Compartir a través de

¿Qué es Active Directory Certificate Services?

Servicios de certificados de Active Directory (AD CS) es un rol de Windows Server para emitir y administrar certificados de infraestructura de clave pública (PKI) que se usan en protocolos seguros de comunicación y autenticación.

Emisión y gestión de certificados

Los certificados digitales se pueden utilizar para cifrar y firmar digitalmente documentos y mensajes electrónicos, así como para la autenticación de cuentas de computadoras, usuarios o dispositivos en una red. Por ejemplo, los certificados digitales proporcionan:

  • Confidencialidad mediante cifrado.
  • Integridad mediante firmas digitales.
  • Autenticación mediante la asociación de claves de certificado con las cuentas de equipo, usuario o dispositivo en una red informática.

Características clave

AD CS proporciona las siguientes características importantes:

  • Autoridades de certificación: Las entidades de certificación (CA) raíz y subordinadas se utilizan para emitir certificados a usuarios, equipos y servicios, y para administrar la validez de los certificados.

  • Inscripción web: La inscripción web permite a los usuarios conectarse a una CA con un explorador web para solicitar certificados y recuperar listas de revocación de certificados (CRL).

  • Respondedor en línea: El servicio de respuesta en línea descodifica las solicitudes de estado de revocación para certificados específicos, evalúa el estado de estos certificados y devuelve una respuesta firmada que contiene la información de estado del certificado solicitada.

  • Servicio de inscripción de dispositivos de red: El servicio de inscripción de dispositivos de red permite que los enrutadores y otros dispositivos de red que no tienen cuentas de dominio obtengan certificados.

  • Atestación de clave TPM: Permite a la entidad de certificación comprobar que la clave privada está protegida por un TPM basado en hardware y que el TPM es uno en el que confía la CA. La atestación de clave TPM impide que el certificado se exporte a un dispositivo no autorizado y puede vincular la identidad del usuario al dispositivo.

  • Servicio web de política de inscripción de certificados: El servicio web de directiva de inscripción de certificados permite a los usuarios y equipos obtener información sobre la directiva de inscripción de certificados.

  • Servicio web de inscripción de certificados: El servicio web de inscripción de certificados permite a los usuarios y equipos realizar la inscripción de certificados a través de un servicio web. Junto con el servicio web directiva de inscripción de certificados, esto habilita la inscripción de certificados basada en directivas cuando el equipo cliente no es miembro de un dominio o cuando un miembro de dominio no está conectado al dominio.

Ventajas

Puede usar AD CS para mejorar la seguridad vinculando la identidad de una persona, equipo o servicio a una clave privada correspondiente. AD CS proporciona una forma rentable, eficiente y segura de administrar la distribución y el uso de certificados. Además del enlace de identidades y claves privadas, AD CS también incluye características que le permiten administrar la inscripción y revocación de certificados.

La información de identidad de punto de conexión existente en Active Directory se usa para registrar certificados, lo que permite que la información se inserte automáticamente en los certificados. Las directivas de grupo de Active Directory también se pueden usar para designar qué usuarios y equipos tienen permiso para qué tipos de certificados. La configuración de directiva de grupo permite el control de acceso basado en roles o en atributos.

Las aplicaciones compatibles con AD CS incluyen extensiones de correo de Internet seguras/multipropósito (S/MIME), redes inalámbricas seguras, red privada virtual (VPN), seguridad de protocolo de Internet (IPsec), sistema de cifrado de archivos (EFS), inicio de sesión con tarjeta inteligente, Secure Socket Layer/Transport Layer Security (SSL/TLS) y firmas digitales.

Pasos siguientes