Windows Server: Cómo usar certificados de confianza con servicios de escritorio remoto

Summary: En este artículo, se muestra cómo configurar los servicios de escritorio remoto (RDS) para usar un certificado de confianza de una autoridad de certificación (CA) de terceros.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Varios componentes de RDS pueden usar certificados para proporcionar comunicaciones seguras. Se pueden usar certificados autofirmados, pero se deben instalar manualmente en los clientes para que sean de confianza. Los clientes confían automáticamente en los certificados emitidos por una CA de confianza, pero la configuración de RDS para usar estos certificados no es sencilla por dos razones:

  • No hay ningún mecanismo integrado dentro de RDS para crear una solicitud de firma de certificado (CSR).
  • Un certificado recibido de una CA se debe vincular a su clave privada antes de que RDS pueda usarlo.

En este artículo, se muestra cómo generar una CSR, utilizar el certificado emitido para completar la CSR y configurar RDS para que utilice el certificado.

Genere la CSR y envíela a la CA.

Nota: En los pasos siguientes, se utiliza Internet Information Services (IIS) Manager para generar y completar la CSR. La mayoría de las implementaciones de RDS tienen componentes de IIS instalados en al menos un servidor, para su uso por parte de Remote Desktop Web Access. IIS Manager proporciona una interfaz gráfica para realizar estos pasos, pero existen otras maneras de realizarlos, como el certreq comando.
  1. Inicie el Administrador de Internet Information Services (IIS) desde el menú Herramientas del Administrador del servidor.
  2. Seleccione el servidor en el panel izquierdo y haga doble clic en Server Certificates en el panel central.
  3. En el menú Acciones, seleccione Crear solicitud de certificado.
    Captura de pantalla de certificados del servidor en IIS Manager, con el enlace Figura 1: Haga clic en Crear solicitud de certificado para comenzar el proceso de creación de una CSR.
  4. Proporcione la información solicitada al asistente de CSR.
  5. Especifique un nombre de archivo y una ruta para la CSR y haga clic en Finalizar.
    Cuadro de diálogo que solicita un nombre de archivo y una ruta para la CSR 
    Figura 2: Especifique un nombre de archivo y una ruta para la solicitud de certificado.
  6. Envíe la CSR a la CA. El procedimiento para hacerlo no se puede documentar aquí, ya que depende de la CA.

 

Descargue el certificado, complete la CSR y expórtelo.

Nota: Es probable que el certificado emitido por la CA tenga un .cer o .crt extensión, pero RDS requiere un .pfx . Para convertir el certificado emitido en un .pfx archivo, vincúlelo a su clave privada con los siguientes pasos. IIS Manager se vuelve a utilizar aquí para realizar estos pasos, pero hay otros métodos.
  1. Descargue el certificado emitido por la CA en respuesta a la CSR.
  2. Inicie IIS Manager y vuelva a la sección Certificados del servidor .
  3. Haga clic en Completar solicitud de certificado.
    Captura de pantalla de certificados del servidor en el Administrador de IIS, con el enlace Figura 3: Haga clic en Completar solicitud de certificado para completar la CSR con el certificado emitido por la CA.
  4. Proporcione la ruta y el nombre de archivo del certificado, su nombre descriptivo y el almacén de certificados donde se debe almacenar. El nombre descriptivo puede ser lo que desee, y se prefiere la tienda Personal. Haga clic en Aceptar. Esto asocia el certificado con la clave privada que se creó junto con la CSR.
    Cuadro de diálogo en el que se solicita la ruta al certificado emitido por la CA, su nombre descriptivo y el almacén de certificados que lo contendrá 
    Figura 4: Especifique la ruta al certificado, su nombre descriptivo y un almacén de certificados.
  5. Haga doble clic en el certificado. Confirme la presencia de una clave privada correspondiente y haga clic en OK.
    Propiedades del certificado, que muestran que existe una clave privada correspondiente 
    Figura 5: Las propiedades del certificado, que indican la presencia de su clave privada
  6. Con el certificado seleccionado, haga clic en Exportar.
    Captura de pantalla de certificados del servidor en IIS Manager, con el enlace Figura 6: Haga clic en Exportar para exportar el certificado y su clave privada. 
  7. Proporcione un nombre de archivo y una ruta para el certificado exportado. Especifique una contraseña, confírmela y, a continuación, haga clic en Aceptar.
    Cuadro de diálogo en el que se solicita el nombre de archivo, la ruta y la contraseña del certificado exportado 
    Figura 7: Proporcione el nombre de archivo, la ruta y la contraseña del certificado exportado.

 

Configure RDS para utilizar el certificado.

  1. En la sección Servicios de escritorio remoto del Administrador del servidor, seleccione Editar propiedades de implementación.
    Captura de pantalla de los servicios de escritorio remoto en el administrador del servidor, donde se muestra el enlace  
    Figura 8: Haga clic en Editar propiedades de implementación para configurar el uso de certificados en RDS.
  2. En la ventana Propiedades, seleccione Certificados.
  3. Realice los siguientes pasos para cada servicio de roles:
    1. Seleccione el servicio de función y haga clic en Select existing certificate.
      Captura de pantalla de la sección Certificates de la ventana de propiedades de implementación de RDS, con el botón
      Figura 9: Haga clic en Select existing certificate a fin de especificar un certificado para cada servicio de función.  
    2. Con la opción Choose a different certificate seleccionada, proporcione la ruta al certificado exportado y su contraseña. Seleccione Permitir que el certificado se agregue al almacén de certificados de entidades de certificación raíz de confianza en los equipos de destino.
      Cuadro de diálogo en el que se solicita la ruta y la contraseña del certificado que se utilizará 
      Figura 10: Especifique la ruta y la contraseña del certificado utilizado y, a continuación, marque la casilla Permitir el certificado....
    3. Haga clic en Aceptar.
    4. Haga clic en Aplicar.
  4. Confirme que la columna Level muestre un estado de confianza para cada servicio de función y haga clic en OK.
    Captura de pantalla de la sección Certificates de la ventana de propiedades de implementación de RDS, en la que se muestra que todos los certificados son de confianza 
    Figura 11: Los certificados que utilizan todos los servicios de rol de RDS ahora son de confianza.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000273687
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.