Friendly, PDF & Email

En cualquier organización, nuestros usuarios necesitan certificados para acceder a ciertas webs, sea para su propia autenticación o en nombre de su empresa. Lo más normal qué suele ser? instalar el certificado en el equipo con el usuario logueado, el cual es un proceso manual y que tenemos que tener en cuenta cuando entra una persona nueva en la organización, o cuando tenemos que renovar un certificado, tenemos que hacer este proceso tantas veces sean necesarias. Bueno pues podemos ayudarnos de las directivas de nuestro Directorio Activo para asignar certificados a usuarios de forma totalmente automatica.

Lo dicho, en este documento veremos cómo importar de forma automática un certificado a un usuario de nuestro Directorio Activo, en su almacén “Personal” para que pueda usarlo navegando con Internet Explorer (por ejemplo) y pueda acceder a webs que le requieran dicho certificado instalado. Necesitamos primero la librería capicom.dll que la podemos bajar de AKI o de la web de Microsoft (habría que instalar el MSI para obtener la DLL de %Program Files%Microsoft CAPICOM 2.1.0.2 SDKLibX86). Necesitamos también un script llamado CStore.vbs que lo podemos bajar de AKI o del enlace anterior de la web de Microsoft (En %Program Files%Microsoft CAPICOM 2.1.0.2 SDKSamplesvbs).

El proceso es sencillo, primero tenemos que copiar la libreria capicom.dll a %windir%system32 de los equipos, después la registramos (en silencio) y por último ejecutamos el visual basic script (vbs) ese para importar el certificado indicando la contraseña que tenga. Todo esto lo guardamos en un archivo .cmd que será el que los usuarios ejecuten cuando inicien sesión en sus equipos de forma automática, rápida y transparente. Con lo que conseguimos tener controlados los certificados que tenemos en la organización!

Creamos un directorio en un servidor donde guardaremos todos los ficheros juntos, la compartiremos con acceso a todos los usuarios con sólo lectura y asignaremos la GPO a dicho .cmd.

Ejemplo de “Importa Certificado Usuario RRHH.cmd”

[sourcecode]copy \\servidor\certificados\capicom.dll %windir%\System32 /y
regsvr32 /s %windir%\System32\capicom.dll
cscript \\servidor\certificados\CStore.vbs import “RUTA_UNC_DEL_CERTIFICADO\Certificado.pfx” CONTRASEÑA_DEL_CERTIFICADO[/sourcecode]

Creamos una GPO y lo asignamos a la Unidad Organizativa que nos interesa que tengan este certificado, haremos esto tantas veces nos interese con nuestros certificados/departamentos. En “Configuración de usuario” > “Configuración de Windows” > “Secuencia de comandos” >”Inicio de sesión”.

Si queremos desregistrar la dll al finalizar el proceso podremos utilizar: ‘regsvr32 /u /s capicom.dll. Si queremos eliminar un certificado (ojo! si tenemos la clave privada, se mantendrá) ejecutaremos: ‘cscript RUTACStore.vbs delete -delkey -noprompt -subject ASUNTO_DEL_CERTIFICADO.

Si prefieres descargarte los ficheros necesarios, te los dejo aquí: capicom.dll & CStore.vbs.

Posts recomendados

Autor

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir ;) . Disfrutar de los documentos!!!