Requisitos previos y objetivos

1. Requisitos previos

Conocimiento básico de la administración de Windows Server 2016.

Conocimiento básico de la seguridad informática.

Conocimiento básico de los certificados digitales.

2. Objetivos

Saber administrar una infraestructura de clave pública.

Saber instalar una entidad de certificación.

Saber administrar certificados.

Saber administrar plantillas de certificados.

Saber administrar los niveles jerárquicos de una entidad de certificación.

Saber revocar certificados.

Saber cómo solicitar un certificado a una entidad de certificación.

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 1-
Infraestructura de claves públicas
En el mundo de la informática, la seguridad es un punto crucial para cualquier organización que intercambie datos
digitales en una red (interna o externa). Cuando se trata de intercambiar datos confidenciales o personales, siempre
puede existir la duda respecto al interlocutor con el que nos comunicamos, o el temor a que los datos transmitidos
puedan ser interceptados y explotados con fines malintencionados. Las infraestructuras de claves públicas, llamadas
PKI (Public Key Infrastructure), fueron concebidas para construir una relación de confianza en un entorno a veces mal
securizado.

1. Presentación de PKI

Las infraestructuras de clave pública (PKI) se han creado con el objetivo de probar a los demás que usted es
realmente quien dice ser durante un intercambio de datos a través de una red informática. La identidad de cada
entidad, componente de red, individuo, sistema u otros puede ser verificada empleando un certificado emitido por
una entidad de certificación aprobada. Los certificados digitales forman parte integral de una infraestructura de
claves públicas y pueden ser totalmente transparentes para un usuario que emplea un ordenador a diario.
Encontramos el uso de los certificados en todo tipo de elementos, sea para securizar una conexión VPN IPsec
(Virtual Private Network Internet Protocol security), el intercambio de correos electrónicos, efectuar un pago en línea
en un sitio comercial (sitio web HTTPS empleando un certificado SSL) o securizar el acceso a archivos o carpetas
utilizando un sistema de cifrado EFS (Encrypting File System). Las infraestructuras de clave pública nos ayudan,
pues, a securizar las comunicaciones informáticas y, en particular, a establecer vínculos de confianza entre las
personas físicas y los certificados digitales, igual que lo haría un documento nacional de identidad. Un administrador
a cargo de una infraestructura de clave pública debe distribuir los certificados digitales con extremo cuidado a las
personas que formen parte de su organización y revocar los certificados de aquellos usuarios que ya no formen
parte de ella.

Por ejemplo, cuando consulta el sitio de Internet de su banco para verificar sus cuentas, el acceso se encuentra
probablemente securizado empleando una página web HTTPS, que utiliza un certificado SSL. Si muestra las
propiedades del certificado, puede constatar que posee información de la entidad de certificación que ha
proporcionado el certificado a su banco. Su navegador acepta mostrar la página solicitada porque el certificado ha
sido emitido por una entidad de certificación comercial aprobada, como, por ejemplo, VeriSign. Por defecto, su
navegador de Internet contiene una lista de entidades de certificación comerciales aprobadas. Esta lista se
actualiza automáticamente cuando realiza una actualización de su sistema operativo. La lista de certificaciones
comerciales aprobadas está disponible en las opciones de su navegador web (pestaña Contenido para Internet
Explorer y sección Certificados del menú Privacidad y seguridad para Mozilla Firefox):

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 1-
 2. Componentes de una PKI

Una infraestructura de clave pública se compone de varios elementos, algunos de los cuales ofrecen servicios a los
usuarios. Encontramos, por ejemplo, los elementos siguientes:

l Las entidades de certificación (CA: Certificate Authority): permiten crear y gestionar los certificados. Las
entidades de certificación pueden estar estructuradas bajo diferentes formas jerárquicas que podemos definir de dos o
tres niveles.

l Los certificados digitales: los certificados los distribuye una entidad de certificación aprobada por la organización
(CA interna o comercial). Los certificados sirven para autenticar un servicio, un servidor, un usuario o un sitio
comercial. En el caso de un sitio web, por ejemplo, el certificado emitido debe poseer, como atributo, el nombre DNS
del sitio web al que acceden los usuarios mediante una URL. Si el nombre no se corresponde, el usuario no podrá
acceder a la información securizada. Esto permite asignar un certificado válido para un único servicio. Lo mismo
ocurre con un certificado de usuario que contiene el nombre y apellidos de la persona interesada. La autenticación por
certificado solo funciona si se verifica la identidad del usuario.

l Las plantillas de certificados: las plantillas de certificados permiten a los administradores generar certificados
previamente configurados en función del uso deseado. Estos certificados pueden personalizarse en función de las
necesidades.

l Las claves públicas y las claves privadas: se emplean para cifrar y descifrar los datos.

l Los equipos cliente: los usuarios pueden utilizar sus puestos cliente para solicitar certificados a una entidad de
certificación declarada en Active Directory o mediante un formulario de una página web de la entidad de certificación.
También pueden acceder a sitios securizados por certificados. Los equipos cliente tienen una lista de entidades
emisoras de certificados de confianza (accesible desde un navegador web o el complemento Certificados), lo que les
permite validar el acceso a sitios web mediante certificados emitidos por entidades de certificación comerciales.

l Las listas de revocación de certificados (CRL: Certificate Revocation Lists): representan las listas emitidas por
entidades de certificación y los certificados digitales que ya no son válidos o están revocados. Una entidad de
certificación mantiene actualizada esta lista, que contiene el detalle de la asignación de certificados indicando las

- 2- © Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ
 fechas de validez, así como aquellos certificados que han sido revocados. Cuando se presenta un certificado para
acceder a un servicio, un inicio de sesión o una solicitud de cifrado, el sistema de autenticación o de verificación
accede automáticamente a una lista de revocación diaria desde una entidad de certificación aprobada para verificar la
validez del certificado. Si este aparece en la lista, el acceso es simple y llanamente denegado. Si la CRL introducida en
el certificado no se puede obtener, el acceso es igualmente denegado.

l Los respondedores en línea: los clientes pueden emplear un respondedor en línea para interrogar a una entidad
de certificación directamente para conocer el estado de un certificado recién presentado. Este proceso es más rápido
que la descarga y la consulta de una nueva lista de revocación de certificados.

A partir de las anteriores versiones de Windows Server, Microsoft integra en su sistema operativo un componente
que permite la instalación, configuración y gestión de entidades de certificación. A partir de Windows Server 2008,
este componente aparece como un rol de servidor, mejor conocido bajo el nombre de Active Directory Certificate
Services (AD CS).

3. Cifrado

Cuando un administrador desea securizar datos informáticos, puede implementar todo tipo de sistemas o
tecnologías haciendo imposible el acceso de una persona no autorizada. Pero ¿qué pasa si los datos securizados
son interceptados en la red o sustraídos con el robo de un servidor o de un disco duro de la empresa? A todo dato
no protegido puede, por definición, accederse de forma abierta. Esto quiere decir que cualquier persona con malas
intenciones puede acceder a sus datos sin mucho esfuerzo una vez que la seguridad principal ha sido anulada. Para
garantizar la integridad de sus datos, es posible securizar el conjunto de elementos importantes basándose en
certificados para cifrar y descifrar los datos o información del sistema.

Una infraestructura de clave pública ofrece a su vez servicios criptográficos, que permiten mantener la integridad de
los datos del sistema de información. Una infraestructura PKI se basa en dos métodos de cifrado de los datos:

l Cifrado simétrico (por clave secreta): el uso de un cifrado simétrico necesita el intercambio de un secreto
compartido entre dos componentes o personas que desean comunicarse. El cifrado se realiza empleando un
mecanismo específico y el secreto intercambiado entre los dos asociados consiste en revelar el funcionamiento del
mecanismo de cifrado. Esto permite a diferentes asociados poder descifrar los datos cifrados empleando un secreto
definido en un algoritmo. Cualquier individuo que posee el secreto podrá, por tanto, descifrar los datos.

l Cifrado asimétrico (por clave pública): el uso de un cifrado asimétrico permite cifrar los datos empleando un
sistema basado en un par de claves. Se utiliza una clave pública para cifrar los datos, mientras que se utiliza una
clave privada para descifrarlos. La clave pública puede ser conocida por todos y puede intercambiarse en redes no
seguras. En cambio, la clave privada debe ser segura y conocida solamente por la persona que va a acceder a los
datos cifrados.

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 3-
Presentación de AD CS
Los servicios de certificados de Active Directory (AD CS) en Windows Server 2016 se presentan bajo la forma de un rol
de servidor. Este rol permite, en particular, implementar una infraestructura jerárquica de claves públicas para crear y
gestionar los certificados. Mediante AD CS es posible responder a diferentes necesidades empresariales, como la
securización de las comunicaciones VPN, WAN, LAN e inalámbricas, securizar los sitios web IIS o securizar mensajes
electrónicos emitidos por un servidor de mensajería Microsoft Exchange.

1. Servicios de certificados AD CS

Es posible instalar el rol AD CS y configurarlo como entidad de certificación independiente o bien empresarial, capaz
de proporcionar los servicios de certificados al interior o al exterior de la red empresarial. Desde Windows Server
2012, el rol servicios de certificados ha sufrido un gran número de mejoras, entre las que encontramos:

l Los servicios de rol AD CS pueden instalarse en cualquier edición de Windows Server 2016.

l Los servicios de rol AD CS pueden instalarse en una instalación mínima (Server Core).

l AD CS está ahora integrado con el administrador del servidor.

l Aporta funcionalidades PowerShell adicionales.

l Los equipos miembro de un grupo de trabajo pueden realizar ahora una petición de renovación de un certificado.

l Compatibilidad con los nombres de dominio internacionales.

l Los servicios AD CS y los clientes PKI reconocen ahora los sitios Active Directory.

l Una seguridad mejorada a nivel del servicio de rol Entidad de certificación (CA).

En Windows Server 2008, solo las ediciones Enterprise y Datacenter soportan la instalación de una entidad de
certificación empresarial.

a. CA independiente

Una entidad de certificación independiente tiene la ventaja de poderse instalar en un servidor miembro de un
dominio o de un grupo de trabajo. No es necesaria una infraestructura Active Directory en este caso. Este tipo de
instalación de entidad de certificación se utiliza, por lo general, en infraestructuras de claves públicas de varias
capas. En lo alto de la jerarquía se encuentra la entidad de certificación raíz independiente, cuyo rol es generar
certificados para las entidades de certificación de nivel intermedio. Una vez completada esta tarea, el servidor que
la contiene se deja fuera de línea o se apaga, para evitar cualquier compromiso. En una infraestructura de CA de
tres capas, la entidad de certificación intermediaria debe, también, ser de tipo independiente.

La instalación de una entidad de certificación raíz requiere la configuración de los siguientes elementos:

l Puntos de distribución de lista de revocación de certificados (CDP: CRL Distribution Points): los CDP
permiten indicar la ubicación de una CRL, empleada al solicitar la validación de un certificado.

l Acceso a la información de entidad emisora (AIA: Authority Information Access): las AIA permiten indicar a
los usuarios la ubicación donde encontrar el certificado de la entidad de certificación raíz.

b. CA empresarial

Una entidad de certificación empresarial se encuentra integrada en los servicios de dominio Active Directory. En
una infraestructura de claves públicas, las CA empresariales se utilizan, por lo general, como entidad de
certificación emisora. La instalación de este tipo de CA se realiza en un servidor miembro de un dominio. De esta

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 1-
 forma, los usuarios del dominio pueden enviar las solicitudes de certificados, que pueden aprobarse directamente
en la entidad de certificación empresarial encargada de emitir los certificados. La instalación de este tipo de CA es
dependiente del sistema operativo que la alberga.

c. Administración de AD CS

La instalación del rol de servidor AD CS agrega a las herramientas administrativas del sistema operativo la consola
de administración Entidad de certificación:

Esta consola de administración es un complemento situado en: %SYSTEMROOT%\system32\[Link]

La instalación de AD CS instala también el servicio de Windows Servicios de certificados de Active Directory,

configurado con un tipo de arranque Automático:

Si acaba de instalar una entidad de certificación intermedia, el servicio de Windows Servicios de certificados de
Active Directory estará en un estado detenido porque no se habrá importado ningún certificado emitido por una
entidad certificadora maestra.

La consola de administración certsrv permite visualizar el estado del servidor mediante un icono en la autoridad
de certificación (Servicio Windows detenido o arrancado). También podemos detener o arrancar una entidad de
certificación desde el complemento:

El árbol de la consola de administración AD CS permite acceder a los siguientes contenedores:

- 2- © Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ
 l Certificados revocados: permite visualizar el conjunto de certificados revocados o expirados de su organización.

l Certificados emitidos: permite visualizar el conjunto de certificados aprobados o emitidos por su organización.

l Solicitudes pendientes: permite visualizar el conjunto de certificados solicitados por los componentes de red o los
usuarios. Los certificados que aparecen en este contenedor deben aprobarse manualmente antes de poder
utilizarlos.

l Error en las solicitudes: permite visualizar el conjunto de solicitudes de certificados que han fallado. También es
posible emitir certificados desde este contenedor.

Cuando se instala un certificado, es posible administrarlo o visualizarlo desde la consola de administración de

certificados:

l %SYSTEMROOT%\system32\[Link]: permite gestionar los certificados vinculados al equipo.

l %SYSTEMROOT%\system32\certmgrmsc: permite gestionar los certificados vinculados al usuario.

2. Jerarquía de CA

Una infraestructura de claves públicas puede funcionar empleando un único servidor independiente que tenga el rol
de servidor AD CS. Sin embargo, cuando su infraestructura está compuesta por varias entidades de certificación,
hablamos de una jerarquía de CA. El uso de un único servidor para la explotación de los servicios de certificados
puede debilitar la seguridad de la infraestructura de claves públicas. Para reforzarla, podemos agregar entidades de
certificación adicionales a una PKI. Existen diferentes tipos de jerarquía de CA cuya topología corresponderá a los
requisitos de seguridad o necesidades empresariales. En una jerarquía CA de varias capas, un servidor CA raíz se
encarga de asignar los certificados a las CA subordinadas, para que ellas mismas puedan asignar los certificados a
los usuarios, equipos o servicios. El nivel más alto se denomina entidad de certificación raíz. Todo ataque contra el
servidor que contiene la CA raíz, o cualquier CA, puede comprometer la seguridad del conjunto de las CA
intermedias o subyacentes. Por ello es importante securizar las entidades de certificación de mayor nivel
colocándolas fuera de línea o inaccesibles a cualquier intento de intrusión. En la mayoría de las situaciones, las PKI
se implementan en infraestructuras de dos o tres capas.

a. Infraestructura de dos capas

Una infraestructura de entidad de certificación de dos capas aporta un mínimo de seguridad, pues permite situar
fuera de línea la CA raíz para mantener únicamente la CA emisora para la asignación y aprobación de certificados.
Generalmente, se implementa una CA raíz independiente en el nivel más alto y se ubica una CA empresarial
emisora en el nivel más bajo para proporcionar los servicios de certificados a los equipos y usuarios de la red.

Según el modelo de infraestructura de dos capas, se instalan los siguientes tipos de entidades de certificación:

l CA raíz: CA independiente (fuera de línea)

l CA emisora: CA empresarial (en línea)

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 3-
 b. Infraestructura de tres capas

Una infraestructura de entidad de certificación de tres capas aporta un nivel mayor de seguridad y disponibilidad
porque las CA de mayor nivel pueden dejarse fuera de línea y las CA emisoras pueden implementarse de manera
redundante para aportar una mejor disponibilidad o cubrir una mayor zona geográfica. Generalmente, se configura
una CA raíz independiente en el nivel más alto y, a continuación, se ubican en segundo nivel las CA raíz
independientes intermedias. Por último, las CA empresariales emisoras se sitúan en el nivel más bajo para
proporcionar los servicios de certificados a los equipos o usuarios de la red.

l CA raíz: CA independiente (fuera de línea).

l CA intermedia: CA independiente (fuera de línea).

l CA emisora: CA empresarial (en línea).

- 4- © Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ
© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 5-
 c. CA raíz

La CA raíz tiene el nivel más alto de una jerarquía de CA. Durante la creación de una nueva entidad de certificación
raíz, hay que crear obligatoriamente una nueva clave privada.

La creación de una clave privada requiere proveer la siguiente información:

l La selección de un proveedor de servicios criptográficos: para generar un par de claves para la entidad de
certificación raíz, la API Microsoft Crypto debe utilizar un proveedor de cifrado por software o hardware.

l La longitud de la clave: el número de caracteres de la clave determina la longitud de las claves del par. Cuanto
mayor sea la longitud de la clave, más largo será el proceso de decodificación.

l La selección de un algoritmo hash: los algoritmos hash permiten securizar las claves utilizando un algoritmo de
cálculo específico, destinado a generar información cifrada del par de claves.

Existen de manera predeterminada:

l 14 proveedores de cifrado:

n Microsoft Base Smart Card Crypto Provider

n Microsoft Enhanced Cryptographic Provider v1.0

n ECDSA_P256#Microsoft Smart Card Key Storage Provider

n ECDSA_P521#Microsoft Smart Card Key Storage Provider

n RSA#Microsoft Sotftware Key Store Provider

n Microsoft Base Cryptographic Provider v1.0

n ECDSA_P521#Microsoft Software Key Store Provider

n ECDSA_P256#Microsoft Software Key Store Provider

n Microsoft Strong Cryptographic Provider

n ECDSA_P384#Microsoft Software Key Storage Provider

n Microsoft Base DSS Cryptographic Provider

n RSA#Microsoft Smart Card Key Storage Provider

n DSA#Microsoft Software Key Storage Provider

n ECDSA_P384#Microsoft Smart Card Key Storage Provider

l 4 longitudes de clave:

n 512

n 1024

n 2048

n 4096

l 7 algoritmos hash:

- 6- © Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ
 n SHA256

n SHA384

n SHA512

n SHA1

n MD5

n MD4

n MD2

d. CA intermedia

Es necesario instalar, como mínimo, una entidad de certificación intermedia en una jerarquía de certificados de tres
capas. Su objetivo es aportar un nivel de seguridad adicional para proteger la entidad de certificación raíz. La CA
intermedia recibe un certificado de la CA raíz para funcionar y emitir un certificado a la CA emisora para que ella
funcione a su vez.

e. CA emisora

Una CA emisora debe ser una CA empresarial, instalada con el objetivo de emitir los certificados a los usuarios,
servidores y demás componentes que realicen una solicitud. El uso de una CA empresarial permite la inscripción
automática de los usuarios o los equipos.

3. Servicios de roles AD CS

El rol del servidor AD CS cuenta con seis servicios de rol bajo Windows Server 2012 R2, frente a cuatro en Windows
Server 2008 R2.

a. Entidad de certificación

El servicio de rol Entidad de certificación tiene como objetivo realizar las misiones siguientes:

l Aceptar las peticiones de certificados.

l Expedir certificados.

l Revocar certificados.

l Publicar la lista de revocación de certificados.

La instalación de este rol de servicio AD CS requiere privilegios de administración local cuando el servidor es
miembro de un grupo de trabajo, o privilegios de administración de dominio si el servidor es miembro de un
dominio Active Directory. Para instalar este servicio de rol como una entidad de certificación empresarial, el servidor
debe ser miembro de un dominio Active Directory.

Se puede instalar este componente utilizando el comando PowerShell siguiente:

Install-AdcsCertificationAuthority

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 7-
 Para desinstalar este componente, basta con ejecutar el comando PowerShell siguiente:

Uninstall-AdcsCertificationAuthority

En Windows Server 2016, es posible utilizar los comandos de línea PowerShell para realizar una copia de
seguridad o restaurar el servicio de rol entidad de certificación (CA):

l Para realizar una copia de seguridad del servicio de rol de entidad de certificación, basta con ejecutar el comando
PowerShell siguiente: Backup-CARoleService

l Para restaurar el servicio de rol de entidad de certificación, basta con ejecutar el comando PowerShell siguiente:
Restore-CARoleService

b. Solicitud de certificados a través de la Web

El servicio de rol Inscripción web de entidad de certificación permite emitir y renovar los certificados a los
usuarios y equipos que no son miembros de un dominio, no están conectados a la red o que no ejecutan un
sistema operativo de Microsoft.

Se puede instalar este componente utilizando el comando PowerShell siguiente:

Install-AdcsWebEnrollment

Para desinstalar este componente, basta con ejecutar el comando PowerShell siguiente:

Uninstall-AdcsWebEnrollment

c. Respondedor en línea

La función del servicio de rol Respondedor en línea es proporcionar información sobre el estado de revocación de
certificados emitidos, así como una lista de revocación de certificados, utilizando el protocolo OCSP (Online
Certificate Status Protocol). El uso de este servicio en línea es más rápido que la consulta a una CRL (Certificate
Revocation List, lista de revocación de certificados). Para instalar este servicio de rol como una entidad de
certificación empresarial, el servidor debe ser miembro de un dominio Active Directory.

Se puede instalar este componente utilizando el comando PowerShell siguiente:

Install-AdcsOnlineResponder

Para desinstalar este componente, basta con ejecutar el comando PowerShell siguiente:

Uninstall-AdcsOnlineResponder

d. Inscripción de dispositivos de red

El servicio de rol Servicio de inscripción de dispositivos de red (NDES) permite a los dispositivos de red que no
ejecutan el sistema operativo Windows inscribirse en los servicios de certificado AD CS. Este servicio de rol emplea
el protocolo SCEP (Simple Certificate Enrollment Protocol) para comunicarse con los diferentes componentes de la
red.

Se puede instalar este componente utilizando el comando PowerShell siguiente:

Install-AdcsNetworkDeviceEnrollmentService

- 8- © Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ
 Para desinstalar este componente, basta con ejecutar el comando PowerShell siguiente:

Uninstall-AdcsNetworkDeviceEnrollmentService

e. Inscripción de certificados

El servicio de rol Servicios web de inscripción de certificados permite a los usuarios o equipos solicitar un
certificado utilizando el protocolo HTTPS. La instalación solo puede realizarse en un servidor miembro de un
dominio AD que ejecute el rol AD CS configurado como entidad de certificación empresarial.

Se puede instalar este componente utilizando el comando PowerShell siguiente:

Install-AdcsEnrollmentWebService

Para desinstalar este componente, basta con ejecutar el comando PowerShell siguiente:

Uninstall-AdcsEnrollmentWebService

f. Directiva de certificados

El servicio de rol Servicio web de directiva de inscripción de certificados funciona conjuntamente con el servicio
de rol Servicios web de inscripción de certificados. Este servicio de rol AD CS permite a los usuarios y equipos que
no son miembros de un dominio, o que no se encuentran conectados al dominio, realizar una solicitud de
inscripción de certificado. La instalación solo puede realizarse en un servidor miembro de un dominio AD que
ejecute el rol AD CS configurado como entidad de certificación empresarial.

Se puede instalar este componente utilizando el comando PowerShell siguiente:

Install-AdcsEnrollmentPolicyWebService

Para desinstalar este componente, basta con ejecutar el comando PowerShell siguiente:

Uninstall-AdcsEnrollmentPolicyWebService

4. Certificados

Un certificado digital puede ser emitido por una entidad de certificación interna o pública. Sin embargo, también es
posible generar un certificado autofirmado si no se encuentra disponible ninguna entidad de certificación. Por
defecto, todo sistema Microsoft integra las herramientas que permiten gestionar los certificados autofirmados. Un
certificado autofirmado significa que el sistema se atribuye un certificado que reconoce como válido por sí mismo; sin
embargo, no lo reconoce como válido el sistema que lo ha generado.

Por ejemplo, tomemos el caso de un administrador que implementa un sitio web IIS al cual debe
accederse mediante el protocolo HTTPS utilizando un certificado autofirmado. Los usuarios que accedan al sitio web
reciben sistemáticamente un mensaje de aviso de su navegador, indicando que el certificado presentado por el sitio
no se ha verificado y que el acceso es potencialmente peligroso. Para que los usuarios no reciban este mensaje,
debe instalar el certificado autofirmado por IIS en su almacén local Entidad de certificación raíz de confianza.

La creación de certificados en entornos Microsoft está fundamentalmente basada en el estándar X.509 y contiene la
siguiente información:

l Información de identificación (Nombre, razón social, ubicación, etc.).

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 9-
 l Una clave pública.

l El algoritmo hash/huella digital.

l La identidad del emisor.

l La fecha de validez.

l Un número de serie.

l La versión del certificado.

l La URL de acceso a la información de la entidad de certificación.

l Las URL de los puntos de distribución de listas de certificados revocados.

a. Plantillas de certificado

Las plantillas de certificado sirven para generar los certificados a partir de plantillas predefinidas que pueden
personalizarse previamente. Estas plantillas solo están disponibles en un servidor que albergue el rol AD CS como
entidad de certificación empresarial emisora.

Por defecto existen once plantillas de certificado:

l Replicación de directorio de correo electrónico.

l Autenticación de controlador de dominio.

l Autenticación Kerberos.

l Agente de recuperación de EFS.

l EFS básico.

l Controlador de dominio.

l Servidor web.

l Equipo.

l Usuario.

l Entidad de certificación subordinada.

l Administrador.

- 10 - © Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ
También es posible crear o duplicar plantillas de certificado para completar la lista existente.

Para que un usuario tenga permisos para seleccionar una plantilla de certificado, se le deben asignar permisos de
inscripción en el certificado específico.

Para gestionar las plantillas de certificado, basta con hacer clic con el botón derecho en el contenedor Plantillas de
certificado de la consola Entidad de certificación y, a continuación, hacer clic en Administrar.

Cuando se valida una solicitud y se emite un certificado, es posible extraer el certificado de la entidad de
certificación emisora para poder explotarlo. Para ello, basta con utilizar el Asistente para exportar certificados y
seleccionar uno de los formatos que deseamos usar para el certificado.

Existen diferentes tipos de archivos de certificado:

l DER binario codificado X.509 (.CER): los archivos X.509 utilizan una norma criptográfica definida por la Unión
Internacional de Telecomunicaciones. El formato de archivo DER (Distinguished Encoding Rules) lo utilizan con
frecuencia equipos informáticos que ejecutan un sistema operativo diferente de Windows.

l X.509 codificado base 64 (.CER): este tipo de formato se utiliza con frecuencia en las infraestructuras de
mensajería que soportan la norma de criptografía S/MIME (Secure/Multipurpose Internet Mail Extension).

l Estándar de sintaxis de cifrado de mensajes: certificados PKCS #7 (.P7B): este formato de archivo se
utiliza con frecuencia para la transferencia de un certificado de un equipo a otro.

l Intercambio de información personal: PKCS #12 (.PFX): este formato de archivo se utiliza para transferir un
certificado de un equipo a otro, pero incluyendo la clave privada y la clave pública, lo cual puede resultar peligroso
para la integridad de los datos que se han de proteger.

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 11 -
 l Almacén de certificados en serie de Microsoft (.SST): este formato de archivo se utiliza con frecuencia para
la transferencia de un certificado raíz a otro equipo.

b. Solicitud de certificado

Existen varios métodos que permiten solicitar un certificado a una entidad de certificación. Se puede efectuar una
solicitud de certificado desde:

l La interfaz web de la entidad de certificación, accediendo al directorio virtual Certsrv.

l El complemento Certificados.

Durante una solicitud de certificado, si el usuario se encuentra habilitado, puede, también, seleccionar una plantilla
de certificado preconfigurada para un uso definido (por ejemplo: Certificado de usuario, equipo, EFS básico, etc.).

Si no está habilitada la inscripción automática, el usuario deberá presentar sistemáticamente una solicitud de
certificado que validará de forma manual el administrador de la entidad de certificación. Si la inscripción automática
está habilitada, se aceptará la solicitud de certificado y este se emitirá automáticamente.

c. Renovación de certificados

Cuando el período de validez del certificado alcanza su caducidad, es importante renovarlo, pues se corre el riesgo
de dejar de tener acceso a ciertos recursos.

La renovación de un certificado de entidad de certificación se lleva a cabo desde la consola Entidad de

certificación:

Es necesario detener los servicios de certificados de Active Directory para poder renovar el certificado:

- 12 - © Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ
A continuación, puede seleccionar entre conservar o crear un nuevo par de claves pública y privada:

También es posible renovar los certificados de manera automática para evitar esta situación.

Para ello, hay que abrir la consola Administración de directivas de grupo y crear un nuevo GPO o editar
un GPO existente.

Despliegue a continuación el árbol Configuración de usuario ­ Directivas ­ Configuración de

Windows ­ Configuración de seguridad ­ Directivas de clave pública:

Abra el objeto Cliente de Servicios de servidor de certificados ­ Inscripción automática y haga clic en
Habilitada:

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 13 -
 Marque, a continuación, la opción Renovar certificados expirados, actualizar certificados pendientes y
quitar certificados revocados:

En adelante, los certificados se renovarán automáticamente cuando alcancen su caducidad.

d. Configuración del guardado de claves

Para que un agente de recuperación de clave pueda utilizar un certificado de recuperación, es preciso que la clave
esté guardada.

Para ello, abra la consola Entidad de certificación y seleccione el nombre de la entidad de certificación
en el árbol de la consola.

Abra el menú contextual y haga clic en Propiedades:

- 14 - © Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ
Haga clic en la pestaña Agentes de recuperación y seleccione Archivar la clave:

Escoja el número de agentes de recuperación que desee utilizar (no se puede superar el número de
agentes de recuperación de clave configurados) y haga clic en Agregar.

Se abre la ventana Selección de Key Recovery Agent, haga clic en los certificados de recuperación de
clave que se muestran y, a continuación, haga clic en Aceptar. Seguidamente se le invitará a reiniciar la
entidad de certificación para validar el estado de los certificados.

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 15 -
Resumen del capítulo
A lo largo de este capítulo, hemos estudiado e implementado una infraestructura de clave pública a través de los
servicios de certificados AD CS de Windows Server 2016. Podría resumirse de la manera siguiente:

l Las entidades de certificación permiten emitir y gestionar certificados a través del rol de servidor AD CS.

l AD CS posee los seis roles siguientes:

n Entidad de certificación.

n Inscripción web de entidad de certificación.

n Respondedor en línea.

n Servicio de inscripción de dispositivo de red.

n Servicio web de inscripción de certificados.

n Servicio web Directiva de inscripción de certificados.

l AD CS puede instalarse según dos tipos de entidad de certificación:

n Entidad de certificación independiente.

n Entidad de certificación empresarial.

l En una jerarquía de entidades de certificación de varias capas, las entidades de certificación de mayor nivel deben
configurarse fuera de línea para aumentar la seguridad.

l Cuando se presenta un certificado, el sistema verifica en primer lugar su validez consultando la lista de revocación de
certificados o un respondedor en línea.

© Éditions ENI – Todos los derechos reservados – Copia personal de Guadalupe PEREA PEREZ - 1-