El Servicio de certificado de salud del dispositivo es una característica que mejora la seguridad de los dispositivos al verificar la integridad de un sistema durante el inicio. El uso del servicio como servidor permite a las organizaciones administrar y monitorear la salud del dispositivo en su red, y garantiza el cumplimiento de las políticas de seguridad. En este artículo, caminaremos por cómo Ejecute el servicio de certificación de salud del dispositivo como servidor en Windows 11/10.
Cómo ejecutar el certificado de salud del dispositivo como servidor en Windows 11/10
Si desea instalar y ejecutar la certificación de salud del dispositivo como servidor en Windows 11/10, siga los pasos mencionados a continuación.
- Verificar los requisitos previos
- Instalar rol de DHA
- Agregue el certificado SSL a la tienda de certificados
- Extraiga el certificado de raíces TPM e instale el paquete de certificado de confianza
- Configurar el servicio DHA
- Verifique la configuración
Comencemos con la guía.
1]Verifique los requisitos previos
Primero, asegúrese de que el sistema cumpla con los requisitos para utilizar la función de certificación de salud. Los requisitos previos enfatizan el uso de la versión previa técnica de Windows Server 5 o posterior con experiencia en escritorio, junto con dispositivos de clientes equipados con TPM versión 1.2 o 2.0. Además, la configuración requiere certificados específicos, incluidos SSL, firma y cifrado, y admite modos de validación de certificados como Ekcert y Aikcert. A continuación, vamos a instalar el rol de DHA.
2]Instale el rol de DHA
Dado que el rol de DHA no está preinstalado en el servidor, lo instalaremos y lo agregaremos al servidor de Windows usando el Administrador del servidor. Siga los pasos mencionados a continuación para hacer lo mismo.
- Abierto Manager del servidor, seleccionar Administrar, y hacer clic Agregue roles y características.
- Presione el botón Siguiente, y en la siguiente ventana, seleccione Instalación basada en roles o basada en funciones en el Tipo de instalación pestaña y presione a continuación.
- En la pestaña Selección del servidor, seleccione el servidor en el grupo de servidores, presione Siguiente y muévase a la página Seleccionar roles del servidor.
- Revise el Certificado de salud del dispositivo Cuadro, presione el botón Siguiente hasta que llegue a la página de confirmación de instalación y luego haga clic en el botón Instalar.
Complete el proceso de instalación y presione el botón Cerrar cuando esté listo.
3]Agregue el certificado SSL a la tienda de certificados
Después de instalar el papel DHA en el servidor de Windows, el siguiente paso es importar el certificado SSL. Para hacerlo, siga los pasos mencionados a continuación.
- Navegue a la ubicación donde se encuentra el archivo de certificado SSL, ábralo y seleccione el usuario actual en la opción Ubicación de la tienda.
- Haga clic en el botón Siguiente, ingrese una contraseña, marque el cuadro de inclusión de todas las propiedades extendidas, haga clic en Siguiente y presione el botón Sí cuando se le solicite.
- Una vez hecho, inicie el cuadro de diálogo Ejecutar, escriba MMCy golpea enter.
- Haga clic en el menú Archivo, seleccione Agregar/ eliminar Snap-in y haga clic en el Agregar opción.
- Presione a continuación y luego seleccione Mi cuenta de usuario o Cuenta de servicio y presione el siguiente botón.
- A continuación, ve a la Gerente de servidorhaga clic en IIS y haga clic en Certificados de servidor.
- Seleccione la opción Importar desde el menú Acción, explore el archivo del certificado SSL, ingrese la contraseña de la clave privada y complete el proceso de importación.
- Una vez más, inicie el cuadro de diálogo Ejecutar, escriba y abra MMC, y haga clic en la opción de archivo.
- Haga clic en el Agregar/eliminar Snap-In opción, seleccione el certificado del Sección de Snap-Ins disponibley agréguelo a la opción Snap-Ins seleccionada.
- Marcar el Mi cuenta de usuario Opción, seleccione el certificado y presione OK.
- Haga doble clic en el certificado, vaya a la pestaña Detalles y desplácese hacia abajo para encontrar el certificado de huella digital.
Ahora, copie el certificado de huella digital y péguelo en un archivo.
El siguiente paso es instalar los certificados de firma y cifrado. Para hacerlo, ejecute el siguiente comando.
Nota: Asegúrese de reemplazar ‘reemplazar con thumprint’ con la huella digital que ahorramos antes.
$key = Get-ChildItem Cert:LocalMachineMy | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}
$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keypath = $env:ProgramData + "MicrosoftCryptoRSAMachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R
4]Extraiga el certificado de raíces TPM e instale el paquete de certificado TRSUTE
Una vez que haya completado el certificado SSL, descargará los paquetes de certificado TPM. Para hacerlo, ejecute el siguiente comando en la interfaz de línea de comandos de su servidor de Windows.
mkdir .TrustedTpm
expand -F:* .TrustedTpm.cab .TrustedTpm
cd .TrustedTpm
.setup.cmd
5]Configurar el servicio DHA
Por último, vamos a configurar el servicio DHA, configurar los modos de autenticación y configurar las políticas de la cadena de certificados. Asegúrese de ejecutar los comandos dados debajo del modo elevado del símbolo del sistema.
Para configurar el servicio DHA, ejecute el siguiente comando en el servidor de Windows para hacer lo mismo.
Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint
-SigningCertificateThumbprint ReplaceWithThumbprint `
-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint `
-SupportedAuthenticationSchema "AikCertificate"
Para configurar la política de la cadena de certificados, ejecute el comando mencionado a continuación:
$policy = Get-DHASCertificateChainPolicy $policy.RevocationMode = "NoCheck"Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy
Seleccione sí o sí, todo a las indicaciones durante la configuración.
6]Verifique la configuración
Finalmente, ejecutaremos algunos comandos para verificar que el servicio DHA funcione según lo previsto.
Para verificar el certificado de firma activa: Get-DHASActiveSigningCertificate
Si está configurado correctamente, el comando mostrará el certificado de firma activa, su tipo (firma) y su huella digital.
Para activar el certificado de cifrado: Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force
Nota: Reemplace ‘reemplazarwithumprint’ con la huella digital del certificado de cifrado.
Para verificar si el certificado de cifrado está activo: Get-DHASActiveEncryptionCertificate
Si el certificado se activa, los usuarios verán la huella digital.
Para probar el servicio DHA, navegue a la siguiente URL:
https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1
Si el servicio se ejecuta correctamente, los usuarios verán el mensaje ‘Método no permitido’. Eso es todo. Esto asegura que el servicio DHA esté listo para el uso de producción.
El certificado de salud del dispositivo no está disponible, borre su TPM
Como se menciona en el mensaje de error, el error «La salud del dispositivo no está disponible» puede ocurrir debido a problemas con el módulo de plataforma de confianza (TPM). Limpiar el TPM puede resolver el problema. Para eliminarlo, abra el cuadro de diálogo Ejecutar, escriba TPM.MSC y haga clic en el botón Aceptar para abrir la ventana de administración TPM. En la consola, navegue a la sección Acciones, seleccione la opción Borrar TPM … y luego haga clic en el botón Reiniciar. Esto restablecerá el TPM a su fase predeterminada. Con suerte, esto resolverá el problema.
El certificado de salud del dispositivo no es compatible con este dispositivo
Si ve el mensaje de error ‘El certificado de salud del dispositivo no es compatible con este dispositivo‘, indica que su sistema no cumple con los requisitos para funcionar el servicio DHA correctamente. Para evitar tales situaciones, consulte el requisito previo mencionado anteriormente en la publicación.