Administración de la inscripción de certificado
El propósito de la entidad de certificación es permitir que los usuarios y los dispositivos se inscriban y utilicen certificados. Sin embargo, al igual que sucede con la implementación de CA, esto requiere una planeación y preparación cuidadosas que determinen el tipo de certificados que puede emitir una entidad de certificación.
¿Qué es un certificado?
Un certificado es un archivo pequeño que contiene varios fragmentos de información sobre su propietario. Estos datos pueden incluir la dirección de correo electrónico del propietario, el nombre del propietario, el tipo de uso del certificado, el período de validez y las direcciones URL de las ubicaciones de AIA y CDP.
Un certificado también contiene la clave pública y los metadatos correspondientes, que constan de una clave privada y la clave pública correspondiente. Puede usar estas claves en procesos de validación de identidades, firmas digitales y cifrado. El par de claves que genera cada certificado tiene las siguientes condiciones:
- Cuando el contenido se cifra con la clave pública, solo se puede descifrar con la clave privada.
- Cuando el contenido se cifra con la clave privada, solo se puede descifrar con la clave pública.
- No hay ninguna otra clave implicada en la relación entre las claves de un par de claves único.
- La clave privada no se puede derivar en una cantidad de tiempo razonable de una clave pública y viceversa.
Como parte del proceso de inscripción de certificados, el cliente genera el par de claves pública y privada. A continuación, el cliente envía la clave pública a la CA, que confirma la información del cliente, la firma con su propia clave privada y, a continuación, envía el certificado al cliente, que incluye la clave pública para este.
Nota:
Se podría decir que un certificado es similar a un permiso de conducir. Muchas empresas aceptan un permiso de conducir como forma de identificación porque consideran que el emisor de la licencia (una institución gubernamental) es de confianza. Dado que las empresas entienden el proceso por el que alguien puede obtener un permiso de conducir, estas confían en que el emisor ha comprobado la identidad del individuo antes de emitir el permiso. Por lo tanto, un permiso de conducir es aceptable como una forma de identificación válida. Una confianza de certificado se establece de manera similar.
¿Qué son las plantillas de certificado?
Las plantillas de certificado definen cómo los usuarios y los dispositivos pueden solicitar y usar certificados que emite una entidad de certificación empresarial y que están basados en esa plantilla. Por ejemplo, puede crear una plantilla que proporcione la funcionalidad de cifrado de archivos o la firma de correo electrónico. La CA usa AD DS para almacenar las plantillas que configure.
Importante
Tenga en cuenta que las plantillas de certificado solo están disponibles cuando se usa una CA empresarial. Esto significa que, con una CA independiente, cada solicitud de certificado debe crearse manualmente e incluir toda la información necesaria que se va a agregar en el certificado.
La CA proporciona plantillas para los usuarios y para los equipos. Puede asignar permisos a las plantillas de certificado para definir quién puede administrarlas, quién puede realizar la inscripción o la inscripción automática, y cuáles son los períodos de validez y renovación. Puede aplicar otras modificaciones mediante la duplicación de plantillas de certificado predefinidas. Para que las plantillas estén disponibles para los usuarios y los dispositivos, debe permitir explícitamente su uso.
Versiones de plantilla
La CA en Windows Server AD CS admite cuatro versiones de plantillas de certificado, con las siguientes diferencias funcionales:
- Plantillas de la versión 1. Estas plantillas le permiten modificar solo los permisos relacionados con los certificados. Al instalar una CA, se crean plantillas de certificado de la versión 1 de forma predeterminada.
- Plantillas de la versión 2. Con estas plantillas, puede personalizar valores de configuración adicionales, como los períodos de validez y renovación. Esta es también la versión mínima que admite la inscripción automática. La instalación predeterminada de AD CS proporciona varias plantillas preconfiguradas de la versión 2. Puede crear plantillas de la versión 2 o duplicar una plantilla de certificado de la versión 1 para crear una nueva plantilla de la versión 2.
- Plantillas de la versión 3. Las plantillas de certificado de la versión 3 admiten Cryptography Next Generation (CNG). CNG admite algoritmos criptográficos avanzados. Puede duplicar las plantillas predeterminadas de la versión 1 y la versión 2 para actualizarlas a la versión 3. Al usar las plantillas de certificado de la versión 3, puede usar el cifrado y los algoritmos hash de CNG para las solicitudes de certificado, los certificados emitidos y la protección de claves privadas para el intercambio de claves y los escenarios de archivo de claves.
- Plantillas de la versión 4. Las plantillas de certificado de la versión 4 admiten proveedores de servicios de cifrado (CSP) y proveedores de almacenamiento de claves. También puede configurarlos para requerir la renovación con la misma clave.
Demostración
En el video siguiente se muestra cómo:
- Crear una nueva plantilla basada en la plantilla del servidor web.
- Configurar plantillas para que se puedan emitir.
Los pasos principales del proceso son:
- Crear un entorno de AD DS. Crear un bosque de AD DS de dominio único.
- Implementar una CA raíz de empresa.
- Crear una plantilla de certificado personalizada. Use la consola de plantillas de certificado para duplicar la plantilla del servidor web.
- Configurar la plantilla para que se pueda emitir. Use la consola de la entidad de certificación para que la plantilla esté disponible para su uso.