Configurar usuario KRA
En este post explicaré como configurar un usuario KRA (Key Recovery Agent), este tipo de usuarios es útil cuando queremos recuperar claves de usuarios que previamente estén almacenadas en el AD ya sea por motivos de seguridad o por que hemos olvidado la contraseña.
Lo primero que necesitamos hacer es instalar el rol de «Active Directory Certificate Services» y crear un usuario en AD que será utilizado como KRA.
A continuación abriremos nuestra Autoridad Certificadora, y seleccionaremos la plantilla de KRA (Key Recovery Agent) y la editamos; entramos en la pestaña Security, añadimos al usuario y habilitamos los permisos de «Read & Enroll. Una vez realizadas estas configuraciones desde «Certificate Templates» hacemos click derecho «New Certificate to issue» y emitimos el certificado.
El usuario KRA solo podrá recuperar las claves si están almacenadas en el AD. Para ello abrimos nuestra Autoridad Certificadora y editamos una plantilla y en la pestaña «Recovery Agent» activamos la opción de archivar las claves y ponemos al usuario KRA. Una vez realizado esto desde la plantilla tenemos que hacer click derecho y seleccionar la opción «Reenroll all certificates Holders» para que a partir de este momento pueda recuperar las claves de los certificados que se emitan. Los certificados anteriores no se podrán recuperar ya que no están almacenados en el AD.
Autor:Julio Iván Méndez González
Curso: Microsoft MCSA Windows Server + Microsoft MCSE Cloud Platform & Infrastructure
Año académico: 2018-2019
Centro: Tajamar