Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. PKI

¿Cómo extender la inscripción del certificado a otro bosque?

Publicado porHemant Bhatt 03 Minutos
Ampliar la inscripción del certificado a otro bosque
Tabla de contenido

Este blog analiza la inscripción al Certificado Cross Forest y los pasos necesarios para realizarlo.

¿Qué es la inscripción al Certificado Cross Forest?

  • Las empresas pueden crear una PKI central en un bosque de Servicios de dominio de Active Directory (AD DS) que emite certificados a miembros del dominio en otros bosques mediante la inscripción entre bosques.
  • Al combinar plantillas de certificados de muchos bosques en una única PKI que admita todos los bosques, las empresas con información actual por bosque Implementaciones de AD CS Puede reducir el número de CA.
  • Para ofrecer servicios de inscripción en todos los bosques, las empresas con configuraciones de múltiples bosques pero sin PKI pueden implementar AD CS en un solo bosque.

Requisitos previos

  • Existen fideicomisos forestales bidireccionales entre los bosques de cuentas y los bosques de recursos.
  • Una o más CA empresariales que se ejecutan en Windows Server.

Publicar la información de la CA raíz en otro bosque.

  1. Inicie sesión en un controlador de dominio en el bosque como miembro del grupo de administradores empresariales.
  2. Inserte la unidad USB que contiene el certificado publicado por la CA raíz y la CRL.
  3. Asegúrese de estar en el símbolo del sistema administrativo.
  4. En el símbolo del sistema, escriba “certutil -f -dspublish ” Root CA.crt” RootCA
  5. En el símbolo del sistema, escriba PKIView.msc y presione ENTER.
  6. Si aparece el cuadro de mensaje de pkiview, haga clic en Aceptar para aceptar el mensaje de error si se le solicita.
  7. En el árbol de la consola, haga clic con el botón derecho en Enterprise PKI y, a continuación, haga clic en Administrar contenedores de AD.
  8. En la pestaña Contenedor de autoridades de certificación, asegúrese de que aparezca RootCAName.
  9. En la pestaña Contenedor AIA, asegúrese de que aparezca RootCAName. Haga clic en Aceptar.

Publicar información de SubCA en la nueva partición de configuración de bosque (Servicios de inscripción y plantillas)

  1. Asegúrese de que New Forest tenga permisos/delegaciones configurados en CN=Servicios de clave pública, CN=Servicios, CN=Configuración, DC={dominio raíz del bosque}
  2. Desde los bosques existentes, modifique la tarea programada para actualizar PKIsync.cmd al nuevo bosque (se agregará una línea adicional a continuación)
    .\PKISync.ps1 -sourceForest RECURSO.LOCAL -targetforest cuenta.LOCAL -type Plantilla -cn ” <plantilla de certificado nombre común>. ” >> C:\Temp\CAScripts\PKSyncCorp.txt
  3. Ejecute la tarea programada “Replicación entre bosques de PKI”
  4. Inicie sesión en el bosque de destino, abra ADSIEDIT.msc > Conectarse a la partición de configuración N=Servicios de clave pública, CN=Servicios, CN=Configuración, DC={dominio raíz del bosque}
  5. Consulte Servicios de inscripción > Verificar si existen servidores PKI allí.
  6. Verificar plantillas de certificado > Verificar que existan plantillas de certificado de cliente allí

Nota: El comando anterior solo sincroniza plantillas específicas; usted puede elegir sincronizar contenedores completos.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Más Información

Publicar la información de SubCA en un nuevo bosque. 

  1. Abra un símbolo del sistema administrativo.
  2. En el símbolo del sistema, escriba USB: y luego presione ENTER.
  3. En el símbolo del sistema, escriba CD \CACerts y presione ENTER.
  4. En el símbolo del sistema, escriba certutil -dspublish -fnombre-archivo-cert-ca-empresarial.cer> SubCA y luego presione ENTER.
  5. En el símbolo del sistema, escriba certutil -dspublish -fnombre-archivo-cert-ca-empresarial.cer> NTAUthCA y luego presione ENTER.

Agregue información de SubCA al grupo de editores de certificados en New Forest. 

  1. Abra Usuarios y equipos de Active Directory.
  2. Conectarse al dominio necesario
  3. En el árbol de la consola, navegue hasta el contenedor CN=Users.

Nota: Si el grupo no está en el contenedor predeterminado, búsquelo dentro del dominio.

  • En el panel de detalles, haga doble clic en Editores de certificados.
  • En la pestaña General, asegúrese de que el alcance del grupo sea Dominio local.
  • Agregue servidores PKI del bosque como miembros.

Asignar permisos de bosque a plantillas de certificado

  1. Abrir autoridad de certificación de Active Directory.
  2. Buscar plantillas de certificado > Haga clic derecho > Administrar
  3. Busque las plantillas de certificado y vaya a sus propiedades
  4. Asignar usuarios/grupos/computadoras
  5. En la pestaña General, asegúrese de que el alcance del grupo sea Dominio local.
  6. Agregue servidores PKI del bosque como miembros.

Asignar permisos en CA para que el nuevo Forest pueda inscribir certificados

  1. Abra Certificado de Active Directory autoridad.
  2. Haga clic derecho en Nombre de CA > Elegir Propiedades
  3. Vaya a Seguridad > Agregar grupos de New Forest, que necesita inscribirse.
Referencias: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/ff955842(v=ws.10)

Descubra nuestra

Blogs relacionados

Reconstrucción de la postura criptográfica - PKI

La crisis silenciosa dentro de su PKI: cómo los equipos de seguridad inteligentes están reconstruyendo la postura criptográfica antes de que sea demasiado tarde.

25 de mayo de 2026
Comprensión y optimización de OCSP para PKI empresarial

Comprensión y optimización de OCSP para PKI empresarial

7 de mayo de 2026
Comprensión de los servicios de certificados de Active Directory

Comprensión de los contenedores de servicios de certificados de Active Directory

27 de Abril, 2026

Explorar

Más temas