Implementación de una PKI para el acceso remoto
Contoso puede usar certificados digitales para comprobar y autenticar la identidad de cada parte implicada en una transacción electrónica. Los certificados digitales también ayudan a establecer la confianza entre equipos y las aplicaciones correspondientes hospedadas en servidores de aplicaciones. El acceso remoto usa certificados para comprobar la identidad de los servidores y proporcionar cifrado. Contoso también puede usar certificados para comprobar la identidad de los usuarios o equipos que inician sesión para el acceso remoto.
Métodos para obtener certificados
En la mayoría de los casos, obtendrá certificados de una entidad de certificación (CA). La consideración más importante para una ENTIDAD de certificación es la confianza. Si una entidad de certificación de confianza emite un certificado, ese certificado es de confianza y se puede usar para la autenticación. Si una ENTIDAD de certificación no es de confianza, los certificados emitidos por esa ENTIDAD de certificación no se pueden usar para la autenticación.
Para obtener certificados, puede hacer lo siguiente:
- Cree su propia ENTIDAD de certificación privada mediante Windows Server. Los certificados emitidos por una entidad de certificación privada son automáticamente confiados por los clientes y los servidores Windows integrados en un dominio. Sin embargo, los certificados emitidos por una entidad de certificación interna no son de confianza automática por ningún dispositivo que no esté unido al dominio.
- Comprar certificados de una entidad de certificación pública. Casi todos los dispositivos confían automáticamente en los certificados emitidos por una ENTIDAD de certificación pública, tanto si están unidos a un dominio como si no. Windows no incluye herramientas para implementar automáticamente certificados de una entidad de certificación pública en usuarios o equipos.
- Genere certificados autofirmados en algunas aplicaciones. De forma predeterminada, estos certificados solo son de confianza para el servidor emisor y no para otros equipos de la organización.
- Genere certificados autofirmados mediante PowerShell. Puede usar el
New-SelfSignedCertificatecmdlet para generar un nuevo certificado autofirmado.
Nota:
Los certificados autofirmados se utilizan en organizaciones pequeñas y medianas que usan DirectAccess configurado con el Asistente de inicio rápido, que proporciona una configuración sencilla.
Consideraciones al planear PKI
Para determinar si debe implementar una PKI interna para el acceso remoto, debe planear cómo usará los certificados. Si usa certificados solo en algunos servidores, el costo de usar una entidad de certificación pública es bajo. Los certificados de una entidad de certificación pública también son beneficiosos si espera que los dispositivos que no estén unidos al dominio accedan a los servidores.
Una entidad de certificación privada es beneficiosa principalmente para el acceso remoto cuando se emiten certificados a dispositivos cliente y usuarios individuales para la autenticación. Por ejemplo, es habitual requerir un certificado de equipo válido para permitir el acceso VPN como segundo nivel de autenticación más allá de un nombre de usuario y una contraseña. Si está emitiendo certificados a muchos equipos, la inscripción automática proporcionada por una entidad de certificación privada es importante. También hay un ahorro significativo de costos porque no es necesario pagar los certificados emitidos por una entidad de certificación privada.
En la tabla siguiente se resumen las ventajas y desventajas de los certificados emitidos por entidades de certificación privadas y públicas.
| Tipo de Autoridad de Certificación | Ventajas | Desventajas |
|---|---|---|
| Entidad de certificación privada | Una ENTIDAD de certificación privada proporciona un mayor control sobre la administración de certificados y tiene un costo menor en comparación con una ca pública. No hay ningún costo por certificado. También tiene la opción de usar plantillas personalizadas y inscripción automática. | De forma predeterminada, los certificados por entidades de certificación privadas no son de confianza para clientes externos (exploradores web y sistemas operativos) y requieren una mayor administración. |
| Entidad de certificación pública | Un certificado emitido por una entidad de certificación pública es de confianza para muchos clientes externos (exploradores web y sistemas operativos) y requiere una administración mínima. | El costo es mayor cuando se compara con una entidad de certificación privada. El costo se calcula por certificado. La adquisición de certificados también es más lenta. |