Exploración de los aspectos básicos de PKI y AD CS
Para obtener certificados para la infraestructura de AD DS, puede solicitarlos desde una entidad de certificación pública o emitirlos mediante su propia infraestructura. Para implementar su propia entidad de certificación, puede usar AD CS, que es la ruta de acceso que Contoso decidió tomar. AD CS es una tecnología de identidad de Windows Server que le permite implementar la PKI para su organización.
¿Qué es PKI?
PKI es la combinación de software, tecnologías de cifrado, procesos y servicios que permite a una organización proteger sus datos, comunicaciones y transacciones empresariales. PKI se basa en el intercambio de certificados digitales entre usuarios autenticados y recursos de confianza. Los certificados se usan para proteger los datos y para administrar las credenciales de identificación de usuarios y equipos dentro y fuera de la organización.
¿Qué es AD CS?
Puede implementar una solución PKI mediante el rol de Windows Server de AD CS. AD CS proporciona todos los componentes relacionados con PKI como servicios de rol. Cada servicio de rol es responsable de una parte específica de la infraestructura de certificados al trabajar conjuntamente para formar una solución completa.
El rol de AD CS incluye los siguientes servicios de rol:
Entidad de certificación. Los principales objetivos de las entidades de certificación son emitir certificados, revocarlos y publicar datos de acceso a la información de entidad emisora (AIA) y de revocación. La primera entidad de certificación que implemente se convertirá en la raíz de su PKI interna. Posteriormente, puede implementar entidades de certificación subordinadas y colocarlas dentro de la jerarquía de PKI, con la entidad de certificación raíz en su parte superior. Las entidades de certificación subordinadas confían implícitamente en la entidad de certificación raíz y, por implicación, los certificados que emite.
Nota:
Tiene la opción de implementar varias jerarquías internas de la entidad de certificación, cada una con su propia raíz.
Inscripción web de entidad de certificación. Este componente proporciona un método para emitir y renovar certificados en escenarios en los que los usuarios usan dispositivos que no están unidos al dominio o que ejecutan sistemas operativos que no sean Windows.
Servicio de respuesta en línea. Puede usar este componente para configurar y administrar la comprobación de la revocación y la validación del Protocolo de estado de certificados en línea (OCSP). El Respondedor en línea descodifica solicitudes de estado de revocación para certificados específicos, evalúa el estado de estos certificados y devuelve una respuesta firmada que contiene la información solicitada sobre el estado de los certificados.
Servicio de inscripción de dispositivos de red (NDES). Con este componente, los enrutadores, conmutadores y otros dispositivos de red pueden obtener certificados de AD CS.
Servicio web de inscripción de certificados (CES). Este componente funciona como cliente proxy entre un equipo que ejecuta Windows y la CA. CES permite que los usuarios, los equipos o las aplicaciones se conecten a una CA mediante el uso de servicios web para:
- Solicitar, renovar e instalar los certificados emitidos.
- Recuperar listas de revocación de certificados (CRL).
- Descargar un certificado raíz.
- Inscribirse a través de Internet o entre bosques.
- Renovar certificados automáticamente para equipos que forman parte de dominios de AD DS que no son de confianza o no están unidos a un dominio.
Servicio web de directivas de inscripción de certificados. Este componente permite a los usuarios obtener información de la directiva de inscripción de certificados. Combinado con CES, habilita la inscripción de certificados basada en directivas en escenarios en los que los dispositivos de usuario no están unidos al dominio o no se pueden conectar a un controlador de dominio.
