Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Publicado: octubre 11, 2004 | Actualizado: 24/11/04
En esta página
Introducción
Tareas de mantenimiento esenciales
Funciones administrativas de Servicios de Certificate Server
Tareas de cuadrante operativo
Tareas del cuadrante de compatibilidad
Tareas del cuadrante de optimización
Tareas del cuadrante de cambio
Solución de problemas
Tablas de configuración
Información adicional
Introducción
En este módulo se describen los procedimientos operativos requeridos para administrar la infraestructura de claves públicas (PKI, Public Key Infrastructure) implementada como parte de esta solución Seguridad en LAN inalámbricas. La estructura está basada en las categorías y conceptos de Microsoft Operations Framework (MOF) tratados en el primer módulo de la Guía de operaciones (capítulo 10).
La finalidad de este capítulo es permitirle implementar un sistema de administración completo para su PKI. Esto incluye todas las tareas de instalación necesarias para empezar a supervisar y mantener el sistema y las tareas operativas normales necesarias para su funcionamiento correcto. También se tratan los procedimientos de ayuda para solucionar los incidentes de compatibilidad, administrar los cambios del entorno y optimizar el rendimiento del sistema.
Este capítulo se divide en dos partes principales. La primera parte consta de dos secciones, "Tareas de mantenimiento esenciales" y "Asignación de funciones administrativas", que son breves y se deben leer en su totalidad. En estas secciones se proporciona información esencial acerca de la configuración de un entorno administrado correctamente para el sistema. El resto del capítulo es fundamentalmente una referencia. A continuación se ofrecen algunas tareas de la secciones de referencia que tendrá que implementar cuando implemente el sistema, pero se indican de forma clara en la sección "Tareas de mantenimiento esenciales".
Aunque no es necesario que se detenga en todos los detalles de la sección de referencia, revísela para familiarizarse con el contenido de modo que pueda encontrar rápidamente los elementos que necesite en el futuro.
Requisitos previos
Debe estar familiarizado con los conceptos empleados en MOF según lo descrito en el capítulo 10, "Introducción a la guía de operaciones". No es preciso un conocimiento detallado de MOF.
También debe estar familiarizado con los conceptos de PKI y Servicios de Certificate Server de Microsoft® en concreto. También se precisan conocimientos de Microsoft Windows® 2000 Server (o posterior) en las siguientes áreas:
Operaciones básicas y mantenimiento de Microsoft Windows Server™ 2003, incluido el uso de herramientas como Visor de sucesos, Administración de equipos y NTBackup.
El servicio de directorio de Active Directory®, incluidas la estructura y las herramientas de Active Directory, la manipulación de usuarios, grupos y otros objetos de Active Directory, así como el uso de Directiva de grupo.
Seguridad del sistema de Windows: conceptos de seguridad como usuarios, grupos, auditoría, listas de control de acceso, uso de plantillas de seguridad y aplicación de plantillas de seguridad mediante Directiva de grupo o herramientas de la línea de comandos.
Administración de Servicios de Internet Information Server (IIS).
Los conocimientos de Windows Scripting Host y del lenguaje Microsoft Visual Basic® Scripting Editing (VBScript) le resultarán útiles para obtener el máximo provecho de las secuencias de comandos suministradas, pero no es esencial.
Antes de continuar con este capítulo, debe leer los capítulos relacionados de la guía de planeamiento y de la guía de generación (capítulos 4 y 6), así como disponer de un conocimiento exhaustivo de la arquitectura y el diseño de la solución.
Descripción general del capítulo
En la siguiente lista se describen las principales secciones de este capítulo.
Tareas de mantenimiento esenciales. Contiene dos tablas que enumeran las tareas necesarias para configurar el sistema de administración y la lista normal de tareas que se tienen que realizar para mantener el sistema.
Funciones administrativas. Describe las funciones administrativas utilizadas en la solución, las capacidades de cada función y cómo estas funciones se asignan a clústeres de funciones de MOF y los grupos de seguridad administrativos definidos para la solución.
Tareas de cuadrante operativo. Incluye todas las tareas relacionadas con el mantenimiento normal de la PKI. Estas tareas incluyen supervisión, copias de seguridad y operaciones de directorio y seguridad.
Tareas del cuadrante de compatibilidad. Incluye todos los procedimientos relacionados con la recuperación de problemas del sistema. Estos procedimientos incluyen la revocación de certificados y entidades emisoras de certificados, restauración de copias de seguridad y operaciones para tratar con una entidad emisora con error.
Tareas del cuadrante de optimización. Incluye algunos procedimientos de planeamiento de administración de capacidad.
Tareas del cuadrante de cambio. Incluye tareas comunes relacionadas con la realización de cambios en la configuración de la entidad emisora y su puesta en producción de un modo controlado. También se incluyen los procedimientos que le servirán para recopilar y mantener información de configuración fundamental acerca de la PKI.
Solución de problemas. Contiene procedimientos para ayudarle a solucionar problemas comunes que se pueden producir en la PKI. También incluye descripciones de herramientas útiles para solucionar problemas y procedimientos para habilitar el registro de distintos componentes.
Tablas de configuración. Contiene un subconjunto de los parámetros de configuración empleados en la guía de generación. Estos valores se utilizan como ejemplo en el texto de los procedimientos.
Información adicional. Enumera una serie de fuentes de información adicionales a las que se hace referencia en el texto.
Tareas de mantenimiento esenciales
En esta sección se enumeran las tareas importantes que debe realizar para utilizar la PKI con éxito. Las tareas de configuración que se efectúan una vez y las tareas operativas continuadas se enumeran en dos tablas. Las tareas que aparecen en las tablas se describen con detalle más adelante en este documento. Las tareas se agrupan por cuadrante MOF y, junto a cada una de ellas, se indica la función de administración de servicio (SMF) de MOF a la que pertenece, lo que sirve de ayuda para encontrar la tarea necesaria con facilidad.
También se incluye en esta sección una lista de las herramientas y las tecnologías utilizadas en los procedimientos de este capítulo.
Tareas iniciales de configuración
En esta tabla se muestran las tareas que deben realizarse para colocar las operaciones de PKI en producción. Según los estándares y prácticas operativos de que disponga, es posible que no tenga que realizar todas estas tareas, pero debe revisarlas en detalle y decidir si son necesarias. Algunas de las tareas podrían tener que llevarse a cabo otra vez; por ejemplo, si se instala otra entidad emisora, tendrá que configurar sus trabajos de copia de seguridad y supervisión.
Tabla 11.1: Tareas iniciales de configuración
| Nombre de tarea | Clúster de funciones | SMF |
|---|---|---|
| Cuadrante operativo | ||
| Preparación de una estructura de unidad organizativa (UO) de dominio para la administración de Servicios de Certificate Server | Infraestructura | Administración de servicios de directorio |
| Publicación de las listas CRL de entidad emisora de certificados en el servidor Web | Seguridad | Administración de seguridad |
| Configuración de una copia de seguridad de la base de datos de entidad emisora | Infraestructura | Administración de almacenamiento |
| Configuración de la copia de seguridad de la base de datos de entidad emisora raíz | Infraestructura | Administración de almacenamiento |
| Prueba de copias de seguridad de la base de datos de entidad emisora de certificados | Operaciones | Administración de almacenamiento |
| Prueba de copias de seguridad de claves de entidad emisora de certificados | Operaciones | Administración de almacenamiento |
| División en categorías de las alertas de supervisión | Infraestructura | Supervisión y control de servicios |
| Supervisión de restricciones de capacidad de Servicios de Certificate Server | Infraestructura | Supervisión y control de servicios |
| Supervisión del estado y la disponibilidad de Servicios de Certificate Server | Infraestructura | Supervisión y control de servicios |
| Configuración de alertas de SMTP para solicitudes de certificados pendientes | Infraestructura | Supervisión y control de servicios |
| Programación de trabajos en una entidad emisora | Infraestructura | Programación de trabajos |
| Cuadrante de optimización | ||
| Determinación de la carga máxima de la entidad emisora | Infraestructura | Administración de capacidad |
| Determinación de los requisitos de almacenamiento y copia de seguridad para una entidad emisora | Infraestructura | Administración de capacidad |
| Cuadrante de cambio | ||
| Administración de actualizaciones del sistema operativo | Infraestructura | Administración de cambios Administración de versión |
Si bien no hay una tarea documentada para configurar un sistema de administración de configuración para la PKI, revise los procedimientos de la sección "Administración de configuración". Estos procedimientos describen los tipos de información que deben recopilarse y mantenerse en un sistema de administración de configuración.
Tareas de mantenimiento
En esta tabla se muestran las tareas que deben realizarse regularmente para mantener el correcto funcionamiento de la PKI. Puede utilizar esta tabla para planear los recursos que necesitará y el programa operativo para la administración del sistema.
Es posible que algunas tareas no sean necesarias; sin embargo, debe revisar el detalle de las mismas para decidirlo. Algunas de estas tareas, además, posiblemente necesiten realizarse tanto puntualmente como de forma programada. Por ejemplo, si se renueva un certificado de una entidad emisora raíz, será necesario realizar una copia de seguridad de la entidad emisora raíz aunque la misma no se encuentre programada. Si fuera así, ésta se incluye en la columna Frecuencia. Las dependencias como éstas también se anotan automáticamente en los detalles de la tarea.
Tabla 11.2: Tareas de mantenimiento
| Nombre de tarea | Frecuencia | SMF |
|---|---|---|
| Cuadrante operativo | ||
| Comprobación de solicitudes pendientes | Diariamente | Administración de seguridad |
| Renovación del certificado de entidad emisora raíz | Cada ocho años | Administración de seguridad |
| Renovación del certificado de entidad emisora de certificados | Cada cuatro años | Administración de seguridad |
| Publicación de una lista CRL y un certificado de entidad emisora fuera de línea | Cada seis meses | Administración de seguridad |
| Copia de seguridad de claves y certificados de entidad emisora | Anualmente o cada vez que se renueve un certificado de entidad emisora (lo primero que se produzca) | Administración de almacenamiento |
| Prueba de copias de seguridad de la base de datos de entidad emisora de certificados | Mensualmente | Administración de almacenamiento |
| Prueba de copias de seguridad de claves de entidad emisora de certificados | Cada seis meses | Administración de almacenamiento |
| Archivado de los datos de auditoría de seguridad desde una entidad emisora de certificados | Mensualmente (CA emisora) | Administración de almacenamiento |
| Archivado de los datos de auditoría de seguridad desde una entidad emisora de certificados | Cada seis meses (entidad emisora raíz) | Administración de almacenamiento |
| Nombre de elemento | Fuente |
|---|---|
| Usuarios y equipos de Active Directory de Management Console (complemento MMC) | Microsoft Windows Server 2003 |
| Complemento Entidad emisora de certificados de MMC | Windows Server 2003 |
| Complemento Plantilla de certificados de MMC | Windows Server 2003 |
| Certutil.exe | Windows Server 2003 |
| Certreq.exe | Windows Server 2003 |
| Secuencias de comandos MSS | Esta solución |
| Editor de texto | Bloc de notas: Windows Server 2003 |
| Servicio del programador de tareas de Windows | Windows Server 2003 |
| SchTasks.exe | Windows Server 2003 |
| Copia de seguridad de Windows | Windows Server 2003 |
| Cipher.exe | Windows Server 2003 |
| Visor de eventos | Windows Server 2003 |
| Monitor del sistema | Windows Server 2003 |
| Net.exe | Windows Server 2003 |
| DSquery.exe | Windows Server 2003 |
| Ldifde.exe | Windows Server 2003 |
| DCDiag.exe | Windows Server 2003 |
| Consola de alertas operativas | Microsoft Operations Manager (MOM) |
| Medios extraíbles para la creación de copias de seguridad de entidad emisora raíz | CD–RW o cinta |
| Copia de seguridad del servidor de entidad emisora | Servicio de copia de seguridad corporativa o dispositivo de copia de seguridad local |
| Complemento Directiva de grupo de MMC | Descarga Web desde Microsoft.com |
| Estado de PKI | Kit de recursos de Windows Server 2003 |
| Nombre de elemento | Fuente |
|---|---|
| Consola de alertas operativas | Microsoft Operations Manager u otro sistema de supervisión de servicios |
| Infraestructura de correo electrónico para alertas operativas (una alternativa para MOM) | Servidor y cliente de SMTP/POP3/IMAP, como Microsoft Exchange Server y Microsoft Outlook® |
| Eventquery.vbs | Windows Server 2003 |
| Herramientas de planeamiento de capacidad | Microsoft Operations Manager u otras herramientas de planeamiento de capacidad |
| Sistema de distribución de actualizaciones de seguridad | Microsoft Systems Management Server o Servicios de actualización de software de Microsoft |
| Nombre de la función | Ámbito | Descripción |
|---|---|---|
| Administrador de la PKI de la empresa | Empresa | Responsable general de la PKI: define los tipos de certificados, las directivas de aplicación, las rutas de confianza, etc. correspondientes a la empresa. |
| Publicador de la PKI de la empresa | Empresa | Responsable de publicar certificados raíz de confianza, certificados de subentidades emisoras de certificados y listas CRL en el directorio. |
| Administrador de entidad emisora (Función "Administrador" de CC) |
Entidad emisora | Administrador de entidad emisora: responsable de la configuración de la entidad emisora y de la asignación de funciones de la misma. Generalmente se trata de las mismas personas que actúan como administradores de PKI de empresa. Es posible que existan diferentes administradores de entidad emisora a cargo de diferentes entidades emisoras si el uso del certificado así lo indica. |
| Administrador (Función "Administrador" de CC) |
Entidad emisora | Administrador del sistema operativo del servidor de entidad emisora: responsable de la configuración en el nivel de servidor (como la instalación de la entidad emisora). Generalmente se trata de las mismas personas que actúan como administradores de entidad emisora. Es posible que existan diferentes administradores a cargo de diferentes entidades emisoras si el uso del certificado así lo indica. |
| Auditor de entidad emisora (Función "Auditor" de CC) |
Entidad emisora | Administra los sucesos de auditoría, la directiva y tipos similares de sucesos que se pueden auditar de las entidades emisoras de certificados. |
| Administrador de certificados (Función "Oficial" de CC) |
Entidad emisora | Aprueba solicitudes de certificado que requieren la aprobación manual y revoca certificados. Puede haber varios administradores de certificados a cargo de aprobaciones de diferentes entidades emisoras de certificados si el uso del certificado lo requiere. |
| Autoridad de registro | Perfil de certificado | Extensión de la función del administrador de certificados. Es responsable de aprobar y firmar las solicitudes de certificado siguiendo la comprobación de Id. del sujeto del certificado. Puede ser una persona, un proceso de TI o un dispositivo (por ejemplo, un escáner de huellas dactilares y base de datos) Se pueden especificar diferentes autoridades de registro para distintos perfiles de certificados (plantillas) y pueden abarcar múltiples entidades emisoras de certificados. |
| Agente de recuperación de claves | Entidad emisora | Contiene la clave para descifrar claves privadas archivadas en la base de datos de la entidad emisora de certificados. |
| Operador de copia de seguridad de la entidad emisora (Función "Operador" de CC) |
Entidad emisora | Responsable de la copia de seguridad y recuperación de los servidores de entidad emisora y el almacenamiento seguro de los medios de copia de seguridad. |
| Nombre de la función | Ámbito | Descripción |
|---|---|---|
| Operador de supervisión | Empresa | Responsable de la supervisión de sucesos. |
| Planeador de capacidad | Empresa | Responsable del análisis del rendimiento y la carga para predecir futuros requisitos de capacidad. |
| Administrador de Active Directory | Empresa | Responsable de la configuración y compatibilidad de la infraestructura de Active Directory. |
| Operaciones de Active Directory | Empresa | Responsable del mantenimiento diario del directorio, como el mantenimiento del grupo de seguridad, la creación de cuentas, etc. |
| Cambio de tarjeta de aprobaciones | Empresa | Se requieren representantes comerciales y técnicos para aprobar cambios en la infraestructura. |
| Nombre de la función | Grupo de seguridad del dominio (entidades emisoras en línea) | Grupo de seguridad local (entidades emisoras en línea) | Capacidades |
|---|---|---|---|
| Administrador de la PKI de la empresa | Administradores de PKI de empresa | – | Control sobre el contenedor de servicios de claves públicas de Active Directory. Por lo tanto, controla las plantillas, la publicación confiable y otros elementos de configuración de la empresa (bosque). |
| Publicador de la PKI de la empresa | Editores de PKI de empresa | – | Puede publicar certificados raíz de confianza de empresa, certificados de subentidades emisoras de certificados y listas CRL en el directorio. |
| Administrador de entidad emisora | Administradores de entidad emisora | Administradores de entidad emisora (sólo entidad emisora raíz) | Tiene permisos de "administración de la entidad emisora de certificados (CA)" en la entidad emisora. Controla la asignación de funciones en la entidad emisora. También tiene permisos para cambiar las propiedades de la entidad emisora. Se suele combinar con un administrador local en el servidor de entidad emisora, a menos que se imponga una separación de funciones. |
| Administrador | Administradores | Administrador local del servidor de entidad emisora. | |
| Auditor de entidad emisora | Auditores de entidad emisora | Administradores de auditores de entidad emisora (sólo entidad emisora raíz) | Tiene derechos de usuario para la "administración de los registros de auditoría y seguridad" en una entidad emisora. Además es miembro del grupo Administradores local en la entidad emisora (condición obligatoria para obtener acceso a los registros de auditoría). |
| Administrador de certificados | Administradores de certificados | Administradores de certificados (sólo entidad emisora raíz) |
Tiene permiso de "emisión y administración de certificados" en la entidad emisora. Es posible configurar varios administradores de certificados en cada entidad emisora y cada uno de ellos administra certificados de un subconjunto de usuarios u otras entidades finales. |
| Autoridad de registro | – | – | Contiene la clave y el certificado requeridos para firmar la solicitud de certificado antes de la aprobación. |
| Agente de recuperación de claves | – | – | Contiene la clave y el certificado requeridos para descifrar las claves privadas archivadas y guardadas en la base de datos de certificados. |
| Operador de copia de seguridad de la entidad emisora | Operadores de copia de seguridad de CA | Operadores de copia de seguridad de entidad emisora (sólo entidad emisora raíz) | Tiene derechos de "restauración y creación de copias de seguridad" en un servidor de entidad emisora. |
| UO | Grupos | Finalidad |
|---|---|---|
| Servicios de Certificate Server | ||
| Administración de Servicios de Certificate Server | Administradores de PKI de empresa Editores de PKI de empresa Administradores de entidad emisora Auditores de entidad emisora Administradores de certificados Operadores de copia de seguridad de CA |
Contiene grupos administrativos para la administración de la configuración de la entidad emisora y la PKI de empresa. |
| Administración de plantillas de certificados | Ejemplos: Administración de plantilla de usuarios Administración de plantilla de inicio de sesión con tarjeta inteligente |
Contiene grupos que poseen Control total de la plantilla del mismo nombre. Permite la delegación de control por tipo de plantilla. |
| Inscripción de plantillas de certificados | Ejemplos: Inscripción de certificado de usuario Inscripción automática de certificado de usuario Inscripción de certificado con firma electrónica |
Contiene grupos que poseen permisos de inscripción o inscripción automática en plantillas del mismo nombre. El control de los grupos puede delegarse a continuación en el personal apropiado para favorecer un régimen de inscripción flexible sin tocar las plantillas reales. |
| Categoría de alerta | Descripción |
|---|---|
| Servicio no disponible | Cuando la aplicación o el componente está completamente no disponible. |
| Infracción de seguridad | Cuando se detecta un intruso o compromiso de seguridad en la aplicación. |
| Error crítico | Cuando la aplicación experimenta un error crítico que requiere una acción administrativa pronto (pero no inmediatamente). La aplicación o componente funciona con un nivel de rendimiento inferior, pero todavía puede realizar las operaciones más importantes. |
| Error | Cuando la aplicación experimente un problema transitorio que no necesita ninguna acción o resolución administrativa inmediata. La aplicación o componente funciona con un nivel de rendimiento aceptable y todavía puede realizar todas las operaciones más importantes. |
| Advertencia | Cuando la aplicación genera un mensaje de aviso que no necesita ninguna acción o resolución administrativa inmediata. La aplicación o componente funciona con un nivel de rendimiento aceptable y todavía puede realizar todas las operaciones más importantes. Sin embargo, esta situación podría convertirse en Error, Error crítico o Servicio no disponible si el problema continúa. |
| Información | Cuando la aplicación genera un evento informativo. La aplicación o componente funciona con un nivel de rendimiento aceptable y realiza todas las operaciones importantes y secundarias. |
| Correcto | Cuando la aplicación genera un evento de éxito. La aplicación o componente funciona con un nivel de rendimiento aceptable y realiza todas las operaciones importantes y secundarias. |
| Objeto de rendimiento | Contador de rendimiento | Instancia |
|---|---|---|
| Procesador | % de tiempo de procesador | _Total |
| Disco físico | % Tiempo de disco | _Total |
| Disco físico | Long. promedio de cola de lectura de disco | _Total |
| Disco físico | Long. promedio de cola de escritura de disco | D: (base de datos de CA) C: (registro de CA) |
| Interfaz de red | Total de bytes/s. | Adaptador NW |
| Memoria | % de bytes asignados en uso | ––– |
| Estado de Servicios de Certificate Server | Importancia | Gravedad |
|---|---|---|
| Lista CRL caducada | No se puede obtener acceso a una lista CRL válida; esta situación está provocando actualmente una pérdida de servicio. | Servicio no disponible |
| Lista CRL atrasada | La lista CRL aún es válida pero una lista CRL nueva que debería haberse publicado está atrasada. | Crítico |
| Lista CRL no disponible Sucesos secundarios: No se puede recuperar la lista CRL de Active Directory No se puede recuperar la lista CRL del servidor Web |
Una lista CRL no se encuentra disponible en un punto de distribución de la lista CRL publicada. Esta situación puede originar una pérdida de servicio. | Crítico |
| Error del servidor de entidad emisora de certificados | El servidor no es visible en la red. | Servicio no disponible |
| Estado crítico del sistema operativo de entidad emisora de certificados | Se ha producido un problema grave subyacente con el hardware del servidor o Windows. | Crítico |
| Estado de error/advertencia del sistema operativo de entidad emisora de certificados | Se han producido problemas subyacentes con el hardware del servidor o Windows que no son muy importantes. | Error o advertencia (según lo definido por las reglas de MOM) |
| Servicios de Certificate Server está sin conexión Sucesos secundarios: La interfaz de cliente está sin conexión La interfaz de administrador está sin conexión |
La interfaz de llamadas a procedimiento remoto (RPC) de Servicios de Certificate Server está sin conexión y los certificados no pueden emitirse. | Crítico |
| Certificado de entidad emisora caducado Sucesos secundarios: Este certificado de entidad emisora ha caducado La entidad emisora de certificados principal ha caducado |
El certificado de la entidad emisora ha caducado. Esta situación provoca actualmente una pérdida de servicio. | Servicio no disponible |
| Al certificado de entidad emisora le queda menos de un mes de validez | El certificado de entidad emisora pronto caducará, problema que originará la pérdida del servicio si no se corrige. Sólo se emiten los certificados con una duración muy breve. | Error |
| La validez del certificado de entidad emisora ha llegado a la mitad de su duración | Un certificado de entidad emisora debe renovarse al alcanzar la mitad de su período de validez. Esto podría significar que se están emitiendo certificados de menor duración que la prevista. | Advertencia |
| Error en la copia de seguridad de entidad emisora de certificados | Error en la copia de seguridad del estado del sistema de entidad emisora de certificados; posible pérdida de información. | Importante o Error |
| Evento | Secuencia de comandos o método de detección | Origen e Id. de suceso |
|---|---|---|
| Lista CRL caducada | Secuencia de comandos: Ca_monitor.wsf Trabajo: CheckCRLs |
Operaciones de CA 20 |
| Lista CRL atrasada | Secuencia de comandos: Ca_monitor.wsf Trabajo: CheckCRLs |
Operaciones de CA 21 |
| Lista CRL no disponible Sucesos secundarios: No se puede recuperar la lista CRL de Active Directory No se puede recuperar la lista CRL del servidor Web |
Secuencia de comandos: Ca_monitor.wsf Trabajo: CheckCRLs |
Operaciones de CA 22 23 |
| Error del servidor de entidad emisora de certificados | Detección de error en el servidor MOM nativo | |
| Estado crítico del sistema operativo de entidad emisora de certificados | Control de estado del servidor MOM nativo | |
| Estado de error/advertencia del sistema operativo de entidad emisora de certificados | Control de estado del servidor MOM nativo | |
| Servicios de Certificate Server está activo Sucesos secundarios: La interfaz de cliente está sin conexión La interfaz de administrador está sin conexión |
Secuencia de comandos: Ca_monitor.wsf Trabajo: IsCAAlives |
Operaciones de CA 1 2 |
| Certificado de entidad emisora caducado Sucesos secundarios: Este certificado de entidad emisora ha caducado La entidad emisora de certificados principal ha caducado |
Secuencia de comandos: Ca_monitor.wsf Trabajo: CheckCACerts |
Operaciones de CA 10 |
| Al certificado de entidad emisora le queda menos de un mes de validez | Secuencia de comandos: Ca_monitor.wsf Trabajo: CheckCACerts |
Operaciones de CA 11 |
| La validez del certificado de entidad emisora ha llegado a la mitad de su duración | Secuencia de comandos: Ca_monitor.wsf Trabajo: CheckCACerts |
Operaciones de CA 12 |
| Copia de seguridad bloqueada (la secuencia de comandos de la copia de seguridad no pudo ejecutarse porque aún se encontraba presente un archivo de bloqueo de la copia de seguridad anterior) | Secuencia de comandos: Ca_operations.wsf Trabajo: BackupCADatabase |
Operaciones de CA 30 |
| Error en la copia de seguridad de entidad emisora de certificados | El código de error de NTBackup.exe se proporciona aquí, aunque debe basarse en las capacidades de MOM o de otro sistema de supervisión para recibir advertencias sobre problemas de copia de seguridad. (Tenga en cuenta que necesitará comprobar la copia de seguridad del estado del sistema y la copia de seguridad de la organización.) | Ntbackup 8019 |
| Otros sucesos | Error de ejecución de Ca_monitor.wsf | Operaciones de CA 100 |
'String used as the Source in event log events CONST EVENT_SOURCE= "MSS Tools" CONST CA_EVENT_SOURCE= "CA Operations"
'CA Event IDs CONST CA_EVENT_CS_RPC_OFFLINE=1 CONST CA_EVENT_CS_RPC_ADMIN_OFFLINE=2 CONST CA_EVENT_CA_CERT_EXPIRED=10 CONST CA_EVENT_CA_CERT_NEARLY_EXPIRED=11 CONST CA_EVENT_CA_CERT_RENEWAL_DUE=12 CONST CA_EVENT_CRL_EXPIRED=20 CONST CA_EVENT_CRL_OVERDUE=21 CONST CA_EVENT_CRL_NOT_AVAILABLE_LDAP=22 CONST CA_EVENT_CRL_NOT_AVAILABLE_HTTP=23 CONST CA_EVENT_BACKUP_LOCKED=30 CONST CA_EVENT_CA_OTHER=100
Es necesario especificar si desea que los errores produzcan mensajes de correo electrónico, entradas de registro de sucesos o ambos. El valor predeterminado es que sólo se produzcan entradas de registro de sucesos. Si especifica alertas de correo electrónico, *debe* suministrar una lista válida de destinatarios de correo electrónico (separados por comas) y el nombre de host de SMTP o la dirección de IP. Ambas cadenas deben estar entre comillas.
Si especifica una alerta de registro de sucesos, quizás desee cambiar los parámetros CA\_EVENT\_SOURCE (utilizado para todos los sucesos relacionados con la entidad emisora de certificados) o EVENT\_SOURCE (utilizado para sucesos no relacionados con la entidad emisora de certificados).
La sintaxis y el uso de las secuencias de comandos de supervisión se describen en la siguiente sección.
**Para comprobar la caducidad del certificado de entidad emisora**
Ejecute el siguiente comando para comprobar el certificado de la entidad emisora (donde se ejecuta la secuencia de comandos) y los certificados publicados de cualquier entidad emisora principal hasta la jerarquía de la entidad emisora raíz.
Cscript //job:CheckCACerts C:\\MSSScripts\\ca\_monitor.wsf
Este comando proporciona alertas en las condiciones siguientes:
- El certificado de entidad emisora ha caducado (Id. de suceso 12)
- Al certificado de entidad emisora le queda menos de un mes de validez (Id. de suceso 11)
- El certificado de entidad emisora ha pasado el punto intermedio de su período de validez (Id. de suceso 12)
**Para comprobar la caducidad de la lista CRL**
Ejecute el siguiente comando para comprobar la lista CRL de entidad emisora y las listas CRL publicadas para todas las entidades emisoras principales hasta la entidad emisora raíz.
Cscript //job:CheckCRLs C:\\MSSScripts\\ca\_monitor.wsf
Este comando proporciona alertas en las condiciones siguientes:
- La lista CRL ha caducado (Id. de suceso 20)
- La lista CRL ha superado su fecha de "Siguiente lista CRL publicada" y su validez ha caducado (Id. de suceso 21)
- La lista CRL no puede recuperarse desde el CDP de LDAP (Id. de suceso 22)
- La lista CRL no puede recuperarse desde el CDP de HTTP (Id. de suceso 23)
Actualmente, los CDP de FTP y FILE no se comprueban en esta secuencia de comandos.
**Para comprobar que el servicio CA está en ejecución**
Ejecute el siguiente comando para comprobar la entidad emisora en la que se ejecuta la secuencia de comandos.
Cscript //job:IsCAAlive C:\\MSSScripts\\ca\_monitor.wsf
Este comando proporciona alertas en las condiciones siguientes:
- La Interfaz cliente de RPC de entidad emisora de certificados no responde (Id. de suceso 1)
- La Interfaz de administración de RPC de entidad emisora de certificados no responde (Id. de suceso 2)
##### Supervisión de seguridad de la entidad emisora de certificados
Los Servicios de Certificate Server producen distintas entradas de registro de auditoría en respuesta a diferentes sucesos de seguridad. La mayoría de estas entradas serán el resultado de tareas operativas diarias. Sin embargo, algunos sucesos indican cambios de configuración importantes y quizás sea necesario estudiarlos más detenidamente.
###### Información de resumen
- **Requisitos de seguridad**:
- Auditores de entidad emisora de certificados (para revisar el registro de seguridad)
- Cuenta de supervisión de seguridad designada para supervisión a través de MOM (o sistema similar)
- **Frecuencia**: tarea de configuración
- **Requisitos de tecnología**:
- Consola de alertas operativa (como MOM)
- Visor de eventos
- Eventquery.vbs (herramienta de la línea de comandos de Windows)
###### Detalles de la tarea
La siguiente tabla enumera los sucesos de auditoría que producen los Servicios de Certificate Server, junto con una categorización de alerta recomendada. Configure su sistema de supervisión para buscar estos sucesos y mostrar el nivel de alerta correcto. Alternativamente, si no tiene un sistema de supervisión de sucesos centralizado, revise los registros de seguridad del servidor de entidad emisora periódicamente (si es posible, diariamente) para comprobar estos elementos.
La categoría de alerta predeterminada para los sucesos Correctos es **Información**. Los sucesos Correctos que se originen a partir de probables cambios en la configuración de seguridad de la entidad emisora de certificados se consideran como una **advertencia**. Todos los sucesos con nivel de **advertencia** indican sucesos significativos que generalmente no se producirán en las operaciones diarias. Todos los sucesos de **advertencia** deben correlacionarse con una solicitud de cambio aprobada. Si no se produce dicha correlación, considere el suceso como un posible error de seguridad e investíguelo inmediatamente.
Los sucesos **erróneos** generalmente no se producen durante las operaciones diarias o durante los cambios estándar realizados en la entidad emisora de certificados. La gran mayoría de los sucesos erróneos son significativos y requieren investigación (aunque quizás sólo indiquen una asignación de permiso incorrecta más que un ataque malintencionado).
**Nota**: hay unas pocas excepciones, como el Suceso 792, donde **Servicios de Certificate Server rechaza una solicitud de certificado**. Esta situación produce sucesos correctos y erróneos para una solicitud legítimamente rechazada por un administrador de certificados, pero sólo un suceso erróneo cuando una persona sin permiso suficiente intenta realizar un rechazo de solicitud.
Las excepciones adicionales a la lista de la siguiente tabla se deben a las distintas formas en que se pueden efectuar cambios en la entidad emisora. Los sucesos 789 (cambio de filtro de auditoría) y 795 y 796 (cambio de la configuración o propiedad de entidad emisora) sólo se registrarán si se efectúan cambios mediante el complemento Entidad emisora de certificados de MMC. No se registrarán si algún usuario intenta editar el Registro de la entidad emisora directamente (o utiliza el comando certutil -setreg) para cambiar los valores de configuración de la entidad emisora. En su lugar, estos sucesos se registran como errores de auditoría de acceso al objeto Suceso 560 (consulte la última entrada en la siguiente tabla). La auditoría se encuentra activada para las subclaves de configuración de Registro de entidad emisora de certificados y registra los cambios correctos y todos los accesos erróneos. Para realizar un seguimiento de las claves del Registro de la entidad emisora, utilice el parámetro **Nombre de objeto** del suceso de auditoría junto con **Id. de suceso** y **Tipo de suceso** para crear un filtro con el fin de producir las alertas correctas.
Además de auditar los sucesos de Servicios de Certificate Server, también debe supervisar y generar alertas de los sucesos de seguridad del sistema operativo estándar, como los sucesos de inicio de sesión, el uso de privilegios y los accesos a objeto. El registro y la base de datos de entidad emisora y los directorios de registro se configuran para generar alertas para todos los accesos erróneos y los cambios correctos. También debe considerar el establecimiento de auditoría en el contenedor de los Servicios de claves públicas (en Configuración\\Servicios) y en los grupos de administración de PKI. Estas opciones no se han establecido como parte de esta solución debido a la dificultad de supervisar sucesos de auditoría distribuidos entre diferentes controladores de dominio. Si dispone de un sistema (como MOM) que pueda consolidar y filtrar estos registros, habilite la auditoría en todos los objetos y contenedores de administración y configuración de PKI de Active Directory.
**Nota:** la supervisión de seguridad en el sistema operativo de entidad emisora se encuentra fuera del alcance de esta guía y puede incluir la administración de sucesos de seguridad de agentes especializados en la detección de intrusiones. Si alguno de estos orígenes indica una infracción de seguridad, investigue exhaustivamente los sucesos de auditoría de la entidad emisora de certificados junto con el resultado de estos orígenes.
Las categorías de alerta Correcto y Erróneo de la siguiente tabla se relacionan con las categorías de alerta definida en el procedimiento "División en categorías de las alertas de supervisión".
**Tabla 11.13: Sucesos de auditoría de Servicios de Certificate Server**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="25%" />
<col width="25%" />
<col width="25%" />
<col width="25%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Id. de suceso</th>
<th style="border:1px solid black;" >Descripción del suceso</th>
<th style="border:1px solid black;" >Categoría de alerta Correcto</th>
<th style="border:1px solid black;" >Categoría de alerta Erróneo</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">772</td>
<td style="border:1px solid black;">El administrador de certificados rechazó una solicitud de certificado pendiente</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">773</td>
<td style="border:1px solid black;">Servicios de Certificate Server recibió una solicitud de certificado reenviada</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">774</td>
<td style="border:1px solid black;">Servicios de Certificate Server revocó un certificado</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">775</td>
<td style="border:1px solid black;">Servicios de Certificate Server recibió una solicitud de publicación de la lista de revocación de certificados (CRL)</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Advertencia</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">776</td>
<td style="border:1px solid black;">Servicios de Certificate Server publicó la lista de revocación de certificados (CRL)</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">777</td>
<td style="border:1px solid black;">Cambio en una extensión de solicitud de certificado</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">778</td>
<td style="border:1px solid black;">Cambio en uno o varios de los atributos de solicitudes de certificados</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">779</td>
<td style="border:1px solid black;">Servicios de Certificate Server recibió una solicitud de cierre</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">780</td>
<td style="border:1px solid black;">Se inició la copia de seguridad de Servicios de Certificate Server</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">781</td>
<td style="border:1px solid black;">Se completó la copia de seguridad de Servicios de Certificate Server</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">782</td>
<td style="border:1px solid black;">Se inició la restauración de Servicios de Certificate Server</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">783</td>
<td style="border:1px solid black;">Se completó la restauración de Servicios de Certificate Server</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">784</td>
<td style="border:1px solid black;">Se inició Servicios de Certificate Server</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">785</td>
<td style="border:1px solid black;">Se detuvo Servicios de Certificate Server</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">786</td>
<td style="border:1px solid black;">Cambio en los permisos de seguridad de Servicios de Certificate Server</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">787</td>
<td style="border:1px solid black;">Servicios de Certificate Server recuperó una clave archivada</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">788</td>
<td style="border:1px solid black;">Servicios de Certificate Server importó un certificado a su base de datos</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Advertencia</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">789</td>
<td style="border:1px solid black;">Cambio en el filtro de auditoría de Servicios de Certificate Server</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">790</td>
<td style="border:1px solid black;">Servicios de Certificate Server recibió una solicitud de certificado</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">791</td>
<td style="border:1px solid black;">Servicios de Certificate Server aprobó una solicitud de certificado y emitió un certificado</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">792</td>
<td style="border:1px solid black;">Servicios de Certificate Server denegó una solicitud de certificado</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">793</td>
<td style="border:1px solid black;">Servicios de Certificate Server ha establecido el estado de una solicitud de certificado en Pendiente</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">794</td>
<td style="border:1px solid black;">Cambio en la configuración del administrador de certificados correspondiente a Servicios de Certificate Server</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">795</td>
<td style="border:1px solid black;">Cambio en una entrada de configuración de Servicios de Certificate Server</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Nodo:<br />
Entrada: CRLPeriod, CRLPeriodUnits, CRLDeltaPeriod o CRLDeltaPeriodUnits<br />
Describa el cambio en el programa de publicación de la lista CRL. El valor 0 para CRLDeltaPeriodUnits significa que la publicación de diferencias entre listas CRL se encuentra deshabilitada.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Nodo: PolicyModules\CertificateAuthority_Microsoft<br />
Default.Policy<br />
Entrada: RequestDisposition<br />
Valor: 1<br />
Establezca la entidad emisora para emitir solicitudes entrantes a menos que se especifique lo contrario.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Nodo: PolicyModules\CertificateAuthority_Microsoft<br />
Default.Policy<br />
Entrada: RequestDisposition<br />
Valor: 257<br />
Establezca la entidad emisora para mantener las solicitudes entrantes como solicitudes pendientes.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Nodo: ExitModules\CertificateAuthority_Microsoft<br />
Default.Exit<br />
Entrada: PublishCertFlags<br />
Valor: 1<br />
Permita que los certificados se publiquen en el sistema de archivos.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Nodo: ExitModules\CertificateAuthority_Microsoft<br />
Default.Exit<br />
Entrada: PublishCertFlags<br />
Valor: 0<br />
No permita que los certificados se publiquen en el sistema de archivos.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Nodo: ExitModules<br />
Entrada: Active<br />
Cambio en módulo de salida activo. El valor especifica el nombre del módulo nuevo. Un valor en blanco significa ninguno.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Nodo: PolicyModules<br />
Entrada: Active<br />
Cambio en el módulo de directiva activo. El valor especifica el nombre del módulo nuevo.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Nodo:<br />
Entrada: CRLPublicationURLs<br />
Cambio en los CDP o AIA. El valor especifica el conjunto resultante de los CDP</td>
<td style="border:1px solid black;">Nodo:<br />
Entrada: CACertPublicationURLs<br />
Cambio en los AIA o CDP. El valor especifica el conjunto resultante de los AIA</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">796</td>
<td style="border:1px solid black;">Cambio en una propiedad de Servicios de Certificate Server (consulte los subtipos incluidos a continuación).</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Tipo: 4<br />
Adición/eliminación de una plantilla a/de una entidad emisora. El valor es una lista de las plantillas resultantes por nombre y OID.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Tipo: 3<br />
Adición de un certificado de KRA a la entidad emisora. El valor es la representación Base64 del certificado.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Tipo: 1<br />
Eliminación del certificado de KRA de la entidad emisora. El valor es el recuento total de certificados de KRA.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">Tipo: 1<br />
Adición/eliminación de un número de certificados de KRA que se utilizarán para el almacenamiento de claves. El valor es el número resultante de los certificados que se van a utilizar.</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">797</td>
<td style="border:1px solid black;">Los Servicios de Certificate Server archivaron una clave.</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">798</td>
<td style="border:1px solid black;">Los Servicios de Certificate Server importaron y archivaron una clave.</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">–</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">799</td>
<td style="border:1px solid black;">Los Servicios de Certificate Server publicaron el certificado de entidad emisora en Active Directory.</td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">800</td>
<td style="border:1px solid black;">Se han eliminado una o varias filas de la base de datos de certificados.</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">801</td>
<td style="border:1px solid black;">Separación de funciones activada.</td>
<td style="border:1px solid black;">Advertencia</td>
<td style="border:1px solid black;">Error</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">560</td>
<td style="border:1px solid black;">Acceso a objetos<br />
donde:<br />
Tipo de objeto: <strong>Clave</strong><br />
Nombre de objeto: <strong>\REGISTRY\MACHINE\SYSTEM\ ControlSet001\Services\CertSvc\Configuration</strong></td>
<td style="border:1px solid black;">Información</td>
<td style="border:1px solid black;">Error</td>
</tr>
</tbody>
</table>
##### Configuración de alertas de SMTP para solicitudes de certificados pendientes
Si tiene algunos tipos de certificado configurados para requerir la aprobación del administrador de certificados, quedarán en la cola de la carpeta Solicitudes pendientes (del complemento Entidad emisora de certificados de MMC) hasta que la solicitud se apruebe. Quizás desee configurar que se envíen alertas por correo electrónico cada vez que una solicitud se coloque en la cola. Las solicitudes aprobadas automáticamente no enviarán alertas de correo electrónico.
Las alertas de correo electrónico también pueden configurarse para otros sucesos de entidad emisora. Los documentos de la ayuda en pantalla de Servicios de Certificate Server proporcionan información acerca de cómo configurarlos.
###### Información de resumen
- **Requisitos de seguridad**: Administradores de CA
- **Frecuencia**: tarea de configuración
- **Requisitos de tecnología**:
- Editor de texto
- Servidor SMTP y buzón del destinatario
###### Detalles de la tarea
Los valores del servidor SMTP y la lista de destinatarios SMTP configurados en el archivo constants.vbs y utilizados por este procedimiento también se emplean en las alertas SMTP descritas en el procedimiento "Supervisión del estado y la disponibilidad de Servicios de Certificate Server". Si tiene que utilizar otras opciones para el servidor y los destinatarios SMTP para estos dos procedimientos, puede cambiar los valores en constants.vbs temporalmente y, a continuación, ejecutar este procedimiento actual. La secuencia de comandos de este procedimiento guarda estos valores en el Registro de la entidad emisora. Una vez ejecutado, el archivo constants.vbs se puede volver a cambiar a los valores anteriores que utilizará la secuencia de comandos de supervisión del procedimiento "Supervisión del estado y la disponibilidad de Servicios de Certificate Server". (La opción para habilitar o deshabilitar las alertas de correo electrónico en dicho procedimiento, ALERT\_EMAIL\_ENABLED, no tiene efecto alguno en las alertas de este procedimiento.)
**Para habilitar las alertas de correo electrónico para solicitudes pendientes**
1. Configure los valores correctos para los destinatarios de correo electrónico y el servidor SMTP en el archivo de secuencias de comandos C:\\MSSScripts\\constants.vbs:
```
'Alerting parameters
' set to comma-separated list of recipients to get email alerts
CONST ALERT_EMAIL_RECIPIENTS= "Admin@woodgrovebank.com,
PKIOps@woodgrovebank.com"
CONST ALERT_EMAIL_SMTP= "mail.woodgrovebank.com" 'SMTP host to use
```
**Nota:** la línea con sangría de este extracto de archivo es la continuación de la línea anterior, que se ha ajustado a la siguiente línea para su presentación; debe estar en una sola línea en el archivo.
2. Ejecute el comando siguiente para habilitar las alertas de correo electrónico para las solicitudes pendientes en cola:
cscript //job:SetupSMTPAlerts C:\\MSSScripts\\ca\_monitor.wsf
#### Programación de trabajos
La programación de trabajos consiste en la organización continua de trabajos y procesos en la secuencia más efectiva, maximizando el rendimiento y la utilización del sistema para cumplir con los requisitos del contrato de nivel de servicio (SLA). La programación de trabajos está estrechamente ligada a la supervisión y control del servicio, así como a la administración de la capacidad.
##### Programación de trabajos en la entidad emisora
Es necesario ejecutar una determinada cantidad de tareas repetitivas en las entidades emisoras para mantener el correcto funcionamiento de la infraestructura de Servicios de Certificate Server. Estas tareas se automatizan para reducir la sobrecarga operativa.
###### Información de resumen
- **Requisitos de seguridad**: administradores locales en la entidad emisora
- **Frecuencia**: tarea de configuración
- **Requisitos de tecnología**:
- Programador de tareas de Windows
- MOM (si corresponde)
###### Detalles de la tarea
En la siguiente tabla se enumeran los trabajos automatizados que se ejecutan en la entidad emisora. Estos trabajos están definidos en tareas de otras partes de este capítulo (mostradas en la columna **Tarea de referencia**); la tabla siguiente únicamente es de referencia.
Sólo la entidad emisora tiene trabajos automatizados en ejecución. La entidad emisora raíz puede estar apagada durante períodos largos, por lo que no se puede mantener una programación confiable en este equipo.
**Tabla 11.14: Lista de trabajos programados en la entidad emisora**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="25%" />
<col width="25%" />
<col width="25%" />
<col width="25%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Descripción del trabajo</th>
<th style="border:1px solid black;" >Programación</th>
<th style="border:1px solid black;" >Ejecutado por</th>
<th style="border:1px solid black;" >Tarea de referencia</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Copia de seguridad del Estado del sistema de la entidad emisora al archivo</td>
<td style="border:1px solid black;">Diariamente</td>
<td style="border:1px solid black;">Programador de tareas de Windows</td>
<td style="border:1px solid black;">Configuración y ejecución de una copia de seguridad de la base de datos de entidad emisora<br />
Configuración y ejecución de una copia de seguridad de la base de datos de entidad emisora raíz</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Copia de seguridad de archivos de la entidad emisora para almacenamiento de copias de seguridad</td>
<td style="border:1px solid black;">Diariamente (a continuación de la copia de seguridad del Estado del sistema)</td>
<td style="border:1px solid black;">Programador de copias de seguridad organizativas</td>
<td style="border:1px solid black;">Ninguno (definido por su organización)</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Publicación de listas CRL en IIS</td>
<td style="border:1px solid black;">Cada hora</td>
<td style="border:1px solid black;">Programador de tareas de Windows</td>
<td style="border:1px solid black;">Publicación de la entidad emisora y el certificado en IIS</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Supervisión del estado de la entidad emisora en línea</td>
<td style="border:1px solid black;">Cada hora</td>
<td style="border:1px solid black;">MOM o Programador de tareas de Windows</td>
<td style="border:1px solid black;">Supervisión del estado y la disponibilidad de Servicios de Certificate Server</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Supervisión del estado de emisión y publicación de la lista CRL</td>
<td style="border:1px solid black;">Cada hora</td>
<td style="border:1px solid black;">MOM o Programador de tareas de Windows</td>
<td style="border:1px solid black;">Supervisión del estado y la disponibilidad de Servicios de Certificate Server</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Supervisión de la validez del certificado de entidad emisora</td>
<td style="border:1px solid black;">Diariamente</td>
<td style="border:1px solid black;">MOM o Programador de tareas de Windows</td>
<td style="border:1px solid black;">Supervisión del estado y la disponibilidad de Servicios de Certificate Server</td>
</tr>
</tbody>
</table>
#### Tareas operativas adicionales
El mantenimiento de una PKI implica numerosas tareas operativas. Normalmente no es necesario realizar muchas de estas tareas de forma periódicamente, pero pueden ser necesarias ocasionalmente o como parte de la resolución de una incidencia de soporte técnico.
En la documentación del producto Servicios de Certificate Server de Windows Server 2003 se describen varias de estas tareas y se proporciona información general acerca de la administración. Muchas de estas tareas no se describen en este capítulo ni en el capítulo de la guía de generación adjunta ("Implementación de la infraestructura de claves públicas"). Aunque la tarea se describa en esta guía de solución, la documentación del producto proporciona información complementaria que resulta útil.
Consulte la sección "Información adicional" al final de este capítulo para obtener un vínculo al documento, donde podrá encontrar instrucciones para realizar las siguientes tareas administrativas:
- Iniciar o detener el servicio de la entidad emisora de certificados.
- Establecer permisos de seguridad y delegar el control de una entidad emisora de certificados.
- Ver el certificado de la entidad emisora de certificados.
- Establecer la seguridad para el acceso a las páginas Web de la entidad emisora de certificados.
- Configurar las restricciones del administrador de certificados.
- Publicar los certificados en un bosque externo de Active Directory.
- Enviar mensajes de correo electrónico cuando se produce un suceso de certificación.
- Utilizar el complemento Entidad emisora de certificados.
- Administrar la revocación de certificados.
- Administrar las solicitudes de certificados en una entidad emisora de certificados autónoma.
- Administrar plantillas de certificados para una entidad emisora de certificados de empresa.
- Administrar el archivo y la recuperación de claves.
- Cambiar la configuración de directivas para una entidad emisora de certificados.
- Cambiar la directiva o salir de módulos de una entidad emisora de certificados.
- Controlar la administración basada en funciones.
[](#mainsection)[Principio de la página](#mainsection)
### Tareas del cuadrante de compatibilidad
Las SMF del cuadrante de compatibilidad incluyen tareas reactivas y preventivas para mantener los niveles de servicio deseados. Las funciones reactivas dependen de la capacidad de la organización para reaccionar y resolver incidentes y problemas rápidamente. Las funciones preventivas más interesantes intentan evitar interrupciones en el servicio. Mediante una buena supervisión de los servicios de la solución con los umbrales predefinidos, estas funciones identifican los problemas antes de que se vean afectados los niveles de servicio. Esto proporciona al personal de operaciones el tiempo suficiente para reaccionar y resolver problemas potenciales.
El cuadrante de compatibilidad está estrechamente relacionado con la SMF de control y supervisión de servicios que se describe en el cuadrante operativo. El control y supervisión de servicios proporciona la información esencial mediante la que el personal de operaciones y de soporte puede detectar los problemas. Los procedimientos descritos en esta sección están diseñados para solucionar las incidencias más comunes que se pueden producir y permiten recuperarse de ellas.
Esta sección contiene información relevante para la siguiente función de administración de servicios:
- Administración de incidentes
No hay tareas que correspondan al resto de las SMF:
- Administración de problemas (el diagnóstico de problemas se describe en la sección "Solución de problemas" más adelante en este capítulo)
- Soporte técnico del servicio
**Nota:** cada descripción de tarea incluye la siguiente información de resumen: requisitos de seguridad, frecuencia y requisitos de tecnología.
#### Administración de incidentes
La administración de incidentes es el proceso de administración y control de errores e interrupciones en el uso o implementación de servicios de TI a partir de su informe por parte de clientes o asociados de TI. El objetivo principal de la administración de incidentes consiste en restaurar el funcionamiento normal del servicio tan rápido como sea posible, minimizar el impacto adverso sobre las operaciones de negocio y garantizar el mantenimiento de la mayor calidad y disponibilidad posibles de los niveles de servicio. El "funcionamiento normal del servicio" se define como el funcionamiento del servicio dentro de los límites del SLA.
Esta sección está estrechamente relacionada con "Solución de problemas". No obstante la sección "Solución de problemas" implica la identificación y diagnóstico de los problemas, mientras que esta sección contiene las tareas más comunes utilizadas para solucionar estos problemas.
Los incidentes que se analizan en la sección "Solución de problemas" son:
- El servidor no responde
- Error en la publicación de la lista CRL
- Lista CRL no emitida
- El cliente no puede inscribirse
- Se ha instalado una actualización de seguridad que requiere reinicio
- Error de servidor permanente
- Debe revocarse el certificado huérfano
- El servidor no puede restaurarse a tiempo para la emisión de la lista CRL o el certificado
- El certificado de entidad final ha quedado comprometido
- El certificado de la entidad emisora ha quedado comprometido
- El certificado de la entidad emisora raíz ha quedado comprometido
La mayoría de dichos incidentes se relacionan directamente con uno o más de los procedimientos detallados en las siguientes secciones. En otros casos, como por ejemplo un error en la inscripción de un cliente, el proceso de respuesta a incidentes requerido es más complejo y se describe en la sección "Solución de problemas".
##### Reinicio de Servicios de Certificate Server
Debe reiniciar Servicios de Certificate Server por diversas razones operativas. (Por ejemplo, después de reconfigurar varias propiedades de la entidad emisora, deberá reiniciar Servicios de Certificate Server para que los cambios tengan efecto.) En algunos casos, quizás sea necesario reiniciar Servicios de Certificate Server si el servicio ha dejado de responder o funciona en forma imprevista.
###### Información de resumen
- **Requisitos de seguridad**: administradores locales en la entidad emisora
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**:
- Complemento Entidad emisora de certificados de MMC
- Net.exe
###### Detalles de la tarea
Hay numerosos métodos para reiniciar un servicio y todos son aceptables para esta tarea.
**Para reiniciar el servicio de la entidad emisora**
1. Compruebe que no haya nadie realizando una transacción con la entidad emisora. Si dispone del tiempo necesario, envíe un aviso a los usuarios que puedan verse afectados.
2. En la MMC de Entidad emisora de certificados, seleccione el objeto CA.
3. En el menú **Tareas**, haga clic en **Detener servicio** o, en un símbolo del sistema, escriba:
net stop "Certificate Services"
4. En el menú **Tareas**, haga clic en **Iniciar servicio** o, en un símbolo del sistema, escriba:
net start "Certificate Services"
**Nota:** cuando la auditoría está habilitada, es posible que Servicios de Certificate Server tarde bastante en cerrarse e iniciarse de nuevo. Puede tardar más de 10 minutos si se trata de una base de datos muy grande. El uso de la característica de auditoría prolongará todo el proceso de cierre e inicio del servidor, ya que Servicios de Certificate Server debe calcular un valor hash de toda la base de datos para crear entradas de auditoría de inicio y cierre. Este retardo no se produce si no se auditan el inicio ni el cierre.
##### Reinicio del servidor de la entidad emisora
Es posible que tenga que reiniciar el servidor de entidad emisora por varios motivos operativos, incluida la aplicación de una actualización del sistema operativo. Es posible que también tenga que reiniciar el servidor si el servicio ha dejado de responder o se comporta de un modo imprevisto y no se reinicia de un modo limpio mediante el procedimiento Reinicio del servicio.
###### Información de resumen
- **Requisitos de seguridad**: administradores locales en la entidad emisora
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: Net.exe
###### Detalles de la tarea
**Para reiniciar el servicio de la entidad emisora**
1. Compruebe que no haya nadie realizando una transacción con la entidad emisora. Si dispone del tiempo necesario, envíe un aviso a los usuarios que puedan verse afectados.
2. Si fuera posible, ejecute el siguiente comando para detener Servicios de Certificate Server e impedir que los usuarios se conecten a la entidad emisora durante el cierre:
net stop "Certificate Services"
3. Siga los procedimientos normales del sistema operativo para reiniciar su PC. A menos que esté claro que el proceso de Servicios de Certificate Server ha dejado de responder, no intente cancelar dicho proceso ni apagar el servidor. La cancelación del proceso de Servicios de Certificate Server puede dañar su respectiva base de datos y requerir una restauración a partir de la copia de seguridad.
**Nota:** como se ha indicado en la tarea anterior, la auditoría de los procesos de inicio y cierre puede provocar que Servicios de Certificate Server tarde mucho tiempo en cerrarse y volver a iniciarse. El retardo no se produce si no se auditan el inicio ni el cierre.
##### Restauración de la entidad emisora a partir de una copia de seguridad
Si no puede iniciar una entidad emisora debido a un daño grave de software o hardware, será necesario restaurar el servidor y el material importante a partir de una copia de seguridad.
###### Información de resumen
- **Requisitos de seguridad**:
- Administradores locales en la entidad emisora
- Operadores de copia de seguridad de entidad emisora (sólo para realizar la restauración)
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**:
- Copia de seguridad de Windows
- Sistema de copia de seguridad organizativo
###### Detalles de la tarea
Realice los siguientes pasos para restaurar una entidad emisora a partir de una copia de seguridad.
**Precaución:** si utiliza un HSM, este procedimiento no funcionará como se indica. Siga las instrucciones del proveedor de HSM para realizar la copia de seguridad, restaurar y proteger el material importante y las claves de acceso.
**Para restaurar una entidad emisora a partir de una copia de seguridad**
1. Es necesario que el sistema operativo se recupere hasta el punto en el que se pueda volver a ejecutar Servicios de Certificate Server, lo que puede requerir la reinstalación de Windows. En tal caso, siga las instrucciones detalladas en la guía de generación para instalar el sistema operativo y los componentes básicos del sistema. No hay necesidad de aplicar medidas de seguridad u otras medidas de configuración.
**Advertencia:** si tiene que reinstalar Windows en la entidad emisora, no vuelva a formatear ni a crear particiones en la segunda unidad. Esta unidad contiene la base de datos de la entidad emisora, que puede estar intacta.
2. Si fuera posible, mantenga la base de datos de la entidad emisora (en %systemroot%\\System32\\CertLog de la entidad emisora raíz o en D:\\CertLog en la entidad emisora) y los registros de la entidad emisora (en %systemroot%\\System32\\CertLog). Realice una copia de seguridad de archivo de estas carpetas antes de restaurar la entidad emisora. Es posible que la base de datos y los registros no se hayan visto afectados por el error del sistema. Los registros contienen información necesaria para volver a ejecutar todas las transacciones en la entidad emisora que se produjeron entre la última copia de seguridad y el error del servidor. No obstante, al restaurar una copia de seguridad del estado del sistema se pueden sobrescribir los registros y la base de datos existente, por lo que debe preservarlos antes de iniciar una restauración del sistema.
3. Inserte los medios de copia de seguridad con la copia de seguridad más reciente en la entidad emisora y restaure el archivo de copia de seguridad del estado del sistema en un área del disco apropiada (se recomienda una segunda unidad, si está disponible).
4. Inicie el programa de copia de seguridad de Windows. En la ficha **Restaurar**, haga clic con el botón secundario del mouse en el objeto **Archivo** en el panel izquierdo y, a continuación, haga clic en **Catalogar archivo**.
5. Asegúrese de que se seleccione **Ubicación original** como destino para la restauración de archivos y, a continuación, haga clic en **Iniciar restauración** para restaurar el estado del sistema. Al finalizar, reinicie el servidor y detenga Servicios de Certificate Server una vez reiniciado el sistema.
6. Si se han preservado los registros de la entidad emisora en el paso 2, cópielos en la carpeta de registros de Servicios de Certificate Server (%systemroot%\\System32\\CertLog). Los registros están preparados para volver a ejecutarse en la base de datos restaurada con el fin de insertar las transacciones que se han producido después de la última copia de seguridad.
**Nota:** si ha podido guardar intactos la base de datos y los registros de la entidad emisora en el paso 2, puede restaurarlos en el servidor en vez de realizar el procedimiento de este paso (paso 6). Para volver a copiar la base de datos y los registros de la entidad emisora en el servidor, se debe detener el servicio Servicios de Certificate Server.
7. Inicie Servicios de Certificate Server.
##### Restauración del certificado de la entidad emisora y el par de claves en un equipo temporal
Si una entidad emisora con errores no puede restaurarse a tiempo para la emisión de una nueva lista CRL (o renovar un certificado crítico), tendrá que instalar el certificado y las claves de la entidad emisora en un equipo temporal para poder utilizarlos con el fin de volver a firmar y ampliar el período de validez de una lista CRL o certificado existente.
###### Información de resumen
- **Requisitos de seguridad**: administradores locales en el equipo local
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**:
- Certutil.exe
- Cipher.exe
###### Detalles de la tarea
Esta tarea describe cómo debe restaurarse el certificado y las claves privadas de la entidad emisora en un equipo temporal. Si la entidad emisora se ha renovado, dispondrá de copias de seguridad de varios certificados y par de claves. Debe restaurar el archivo de clave y certificado más reciente para este procedimiento.
**Importante:** aunque este equipo tiene instalada la clave de la entidad emisora, debe adoptar las mismas precauciones de seguridad que utiliza con la entidad emisora. Si está restaurando la clave de una entidad emisora sin conexión, asegúrese de que el equipo esté sin conexión. Considere formatear nuevamente los discos del equipo una vez que haya terminado con la clave.
**Precaución:** si utiliza un HSM, este procedimiento no funcionará como se indica. Siga las instrucciones del proveedor de HSM para realizar la copia de seguridad, restaurar y proteger el material importante y las claves de acceso.
**Para restaurar las claves y el certificado de la entidad emisora en un equipo temporal**
1. Asegúrese de que el equipo se ha desconectado de la red. Inicie la sesión como miembro de los administradores locales y, a continuación, cree CAKeySigner como cuenta de usuario local.
2. Inicie la sesión con esta cuenta nueva.
3. Inserte un disco que contenga la copia de seguridad de las claves de la entidad emisora que debe probarse.
4. Utilice el Explorador de Windows para buscar los archivos de clave P12, seleccione el archivo más reciente y haga doble clic para iniciar el Asistente para importación.
5. Escriba la contraseña cuando se le solicite. No active las casillas de verificación para proporcionar alta protección para las claves o para hacerlas exportables.
6. Seleccione **Almacén** **personal** como ubicación en la que van a restaurar las claves de la entidad emisora.
7. Abra el complemento Certificados de MMC y busque el almacén personal. Busque el certificado de entidad emisora para la entidad emisora restaurada y ábralo para comprobar que tiene la clave privada correspondiente.
Puede realizar las tareas de nuevas firmas requeridas con las claves de la entidad emisora restauradas. Consulte el siguiente procedimiento, "Nueva firma de una lista CRL o un certificado para extender su validez". Cuando termine, limpie las claves de su PC utilizando el siguiente procedimiento.
**Para limpiar las claves del sistema**
1. Inicie la sesión como miembro de los administradores locales y elimine el perfil de usuario de la cuenta CAKeySigner (mediante **Propiedades avanzadas** en Mi PC).
2. Elimine la cuenta CAKeySigner.
3. Borre de forma segura las áreas sin asignar del disco para quitar permanentemente todo rastro de las claves. Para ello, ejecute el comando siguiente:
Cipher /W:%AllUsersProfile%
**Nota:** al especificar %allusersprofile% como ruta de acceso, se asegura de que Cipher.exe se ejecutará en la unidad que contiene los perfiles de usuario. Esto limpia toda la unidad, no sólo la ruta indicada.
##### Nueva firma de una lista CRL o un certificado para extender su período de validez
Si una entidad emisora no se encuentra disponible debido a algún tipo de error del servidor, puede extender la duración de listas CRL o certificados volviendo a firmar el archivo de CRL o certificados. Esta acción puede resultar esencial para mantener el servicio.
###### Información de resumen
- **Requisitos de seguridad:** cuenta temporal creada durante la restauración de la clave de la entidad emisora
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: Certutil.exe
###### Detalles de la tarea
La nueva firma de una lista CRL o un certificado extenderá su período de validez. De forma predeterminada, se utiliza el período de validez existente y se reinicia desde la fecha de la firma. Por ejemplo, si el período de validez original de la lista CRL era de un mes, el nuevo período de validez será de un mes a partir del momento de la nueva firma. Si es necesario, se puede especificar un período de validez distinto en la línea de comandos de Certutil.
**Para volver a firmar una lista CRL o un certificado**
1. Obtenga una copia de la lista CRL o el certificado que desea volver a firmar.
2. Inicie la sesión en un equipo donde la clave y el certificado de la entidad emisora empleados para firmar originalmente la lista CRL o certificado se han restaurado. (Consulte el procedimiento anterior, "Restauración del certificado de la entidad emisora y el par de claves en un equipo temporal".) Inicie sesión utilizando la cuenta creada en dicho procedimiento.
3. Ejecute el siguiente comando, sustituyendo *ArchivoAntiguo.ext* por el nombre del archivo de CRL o certificados y *ArchivoNuevo.ext* por el nombre del resultado requerido.
Certutil -sign *ArchivoAntiguo.ext ArchivoNuevo.ext*
4. Cuando se le solicite indicar el certificado que desea utilizar, seleccione el certificado de la entidad emisora.
5. Si va a volver a firma una lista CRL, debe publicarla en los CDP según sea necesario (consulte los procedimientos para publicar listas CRL en la sección "Tareas del cuadrante operativo").
##### Revocación de un certificado de entidad final
Quizás sea necesario revocar un certificado por determinados motivos, incluido:
- La funcionalidad o los privilegios asociados con el certificado fueron revocados para el titular del certificado.
- La clave del certificado ha quedado comprometida.
- La entidad emisora que emitió el certificado ha quedado comprometida.
###### Información de resumen
- **Requisitos de seguridad**: administradores de certificados
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología:** complemento Entidad emisora de certificados de MMC
###### Detalles de la tarea
En este procedimiento se describen los pasos para la revocación de un certificado de entidad final (es decir, un certificado emitido a una entidad que no es la entidad emisora). Siga los procedimientos detallados en otras secciones para la revocación de un certificado de entidad emisora.
**Para revocar un certificado**
1. Inicie sesión como miembro de Administradores de certificados y busque los certificados que desea revocar en la base de datos de la entidad emisora de certificados (en Entidad emisora de certificados de MMC). Utilice la opción **Filtro** (en el menú **Ver** de la carpeta **Certificados emitidos**) de la entidad emisora para buscar los certificados.
2. Seleccione los certificados y, a continuación, haga clic en **Revocar** en el menú **Tareas**.
3. Seleccione un código de motivo adecuado para la revocación. A menos que la razón de la revocación se incluya en uno de los códigos de razón predefinidos, seleccione **No especificado**.
**Importante:** el único motivo que permite la posterior reinstalación del certificado es **Posesión de certificado**. Todos los demás motivos darán como resultado la deshabilitación permanente del certificado. No obstante, no utilice sólo **Posesión de certificado** porque existe la posibilidad de que el certificado se pueda rehabilitar. Utilice este código sólo cuando realmente deba suspender de forma temporal el certificado.
##### Revocación de un certificado huérfano
Al restaurar una entidad emisora desde una copia de seguridad después de algún tipo de error del servidor, es posible que los certificados emitidos entre la última copia de seguridad y el error no se encuentren en la base de datos de certificados. Estos certificados se denominan "huérfanos". Esta situación se producirá si los registros de la entidad emisora están destruidos y no se pueden volver a ejecutar en la base de datos de la entidad emisora después de su restauración de la copia de seguridad. Si se produce esta situación, es imposible revocar ninguno de estos certificados "huérfanos" con el procedimiento estándar.
###### Información de resumen
- **Requisitos de seguridad**: administradores de certificados
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: Certutil.exe
###### Detalles de la tarea
Para revocar un certificado huérfano, es necesario obtener una copia del certificado que se desea revocar o el número de serie de dicho certificado.
**Para revocar un certificado huérfano**
1. Inicie sesión en la entidad emisora que emitió el certificado que se desea revocar como miembro de Administradores de certificados.
2. Si no puede obtenerse una copia del certificado, ejecute el siguiente comando para crear un certificado ficticio y guárdelo como CertToRevoke.cer. Sustituya *NúmeroSerie* por el número de serie del certificado que desea revocar.
Certutil -sign *NúmeroSerie* CertToRevoke.cer
3. Cuando se le solicite, seleccione el certificado de la entidad emisora actual para firmar el certificado ficticio.
4. Después de crear un certificado ficticio (u obtener una copia del certificado real que se revocará), tiene que importarlo en la base de datos de la entidad emisora. Ejecute el siguiente comando para importar el certificado en la base de datos de certificados. CertToRevoke es una copia del certificado real que se va a revocar o el certificado ficticio creado en los pasos anteriores.
Certutil -importcert CertToRevoke.cer
5. Realice el procedimiento estándar para revocar un certificado (detallado en el procedimiento anterior, "Revocación de un certificado de entidad final").
**Importante:** existe un problema con las versiones de Certutil anteriores a SP1 de Windows Server 2003 que provoca que se produzca un error en la creación de certificados ficticios en un equipo con Windows Server 2003. Si utiliza una versión anterior a esta y no puede encontrar una copia del certificado original, un método alternativo es tomar un certificado existente y utilizar un editor binario para reemplazar el número de serie por el del certificado que se va a revocar. Este certificado modificado se puede volver a firma con el siguiente comando:
Certutil -sign ModifiedCert.cer CertToRevoke.cer
A continuación, el certificado recién creado se puede importar en la base de datos con el paso 4 de este procedimiento.
##### Revocación y reemplazo de un certificado de entidad emisora
Si la clave privada de una entidad emisora ha quedado comprometida de alguna manera (o incluso si solamente se sospecha que ha quedado comprometida), revoque el certificado de la entidad emisora y emita uno nuevo utilizando un nuevo par de claves.
###### Información de resumen
- **Requisitos de seguridad**: administradores de certificados
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología:** complemento Entidad emisora de certificados de MMC
###### Detalles de la tarea
Debido a que el certificado de entidad emisora raíz tiene un período de publicación de la lista CRL muy largo, la simple revocación del certificado de entidad emisora y la publicación de una nueva lista CRL provocarán una gran demora entre dicha revocación y la recepción por parte de los usuarios de la misma. Para garantizar que todos los certificados emitidos anteriormente por la entidad emisora comprometida se rechazan tan pronto como sea posible, todos los certificados que ésta ha emitido también se revocan individualmente.
**Importante:** todos los usuarios de certificados deberán volver a inscribirse para obtener certificados nuevos.
**Para revocar un certificado de CA emisora**
1. Inicie sesión en la entidad emisora como miembro de Administradores de certificados y abra el complemento Entidad emisora de certificados de MMC.
2. Seleccione todos los certificados de la carpeta Certificados emitidos y, a continuación, en el menú **Todas las tareas**, haga clic en **Revocar certificado**. Seleccione **Compromiso de CA** como código de motivo.
3. Aumente el Intervalo de publicación CRL para ajustarlo al tiempo de vida restante del certificado de entidad emisora. Al aumentar este intervalo se garantizará que sea más largo que el tiempo de vida restante de todos los certificados que ha emitido la entidad emisora.
4. Desactive casilla de verificación **Publicar diferencias CRL**, si está seleccionada.
5. En el menú **Todas las tareas** de la carpeta Certificados revocados, haga clic en **Publicar** y, a continuación, haga clic en **Lista de revocación de certificados (CRL) nueva**.
6. Inicie sesión en la entidad emisora raíz como miembro de Administradores de certificados y abra el complemento Entidad emisora de certificados de MMC.
7. Busque el certificado de entidad emisora que desea revocar en la carpeta Certificados emitidos y, a continuación, en el menú **Todas las tareas**, haga clic en **Revocar certificado**. Seleccione **Compromiso de clave** como código de motivo.
8. Siga el procedimiento "Publicación de una lista CRL y un certificado de entidad emisora fuera de línea" de la sección "Tareas del cuadrante operativo" (puede omitir las partes de publicación de certificados de entidad emisora del procedimiento).
9. Vuelva a la entidad emisora y siga el procedimiento "Renovación del certificado de entidad emisora de certificados" de la sección "Tareas del cuadrante operativo".
Una vez completados los procedimientos anteriores, los usuarios de certificados ya pueden volver a inscribirse con la entidad emisora nueva. Los certificados de inscripción automática se inscribirán automáticamente.
##### Revocación y reemplazo de un certificado de entidad emisora raíz
Si la clave privada de una entidad emisora raíz ha quedado comprometida de alguna manera (o incluso si solamente se sospecha que ha quedado comprometida), debe eliminar el certificado de la entidad emisora de su punto confiable y revocar todos los certificados que éste y cualquiera de sus entidades emisoras subordinadas hayan emitido. Debe renovar el certificado de la entidad emisora raíz y los certificados de todas sus entidades emisoras subordinadas con nuevas claves y, a continuación, volver a publicarlos en Active Directory. Normalmente no es posible revocar un certificado de entidad emisora raíz. Frecuentemente, el certificado de la entidad emisora no incluye un CDP a partir del que se pueda comprobar el estado de revocación. En cualquier caso, no es estrictamente lega que una entidad emisora afirme su propia revocación. (Se tendría que utilizar el certificado comprometido para firmar la lista CRL que contiene su propio certificado revocado.)
###### Información de resumen
- **Requisitos de seguridad**:
- Administradores de certificados
- Administradores locales en entidades emisoras (para subtareas de renovación de entidad emisora)
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología:** complemento Entidad emisora de certificados de MMC
###### Detalles de la tarea
**Nota:** todos los usuarios de certificados deberán volver a inscribirse para obtener certificados nuevos después de completar este procedimiento.
**Para revocar un certificado de entidad emisora raíz**
1. Inicie sesión en la entidad emisora como miembro de Administradores de certificados y abra el complemento Entidad emisora de certificados de MMC.
2. Seleccione todos los certificados de la carpeta Certificados emitidos y, a continuación, en el menú **Todas las tareas**, haga clic en **Revocar certificado**. Seleccione **Compromiso de CA** como código de motivo.
3. Aumente el Intervalo de publicación de CRL para ajustarlo a la duración restante del certificado de la entidad emisora. Al aumentar este intervalo se garantizará que sea más largo que el tiempo de vida restante de todos los certificados que ha emitido la entidad emisora.
4. Desactive casilla de verificación **Publicar diferencias CRL**, si está seleccionada.
5. En el menú **Todas las tareas** de la carpeta Certificados revocados, haga clic en **Publicar** y, a continuación, haga clic en **Lista de revocación de certificados (CRL) nueva**. Repita los pasos del 1 al 5 para todas las entidades emisoras subordinadas.
6. Inicie sesión en la entidad emisora raíz como miembro de Administradores de certificados y abra el complemento Entidad emisora de certificados de MMC.
7. Seleccione todos los certificados de la carpeta Certificados emitidos y, a continuación, en el menú **Todas las tareas**, haga clic en **Revocar certificado**. Seleccione **Compromiso de CA** como código de motivo.
8. Aumente el Intervalo de publicación de CRL para ajustarlo a la duración restante del certificado de la entidad emisora. Al aumentar este intervalo se garantizará que sea más largo que el tiempo de vida restante de todos los certificados que ha emitido la entidad emisora.
9. Desactive casilla de verificación **Publicar diferencias CRL**, si está seleccionada.
10. Siga el procedimiento operativo "Renovación del certificado de la entidad emisora raíz".
11. Vuelva a la entidad emisora y siga el procedimiento operativo "Renovación del certificado de entidad emisora de certificados".
Una vez completados los procedimientos anteriores, los usuarios de certificados ya pueden volver a inscribirse con la entidad emisora nueva. Los certificados de inscripción automática se inscribirán automáticamente.
**Importante:** la renovación de un certificado de entidad emisora raíz es un suceso muy importante, en concreto cuando se produce la revocación de entidades emisoras secundarias y certificados emitidos. Asegúrese de informar a los propietarios de la aplicación afectados del nuevo certificado raíz en caso de que deban configurar esta nueva raíz en su aplicación.
[](#mainsection)[Principio de la página](#mainsection)
### Tareas del cuadrante de optimización
El cuadrante de optimización incluye las SMF necesarias para administrar costos y mantener o mejorar los niveles de servicio. En las tareas se incluyen la revisión de interrupciones/incidentes, el examen de estructuras de costos, las evaluaciones del personal, la disponibilidad y el análisis del rendimiento, así como el pronóstico de capacidad.
Esta sección contiene información relevante para las SMF siguientes:
- Administración de capacidad
No hay tareas que correspondan al resto de las SMF:
- Administración de nivel de servicio
- Administración financiera
- Administración de disponibilidad
- Administración de continuidad del servicio de TI
- Administración de personal
**Nota:** cada descripción de tarea incluye la siguiente información de resumen: requisitos de seguridad, frecuencia y requisitos de tecnología.
#### Administración de capacidad
La administración de capacidad es el proceso de planear, ajustar el tamaño y controlar la capacidad de la solución del servicio para satisfacer la demanda del usuario dentro de los niveles de rendimiento establecidos en el SLA. Satisfacer esta demanda requiere información acerca de las situaciones de uso, patrones y características de carga máxima de la solución del servicio, así como los requisitos de rendimiento establecidos.
##### Determinación de la carga máxima de la entidad emisora
En esta sección se brinda información acerca de la carga máxima probable en la entidad emisora.
Si bien las entidades emisoras generalmente no experimentan una carga muy importante, hay ocasiones en las que las cargas pueden elevarse considerablemente. La mayor carga en una entidad emisora se produce generalmente en el inicio de sesión a horas punta o en el momento de iniciar durante la ejecución de un nuevo tipo de certificado. Del mismo modo, aunque con muchísima menos frecuencia, una revocación masiva de certificados o de certificados de entidad emisora provocará una carga máxima anómala de actividad debida a la nueva inscripción de usuarios y equipos.
###### Información de resumen
- **Requisitos de seguridad**: ninguno
- **Frecuencia**: tarea de configuración
- **Requisitos de tecnología**: ninguno
###### Detalles de la tarea
Las pruebas internas de Microsoft han demostrado que, en una entidad emisora de certificados de empresa normal, el cuello de botella de rendimiento en situaciones de alta carga se debe a la interacción con Active Directory. La tarea de firmar y emitir certificados es relativamente liviana comparada con la sobrecarga de realizar una búsqueda de directorios para recuperar información sobre el sujeto del certificado y, a continuación, volver a publicar dicho certificado en Active Directory.
Considere, por ejemplo, los números generados en un escenario de carga máxima donde se ha habilitado un nuevo tipo de certificado y todos los usuarios y equipos tienen que inscribir certificados de este tipo:
- Número de usuarios: 3000
- Número de equipos: 3000
- La velocidad de emisión máxima aproximada de una entidad emisora de certificados de empresa es de tres certificados por segundo (o 1800 por minuto).
Estos números indican un tiempo de inscripción total mínimo de 3,3 minutos. Para 15.000 usuarios y el mismo número de equipos inscribiéndose simultáneamente, el tiempo de inscripción se ampliaría a 16,6 minutos.
Debe determinar la carga de inscripción máxima probable para su organización y calcular la duración de inscripción total. Si el tiempo es inaceptablemente largo y no puede dividir en partes la inscripción de ningún modo, debe considerar la posibilidad de implementar varias entidades emisoras. Dichas entidades emisoras se implementarán en sitios de Active Directory independientes para que utilicen controladores de dominio distintos.
##### Determinación de los requisitos de almacenamiento y copia de seguridad para una entidad emisora
Esta sección brinda detalles de capacidad de los parámetros de almacenamiento de la entidad emisora. Esta información ayudará a los planeadores de capacidad a calcular los requisitos futuros de almacenamiento para el disco en línea y los medios de almacenamiento de copia de seguridad sin conexión.
###### Información de resumen
- **Requisitos de seguridad**: ninguno
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: ninguno
###### Detalles de la tarea
En las siguientes secciones se enumeran los supuestos y los resultados de los cálculos de tamaño para la base de datos de la entidad emisora, el tamaño del registro de base d datos de la entidad, el tamaño de la lista CRL y el intervalo de copia de seguridad (tiempo para realizar la copia de seguridad de la base de datos de la entidad emisora).
Los siguientes cálculos se basan en estos supuestos:
- Una población de 3000 usuarios, 3000 equipos y de 100 a 300 servidores.
- Cada entidad final se emite con cinco certificados por año, con un período de validez de un año cada uno.
- Los certificados se mantienen en la base de datos durante cinco años.
- Se realiza una copia de seguridad de la base de datos diariamente (truncando los registros de dicha base de datos).
**Tamaño de la base de datos de certificados**
Cada entrada de certificado ocupa 20 KB aproximadamente en la base de datos (para los tipos de certificado que archivan la clave privada con el certificado, se debe permitir 10 KB adicionales de almacenamiento por certificado). Un cálculo rápido indica lo siguiente:
- Hay 150.000 certificados guardados en la base de datos en un momento determinado.
- El tamaño total de la base de datos de certificados es de 3 GB.
Para una organización de 15.000 usuarios, el tamaño de la base de datos de certificados es de 15 GB.
**Tamaño promedio del registro de la base de datos de certificados**
- Hay 750 certificados por día.
- El tamaño promedio del registro es de 5 MB.
Para una organización de 15.000 usuarios, se emiten 3.350 certificados cada, lo que crea un tamaño de registro máximo de 25 MB.
**Tamaño de la lista CRL**
Una entrada de lista CRL ocupa 30 bytes aproximadamente. Por lo general, se revocará aproximadamente el diez por ciento de los certificados emitidos. Los certificados revocados que estén fuera de su período de validez no se incluyen en la lista CRL.
- Hay 30.000 certificados que se encuentran dentro de su período de validez en un momento determinado.
- Habrá 3.000 certificados en la lista CRL.
- El tamaño de la lista CRL es de 90 KB.
Para una organización de 15.000 usuarios, habrá 15.000 certificados en la lista CRL, lo que crea un tamaño de lista CRL de 440 KB.
**Intervalo de copia de seguridad para la base de datos de certificados**
Si supone que una copia de seguridad de red funcionando en condiciones ideales en un conmutador dedicado de 100 Mbps (megabits por segundo) al servidor de copia de seguridad, en aproximadamente 15-20 minutos se puede realizar la copia de seguridad de una base de datos de 3 GB con 500 MB adicionales de estado del sistema. En menos de dos horas se puede realizar la copia de seguridad de una organización de 15.000 usuarios con una base de datos de certificados de 15 GB.
[](#mainsection)[Principio de la página](#mainsection)
### Tareas del cuadrante de cambio
El cuadrante de cambio incluye los procesos y procedimientos requeridos para identificar, revisar, aprobar e incorporar cambios en un entorno administrado de TI. Los cambios incluyen activos de hardware y software, así como cambios específicos en procesos y procedimientos.
El objetivo del proceso de cambio es introducir tecnologías, sistemas, aplicaciones, hardware, herramientas y procesos nuevos y realizar cambios en las funciones y responsabilidades dentro del entorno de TI rápidamente y con una mínima interrupción del servicio.
Esta sección contiene información relevante para las SMF siguientes:
- Administración de cambios
- Administración de la configuración
- Administración de versión
**Nota:** cada descripción de tarea incluye la siguiente información de resumen: requisitos de seguridad, frecuencia y requisitos de tecnología.
#### Administración de cambios
La SMF de administración de cambios es la responsable de administrar los cambios en un entorno de TI. Un objetivo clave del proceso de administración de cambios consiste en asegurar que todas las partes afectadas por el cambio conocen y entienden el impacto del cambio. Dado que la mayor parte de sistemas están estrechamente interrelacionados, cualquier cambio que se realice en una parte del sistema podría tener un profundo impacto en otra. Para mitigar o eliminar los efectos adversos, cambie los intentos de administración para identificar todos los sistemas y procesos afectados antes de que el cambio se implemente. Normalmente, el “objetivo” o entorno administrado es el entorno de producción, pero también debe incluir los entornos clave de integración, pruebas y almacenamiento temporal.
Todos los cambios realizados en la PKI deben seguir el siguiente proceso de administración de cambios de MOF estándar:
1. **Solicitud de cambio**. La iniciación formal de un cambio a través del envío de una solicitud de cambio (RFC).
2. **Clasificación de cambio**. La acción de asignar una prioridad y una categoría al cambio, utilizando como criterios su urgencia e impacto sobre la infraestructura o los usuarios. Esta asignación afecta a la ruta y la velocidad de implementación.
3. **Autorización de cambio**. La consideración, la aprobación o la desaprobación del cambio por parte del administrador de cambios y la junta consultiva de cambios (CAB), una junta que incluye a los representantes empresariales y de TI.
4. **Desarrollo de cambio**. El planeamiento y el desarrollo del cambio, un proceso que puede variar inmensamente de ámbito e incluye revisiones en etapas interinas importantes.
5. **Lanzamiento de cambio**. El lanzamiento y la implementación del cambio en el entorno de producción.
6. **Revisión de cambio**. Un proceso posterior a la implementación que revisa si el cambio ha logrado los objetivos establecidos para el mismo y determina si debe mantenerse en vigencia o desactivarse.
En esta sección se describen los procedimientos de desarrollo de cambios para algunos de los cambios clave que podrían requerirse normalmente en el entorno. Cada procedimiento de desarrollo de cambio vendrá acompañado de un procedimiento de lanzamiento del cambio que describe cómo se debe implementar el cambio en la producción.
##### Administración de actualizaciones del sistema operativo
La administración de actualizaciones de seguridad de Servicios de Certificate Server forma parte de la administración de revisiones de Windows general. Se trata en las dos guías de solución de Microsoft que describen el suministro de las actualizaciones de sistemas operativos Windows mediante Microsoft Systems Management Server (SMS) o Servicios de actualización de software de Microsoft (SUS). Consulte la sección "Información adicional" que aparece al final de este capítulo para obtener información acerca de cómo obtenerlas.
La administración de revisiones incluye componentes de administración de lanzamiento y configuración, así como un componente de administración de cambios. Sin embargo, las tres SMF se tratan en los documentos a los que se hace referencia en el párrafo anterior.
###### Información de resumen
- **Requisitos de seguridad**: administradores locales en la entidad emisora
- **Frecuencia**: tarea de configuración
- **Requisitos de tecnología:** infraestructura de distribución de actualizaciones de seguridad (como SMS o SUS)
##### Adición de una plantilla de certificados
Puede agregar una nueva plantilla de certificado para permitir la emisión de un nuevo tipo de certificado, que se puede necesitar debido a que se está implementando una nueva aplicación o una existente necesita nueva funcionalidad. Esta tarea también puede formar parte de un proceso de actualización de un tipo de certificado existente.
###### Información de resumen
- **Requisitos de seguridad**: Administradores de PKI de empresa
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología:** complemento Plantillas de certificados de MMC
Antes de enviar una solicitud de un nuevo tipo de certificado, pruébelo en un entorno de prueba que sea representativo del entorno de producción.
Documente la solicitud de un nuevo tipo de certificado e incluya:
- Las razones para la creación de la plantilla nueva
- Una evaluación del impacto en los usuarios y la infraestructura
- Una evaluación del impacto originado por no realizar el cambio
- Resultados de las pruebas del cambio
La documentación debe incluir las actualizaciones relevantes en las directivas de certificados y en la declaración de prácticas del certificado (CPS). A continuación, es necesario evaluarlo en relación con su prioridad e impacto. Después de que el cambio se haya aprobado, puede implementarse (aunque no se haya lanzado todavía).
###### Detalles de la tarea
El siguiente procedimiento debe llevarse a cabo sólo en un entorno de prueba. El proceso para la realización de este cambio en el entorno de producción se documenta en el procedimiento "Lanzamiento de una plantilla de certificados nueva".
**Para implementar una plantilla de certificados nueva**
1. Inicie sesión como miembro de Administradores de PKI de empresa y abra el complemento Plantillas de certificados de MMC.
2. Las plantillas nuevas se crean duplicando una existente. Seleccione la plantilla adecuada en la que se basará la nueva, una que sea lo más similar posible a la que desea crear.
**Importante:** asegúrese de hacer coincidir el tipo de plantilla básico, usuario o equipo, de la plantilla de origen con el tipo de sujeto de la nueva plantilla; el tipo no se puede cambiar en el editor de plantillas.
3. Edite los detalles de la plantilla como corresponda. Para obtener información detallada acerca de este paso, consulte la documentación del producto en el sistema de ayuda local o en línea en la referencia de la sección "Información adicional".
4. Si esta plantilla va a reemplazar una existente, tiene que agregar las plantillas reemplazadas a la lista de **Plantillas reemplazas** en las propiedades de la nueva plantilla. Debe ser extremadamente cuidadoso al comprobar que la plantilla de reemplazo brinde la misma funcionalidad o un superconjunto de funcionalidades de la plantilla reemplazada. Nunca reduzca la funcionalidad a menos que esté seguro de que ninguna aplicación utiliza la funcionalidad que se elimina.
5. Pruebe los cambios para asegurarse de que funcionan del modo previsto y que no afectan negativamente a las aplicaciones existentes.
6. Cree los cambios adecuados para el documento de directivas de certificados y la CPS.
7. Siga los pasos de los procedimientos "Lanzamiento de una plantilla de certificados nueva" y "Lanzamiento de una CPS nueva" (si publica su CPS).
##### Actualización de una plantilla de certificados
Esta tarea describe cómo realizar cambios menores en las plantillas de certificados. Los cambios principales se deben realizar mediante la duplicación de plantillas y forzando que la nueva plantilla reemplace a la siguiente (tal como se ha descrito en la tarea anterior, "Adición de una plantilla de certificados").
###### Información de resumen
- **Requisitos de seguridad**: Administradores de PKI de empresa
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología:** complemento Plantillas de certificados de MMC
###### Detalles de la tarea
Sólo debe realizar cambios menores, que no tenga un efecto importante en los usuarios de certificado, en una plantilla de certificados. Resulta mucho más difícil controlar el impacto de las modificaciones de plantillas y es considerablemente más complejo deshacer los cambios en las plantillas.
Entre los ejemplos de cambios menores se incluyen:
- Cambio del período de validez o renovación
- Adición (pero no eliminación) de un tipo de CSP admitido
Implemente los cambios que afecten a la funcionalidad de los certificados (como el cambio de las directivas de certificados, la eliminación de tipos de CSP y el cambio de criterios de emisión) mediante la creación de un nuevo tipo de plantilla y el reemplazo de la plantilla anterior.
Evalúe y apruebe la solicitud de cambio según se describe en el procedimiento "Adición de una plantilla de certificados".
Puede implementar y probar el cambio de plantilla propuesto pasando el cambio para su lanzamiento en producción. Consulte el procedimiento "Lanzamiento de una actualización de plantilla".
**Para actualizar una plantilla de certificados**
1. Inicie sesión como miembro de Administradores de PKI de empresa y cargue el complemento Plantillas de certificados en una MMC.
2. Abra la plantilla que se va a modificar y realice los cambios requeridos. Para obtener información detallada al respecto, consulte la documentación del producto en el sistema de ayuda local o en línea en la referencia de la sección "Información adicional".
3. Pruebe la actualización para asegurarse de que produzca la funcionalidad requerida.
4. Siga los pasos de los procedimientos "Lanzamiento de una plantilla de certificados nueva" y "Lanzamiento de una CPS nueva" (si corresponde).
##### Eliminación de una plantilla de certificados
Cuando una plantilla de certificados ya no es necesaria, puede eliminarse de su estado activo o bien del directorio por completo.
###### Información de resumen
- **Requisitos de seguridad**: Administradores de CA
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**:
- Complemento Plantilla de certificados de MMC
- Complemento Entidad emisora de certificados de MMC
###### Detalles de la tarea
Sólo debe eliminar una plantilla cuando esté seguro de que no haya aplicaciones que dependan de la disponibilidad de certificados de ese tipo. Evalúe y apruebe la solicitud de eliminación de la plantilla de la misma manera descrita en el procedimiento "Adición de una plantilla de certificados". Siga siempre el primer procedimiento para eliminar una plantilla del uso activo y pruebe los efectos de esto antes de eliminar completamente una plantilla del directorio.
Puede implementar y probar la eliminación del cambio de plantilla antes del lanzamiento de dicho cambio en producción. Consulte el procedimiento "Lanzamiento de una eliminación de plantilla".
**Para eliminar una plantilla de certificados de su uso activo**
1. Inicie sesión como miembro de Administradores de entidad emisora y cargue el complemento Entidad emisora de certificados en una MMC.
2. En la carpeta Plantillas de certificados, haga clic con el botón secundario del mouse en la plantilla que desea quitar y seleccione **Eliminar**.
3. Repita los pasos 1 y 2 en todas entidades emisoras que actualmente emiten este tipo de certificado.
4. Pruebe las aplicaciones que utilizaron esta plantilla anteriormente para garantizar que ya no dependan de este tipo de certificado.
5. Siga los pasos de los procedimientos "Lanzamiento de una eliminación de plantilla" y "Lanzamiento de una CPS nueva" (si corresponde).
**Para quitar definitivamente una plantilla de certificados del directorio**
1. Inicie sesión como miembro de Administradores de PKI de empresa y cargue el complemento Plantillas de certificados en una MMC.
2. Haga clic con el botón secundario del mouse en la plantilla que desea quitar y seleccione **Eliminar**.
#### Administración de la configuración
La SMF de la administración de configuración se ocupa de la identificación, el registro, el seguimiento y el informe de los componentes o activos de TI importantes denominados elementos de configuración (CI). La información capturada y rastreada dependerá del CI específico, pero incluirá frecuentemente una descripción del CI, la versión, los componentes que lo conforman, las relaciones con otros CI, la ubicación/asignación y el estado actual.
La administración de configuración de una PKI se puede agrupar en diversas áreas importantes:
- **Configuración de PKI de empresa**. Información común almacenada en Active Directory.
- **Configuración de plantilla de certificados**. Detalles de configuración de todas las plantillas activas.
- **Configuración de entidad emisora**. Detalles de configuración específicos de la entidad emisora.
- **Grupos de administración de entidad emisora y PKI**. Detalles de los grupos y usuarios de administración de PKI y sus correspondientes permisos.
- **Configuración de cliente**. Configuración de parámetros de usuarios y equipos mediante la directiva de grupo (u otro método).
En cada una de las siguientes secciones se describen estos elementos con más detalle y se incluyen métodos para automatizar la recopilación de esta información si es posible.
Para obtener otras referencias acerca de Administración de configuración, consulte la sección "Información adicional" al final de este capítulo.
##### Recopilación de información de Configuración de PKI de empresa
La información relacionada con la configuración de empresa se almacena en Active Directory, incluida la publicación de entidades emisoras raíz confiables, la configuración de la entidad emisora de certificados de empresa y la información de anuncios. También incluye las plantillas de certificados, aunque éstos se tratan en otro procedimiento posterior.
###### Información de resumen
- **Requisitos de seguridad**: usuarios de dominio
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**:
- Certutil.exe
- DSQuery.exe
###### Detalles de la tarea
Mantenga registros de la siguiente información guardada en Active Directory:
- Entidades emisoras raíz confiables
- Almacén NTAuth
- Servicios de inscripción (entidades emisoras de certificados de empresa)
- Certificados cruzados
- Listas CRL publicadas
Los comandos para recopilar esta información se proporcionan en los siguientes procedimientos.
**Importante:** en los siguientes comandos debe reemplazar el nombre distintivo (DN) de dominio raíz de ejemplo, *DC=woodgrovebank,DC=com*, por el DN de *su* raíz del bosque.
**Nota:** algunos de los comandos siguientes se muestran en varias líneas, pero se deben introducir en una sola.
**Para mostrar las entidades emisoras raíz confiables**
certutil -store -enterprise Root
**Para mostrar los almacenes NT Auth**
certutil -store -enterprise NTAuth
**Para mostrar los certificados de entidades emisoras de certificados de empresa actuales**
certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,
*DC=woodgrovebank,DC=com*?cACertificate?one?
objectClass=pkiEnrollmentService"
**Para mostrar los certificados intermedios y cruzados**
certutil -store -enterprise CA
**Para mostrar los certificados de entidad emisora intermedios solos**
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cACertificate?one?
objectClass=certificationAuthority"
**Para mostrar los certificados cruzados solos**
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cRossCertificatePair?one?
objectClass=certificationAuthority"
**Para mostrar las listas CRL publicadas actualmente**
1. Este comando mostrará los **nombres de servidores** de todas las entidades emisoras que publicaron CDP en el contenedor CDP de Active Directory:
dsquery \* "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,*DC=woodgrovebank,DC=com*" -attr cn -scope onelevel
2. Este comando mostrará los CDP de cada entidad emisora que tenga listas CRL publicadas en el contenedor CDP de Active Directory. Los CDP son objetos secundarios de los objetos de servidor mostrados en la lista anterior. La entidad emisora utiliza su nombre común para asignar un nombre a cada objeto CDP. Tenga en cuenta que una entidad emisora creará un nuevo objeto CDP por cada versión de entidad emisora (incrementada cada vez que se renueva la entidad); dichos nombres se almacenan como "NombreComúnCA(X)" donde X es el número de versión de entidad emisora:
dsquery \* "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, *DC=woodgrovebank,DC=com*" -attr cn -filter (objectclass=crlDistributionPoint)
3. 3. Puede utilizar la información de los pasos anteriores para mostrar la lista CRL de un determinado CDP (utilizando los nombres comunes de entidad emisora del paso 2 y los nombres de servidor de entidad emisora obtenidos en el paso 1):
certutil -store -enterprise "ldap:///cn=*Entidad emisora raíz de Woodgrove Bank*,cn=*HQ-CA-01*,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?certificateRevocationList?base?objectClass=cRlDistributionPoint"
**Importante:** reemplace "Entidad emisora raíz de Woodgrove Bank" por el nombre común de la entidad emisora, "HQ-CA-01" por el nombre de host de la entidad emisora y "DC=woodgrovebank,DC=com" por el nombre de dominio de su dominio raíz del bosque.
**Nota:** puede escribir una secuencia de comandos de un archivo de comandos (lote) individual para automatizar esta tarea, si tiene que ejecutarla periódicamente.
##### Recopilación de información de configuración de la plantilla de certificados
Las plantillas de certificados se guardan en Active Directory. Mantenga un registro de la configuración de cada plantilla y de los permisos de inscripción de certificados utilizados para cada plantilla.
###### Información de resumen
- **Requisitos de seguridad**: usuarios de dominio
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: Certutil.exe
###### Detalles de la tarea
Utilice los siguientes comandos para recopilar esta información de configuración:
**Para crear una lista de las plantillas configuradas en Active Directory**
Certutil -template
**Para volcar la configuración de estas plantillas**
Certutil -dsTemplate
**Para volver los permisos de una plantilla**
Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,*DC=woodgrovebank,DC=com*"
No existe ninguna herramienta que exporte los permisos de plantilla completos en un formato fácilmente legible. Dsacls.exe muestra los permisos en una plantilla. No obstante, la versión actual no muestra el permiso "Inscripción automática" de derechos extendidos (aunque muestra "Inscripción" y otros permisos de derechos extendidos). Esto significa que debe conservar un registro manual de los permisos "Inscripción automática". Si lo desea, puede escribir una secuencia o una herramienta mediante Interfaz de servicios de Active Directory (ADSI) para leer y mostrar todos los permisos correctamente.
##### Recopilación de información de Configuración de la entidad emisora
En esta sección se describe el modo de recuperar la información de configuración guardada localmente en cada entidad emisora y, en el caso de entidades emisoras de certificado de empresa, parte de la información almacenada en Active Directory.
###### Información de resumen
- **Requisitos de seguridad**: administradores locales de la entidad emisora
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: Certutil.exe
###### Detalles de la tarea
Mantenga registros de la siguiente información:
- Información de registro de la entidad emisora
- Información de certificado de la entidad emisora
- Permisos de la entidad emisora
- Plantillas asignadas de la entidad emisora
- CPS de la entidad emisora
- Utilice los siguientes comandos para recopilar esta información de configuración:
**Para mostrar la configuración de registro de la entidad emisora**
Certutil -getreg
Certutil -getreg CA
**Para mostrar el certificado de la entidad emisora actual**
certutil -f -ca.cert %temp%\\CAcert.cer > nul && certutil -dump %temp%\\CACert.cer
**Nota:** algunos de estos comandos se muestran en varias líneas, pero se deben introducir en una sola.
No existe ninguna herramienta para exportar los permisos completos de la entidad emisora en un formato que se pueda utilizar. No obstante, puede escribir una secuencia de comandos ADSI para leer y mostrar todos los permisos correctamente. Si lo desea, puede conservar un registro manual de esta información.
**Para mostrar las plantillas asignadas actualmente a esta entidad emisora**
Certutil -CATemplates
El archivo CPS de la entidad emisora debe mantenerse con un control de versión adecuada para poder identificar y recuperar fácilmente el CPS que estaba en efecto en un determinado momento.
##### Recopilación de información de grupos de administración de CA y PKI
La pertenencia a los grupos de administración de PKI es una parte importante de la información de configuración, porque estos grupos controlan todos los aspectos de la información de entidades emisoras y la PKI de empresa.
###### Información de resumen
- **Requisitos de seguridad**: usuario de dominio
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: Net.exe
###### Detalles de la tarea
En cada uno de los grupos de administración de PKI y entidad emisora, incluya y registre la pertenencia actual. Si algunos de los miembros son grupos (se indica con un asterisco delante del nombre), enumere la pertenencia a estos grupos hasta que disponga de una lista completa de todos los usuarios que sean miembros de los grupos de PKI.
Los grupos predeterminados son:
- Administradores de PKI de empresa
- Editores de PKI de empresa
- Administradores de entidad emisora
- Administradores de certificados
- Auditores de entidad emisora
- Operadores de copia de seguridad de CA
También debe incluir cualquier grupo de administración adicional que pueda haber creado.
**Para enumerar la pertenencia a cada grupo**
Net groups *nombregrupo* /domain
##### Recopilación de información de configuración del cliente del certificado
Esta tarea hace referencia a la información de configuración de cliente implementada mediante Directiva de grupo. Si utiliza otro mecanismo (por ejemplo, secuencias de comandos de SMS o de inicio de sesión) para implementar la configuración de cliente relacionada con la PKI, también debe documentarlo aquí.
###### Información de resumen
- **Requisitos de seguridad**: administrador con permisos para administrar objetos de directiva de grupo
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: consola de administración de directivas de grupo
###### Detalles de la tarea
Utilice la consola de administración de directivas de grupo (GPMC) para recopilar y detallar la información de configuración del cliente de PKI. Consulte la referencia en la sección "Información adicional" para obtener y utilizar GPMC.
#### Administración de versión
El enfoque de la administración de versión consiste en facilitar la introducción de versiones de software y hardware en los entornos de TI administrados. Por lo general, esto incluye el entorno de producción y los entornos de preproducción administrados. La administración de versión es el punto coordinación entre el equipo de desarrollo/proyecto de la versión y los grupos operativos responsables de la implementación de dicha versión en la producción.
En esta sección se tratará el cambio más común: agregar, cambiar y eliminar tipos de certificados (mediante las plantillas de certificados). Hay otros tipos de cambios que también debe lanzar de la misma manera sistemática, entre los que se incluyen:
- **Cambios en la configuración de PKI**. Por ejemplo, plantillas y OID.
- **Cambios en la configuración de la entidad emisora**. Registro local más la configuración de Active Directory en los objetos de inscripción.
- **Cambios en la configuración de cliente**. Cambios de GPO.
Todos estos procedimientos de lanzamiento utilizan el siguiente proceso general:
1. Prepárese para el lanzamiento del cambio: realice una copia de seguridad de la configuración existente.
2. Pruebe el cambio de manera controlada.
3. Ejecute el cambio de manera controlada en un número limitado de usuarios o equipos.
4. Deshaga el cambio si se produce algún error: configuración de Active Directory y de la entidad emisora.
##### Lanzamiento de una nueva plantilla de certificados
La introducción de un nuevo tipo de certificado representa un cambio importante en el entorno de TI, por lo que el lanzamiento debe manejarse en forma controlada y reversible.
###### Información de resumen
- **Requisitos de seguridad**:
- Administradores de PKI de empresa
- Administradores de entidad emisora
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**:
- Complemento Entidad emisora de certificados de MMC
- Complemento Plantilla de certificados de MMC
- Otras herramientas requeridas por tareas dependientes
###### Detalles de la tarea
El procedimiento para lanzar una nueva plantilla de certificado en el entorno de producción es el siguiente:
**Para lanzar una plantilla de certificados nueva**
1. Realice una copia de seguridad de la configuración de la plantilla de certificados existente. Esta copia de seguridad se puede hacer como parte de la copia de seguridad habitual de Active Directory backup o con la técnica descrita en el procedimiento "Exportación de una plantilla de certificados desde Active Directory".
2. Cree la plantilla nueva como se describe en el procedimiento "Adición de una plantilla de certificados".
3. Elimine todos los permisos de inscripción e inscripción automática de los grupos (busque objetos como Usuarios autenticados y Usuarios del dominio). Cree el grupo de inscripción de certificados (o el grupo de inscripción automática) de la plantilla según se describe en el procedimiento "Creación de grupos de inscripción de plantillas de certificados".
4. Agregue la plantilla de certificados nueva a la entidad emisora. Si no es miembro además de Administradores de entidad emisora, deberá iniciar sesión (o utilizar el comando runas) como miembro de este grupo y ejecutar la MMC de Entidad emisora de certificados. Haga clic con el botón secundario del mouse en la carpeta Plantillas de certificados y seleccione **Nuevo**, **Plantilla de certificado que se va a emitir**. Agregue la plantilla desde la lista.
5. Agregue usuarios o equipos piloto o de prueba al grupo de inscripción de certificados como se describe en el procedimiento "Activación de inscripción (o inscripción automática) de un tipo de certificado para un usuario o equipo".
6. Pruebe la inscripción del nuevo tipo de certificado para asegurarse de que se realiza según lo previsto.
7. Pruebe la funcionalidad del certificado para asegurarse de que es la prevista.
8. Después de comprobar que la prueba es satisfactoria, agregue los usuarios, equipos o grupos de seguridad de producción finales al grupo o a los grupos de inscripción de certificados como se describe en el procedimiento "Activación de inscripción (o inscripción automática) de un tipo de certificado para un usuario o equipo".
9. Si esta plantilla reemplaza a una o varias plantillas existentes, puede eliminar las plantillas reemplazadas de la entidad emisora (utilizando el complemento Entidad emisora de certificados de MMC) para impedir que un usuario se inscriba en estos tipos de certificados reemplazados. No elimine esta plantilla del directorio hasta que esté seguro de que todos hayan realizado la transición al nuevo tipo de plantilla.
10. Si corresponde, actualice su CPS para reflejar la nueva funcionalidad del certificado.
No es difícil deshacer un nuevo tipo de plantilla siempre que no se hayan eliminado las plantillas reemplazadas. Si se ha eliminado la plantilla reemplazada, tendrá que restaurar una copia de la copia de seguridad con una restauración con autorización de Active Directory o los procedimientos de exportación e importación de plantillas descritos en la sección "Administración de almacenamiento" anterior ("Exportación de una plantilla de certificados desde Active Directory" e "Importación de una plantilla de certificados a Active Directory").
**Para deshacer la adición de una plantilla nueva**
1. Si no ha reemplazado otras plantillas con esta plantilla, puede eliminarla sin problemas.
2. Si ha eliminado las plantillas reemplazadas por esta plantilla, primero restáurelas. Siga los pasos del procedimiento "Importación de una plantilla de certificados a Active Directory". Será necesario restaurar los permisos de plantillas según se describe en dicho procedimiento.
##### Lanzamiento de una CPS nueva
Si publica su CPS, deberá actualizarla para que refleje los cambios producidos en las directivas y prácticas de certificados de su organización.
###### Información de resumen
- **Requisitos de seguridad**: administrador con permisos para modificar un archivo CPS en un servidor Web
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**: Editor de HTML o de texto, según corresponda, en el formato de la CPS
###### Detalles de la tarea
La CPS generalmente se guarda como simple archivo HTML o de texto en un servidor Web o de archivos. Si varias entidades emisoras utilizan la misma CPS, la norma es que todas hagan referencia al mismo archivo.
**Para lanzar una CPS nueva**
1. Realice una copia de seguridad de la CPS existente.
2. Realice los cambios requeridos en una copia sin conexión.
3. Reemplace la CPS.
4. Realice una prueba para asegurarse de que el nuevo archivo CPS se puede leer desde los clientes; para ello, emule los tipos de plataforma y las ubicaciones a los que normalmente se ofrecerá servicio.
##### Lanzamiento de una actualización de plantilla
Esta tarea describe cómo realizar cambios de versión en las plantillas de certificados existentes en forma controlada y reversible.
###### Información de resumen
- **Requisitos de seguridad**: Administradores de PKI de empresa
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**:
- Complemento Plantilla de certificados de MMC
- Otra tecnología requerida por los procedimientos mencionados
###### Detalles de la tarea
Sólo debe realizar cambios en las plantillas de certificados que sean relativamente pequeños y no tengan un efecto importante en los usuarios de certificados. Resulta mucho más difícil controlar el impacto de las modificaciones de plantillas y es considerablemente más complejo deshacer los cambios en las plantillas.
**Para lanzar una actualización de plantilla de certificados**
1. Exporte la plantilla actual al archivo mediante el procedimiento "Exportación de una plantilla de certificados desde Active Directory".
2. Inicie sesión como miembro de Administradores de PKI de empresa y cargue el complemento Plantillas de certificados en una MMC. Realice los cambios en la plantilla según se describe en "Actualización de una plantilla de certificados".
3. Actualice la CPS y siga los pasos del procedimiento "Lanzamiento de una CPS nueva" (si corresponde).
**Para deshacer una actualización de plantilla de certificados**
- Siga los pasos del procedimiento "Importación de una plantilla de certificados a Active Directory" (en la sección "Administración de almacenamiento").
##### Lanzamiento de una eliminación de plantilla
Cuando una plantilla de certificados ya no es necesaria, puede eliminarla de su uso activo o del directorio.
###### Información de resumen
- **Requisitos de seguridad**: Administradores de PKI de empresa
- **Frecuencia**: según sea necesario
- **Requisitos de tecnología**:
- Complemento Entidad emisora de certificados de MMC
- Otra tecnología requerida por las tareas mencionadas
###### Detalles de la tarea
El procedimiento de lanzamiento para eliminar una plantilla del uso activo es relativamente directo, porque es fácil de revertir. La eliminación de la plantilla del directorio es más problemática, porque requiere una nueva importación de la plantilla para revertir el cambio.
**Para eliminar una plantilla de certificados de su uso activo**
1. Elimine la plantilla de las entidades emisoras actuales como se describe en el procedimiento "Eliminación de una plantilla de certificados".
2. Actualice la CPS y siga los pasos del procedimiento "Lanzamiento de una CPS nueva" (si corresponde).
**Para deshacer la eliminación de una plantilla de su uso activo**
1. Inicie sesión como miembro de Administradores de entidad emisora y utilice el complemento Entidad emisora de certificados de MMC para volver a agregar las plantillas a las entidades emisoras.
2. Actualice la CPS y siga los pasos del procedimiento "Lanzamiento de una CPS nueva" (si corresponde).
**Para quitar definitivamente una plantilla de certificados del directorio**
1. Sólo debe llevar a cabo este procedimiento después de eliminar la plantilla de certificados del uso activo y de probar las aplicaciones dependientes para garantizar que no hayan sufrido efectos adversos.
2. Exporte la plantilla actual a un archivo con el procedimiento "Exportación de una plantilla de certificados desde Active Directory".
3. Siga el procedimiento descrito en "Eliminación de una plantilla de certificados" para eliminar definitivamente una plantilla de certificados del directorio.
**Para deshacer la eliminación de una plantilla del directorio**
- Siga el procedimiento para volver a importar la plantilla eliminada en "Importación de una plantilla de certificados en Active Directory".
[](#mainsection)[Principio de la página](#mainsection)
### Solución de problemas
La solución de problemas se refiere a la Administración de incidentes y a las SMF de Administración de problemas. La Administración de incidentes se ocupa de restaurar el servicio lo antes posible. La Administración de problemas se ocupa principalmente de identificar las causas de origen de los incidentes e intentar impedir que vuelvan a producirse.
Esta sección se relaciona estrechamente con la sección "Tareas del cuadrante de compatibilidad". Muchos de los procedimientos de solución de problemas aquí indicados hacen referencia a tareas definidas en dicha sección.
En esta sección se identifican los incidentes de compatibilidad más habituales que pueden producirse, junto con las estrategias y los procedimientos para solucionarlos. Se resalta el hecho de poder restaurar el servicio lo antes posible. En algunos casos, el procedimiento de solución de problemas es una simple referencia a un procedimiento de compatibilidad. No obstante, en otros casos es necesario utilizar un procedimiento de diagnóstico más complejo.
La siguiente tabla enumera algunos de los principales incidentes de compatibilidad y sus posibles soluciones. La columna **Proceso de compatibilidad** enumera los procedimientos que se deben seguir. Estos procedimientos se describen en detalle en la sección "Tareas del cuadrante de compatibilidad". Si no hay procesos en la lista, consulte el procedimiento de diagnóstico adecuado al problema de la siguiente sección.
**Tabla 11.15: Principales incidentes de compatibilidad**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Incidente</th>
<th style="border:1px solid black;" >Descripción</th>
<th style="border:1px solid black;" >Proceso de compatibilidad</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">El servidor no responde</td>
<td style="border:1px solid black;">El proceso del software no responde a las solicitudes del cliente ni a las herramientas administrativas.</td>
<td style="border:1px solid black;">Reinicio de Servicios de Certificate Server<br />
o bien<br />
Reinicio del servidor de la entidad emisora</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Error en la publicación de la lista CRL</td>
<td style="border:1px solid black;">La lista CRL fue emitida por la entidad emisora, pero la última lista CRL no se ha publicado en Active Directory o en el Web.</td>
<td style="border:1px solid black;">Consulte el siguiente procedimiento de solución de problemas.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Lista CRL no emitida</td>
<td style="border:1px solid black;">La lista CRL actualizada no ha sido emitida por la entidad emisora.</td>
<td style="border:1px solid black;">Consulte el siguiente procedimiento detallado para la solución de problemas.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">El cliente no puede inscribir el certificado</td>
<td style="border:1px solid black;">Error en la solicitud de inscripción del cliente.</td>
<td style="border:1px solid black;">Consulte el siguiente procedimiento detallado para la solución de problemas.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">El cliente no puede inscribir un certificado automáticamente</td>
<td style="border:1px solid black;">Error en la solicitud de inscripción automática del cliente.</td>
<td style="border:1px solid black;">Consulte el siguiente procedimiento detallado para la solución de problemas.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Se ha instalado una actualización de seguridad que requiere reinicio</td>
<td style="border:1px solid black;">Se ha instalado una actualización de seguridad que requiere un reinicio de Windows.</td>
<td style="border:1px solid black;">Reinicio del servidor de la entidad emisora</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Error de servidor permanente</td>
<td style="border:1px solid black;">Daños o error de hardware que requiere una restauración.</td>
<td style="border:1px solid black;">Restauración de la entidad emisora a partir de una copia de seguridad</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Debe revocarse el certificado huérfano</td>
<td style="border:1px solid black;">Tras la restauración de la entidad emisora, los certificados emitidos después de la última copia de seguridad no estarán en la base de datos y no pueden revocarse de la manera habitual.</td>
<td style="border:1px solid black;">Revocación de un certificado huérfano</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">El servidor no puede restaurarse a tiempo para la emisión de la lista CRL o el certificado</td>
<td style="border:1px solid black;">La lista CRL o el certificado se tiene que volver a firmar con la clave de la entidad emisora para ampliar su período de validez.</td>
<td style="border:1px solid black;">Secuencia de tareas:<br />
1. Restauración del certificado de la entidad emisora en un equipo temporal<br />
2. Nueva firma de una lista CRL o un certificado para extender su validez</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">El certificado de entidad final perdió su carácter confidencial</td>
<td style="border:1px solid black;">La clave privada del certificado se ha perdido, revelado o ha quedado comprometida.</td>
<td style="border:1px solid black;">Revocación de un certificado de entidad final</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">El certificado de la entidad emisora perdió su carácter confidencial</td>
<td style="border:1px solid black;">La clave privada del certificado de la entidad emisora se ha perdido, revelado o ha quedado comprometida.</td>
<td style="border:1px solid black;">Revocación y reemplazo de una entidad emisora</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">El certificado de la entidad emisora raíz perdió su carácter confidencial</td>
<td style="border:1px solid black;">La clave privada del certificado de la entidad emisora se ha perdido, revelado o ha quedado comprometida.</td>
<td style="border:1px solid black;">Revocación y reemplazo de una entidad emisora raíz</td>
</tr>
</tbody>
</table>
#### Procedimientos adicionales para solución de problemas
Esta sección describe algunos procedimientos de solución de problemas que pueden resultar útiles para diagnosticar y solucionar algunos de los problemas que aparecen en la tabla anterior. Los procedimientos analizan la solución de los siguientes problemas habituales:
- Problemas de publicación de listas CRL
- Lista CRL no emitida
- El cliente no puede inscribirse
- El cliente no puede inscribir un certificado automáticamente
##### Problemas de publicación de listas CRL
Los problemas de publicación de listas CRL se indicarán mediante una alerta producida por la secuencia de comandos CheckCRLs descrita en la sección "Supervisión y control de servicios". Esta alerta se desencadenará cuando una lista CRL no se pueda publicar en Active Directory y/o servidor Web de modo oportuno. Las aplicaciones que requieren comprobaciones de revocación comenzarán a causar errores si el problema no se corrige.
Examine la entrada del registro de sucesos de aplicación producido por CheckCRLs. Esta entrada debe indicar de modo más preciso cuál es el problema, así como indicar también a qué entidad emisora pertenece el CDP o la lista CRL con problemas. El problema será uno de los siguientes:
- La entidad emisora no ha emitido una lista CRL actualizada. Este problema indica un problema con la propia entidad emisora de certificados.
- La lista CRL se ha emitido, pero no se ha publicado correctamente en uno o varios CDP. Este error puede indicar un problema con la entidad emisora, con las comunicaciones entre la entidad y el CDP o con el servicio de CDP (Active Directory o IIS).
- La lista CRL se ha creado y publicado, pero no puede recuperarse de una o varias ubicaciones de CDP. Este error indica un problema con el servicio CDP.
**Para solucionar los problemas de publicación de listas CRL**
1. Inicie sesión en la entidad emisora donde hay problemas y compruebe si la lista CRL de la entidad emisora está actualizada. Escriba los siguientes comandos para ver la lista CRL de la entidad emisora (tiene que ser miembro de Administradores de entidad emisora para ejecutar el primer comando).
Certutil -getCRL %temp%\\CA.crl
Certutil -dump %temp%\\CA.crl
2. Si la lista CRL no está actualizada, consulte el procedimiento "Lista CRL no emitida" que se indica más adelante.
3. Abra la herramienta Estado de PKI y observe las entradas de CDP de la entidad emisora dudosa. La herramienta indicará los CDP inaccesibles y las listas CRL caducadas. (No obstante, la herramienta no advertirá sobre las listas CRL que aún no caducaron pero cuya renovación está atrasada; es decir, cuando haya pasado la fecha de **Siguiente publicación de lista CRL**.)
**Nota:** puede obtener la herramienta Estado de PKI del Kit de recursos de Windows Server 2003, al que se hace referencia al final de este capítulo.
4. Si alguno de los CDP se muestra como inaccesible, investigue el servicio de publicación de dicho CDP.
5. Si se muestra un error (desde el registro de sucesos) con el CDP de LDAP, compruebe el vínculo al controlador de dominio de Active Directory desde la entidad emisora con DCDiag de las herramientas de soporte técnico de Windows Server 2003. Esta herramienta indicará si hay problemas con el controlador de dominio o con la conexión de la entidad emisora al controlador de dominio. Investigue los errores.
6. Compruebe los permisos en el contenedor de CDP de la entidad emisora con el complemento Sitios y servicios de Active Directory de MMC. (En "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,*DC=woodgrovebank,DC=com"*, reemplace los elementos que aparecen en cursiva por el DN de su propia raíz de bosque.)
7. Cree una cuenta temporal y agréguela al grupo Publicadores de certificados. Inicie la sesión con dicha cuenta e intente publicar manualmente la lista CRL que se ha recuperado en el paso 1 en el directorio. Utilice el siguiente comando:
certutil -dspublish CA.crl *NombreHostCA* *NombreSujetoCA*.
Este comando indicará si las entidades emisoras tienen permisos suficientes para publicar en Active Directory.
8. Si se muestra un error (en la entrada del registro de sucesos) con el CDP de HTTP, compruebe el servidor IIS que está implicado. Compruebe la conectividad y los permisos. Ejecute manualmente la secuencia de comandos para publicar listas CRL en el servidor IIS (consulte "Publicación de las listas CRL de entidad emisora en el servidor Web" en la sección "Tareas del cuadrante operativo") y compruebe si hay errores. Intente utilizar la misma pertenencia a cuenta/grupo como la propia entidad emisora al realizar esta tarea.
9. Si las listas CRL se publican en los servicios CDP correctamente pero Estado de PKI muestra un error, esto indica un problema con el servicio de CDP (Active Directory o el propio IIS). La solución de problemas de estos servicios se encuentra fuera del ámbito de este documento.
##### Lista CRL no emitida
Ésta es una situación improbable en el funcionamiento normal. Una entidad emisora generalmente puede publicar siempre una lista CRL localmente a menos que haya vuelto a configurar la entidad emisora para que deje de publicar listas CRL en su carpeta de sistema local (%windir%\\system32\\certsrv\\certenroll). Si no ha vuelto a configurar la ruta de acceso de publicación local, es posible que se haya producido un problema grave con su entidad emisora. Realice el siguiente procedimiento de solución de problemas para determinar la causa del problema. Si bien este procedimiento se centra en los problemas de listas CRL, la mayoría de los pasos son genéricos y pueden utilizarse con cualquier problema de Servicios de Certificate Server de bajo nivel.
**Para solucionar el problema de emisión de listas CRL**
1. Examine el registro de sucesos para ver si hay errores registrados por Servicios de Certificate Server.
2. Intente forzar manualmente una emisión de lista CRL (inicie sesión como miembro de Administradores de entidad emisora) con el siguiente comando:
Certutil -CRL
3. Si se produce un error en este paso, vuelva a examinar el registro de sucesos para ver si hay nuevos errores.
4. Examine el certificado de la entidad emisora y todos los certificados en la cadena a la entidad emisora raíz para ver si hay problemas con los certificados, como certificados que hayan caducado o se hayan revocado.
5. Compruebe que puede volver a firmar un certificado o una lista CRL con la clave de entidad emisora (consulte el procedimiento "Nueva firma de una lista CRL o un certificado para extender su validez" en la sección "Tareas del cuadrante de compatibilidad").
6. Reinicie la entidad emisora y vuelva a ejecutar estas comprobaciones.
7. Si sigue sin emitirse la lista CRL, active el registro de depuración (consulte "Registro de Servicios de Certificate Server" más adelante en este capítulo). A continuación, intente emitir la lista CRL y examine el registro para ver si hay errores.
##### El cliente no puede inscribir un certificado
Siga este procedimiento para diagnosticar problemas con la inscripción de certificados.
**Para diagnosticar un problema de inscripción de certificados**
1. Compruebe que la plantilla de certificados se haya asignado a una entidad emisora.
2. Compruebe que el usuario o el equipo tenga permisos para inscribirse en la entidad emisora donde se ha asignado la plantilla.
3. Compruebe que la plantilla corresponde al tipo de sujeto. Los usuarios sólo pueden inscribirse a plantillas de usuario y los equipos sólo pueden inscribirse a plantillas de equipo.
4. Compruebe que la entidad emisora tenga acceso a sus propias listas CRL publicadas y a las de su entidad emisora principal. La entidad emisora siempre realiza una comprobación de revocación antes de emitir un certificado.
5. Compruebe que la plantilla de certificados no imponga el uso de CSP no disponibles para el sujeto que realiza la inscripción. Por ejemplo, CSP de tarjeta inteligente para un equipo o (si el usuario no tiene una tarjeta inteligente) CPS de SChannel de RSA para usuarios.
6. Compruebe que la plantilla de certificados no requiera introducir información en los campos **Sujeto** o **Sujeto alternativo**, que no existen en Active Directory. Un problema habitual consiste en especificar que la dirección de correo electrónico se incluya en el nombre del sujeto sin tener completamente rellenado el campo de correo electrónico en el objeto Active Directory del usuario.
##### El cliente no puede inscribir un certificado automáticamente
La guía definitiva para la comprensión y solución de problemas de inscripción automática puede encontrarse en el artículo "Inscripción automática de certificados en Windows XP" (consulte la referencia al final de este capítulo).
Compruebe que un cliente pueda inscribir manualmente el certificado que está tratando de inscribir automáticamente. Cargue el complemento Certificados de MMC y solicite un certificado nuevo. Si el tipo de certificado no aparece o si aparece pero se produce un error al intentar inscribir, siga el procedimiento de la sección anterior "El cliente no puede inscribir un certificado".
Si puede realizarse una inscripción manual, siga con los siguientes pasos.
1. Compruebe que se utilice la plataforma correcta. Sólo Windows 2000 y versiones posteriores admiten la inscripción automática de certificados de equipo. Sólo Windows XP y Windows Server 2003 admiten la inscripción automática de certificados de usuario.
2. Compruebe que el usuario o el equipo tenga permisos de Inscripción automática en la plantilla de certificados para el tipo de certificado requerido.
3. Compruebe que el parámetro Directiva de grupo de inscripción automática se haya especificado correctamente. Para que la inscripción automática funcione correctamente, es necesario que el GPO en el que está configurada la inscripción automática tenga una prioridad más alta que los otros GPO. Por ejemplo, si el GPO de inscripción automática se crea en el nivel de dominio, es necesario que el mismo tenga una prioridad más alta que la directiva de dominio predeterminada. Puede comprobar esta prioridad de los GPO con el complemento Conjuntos resultantes de directivas de MMC.
4. Compruebe que la plantilla de certificados no requiera una aprobación manual o firmas de la Autoridad de registro (RA). Las solicitudes de certificado que requieran la aprobación del administrador de certificados se enviarán para su aprobación, pero el certificado no se emitirá al usuario hasta que se apruebe manualmente. Las solicitudes que requieran firmas de la RA se rechazarán porque no hay ningún mecanismo para agregar firmas adicionales a una solicitud de inscripción automática.
5. Compruebe que la plantilla de certificados no esté establecida para que la información del sujeto se suministre en la solicitud. Los certificados con inscripción automática deben tener el sujeto (y el sujeto alternativo) establecido por la entidad emisora.
#### Herramientas y técnicas para solución de problemas
Esta sección analiza algunas herramientas que son útiles para diagnosticar y solucionar problemas con la PKI. También describe el registro de Servicios de Certificate Server y cómo se activa un registro más detallado para Servicios de Certificate Server y la inscripción automática de clientes.
##### Estado de PKI
El Estado de PKI es fundamentalmente una herramienta de diagnóstico de CDP y AIA que intenta generar una vista de todas las entidades emisoras de la empresa. Resulta muy útil para diagnosticar la conectividad y problemas de publicación de CDP y AIA; permite descargar y ver las listas CRL o los certificados a los que hace referencia el CDP o AIA. La herramienta se encuentra disponible como parte del Kit de recursos de Windows Server 2003.
##### Certutil
Certutil es la herramienta individual más importante para administrar y solucionar problemas de las entidades emisoras de Windows. Para analizar algunos de los usos principales de la herramienta, consulte las notas del producto "Utilización de Certutil.exe para administrar y solucionar problemas de Servicios de Certificate Server, a las que se hace referencia al final de este capítulo.
Sin embargo, también hay otras opciones (que no se describen en estas notas del producto) disponibles para una amplia variedad de propósitos de administración y diagnóstico. Puede mostrar la lista completa de las acciones (o verbos) de Certutil disponibles si escribe el comando con el parámetro "-?". Si inserta el verbo acerca del que necesite más ayuda se mostrará la sintaxis detallada de dicha acción. Por ejemplo:
Certutil -dsPublish -?
##### Otras herramientas de diagnóstico
Otras herramientas de diagnóstico y administración útiles son:
- **Certreq.exe**. Permite crear, enviar y recuperar solicitudes de certificados desde la línea de comandos.
- **DCDiag.exe**. Resulta útil para diagnosticar problemas de Active Directory que pueden afectar a las entidades emisoras.
##### Registro de Servicios de Certificate Server
Servicios de Certificate Server y sus herramientas asociadas producen diversos tipos de registros que pueden resultar indispensables para la solución de problemas.
- Servicios de Certificate Server (el propio proceso de entidad emisora) se registra en %systemroot%\\certsrv.log (cuando el registro de depuración se encuentra activado).
- Certutil.exe se registra en %systemroot%\\certutil.log.
- Entidad emisora de certificados de MMC se registra en %windir%\\certmmc.log.
**Para activar el registro de depuración en Servicios de Certificate Server**
- Ejecute el siguiente comando:
certutil -setreg CA\\Debug 0xffffffe3
Las entradas se registro se guardarán en %windir%\\certsrv.log
**Para desactivar el registro de depuración**
- Ejecute el siguiente comando:
certutil -delreg CA\\Debug
##### Registro de inscripciones automáticas
Tiene que agregar un valor del Registro para habilitar el registro adicional de los sucesos de inscripción automática. El registro mejorado se habilita individualmente para la inscripción automática de certificados de usuarios y equipos.
**Para activar el registro de inscripciones automáticas de usuarios**
1. Cree un nuevo valor de Registro DWORD denominado **AEEventLogLevel** en la clave HKEY\_CURRENT\_USER\\Software\\Microsoft\\Cryptography\\Autoenrollment.
2. Establezca el valor en **0**.
**Para activar el registro de inscripciones automáticas de equipos**
1. Cree un nuevo valor de Registro DWORD denominado **AEEventLogLevel** en la clave HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Cryptography\\Autoenrollment.
2. Establezca el valor en **0**.
**Nota:** todos los errores se registran automáticamente. No es necesario activar la clave de registro para activar el registro de errores.
[](#mainsection)[Principio de la página](#mainsection)
### Tablas de configuración
En las tablas siguientes encontrará los valores de configuración específicos del sitio y de la solución que se utilizan en los procedimientos descritos en este capítulo. Estas tablas constituyen un subconjunto de las tablas de configuración de planeamiento del capítulo 7, "Implementación de la infraestructura de claves públicas" y sólo se muestran como referencia.
**Tabla 11.16: Elementos de la configuración definidos por el usuario**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Elemento de configuración</th>
<th style="border:1px solid black;" >Configuración</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Nombre DNS del dominio raíz del bosque de Active Directory</td>
<td style="border:1px solid black;">woodgrovebank.com</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Nombre de dominio de la raíz del bosque</td>
<td style="border:1px solid black;">DC=woodgrovebank,DC=com</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Nombre del servidor de la entidad emisora raíz</td>
<td style="border:1px solid black;">HQ-CA-01</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Nombre del servidor de la entidad emisora</td>
<td style="border:1px solid black;">HQ-CA-02</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">X.500 CN de la entidad emisora raíz</td>
<td style="border:1px solid black;">Entidad emisora raíz de Woodgrove Bank</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">X.500 CN de la entidad emisora</td>
<td style="border:1px solid black;">Entidad emisora de Woodgrove Bank 1</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Nombre de host completo del servidor Web utilizado para publicar información de certificados de entidad emisora y revocaciones</td>
<td style="border:1px solid black;">www.woodgrovebank.com</td>
</tr>
</tbody>
</table>
**Tabla 11.17: Elementos de configuración definidos por la solución**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Elemento de configuración</th>
<th style="border:1px solid black;" >Configuración</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Contenedor de configuración de los administradores de servicios de claves públicas</td>
<td style="border:1px solid black;">Administradores de PKI de empresa</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Pueden publicar listas CRL y certificados de entidad emisora en el contenedor de configuración de la empresa</td>
<td style="border:1px solid black;">Editores de PKI de empresa</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Grupo administrativo que configura y mantiene las entidades emisoras; también controla la posibilidad de asignar todas las demás funciones de entidad emisora y de renovar el certificado de entidad emisora</td>
<td style="border:1px solid black;">Administradores de entidad emisora</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Grupo administrativo que aprueba la inscripción de certificados y las solicitudes de revocación; función Directivo de entidad emisora</td>
<td style="border:1px solid black;">Administradores de certificados</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Grupo administrativo que administra las auditorías y los registros de seguridad de la entidad emisora</td>
<td style="border:1px solid black;">Auditores de entidad emisora</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Grupo administrativo que administra las copias de seguridad de la entidad emisora</td>
<td style="border:1px solid black;">Operadores de copia de seguridad de CA</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Nombre del directorio virtual de IIS utilizado para publicar información de certificados de entidad emisora y lista de revocación de certificados (CRL)</td>
<td style="border:1px solid black;">pki</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Ruta de acceso física en la entidad emisora que se asigna al directorio virtual de IIS</td>
<td style="border:1px solid black;">C:\CAWWWPub</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Unidad y ruta de acceso para guardar los archivos de solicitud de Servicios de Certificate Server</td>
<td style="border:1px solid black;">C:\CAConfig</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Unidad y ruta de acceso para guardar la base de datos de Servicios de Certificate Server</td>
<td style="border:1px solid black;">%systemroot%\System32\CertLog</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Unidad y ruta de acceso para guardar los registros de base de datos de Servicios de Certificate Server</td>
<td style="border:1px solid black;">D:\CertLog</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Ruta de acceso de las secuencias de comandos de instalación</td>
<td style="border:1px solid black;">C:\MSSScripts</td>
</tr>
</tbody>
</table>
[](#mainsection)[Principio de la página](#mainsection)
### Información adicional
- Un documento actualizado, "[Managing a Windows Server 2003 PKI](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.mspx)", basado en este capítulo también está disponible en www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.mspx.
- Para obtener más información acerca del modelo de proceso y el modelo de equipo de MOF, consulte la página de [Microsoft Operations Framework](http://technet.microsoft.com/es-es/library/bb232042.aspx) en www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx.
- Para obtener más información acerca de las restricciones de capacidad y los contadores de rendimiento relacionados, consulte el artículo Q146005 de Microsoft Knowledge Base, "[Optimizing Windows NT for Performance](http://support.microsoft.com/default.aspx?kbid=146005)", en http://support.microsoft.com/default.aspx?kbid=146005.
- Para obtener información acerca de la implementación de MOM, descargue la guía [*Microsoft Operations Manager 2000 (MOM) Service Pack 1 (SP1) Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=556a7746-75df-4acd-8cde-26cb12148161&displaylang=en) en www.microsoft.com/downloads/details.aspx?FamilyID=556A7746-75DF-4ACD-8CDE-26CB12148161&displaylang=en.
- Para obtener más información acerca de las tareas operativas adicionales, consulte la página [Administer a certification authority](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_procs_admin.mspx) en www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag\_CS\_procs\_admin.mspx.
- Para obtener más información acerca de la administración de revisiones de seguridad en la plataforma de Microsoft, consulte "[Improve Platform Manageability – Best Practice: Security Patch Management](http://go.microsoft.com/fwlink/?linkid=16284)" en http://go.microsoft.com/fwlink/?LinkId=16284.
- Para obtener información acerca de la administración de revisiones con Microsoft SMS 2003, consulte "[Patch Management Using Microsoft Systems Management Server 2003](http://www.microsoft.com/downloads/details.aspx?familyid=959ee7d6-7ddf-409a-9522-7d270bdcf12a&displaylang=en)" en www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/2003/pmsms031.mspx.
- Para obtener información acerca de la administración de revisiones con Microsoft SMS 2.0, consulte "[Patch Management Using Microsoft Systems Management Server 2.0](http://technet.microsoft.com/es-es/solutionaccelerators/default(en-us).aspx)" en www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/20/pmsmsin.mspx.
- Para obtener información detallada acerca de las propiedades de las plantillas de certificados, consulte "[Plantillas de certificados](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ctcon_concepts_under.mspx)" en la Ayuda del producto en línea en www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ctcon\_concepts\_under.mspx.
- Para obtener más información acerca de cómo obtener y utilizar la Consola de administración de directivas de grupo, consulte "[Enterprise Management with the Group Policy Management Console](http://www.microsoft.com/windowsserver2003/gpmc/default.mspx)" en www.microsoft.com/windowsserver2003/gpmc/default.mspx.
- Para obtener más información acerca de los problemas de publicación de listas CRL, consulte [Troubleshooting Certificate Status and Revocation](http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx) en www.microsoft.com/technet/prodtechnol/WinXPPro/support/tshtcrl.mspx.
- Para obtener la herramienta Estado de PKI (PKIView.msc), descargue las [herramientas del Kit de recursos de Windows Server 2003](http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en) en www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en.
- Para obtener instrucciones de solución de problemas de Certutil, consulte las notas del producto "[Utilización de Certutil.exe para administrar y solucionar problemas de Servicios de Certificate Server](http://www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp)" en www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp.
- Para obtener la guía definitiva para la comprensión y la solución de problemas de inscripción automática, consulte el artículo "[Inscripción automática de certificados en Windows XP](http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx)" en www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx.
[](#mainsection)[Principio de la página](#mainsection)