Administración de las confianzas de certificados
Los certificados desempeñan un papel fundamental en la protección y validación de la autenticación y otras tareas relacionadas con la seguridad. Uno de los principios básicos que habilitan estas capacidades es una confianza de certificado. Para que un certificado sea efectivo, cada usuario, dispositivo o aplicación que lo use debe confiar en la CA que lo emitió.
¿Qué es un certificado de confianza?
Cuando se usan certificados, es importante tener en cuenta quién o qué puede necesitar evaluar su autenticidad y validez. Existen tres tipos de certificados que puede usar:
- Certificados internos de una entidad de certificación organizativa, como un servidor que hospede el rol de AD CS.
- Certificados externos de una entidad de certificación pública como, por ejemplo, una organización que proporciona servicios de identidad o software de ciberseguridad comerciales.
- Un certificado autofirmado.
Si implementa una CA raíz de empresa y la usa para inscribir certificados en los dispositivos unidos a un dominio de los usuarios, estos dispositivos aceptarán los certificados inscritos como de confianza. Sin embargo, cualquier dispositivo de grupo de trabajo considerará los mismos certificados que no son de confianza. Para resolver este problema, puede realizar lo siguiente:
- Obtener certificados públicos de una CA externa para los dispositivos de grupo de trabajo. Tenga en cuenta que esto incluye un costo adicional de los certificados públicos.
- Configure los dispositivos del grupo de trabajo para que confíen en la CA raíz de la empresa. Esta opción requiere configuración adicional.
Administración de certificados y confianzas de certificados en Windows
Puede administrar los certificados que se almacenan en el sistema operativo Windows mediante una variedad de herramientas, incluido Windows Admin Center, el complemento de certificados de Microsoft Management Console, Windows PowerShell y la herramienta de línea de comandos certutil. Cada una de ellas proporciona acceso a los almacenes de certificados del usuario actual, el equipo local y sus servicios. Cada almacén consta de varias carpetas, entre las que se incluyen:
Tienda
Descripción
Personal
Contiene certificados emitidos para el usuario local, el equipo local o su servicio, según el almacén seleccionado.
Entidades de certificación raíz de confianza
Contiene certificados de entidades de certificación raíz de confianza.
Confianza empresarial
Contiene listas de certificados de confianza para implementar confianzas de certificados autofirmados de otras organizaciones.
Entidades de certificación intermedias
Contiene certificados emitidos para entidades de certificación subordinadas en la jerarquía de certificados.
Para asegurarse de que los dispositivos del grupo de trabajo confíen en la CA raíz de la empresa, exporte su certificado desde la carpeta Entidades de certificación raíz de confianza en un equipo unido a un dominio e impórtelo en la misma carpeta de estos dispositivos.
Nota:
Como alternativa, puede obtener el certificado de la CA raíz de la empresa del recurso compartido CertEnroll en el servidor que hospeda ese rol.
Creación de un certificado autofirmado con fines de prueba
Aunque los certificados autofirmados no son adecuados para los escenarios de producción, pueden ser útiles para realizar pruebas. Puede usar el cmdlet de Windows PowerShell New-SelfSignedCertificate para crear un certificado autofirmado. Si incluye el parámetro CloneCert y proporciona un certificado existente, el nuevo tendrá la configuración correspondiente, con la excepción de la clave pública. En su lugar, el cmdlet creará una nueva clave con el mismo algoritmo y longitud.
En el ejemplo siguiente se crea un certificado de servidor SSL autofirmado en el almacén personal de la máquina local con el nombre alternativo del sujeto establecido en www.fabrikam.com, www.contoso.com y el nombre del emisor y el asunto establecidos en www.fabrikam.com.
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"