Cómo instalar de forma automática un certificado digital en todos los equipos de un dominio, mediante directiva. Esto será útil cuando tenemos algún dispositivo de seguridad perimetral (tipo Fortigate, Sophos XG, SonicWall, Check Point, Paloalto, etc.) que, para el descubrimiento y análisis de tráfico TLS (HTTPS) necesita un certificado en el lado del cliente para poder romper el túnel, analizar el tráfico y volver a «rearmarlo».

Requisitos para instalar certificado digital en todos los equipos de un dominio por directva

Dispondremos de un dominio AD DS (Active Directory Domain Services), como indicamos en este artículo:

Todos los equipos estarán agregados al dominio, como indicamos en este artículo:

Dispondremos el fichero del certificado digital a instalar, del tipo: fortinet_ca_sslproxy.cer. Este certificado suele poder descargarse desde el dispositivo de seguridad perimetral o bien desde su web oficial. Suele tener extensión .cer.

Crear directiva de seguridad para instalar certificado raíz de confianza en todos los equipos del dominio

Desde uno de los controladores del dominio, abriremos la herramienta «Editor de administración de directivas de grupo» (gpmc.msc). Pulsaremos con el botón derecho del ratón sobre «Objetos de directiva de grupo», elegiremos «Nuevo»:

Introduciremos un nombre descriptivo para la directiva, dado que podremos tener muchas, por ejemplo «Certificado para navegación Fortigate»:

Accederemos a la rama «Configuración del equipo» [1], «Directivas» [2], «Configuración de Windows» [3], «Configuración de seguridad» [4], «Directivas de clave pública» [5]. Y pulsaremos con el botón derecho del ratón sobre «Entidades de certificación raíz de confianza» [6]. En el menú emergente elegiremos «Importar…» [7]:

Crear directiva de seguridad para instalar certificado raíz de confianza en todos los equipos del dominio

Elegiremos el fichero .cer obtenido del dispositivo de seguridad perimetal o filtrado de contenidos web (antivirus, XDR, EDR, etc.):

Crear directiva de seguridad para instalar certificado raíz de confianza en todos los equipos del dominio

Por defecto, colocará el certificado en «Entidades de certificación raíz de confianza». Pulsaremos «Siguiente»:

Crear directiva de seguridad para instalar certificado raíz de confianza en todos los equipos del dominio

Pulsaremos «Finalizar»:

Crear directiva de seguridad para instalar certificado raíz de confianza en todos los equipos del dominio

Mostrará el mensaje «La importación se completó correctamente.»

Crear directiva de seguridad para instalar certificado raíz de confianza en todos los equipos del dominio

Asignar directiva de seguridad que instala certificado a un grupo de equipos

Una vez creada la directiva, para que se aplique, deberemos asignarla a una o varias unidades organizativas. De esta forma se aplicará a los objetos contenidos en dichas unidades organizativas. Desde el «Editor de administración de directivas de grupo» (gpmc.msc), pulsaremos con el botón derecho del ratón sobre la Unidad Organizativa a la que queramos aplicar la directiva creada anteriormente, elegiremos «Vincular un GPO existente…»:

Asignar directiva de seguridad que instala certificado a un grupo de equipos

Seleccionaremos la directiva creada anteriormente (en nuestro caso «Certificado para navegación Fortigate» y pulsaremos «Aceptar»:

Asignar directiva de seguridad que instala certificado a un grupo de equipos

A partir de ahora la directiva quedará vinculada a todos los equipos/usuarios que haya en la unidad organizativa elegida.

Asignar directiva de seguridad que instala certificado a un grupo de equipos

En función del tipo de directiva, puede que tarde varios minutos en aplicarse. Además, en este caso, al tratarse de una directiva en la rama de Computer (Configuración del equipo), hasta que los equipos cliente no se reinicien no se aplicará.

Una vez aplicada la directiva, en el almacén de certificados raíz de confianza de los equipos aparecerá el nuevo certificado.

Asignar directiva de seguridad que instala certificado a un grupo de equipos