> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/es/refuerza-tu-entorno/implement-certificates/deploying-user-certificates-within-the-active-directory.md).

# Implementación de certificados de usuario dentro de Active Directory

### Instalación del rol de Servicios de certificado de AD

Instale el **"Servicios de certificados de Active Directory"** rol en uno de sus servidores. Es importante señalar que un servidor que aloje este rol debe considerarse altamente sensible y debe contar con un nivel de protección y supervisión similar al de un controlador de dominio.

![](/files/2f808375786795af8f35082b9a50143f95abd6dc)

Siga las instrucciones de configuración de la autoridad de certificación según las necesidades de su empresa.

![](/files/cb438ba169613f119beafb52cc64e6750a595e29)

![](/files/1742bcaa65d9ff2bdf31faad365ad02415c1def4)

![](/files/075fb76d5b812cc052ca29598e14fb3d4aee9c72)

### Creación de una nueva plantilla de certificado

Abra el Administrador de certificados (certsrv) y la **"Plantillas de certificados"** carpeta.

![](/files/756f9cc3ca7f8bf2b9e276fb1960d819d4c02fb1)

Haga clic derecho en la **"Plantillas de certificados"** carpeta, seleccione **"Administrar"**, luego haga clic derecho en **"Usuario"** y, por último, seleccione **"Duplicar plantilla"**.

![](/files/f15db7772882cd9701b28ead0491a777b468bb7b)

Cambie el nombre de la plantilla recién creada a **"Usuario v2"**.

![](/files/e48c0f870d4ab9a91210e6bd7aa96a73ff9952fe)

En la **"Seguridad"** pestaña, habilite los permisos **"Leer"**, **"Inscribir"**, y **"Autoinscripción"** para los usuarios del dominio.

![](/files/fae2b7705d555e9dc441e0d344cc12529433abb4)

Si es necesario, la directiva de aplicación de esta nueva plantilla puede modificarse. En la mayoría de los casos, estos certificados se usarán para la autenticación de usuarios, así que verifique que la directiva de aplicación incluya **"Autenticación de cliente"**. Si lo desea, puede quitar otras directivas de aplicación.

![](/files/8eccfebe3d293361f7a1fa3b968ee01b29c7f419)

En la **"Administración de solicitudes"** pestaña, desmarque la opción **"Permitir que la clave privada se exporte"**.

![](/files/3bf92df4c37bd49c6f39ddce97b1ffbea9a8af13)

Confirme la creación de esta nueva plantilla.

Vuelva a la ventana de la Autoridad de certificación (certsrv), haga clic derecho en **"Plantillas de certificados"**, luego seleccione **"Nuevo"**, y por último **"Plantilla de certificado para emitir"**.

![](/files/b1e9ff184fad8fbfea69aa0b285d8bbff310bed9)

Seleccione la plantilla recién creada y haga clic en **Aceptar**.

La nueva plantilla debería aparecer ahora en la ventana actual.

![](/files/af564a2dfff55a36fcf6d92f44ff4d7cee766e4b)

### Habilitación de la autoinscripción para usuarios del dominio

Inicie sesión en un controlador de dominio y abra la **Administración de directivas de grupo** herramienta. Expanda el dominio para el que desea habilitar la autoinscripción y, a continuación, abra la **"Objetos de directiva de grupo"** carpeta. Haga clic derecho en **"Directiva de dominio predeterminada"** y haga clic en **"Editar"**.

![](/files/6a1c172c14e3e149034776912038e5f5c112a897)

Vaya a:\
\&#xNAN;**"Configuración de usuario" → "Directivas" → "Configuración de Windows" → "Configuración de seguridad" → "Directivas de clave pública"**, luego haga clic en **"Cliente de Servicios de certificados – Autoinscripción"**.

![](/files/5e2b7aaa1c901a1b977ed6a2868069c82e76735e)

Seleccione **"Habilitada"** para la **"Modelo de configuración"** opción y marque las dos primeras casillas:

* **"Renovar certificados caducados \[...]"**
* **"Actualizar certificados \[...]"**

![](/files/d7547d796362523567d4c9018ce9eeda9d6501c4)

Luego haga clic en **Aceptar**.

Simplemente haga clic en **Aceptar** de nuevo y cierre la GPO.

Desde una sesión de usuario del dominio, escriba **"gpupdate /force"** y espere a que se aplique la GPO. Entonces debería aparecer un certificado en su almacén de certificados. Si no es así, use el comando **"gpresult /r"** para asegurarse de que la GPO se ha aplicado correctamente.

En la imagen siguiente, el certificado del usuario **"Administrator"** es visible.

![](/files/02e57ab3a81035c363c74cb7239a1124d6aefeaf)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/es/refuerza-tu-entorno/implement-certificates/deploying-user-certificates-within-the-active-directory.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
