Compartir a través de


Inscripción web de entidad de certificación en servicios de certificados de Active Directory

La inscripción web de entidad de certificación (CA) en Servicios de certificados de Active Directory (AD CS) simplifica la administración de certificados al proporcionar una interfaz basada en explorador para solicitar y renovar certificados, recuperar listas de revocación de certificados (CRL) e inscribirse para certificados de tarjeta inteligente. Este servicio de rol es útil para las organizaciones que necesitan un método flexible e interactivo para la inscripción de certificados sin necesidad de configuraciones de cliente específicas. En este artículo, obtendrá información sobre las características, las funcionalidades y las opciones de configuración de la inscripción web de CA y cómo se compara con el servicio de rol servicio web de inscripción de certificados.

Funcionalidades y tareas comunes

La inscripción web de CA permite a los usuarios enviar PKCS #10 solicitudes a la ENTIDAD de certificación de forma interactiva a través de un explorador web y un sitio web de Internet Information Services (IIS). La inscripción web de CA es diferente del servicio de rol servicio web de inscripción de certificados relacionado. Aunque tanto la inscripción web de CA como el servicio web de inscripción de certificados usan HTTPS, son tecnologías fundamentalmente diferentes.

La inscripción web de entidad de certificación es útil al interactuar con una entidad de certificación independiente, ya que el complemento MMC (Microsoft Management Console) de certificados no se puede usar para interactuar con una entidad de certificación independiente. Las CA empresariales pueden aceptar solicitudes de certificados mediante el complemento Certificados o las páginas de servicio de rol Inscripción web de CA.

El servicio de rol de inscripción web de entidad de certificación incluye páginas web de muestra actualizadas para operaciones de inscripción de certificado basadas en la web. Estas páginas web funcionan junto con el CertEnroll componente . Para obtener más información sobre CertEnroll, consulte Certificate Enrollment API.

En la tabla siguiente se resumen las diferencias clave entre la inscripción web de CA y el servicio web de inscripción de certificados:

Característica y funcionalidad Inscripción web de CA Servicio web de inscripción de certificados
Método de Solicitud Solicitudes de certificado interactivas y creadas manualmente por el solicitante, cargadas a través del sitio web. Inscripción y renovación automatizadas, adecuadas para implementaciones a gran escala.
Aprovisionamiento de certificados Método interactivo basado en explorador para certificados individuales. Aprovisionamiento automatizado para certificados adicionales.
Requisitos de cliente No se requiere ninguna configuración ni componentes de cliente específicos. Cliente integrado con Windows y Windows Server.
Consolidación de bosques No está soportado. Soportado; permite la consolidación de PKI en varios bosques mediante la eliminación de implementaciones de CA por bosque.
Inscripción de red perimetral No está soportado. Soportado; permite la inscripción de certificados desde fuera de la red corporativa.

Para obtener más información sobre la consolidación de bosques y el uso de redes perimetrales, consulte Servicio web de inscripción de certificados en Servicios de certificados de Active Directory.

Topología de implementación

Puede instalar la inscripción web de entidad de certificación en un servidor que no sea una entidad de certificación para separar el tráfico web de la entidad de certificación. La instalación de CA Web Enrollment configura el equipo como una autoridad de registro de inscripciones. Es necesario seleccionar una entidad de servicio para usarla con las páginas de inscripción web de entidad de certificación. La ENTIDAD de certificación que usa la inscripción web de CA es la CA de destino en la interfaz de usuario. Puede seleccionar la ENTIDAD de certificación de destino que desea usar mediante el nombre de la ENTIDAD de certificación o el nombre del equipo asociado a la ENTIDAD de certificación.

Si instala las páginas de inscripción web de entidad de certificación en un equipo que no sea la entidad de certificación de destino, la cuenta de equipo donde estén instaladas las páginas de inscripción web de entidad de certificación debe ser de confianza para la delegación. Para obtener más información, vea Instalar la compatibilidad con la inscripción web en otro equipo (opcional) y Cómo configurar el proxy de inscripción web de ca de Windows Server 2008.

Nota:

Uso de las páginas de inscripción web de CA

Si se le conceden permisos de acceso, puede realizar las siguientes tareas desde las páginas de inscripción web de CA:

  • Solicite un certificado básico.

  • Solicite un certificado con opciones avanzadas. La solicitud con opciones avanzadas proporciona un mayor control sobre la solicitud de certificado. Entre las opciones disponibles en una solicitud de certificado avanzada se incluyen:

    • En las opciones del proveedor de servicios criptográficos (CSP), puede configurar el nombre del proveedor de servicios criptográficos, el tamaño de clave (1024, 2048, etc.), el algoritmo hash (como SHA/RSA, SHA/DSA, MD2 o MD5) y la especificación de clave (intercambio o firma).

    • Las opciones de generación de claves le permiten crear un nuevo conjunto de claves o usar un conjunto de claves existente, marcar las claves como exportables, habilitar la protección de claves seguras y usar el almacén de equipos local para generar la clave.

    • Opciones adicionales. Guarde la solicitud en un archivo PKCS #10 o agregue atributos específicos al certificado.

  • Compruebe una solicitud de certificado pendiente. Si envía una solicitud de certificado a una entidad de certificación independiente, debe comprobar el estado de la solicitud pendiente para asegurarse de que la entidad de certificación emitió el certificado. Si la entidad emitió el certificado, estará disponible en la página web para que lo instale.

  • Recupere el certificado de la entidad de certificación para colocarlo en el almacén raíz de confianza o instale toda la cadena de certificados en el almacén de certificados.

  • Recuperar las CRL actuales, tanto las de base como las de diferencias.

  • Envíe una solicitud de certificado mediante un archivo PKCS #10 o un archivo PKCS #7. En general, se usa un archivo PKCS #10 para enviar una solicitud de un nuevo certificado y un archivo PKCS #7 para enviar una solicitud para renovar un certificado existente. Enviar solicitudes con archivos es útil cuando el solicitante de certificados no puede enviar una solicitud en línea a la entidad de certificación.

Estas páginas web se encuentran en https://<servername>/certsrv, donde <servername> es el nombre del servidor que hospeda las páginas de inscripción web de CA. La certsrv parte de la dirección URL siempre debe estar en minúsculas; de lo contrario, los usuarios pueden tener problemas para comprobar y recuperar certificados pendientes.

Pasos siguientes

Para obtener más información sobre la inscripción web y solucionar problemas comunes, consulte los siguientes artículos: