Compartir a través de

Servicio de propagación de certificados

El servicio de propagación de certificados (CertPropSvc) es un servicio de Windows que se activa cuando un usuario inserta una tarjeta inteligente en un lector que está conectado al dispositivo. La acción hace que los certificados se lean desde la tarjeta inteligente. A continuación, los certificados se agregan al almacén personal del usuario. Las acciones del servicio de propagación de certificados se controlan mediante directiva de grupo. Para obtener más información, consulte Configuración de directiva de grupo y registro de tarjetas inteligentes.

Nota

El servicio de propagación de certificados debe ejecutarse para que funcione la Plug and Play de tarjeta inteligente.

En la ilustración siguiente se muestra el flujo del servicio de propagación de certificados. La acción comienza cuando un usuario que ha iniciado sesión inserta una tarjeta inteligente.

  1. La flecha etiquetada 1 indica que service Control Manager (SCM) notifica al servicio de propagación de certificados (CertPropSvc) cuando un usuario inicia sesión y CertPropSvc comienza a supervisar las tarjetas inteligentes en la sesión de usuario.

  2. La flecha con la etiqueta R representa la posibilidad de una sesión remota y el uso del redireccionamiento de tarjeta inteligente

  3. La flecha etiquetada 2 indica la certificación al lector

  4. La flecha etiquetada 3 indica el acceso al almacén de certificados durante la sesión de cliente.

    Servicio de propagación de certificados.

  5. Un usuario que ha iniciado sesión inserta una tarjeta inteligente

  6. CertPropSvc recibe una notificación de que se insertó una tarjeta inteligente.

  7. CertPropSvc lee todos los certificados de todas las tarjetas inteligentes insertadas. Los certificados se escriben en el almacén de certificados personal del usuario.

Nota

El servicio de propagación de certificados se inicia como una dependencia de Servicios de Escritorio remoto.

Las propiedades del servicio de propagación de certificados incluyen:

  • CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES agrega certificados al almacén personal de un usuario
  • Si el certificado tiene la CERT_ENROLLMENT_PROP_ID propiedad (tal como se define en wincrypt.h), filtra las solicitudes vacías y las coloca en el almacén de solicitudes del usuario actual, pero no las propaga al almacén personal del usuario.
  • El servicio no propaga ningún certificado de equipo al almacén personal de un usuario ni propaga certificados de usuario a un almacén de equipos
  • El servicio propaga los certificados según directiva de grupo opciones establecidas, que pueden incluir:
    • Activar la propagación de certificados desde la tarjeta inteligente especifica si se debe propagar el certificado de un usuario
    • Activar la propagación de certificados raíz desde la tarjeta inteligente especifica si se deben propagar los certificados raíz
    • Configurar la limpieza de certificados raíz especifica cómo se quitan los certificados raíz

Servicio de propagación de certificados raíz

La propagación de certificados raíz es responsable de los siguientes escenarios de implementación de tarjeta inteligente cuando aún no se ha establecido la confianza de la infraestructura de clave pública (PKI):

  • Unirse al dominio
  • Acceso a una red de forma remota

En ambos casos, el equipo no está unido a un dominio y, por lo tanto, la directiva de grupo no administra la confianza. Sin embargo, el objetivo es autenticarse en un servidor remoto, como el controlador de dominio. La propagación de certificados raíz proporciona la capacidad de usar la tarjeta inteligente para incluir la cadena de confianza que falta.

Cuando se inserta la tarjeta inteligente, el servicio de propagación de certificados propaga los certificados raíz de la tarjeta a los almacenes de certificados de equipo raíz de tarjeta inteligente de confianza. Este proceso establece una relación de confianza con los recursos empresariales. También puede usar una acción de limpieza posterior cuando se quite la tarjeta inteligente del usuario del lector o cuando el usuario cierre la sesión. Esto se puede configurar con la directiva de grupo. Para obtener más información, consulte Configuración de directiva de grupo y registro de tarjetas inteligentes.

Para obtener más información sobre los requisitos de certificado raíz, consulte Requisitos de certificado raíz de tarjeta inteligente para su uso con el inicio de sesión de dominio.

Ver también

Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows