Diseño e implementación de AD CS

Completado

Es fundamental asegurarse de que diseña la entidad de certificación interna de la manera óptima. El diseño tendrá importantes implicaciones en cuanto a los aspectos operativos y de seguridad de su entorno PKI.

Diseño de una jerarquía basada en AD CS

Antes de implementar AD CS, debe diseñar primero la jerarquía de CA. Como parte del diseño, debe decidir el número de niveles de CA que necesita y cuál será el propósito de la CA en cada nivel. No se recomienda crear una jerarquía de CA más allá de tres niveles, a menos que esté en un entorno complejo, muy seguro o distribuido. Normalmente, las jerarquías de CA tienen dos niveles, con la CA raíz en el nivel superior y una CA emisora subordinada en el segundo nivel. Igualmente, se usa la entidad de certificación raíz para crear la jerarquía de CA. En tal caso, la CA raíz permanece sin conexión mientras se usa la CA subordinada para emitir y administrar certificados.

Nota:

Recuerde que una jerarquía de CA de varios niveles no es obligatoria. En entornos más pequeños y menos complejos, solo puede implementar una CA raíz. En tal caso, la CA raíz también proporciona funciones de emisión y administración de certificados.

Algunos diseños más complejos de CA incluyen:

• Las jerarquías de CA con una entidad de certificación de directivas. Las entidades de certificación de directivas son entidades de certificación subordinadas que residen directamente en la CA raíz y por encima de otras, que son las entidades de certificación subordinadas en una jerarquía de CA. Las CA de directiva se usan para emitir certificados de entidad de certificación a sus CA subordinadas. Los certificados de CA reflejan las directivas y los procedimientos que implementa una organización para proteger su PKI, los procesos que validan la identidad de los titulares de certificados y los procesos que aplican los procedimientos que administran los certificados. Una CA de directiva emite el certificado solo a otras CA. Las CA que reciben estos certificados deben preservar y aplicar las directivas que defina la CA de directiva. El uso de las entidades de certificación de directivas no es obligatorio a menos que distintas divisiones, sectores o ubicaciones de la organización requieran procedimientos y directivas de emisión diferentes. Por ejemplo, una organización puede implementar una entidad de certificación de directivas para todos los certificados que emite internamente a los empleados, y otra entidad de certificación de directivas puede hacerlo con todos los certificados que emite a los contratistas.
• Jerarquías de CA con una confianza entre certificados. En este escenario, dos jerarquías de CA independientes interoperan cuando una CA de una jerarquía emite un certificado de CA con certificación cruzada a una CA de otra jerarquía. Al hacerlo, se establece una relación de confianza mutua entre las distintas jerarquías de CA.

Entidades de certificación independientes y empresariales

Al usar AD CS, puede implementar dos tipos de entidades de certificación: independiente y empresarial. Estos tipos de entidades de certificación no solo se encuentran en la jerarquía, sino también en la funcionalidad y la integración con AD DS. Una CA independiente no depende de AD DS. Una CA empresarial requiere AD DS para proporcionar funcionalidades adicionales, como la inscripción automática. La inscripción automática permite que los usuarios del dominio y los dispositivos unidos a este se inscriban automáticamente en los certificados después de habilitar la inscripción automática de certificados a través de la directiva de grupo.

En la tabla siguiente se detallan las diferencias más importantes entre las CA de empresa y las independientes.

Característica

CA independiente

CA empresarial

Uso típico

Normalmente, se usa una CA independiente para las CA sin conexión.

Normalmente, se usa una CA empresarial para emitir certificados a usuarios, equipos y servicios. No se puede usar como una CA sin conexión.

Dependencias de AD DS

Una CA independiente no depende de AD DS.

Una CA de empresa usa AD DS como su base de datos de registro y configuración. Una CA de empresa también usa AD DS para publicar certificados y sus metadatos.

Métodos de solicitud de certificados

Los usuarios solo pueden solicitar certificados de una CA independiente mediante un procedimiento manual o una inscripción web.

Los usuarios pueden solicitar certificados de una CA de empresa mediante una inscripción manual, una inscripción web, una inscripción automática, una inscripción en nombre del usuario y los servicios web.

Métodos de emisión de certificados

Un administrador de CA debe aprobar todas las solicitudes manualmente.

La CA puede emitir certificados o denegar la emisión de estos automáticamente, en función de una configuración personalizada definida por el administrador de la CA.

Una entidad de certificación raíz de empresa es la opción más común al implementar una sola CA en un entorno de AD DS. Si implementa una jerarquía de dos niveles con una CA subordinada en un entorno de AD DS, considere la posibilidad de usar una entidad de certificación raíz independiente como entidad de certificación raíz. Esto le permite dejarla sin conexión sin que afecte al proceso de administración de certificados de los usuarios del dominio y de los dispositivos unidos a un dominio.

Otro aspecto que se debe tener en cuenta es el tipo de instalación del sistema operativo. Los escenarios de Experiencia de escritorio y de la instalación de Server Core admiten AD CS. Server Core minimiza la superficie que los piratas informáticos potencialmente malintencionados pueden usar, así como la sobrecarga de mantenimiento del sistema operativo, lo que la convierte en la opción óptima para AD CS en un entorno empresarial.

Además, debe tener en cuenta que no puede cambiar los nombres del equipo, el nombre de dominio o la pertenencia al dominio del equipo después de implementar una CA de cualquier tipo en dicho equipo. Por lo tanto, es importante configurar estos valores antes de la implementación.

También hay algunos puntos específicos a tener en cuenta para realizar la implementación de una entidad de certificación raíz independiente y sin conexión:

• Antes de emitir un certificado subordinado de la CA raíz, asegúrese de que proporciona al menos un punto de distribución de lista de revocación de certificados (CDP) y una ubicación de AIA que estén disponibles para todos los clientes. Esto se debe a que, de forma predeterminada, una entidad de certificación raíz independiente tiene el CDP y el AIA ubicados en sí misma. Por lo tanto, cuando se desconecta la CA raíz de la red, se producirá un error en una comprobación de revocación porque las ubicaciones de CDP y AIA serán inaccesibles. Al definir estas ubicaciones, debe copiar manualmente la información de la CRL y el AIA en esa ubicación.
• Establezca un período de validez para las CRL que la CA raíz publica en un período largo de tiempo; por ejemplo, un año. Esto significa que tendrá que activar la CA raíz una vez al año para publicar una nueva CRL y, a continuación, deberá copiarla en una ubicación que esté disponible para los clientes. Si no lo hace, también se producirá un error en las comprobaciones de revocación de todos los certificados después de que expire la CRL de la CA raíz.
• Utilice la directiva de grupo para publicar en todos los equipos cliente y de servidor el certificado de la CA raíz en un almacén de la CA raíz de confianza. Debe hacerlo manualmente porque una CA independiente no puede hacerlo automáticamente, a diferencia de una CA empresarial. También puede publicar el certificado de CA raíz en AD DS mediante la herramienta de línea de comandos de tipo certutil.

Demostración

En el video siguiente se muestra cómo:

• Configurar los requisitos previos para una CA raíz de empresa.
• Implementar una CA raíz de empresa.

Los pasos principales del proceso son:

1. Crear un entorno de AD DS. Crear un bosque de AD DS de dominio único.
2. Configurar los requisitos previos para una CA raíz de empresa. Instalar el rol del servidor y los servicios de rol del servidor necesarios.
3. Implementar una CA raíz de empresa. Configurar las opciones de la CA raíz de empresa.

---

Comprobación de conocimientos

1.

¿Cuál de las siguientes instrucciones con respecto a la instalación de la CA raíz de empresa de AD CS es correcta?

Puede modificar el algoritmo hash de la criptografía de la entidad de certificación.

Antes de ejecutar la instalación, tiene que crear una clave privada.

Al instalar la CA de empresa, debe incluir el Servicio web de inscripción de certificados en la instalación.

Debe responder todas las preguntas antes de comprobar su trabajo.