Cómo distribuir certificados con GPO en Active Directory

En muchos entornos de dominio necesitamos que todos los equipos confíen en ciertos certificados:
de nuestra CA raíz interna, un certificado intermedio o el certificado de un proxy, firewall, etc.
La forma más ordenada de hacerlo en Windows es usando Group Policy Objects (GPO).

¿Qué queremos lograr?

El objetivo típico es que todos los equipos del dominio (o los de una OU específica) confíen en un certificado sin
tener que instalarlo equipo por equipo. Los casos más comunes:

Distribuir el certificado Trusted Root CA (raíz de confianza) de tu PKI interna.
Distribuir certificados de Autoridad Intermedia.
Confiar en el certificado de un proxy, firewall o appliance que hace inspección SSL.

Para esto usaremos una GPO aplicada a nivel de equipo (Computer Configuration).

Requisitos previos

Un controlador de dominio o servidor con la consola de Group Policy Management instalada.
Uno o más archivos de certificado en formato .cer, .crt o .p7b (sin llave privada).
Permisos para crear y editar GPOs en el dominio u OU correspondiente.

Importante: para distribuir confianza normalmente no necesitas un .pfx. Basta el certificado público (.cer).

Paso 1: preparar los certificados

Copia tus certificados (por ejemplo root.cer y intermedio.cer) a una carpeta del servidor de administración. Puede ser el escritorio del servidor o un recurso compartido, por ejemplo \\servidor\share\certs.
Verifica que no son .pfx. Un .pfx incluye la llave privada y contraseña.

Paso 2: crear la GPO para distribuir certificados

Abre la consola de Group Policy Management:
- Inicio → escribe gpmc.msc → Enter
En el panel izquierdo, expande tu bosque y tu dominio.
Decide dónde quieres aplicar la GPO:
- Para todos los equipos del dominio: clic derecho sobre el nombre del dominio → Create a GPO in this domain, and Link it here…
- Para una OU específica de equipos: clic derecho sobre la OU → Create a GPO in this domain, and Link it here…
Asigna un nombre descriptivo, por ejemplo: “GPO – Distribución de certificados – Equipos”.

Paso 3: importar certificados .cer en la GPO

Ahora vamos a editar la GPO para que los certificados se importen en el almacén de certificados del equipo.

En Group Policy Management, clic derecho sobre la GPO creada → Edit…

Navega hasta:

Computer Configuration → Policies → Windows Settings → Security Settings → Public Key Policies

Aquí verás varios almacenes de certificados. Los más importantes para este escenario:

Trusted Root Certification Authorities (certificados raíz de confianza).
Intermediate Certification Authorities (certificados intermedios).

3.1. Importar un certificado raíz

Dentro de Trusted Root Certification Authorities, haz clic derecho en Certificates → Import…
Se abre el Certificate Import Wizard:
1. Clic en Next.
2. Clic en Browse… y selecciona tu archivo de certificado raíz (root.cer o similar).
3. Clic en Next.
4. Verifica que la opción sea Place all certificates in the following store y que el almacén sea Trusted Root Certification Authorities.
5. Clic en Next y luego en Finish.
Confirma que el certificado ahora aparece en la lista.

3.2. Importar un certificado intermedio

Dentro de Intermediate Certification Authorities, clic derecho en Certificates → Import…
Repite el asistente, esta vez seleccionando tu certificado intermedio (intermedio.cer, por ejemplo) y verificando que se importe en el almacén Intermediate Certification Authorities.
Al finalizar, el certificado debe aparecer en la lista.

Si tus dos certificados son raíces, impórtalos ambos en Trusted Root Certification Authorities.
Si uno es raíz y otro intermedio, distribúyelos en cada almacén correspondiente.

Paso 4: alcance y filtrado de seguridad del GPO

Por defecto, el GPO tendrá en Security Filtering el grupo Authenticated Users. Eso significa que se aplicará a todos los equipos y usuarios autenticados dentro del ámbito donde esté vinculado.

Si quieres que solo aplique a ciertos equipos:

Crea un grupo de seguridad, por ejemplo GRP_Equipos_Certificados.
Agrega ahí las cuentas de equipo (o grupos de equipos) que deben recibir los certificados.
En el GPO:
- Quita Authenticated Users del Security Filtering.
- Agrega el grupo GRP_Equipos_Certificados.
En la pestaña Delegation, verifica que este grupo tenga permisos de Read y Apply group policy.

Paso 5: forzar la actualización y verificar en un cliente

5.1. Forzar actualización de políticas

En un equipo del dominio que deba recibir los certificados, abre CMD o PowerShell como administrador.
Ejecuta:
```
gpupdate /force
```
Espera a que el comando termine.

5.2. Verificar que el certificado llegó

En el mismo equipo cliente, ejecuta mmc.exe.
Menú File → Add/Remove Snap-in….
Selecciona Certificates → clic en Add.
Elige Computer account → Next → Local computer → Finish → OK.
En el panel izquierdo, navega a:
- Certificates (Local Computer) → Trusted Root Certification Authorities → Certificates
- y/o Certificates (Local Computer) → Intermediate Certification Authorities → Certificates
Busca tus certificados por nombre. Si aparecen, la GPO está funcionando correctamente.

Buenas prácticas y recomendaciones finales

Usa GPO para distribuir certificados públicos (.cer) en almacenes de Trusted Root e Intermediate.
Evita distribuir .pfx por GPO. Si no tienes otra opción, limita al máximo quién puede leer los scripts y comparte esa solución solo como temporal.
Si vas a usar certificados de cliente/servidor de forma masiva, invierte tiempo en montar una CA de Active Directory y configurar auto-enrollment.
Documenta tus GPO: qué certificados distribuyen, a qué OUs y desde qué fecha.
Antes de aplicar la GPO a todo el dominio, pruébala en una OU de pruebas con unos pocos equipos.

Con estos pasos tendrás un entorno más ordenado, seguro y fácil de administrar a largo plazo, sin depender de instalaciones manuales ni compartir archivos .pfx con contraseña.

Para más detalle técnico, puedes revisar la guía oficial de Microsoft:

Distribute certificates to Windows devices by using Group Policy
.