¿Qué son los Servicios de certificados de Active Directory?

  • Artículo

Servicios de certificados de Active Directory (AD CS) es un rol de Windows Server para emitir y administrar certificados de infraestructura de clave pública (PKI) que se usan en protocolos de autenticación y comunicación seguros.

Emisión y administración de certificados

Los certificados digitales se pueden usar para cifrar y firmar digitalmente documentos electrónicos y mensajes, así como para la autenticación de cuentas de equipo, usuario o dispositivo en una red. Por ejemplo, los certificados digitales se usan para proporcionar:

  • Confidencialidad mediante cifrado.
  • Integridad mediante firmas digitales.
  • Autenticación mediante la asociación de claves de certificado con cuentas de equipos, usuarios o dispositivos en un equipo red.

Características principales

AD CS proporciona las siguientes características importantes:

  • Entidades de certificación: las entidades de certificación raíz y subordinadas se usan para emitir certificados para los usuarios, equipos y servicios, y para administrar la validez de los certificados.

  • Inscripción web: la inscripción web permite a los usuarios conectarse con una entidad de certificación mediante un explorador web para solicitar certificados y recuperar listas de revocación de certificados (CRL).

  • Respondedor en línea: el servicio Respondedor en línea descodifica solicitudes de estado de revocación para certificados específicos, evalúa el estado de estos certificados y devuelve una respuesta firmada que contiene la información solicitada sobre el estado de los certificados.

  • Servicio de inscripción de dispositivos de red: el Servicio de inscripción de dispositivos de red permite obtener certificados a los enrutadores y otros dispositivos de red que no disponen de cuentas de dominio.

  • Atestación de clave de TPM: permite a la entidad de certificación (CA) comprobar que la clave privada está protegida por un TPM basado en hardware y que el TPM es de confianza para la entidad de certificación. La atestación de clave de TPM impide que el certificado se exporte a un dispositivo no autorizado y puede enlazar la identidad del usuario con el dispositivo.

  • Servicio web de directiva de inscripción de certificados: el Servicio web de directiva de inscripción de certificados permite que los usuarios y equipos obtengan información sobre directivas de inscripción de certificados.

  • Servicio web de inscripción de certificados: el Servicio web de inscripción de certificados permite que los usuarios y equipos obtengan información sobre directivas de inscripción de certificados. Junto con el Servicio web de directiva de inscripción de certificados, permite la inscripción de certificados basada en directivas si el equipo cliente no es miembro de un dominio o si un miembro del dominio no está conectado a este.

Ventajas

Puede usar AD CS para aumentar la seguridad mediante el enlace de la identidad de una persona, un equipo o un servicio con la clave privada correspondiente. AD CS proporciona un método rentable, eficaz y seguro para administrar la distribución y el uso de certificados. Además del enlace de identidades y claves privadas, AD CS también incluye características que permiten administrar la inscripción y la revocación de certificados.

Puede usar la información de identidad del punto de conexión existente en Active Directory para registrar certificados, lo que significa que puede tener información insertada automáticamente en los certificados. AD CS también se puede usar para configurar directivas de grupo de Active Directory para designar a qué usuarios y máquinas se les permite qué tipos de certificados. La configuración de directiva de grupo habilita el control de acceso basado en roles o en atributos.

Algunas de las aplicaciones compatibles con AD CS son las extensiones seguras multipropósito al correo de Internet (S/MIME), las redes inalámbricas seguras, las redes privadas virtuales (VPN), el protocolo de seguridad de Internet (IPsec), el Sistema de cifrado de archivos (EFS), el inicio de sesión con tarjeta inteligente, los protocolos Capa de sockets seguros y Seguridad de la capa de transporte (TLS/SSL) y las firmas digitales.

Pasos siguientes