Servicio de rol de inscripción web de entidad de certificación
El servicio de rol de inscripción web de entidad de certificación (CA) proporciona un conjunto de páginas web que permiten a los usuarios realizar tareas de certificado. Por ejemplo, solicitar y renovar certificados, recuperar listas de revocación de certificados (CRL) e inscribirse para certificados de tarjeta inteligente. Estas páginas web se encuentran en https://<servername>/certsrv, donde <servername> es el nombre del servidor que hospeda las páginas de inscripción web de CA. La parte de certsrv de la URL siempre debe estar en minúsculas; en caso contrario, los usuarios podrían tener problemas al consultar y recuperar los certificados pendientes.
Nota:
Las páginas del servicio de rol de inscripción web de entidad de certificación requieren que las proteja con la capa de sockets seguros (SSL) o la seguridad de la capa de transporte (TLS). Si no lo hace, verá el siguiente mensaje de error: "Para completar la inscripción de certificados, el sitio web de la entidad de certificación debe configurarse para usar la autenticación HTTPS". Para obtener información sobre cómo configurar la autenticación HTTPS, consulte Servicios de certificados de Active Directory (AD CS): Error: "Para completar la inscripción de certificados, el sitio web de la entidad de certificación debe configurarse para usar la autenticación HTTPS.
Inscripción web de entidad de certificación
La inscripción web de la entidad de certificación permite a los equipos cliente enviar solicitudes PKCS #10 a la entidad de certificación de forma interactiva a través de un explorador web y un sitio web de Internet Information Services (IIS). Por ejemplo, al instalar este servicio de rol, los usuarios del dominio contoso.com pueden escribir http://ca.contoso.com/CertSrv en su explorador web y ver un sitio web interactivo que les permita cargar solicitudes, descargar certificados completados y descargar listas de revocación de certificados (CRL).
La inscripción web de entidad de certificación es diferente del servicio de rol Servicio web de inscripción de certificados. Aunque tanto la inscripción web de entidad de certificación como los servicios web de inscripción de certificados usan HTTPS, son tecnologías fundamentalmente diferentes.
La inscripción web de entidad de certificación admite solicitudes de certificado y un amplio conjunto de sistemas operativos cliente. La inscripción web de entidad de certificación proporciona un método interactivo basado en explorador para solicitar certificados individuales que no requieren componentes o configuración de cliente específicos. La inscripción web solo admite solicitudes interactivas que el solicitante crea y carga manualmente a través del sitio web.
Los servicios web de inscripción de certificados se centran en las solicitudes de certificado automatizadas y el aprovisionamiento mediante el cliente integrado, empezando por los sistemas operativos Windows y Windows Server. Al usar estos servicios, el usuario no tiene que realizar una solicitud manualmente ni interactuar con un sitio web. Los servicios web de inscripción de certificados ofrecen ciertas ventajas para escenarios que implican la inscripción y renovación de certificados adicionales, incluida la consolidación de bosques y la inscripción de certificados de red perimetral. Las organizaciones con varios bosques pueden consolidar su infraestructura de clave pública (PKI) eliminando el requisito para las implementaciones de entidad de certificación por bosque. La consolidación de bosques permite a las organizaciones consolidar los servicios de PKI mediante la implementación de menos entidades de certificación. Los servicios web de inscripción de certificados también permiten a las organizaciones habilitar Servicios de certificados de Active Directory (AD CS) mediante una red perimetral. El uso de una red perimetral permite a los usuarios y equipos fuera de la red corporativa inscribirse para certificados.
Para obtener más información sobre la consolidación de bosques y el uso de redes perimetrales, consulte Servicios web de inscripción de certificados en Servicios de certificados de Active Directory.
Tareas y funcionalidades comunes
Las páginas del servicio de rol de inscripción web de entidad de certificación permiten conectarse a la entidad de certificación mediante un explorador web para realizar tareas comunes, entre las que se incluyen:
Solicitar certificados de la CA.
Solicitar el certificado de la CA.
Enviar una solicitud de certificado mediante un archivo PKCS #10.
Recuperar la lista de revocación de certificados (CRL) de la CA.
La inscripción web de entidad de certificación es útil al interactuar con una entidad de certificación independiente, ya que el complemento MMC (Microsoft Management Console) de certificados no se puede usar para interactuar con una entidad de certificación independiente. Las CA empresariales pueden aceptar solicitudes de certificados mediante el complemento Certificados o las páginas de servicio de rol Inscripción web de CA.
El servicio de rol de inscripción web de entidad de certificación incluye páginas web de muestra actualizadas para operaciones de inscripción de certificado basadas en la web. Estas páginas web funcionan junto con el componente CertEnroll.
Para obtener más información sobre CertEnroll, consulte API Certificate Enrollment.
CA para inscripción web
Puede instalar la inscripción web de entidad de certificación en un servidor que no sea una entidad de certificación para separar el tráfico web de la entidad de certificación. Al instalar Inscripción web de CA, se configura el equipo como una entidad de registro de inscripciones. Es necesario seleccionar una entidad de servicio para usarla con las páginas de inscripción web de entidad de certificación. La CA que utiliza Inscripción web de CA se conoce como CA de destino en la interfaz de usuario. Se puede seleccionar la entidad de certificación de destino mediante el nombre de entidad de certificación o el nombre de equipo que esté asociado con la entidad de certificación. Seleccione Seleccionar para buscar la entidad de certificación que desea usar.
Configuración de inscripción web
Si instala las páginas de inscripción web de entidad de certificación en un equipo que no sea la entidad de certificación de destino, la cuenta de equipo donde estén instaladas las páginas de inscripción web de entidad de certificación debe ser de confianza para la delegación. Para obtener más información, vea los siguientes recursos:
- Instalar la compatibilidad de inscripción web en otro equipo (opcional)
- Cómo configurar el proxy de inscripción web de entidad de certificación de Windows Server 2008
Sugerencia
Si las páginas de inscripción web de entidad de certificación no se instalan correctamente en una entidad de certificación migrada, es posible que el estado de instalación en el registro no esté configurado correctamente. Para más información, consulte Error de configuración de Inscripción web de entidad de certificación 0x80070057 (WIN32: 87)
Usar las páginas de Inscripción web de CA
Si posee permisos de acceso, puede realizar las tareas siguientes en las páginas de inscripción web de entidad de certificación:
Solicitar un certificado básico.
Solicitar un certificado con opciones avanzadas. La solicitud con opciones avanzadas proporciona un mayor control sobre la solicitud de certificado. Entre las opciones disponibles en una solicitud de certificado avanzada se incluyen:
En las opciones del proveedor de servicios criptográficos (CSP), puede configurar el nombre del proveedor de servicios criptográficos, el tamaño de clave (1024, 2048, etc.), el algoritmo hash (como SHA/RSA, SHA/DSA, MD2 o MD5) y la especificación de clave (intercambio o firma).
Opciones de generación de claves le permite crear un nuevo conjunto de claves o usar uno existente, marcar las claves como exportables, habilitar la protección de clave de alta seguridad y usar el almacén del equipo local para generar la clave.
Opciones adicionales. Guarda la solicitud en un archivo PKCS #10, o bien agrega atributos específicos al certificado.
Consulta una solicitud de certificado pendiente. Si ha enviado una solicitud de certificado a una entidad de certificación independiente, tendrá que consultar el estado de la solicitud pendiente para comprobar si la entidad de certificación ha emitido el certificado. Si la entidad emitió el certificado, estará disponible en la página web para que lo instale.
Recupera el certificado de la entidad de certificación para guardarlo en el almacén raíz de confianza o para instalar toda la cadena de certificados en el almacén de certificados.
Recuperar las CRL actuales, tanto las de base como las de diferencias
Envía una solicitud de certificado mediante un archivo PKCS #10 o un archivo PKCS #7.
Nota:
En general, los archivos PKCS #10 se usan para enviar solicitudes de certificados nuevos y los archivo PKCS #7 para enviar una solicitud de renovación de un certificado existente. Enviar solicitudes con archivos es útil cuando el solicitante del certificado no puede enviar una solicitud en línea a la entidad de certificación.
Puede que tenga que agregar
https://<servername>a los sitios de confianza en Internet Explorer para poder buscar un archivo en la unidad de disco duro del equipo. Para agregarhttps://<servername>como un sitio de confianza, abra Internet Explorer y, a continuación, vaya a Herramientas>Opciones de internet>Seguridad>Sitios de confianza>Sitios, escriba la dirección URL y seleccione Aceptar. Reemplace<servername>en la dirección URL de ejemplo por el nombre de host del servidor al que desea conectarse. Si normalmente usa el nombre de dominio completo (FQDN) para conectarse al servidor, cree la entrada mediante el FQDN en lugar del nombre de host o escriba el FQDN y el nombre de host juntos. Los sitios de confianza no son necesarios si usa Microsoft Edge.
Pasos siguientes
Para obtener más información sobre la inscripción web y cómo solucionar problemas comunes, consulte los siguientes artículos: