Configurar un Enrollment Agent restringido

IMPORTANTE: Antes de comenzar el tutorial, debemos asegurarnos de cumplir los siguientes requisitos:

  • Debemos tener una CA Enterprise (para disponer de las plantillas de certificados). Si tienes una CA Standalone, no verás ninguna plantilla.
  • Necesitamos un Windows Server 2008 o superior. Cualquier versión por encima de ésta servirá.

En algunos escenarios empresariales, tenemos la necesidad de ceder tareas a otros usuarios, con el objetivo de hacer el trabajo más sencillo. Y esto también se puede aplicar a una Autoridad Certificadora (CA).

¿Qué es un Enrollment Agent?

Los Enrollment Agent son usuarios en los que depositamos ciertos permisos, dando la capacidad de entregar una serie de certificados a usuarios, grupos… etc.

Es vital planificar qué usuarios tendrán control sobre un rol tan importante. En algunas ocasiones, los Enrollment Agents deberán ser jefes de departamentos, o incluso de la propia empresa. Tampoco se ha de otorgar derecho pleno a todas las plantillas de certificados, o nos podemos encontrar con escenarios donde ciertos usuarios reciban certificados que no deberían tener.

Un dato de interés: como buena práctica, se recomienda no darle el permiso de Enrollment Agent a un usuario administrador. Este rol, en su mayor parte, está pensado para delegar tareas de administración a usuarios con menos competencias que un administrador. Por supuesto, dependerá del escenario y la empresa, pero su uso principal es ceder tareas a un usuario administrador, no crearle más.

Es importante entender los tres tipos de filtros de nuestra CA:

  • Enrollment Agents: filtro para seleccionar a los usuarios con permisos. (Quién puede otorgar certificados)
  • Certificate Templates: filtro para seleccionar las plantillas, que podrán ser otorgadas por los Enrollment Agents. (Cada Template tiene sus propios permisos)
  • Permissions: qué permisos tendrá la plantilla. (A qué usuarios estará permitido otorgar cada certificado)
Los tres tipos de permisos: Enrollment Agent

Como posible estrategia, se puede dar este rol a usuarios que cumplan funciones clave (y administren) parte de la empresa. Lo más importante (y lo que se está buscando) es repartir los roles que no sean obligatorios para un administrador. Por último, hay que compartir plantillas que vayan a requerir los usuarios, y no todos los certificados.

Los certificados emitidos por un Enrollment Agent tendrán la misma duración que la plantilla, junto a los mismos permisos. Si queremos cambiar alguna función, debemos duplicar la plantilla y cambiar la configuración allí, y después añadirla al Enrollment Agent. Y si algún grupo de la lista de «Permissions» ha cambiado drásticamente, se deberá plantear si tienen que mantenerse en el listado de permisos.

Lo más sencillo es, al final del día, evitar realizar grandes cambios una vez añadidos los Enrollment Agents, así como evitar trastear con plantillas de certificados en entornos de producción. O, de lo contrario, habrá que dedicarle atención y tiempo a esta misma sección, con todos los errores o quebraderos de cabeza que puedan (o han podido) surgir.

Es importante usar las herramientas que estén en nuestra mano, y en materia de certificados, esto puede ayudarnos en muchos escenarios.
Como siempre, lo más importante es la seguridad, ¡con que debemos usar todos estos métodos con responsabilidad!

Autor: Andrés Miguel Villarmín
Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure
Centro: Tajamar
Año académico: 2018-2019

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.