Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El servicio web de inscripción de certificados es un servicio de rol de Servicios de certificados de Active Directory (AD CS) que permite a los usuarios y equipos realizar la inscripción de certificados mediante el protocolo HTTPS. Junto con el servicio web directiva de inscripción de certificados, esto habilita la inscripción de certificados basada en directivas cuando el equipo cliente no es miembro de un dominio o cuando un miembro de dominio no está conectado al dominio. El servicio web de inscripción de certificados usa el protocolo HTTPS para aceptar solicitudes de certificado de y devolver certificados emitidos a equipos cliente de red. El servicio web de inscripción de certificados usa el protocolo DCOM para conectarse a la entidad de certificación (CA) y completar la inscripción de certificados en nombre del solicitante.
La inscripción de certificados a través de HTTPS habilita:
- Inscripción de certificados a través de límites de bosque para reducir el número de autoridades de certificación en una empresa
- Implementación de extranet para emitir certificados a trabajadores móviles y asociados empresariales
En este artículo se proporciona información general sobre el servicio web de inscripción de certificados, incluida la información sobre los tipos de autenticación, las consideraciones de equilibrio de carga y las opciones de configuración.
Tipos de autenticación
El servicio web de inscripción de certificados admite los tres tipos de autenticación siguientes:
Autenticación integrada de Windows
Autenticación de certificados de clientes
Autenticación de nombre de usuario y contraseña
Cada uno de estos tipos de autenticación se describe con más detalle en las secciones siguientes.
Autenticación integrada de Windows
La autenticación integrada de Windows usa Kerberos o NT LAN Manager (NTLM) para proporcionar un flujo de autenticación sin problemas para los dispositivos conectados a la red interna y unidos a un dominio. Este método es preferible para las implementaciones internas porque usa la infraestructura existente presente en Active Directory Domain Services (AD DS) y requiere cambios mínimos en los equipos cliente de certificados. Use este método de autenticación si solo necesita que los clientes accedan al servicio web mientras están conectados directamente a la red interna.
Autenticación de certificados de clientes
Si los certificados se aprovisionan en equipos, los equipos clientes pueden usar la autenticación de certificados de cliente. La autenticación de certificados de cliente no requiere una conexión directa a la red corporativa. Se prefiere la autenticación de certificados de cliente sobre el nombre de usuario y la autenticación de contraseñas, ya que proporciona un método más seguro de autenticación. Sin embargo, este método requiere que los certificados x.509 se aprovisionen inicialmente en los clientes por medio de vías independientes. Use este método de autenticación si planea proporcionar a los usuarios certificados X.509 digitales para la autenticación de cliente. Este método de autenticación permite que el servicio web esté disponible en Internet.
Si desea usar la autenticación basada en certificados desde fuera del dominio para un equipo configurado en un grupo de trabajo o que sea miembro de un dominio en el que no existe una relación de confianza de bosque, también debe hacer lo siguiente:
- Asegúrese de que existe una cuenta de equipo en el bosque del cual es miembro la Autoridad Certificadora que tenga el mismo nombre que el equipo que recibe el certificado.
- Emita un certificado con nombres adecuados para el equipo al que se emite el certificado.
- Transfiera manualmente el certificado emitido desde un equipo dentro de un dominio al equipo apropiado que esté configurado en un grupo de trabajo o que sea miembro de un dominio en el que no haya ninguna relación de confianza de bosque.
Autenticación de nombre de usuario y contraseña
La forma más sencilla de autenticación es el nombre de usuario y la contraseña. Este método se usa normalmente para atender a los clientes que no están conectados directamente a la red interna. Es una opción de autenticación menos segura que usar certificados de cliente, pero no requiere aprovisionar un certificado a los clientes y, por lo tanto, a menudo es más fácil de implementar que la autenticación de certificados de cliente. Use este método de autenticación si desea que los usuarios escriban un nombre de usuario y una contraseña para autenticarse en el servicio web. Este método de autenticación se puede usar cuando se accede al servicio web en la red interna o a través de Internet.
Requisitos de delegación
La delegación permite a un servicio suplantar una cuenta de usuario o una cuenta de equipo para acceder a los recursos en toda la red. Cuando un servicio es de confianza para la delegación, ese servicio puede suplantar a un usuario para usar otros servicios de red.
La delegación es necesaria para la cuenta del servicio web de inscripción de certificados cuando se cumplen todas las siguientes condiciones:
La CA no está en el mismo equipo que el servicio web de inscripción de certificados.
El servicio web de inscripción de certificados debe ser capaz de procesar solicitudes de inscripción iniciales, en lugar de procesar solo solicitudes de renovación de certificados.
El tipo de autenticación se establece en Autenticación integrada de Windows o autenticación de certificado de cliente.
La delegación del servicio web de inscripción de certificados no es necesaria cuando:
La Autoridad de Certificación y el servicio web de inscripción de certificados están en el mismo equipo
El nombre de usuario y la contraseña son el método de autenticación.
Si el servicio web de inscripción de certificados se ejecuta como la identidad del grupo de aplicaciones predeterminado, debe configurar la delegación en la cuenta de computadora que alberga el servicio. Si el servicio web de inscripción de certificados se ejecuta como una cuenta de usuario de dominio, primero debe crear un nombre de entidad de seguridad de servicio (SPN) adecuado y, a continuación, configurar la delegación en la cuenta de usuario de dominio.
El tipo específico de delegación que debe configurar depende del método de autenticación seleccionado para el servicio web de inscripción de certificados:
- Si seleccionó la autenticación integrada de Windows, debe configurar la delegación para usar solo Kerberos.
- Si el servicio usa la autenticación de certificados de cliente, debe configurar la delegación para usar cualquier protocolo de autenticación.
Procedimientos recomendados de equilibrio de carga y tolerancia a errores
El único factor más importante que afecta al rendimiento, según las pruebas de rendimiento extensas de Microsoft, es la latencia de red. En lugar de confiar en tecnologías de equilibrio de carga de red (NLB), el servicio web de directiva de inscripción de certificados y los componentes de cliente del servicio web de inscripción de certificados tienen integrada la lógica de equilibrio de carga y tolerancia a errores. Por ejemplo, los clientes aleatorizan automáticamente la lista de puntos de conexión proporcionada e intentan recorrer la lista si el primer punto de conexión no responde. Si se publican varios identificadores uniformes de recursos (URI), el equilibrio de carga básico y la tolerancia a fallos están incorporados.
NLB no debe usarse para proporcionar tolerancia a errores o alta disponibilidad, ya que NLB podría enrutar el tráfico a un host en el que la directiva o el servicio web se detiene o no está disponible. Si todos los puntos de conexión se publican detrás de un único URI equilibrado de NLB, la lógica de cliente integrada no podría probar el siguiente URI, lo que da como resultado una solución menos tolerante a errores que si no se usó ningún equilibrio de carga especial.
Entre los procedimientos recomendados generales para equilibrar la carga de la directiva y los servicios web de inscripción se incluyen:
- Publique varios URI de inscripción y directiva, cada uno con nombres DNS únicos y preferiblemente disponibles a través de diferentes rutas de acceso de red; permitir que la lógica integrada del cliente proporcione equilibrio de carga y tolerancia a errores.
- No publique varios URI detrás de un único URI (a menos que ese URI esté equilibrado en carga detrás de un dispositivo que sea capaz de manejar la capa de red y de aplicación).
- No utilice el método de balanceo de carga DNS "round robin" ni otras técnicas de equilibrio de carga de DNS que no proporcionen inteligencia de capa de aplicación y enrutamiento.
Opciones de configuración
En las secciones siguientes se explican las distintas opciones de configuración del servicio web de inscripción de certificados.
Intranet con un único bosque
El escenario de implementación más sencillo implica un único bosque con clientes conectados a intranet. En este diseño, el servicio web de la directiva de inscripción de certificados y el servicio web de inscripción de certificados se pueden instalar en una entidad de certificación emisora, pero se recomienda que estén instalados en equipos independientes. Si el servicio web de directiva de inscripción de certificados y el servicio web de inscripción de certificados se ejecutan en equipos independientes, el servicio web de directiva de inscripción de certificados debe poder comunicarse con AD DS mediante LDAP. El servicio web de inscripción de certificados debe poder conectarse a la ENTIDAD de certificación mediante DCOM. En escenarios de intranet, Kerberos o NTLM es el tipo de autenticación típico.
Intranet con varios bosques
Un escenario de intranet más avanzado implica varios bosques con servicios emisores centralizados en solo uno (o algunos) de ellos. En este diseño, los bosques están conectados con una confianza de bosque bidireccional, y la entidad de certificación y los servicios web de inscripción de certificados están alojados en el mismo bosque. Las ventajas de este modelo son que proporciona un alto grado de consolidación en varios entornos forestales. En el pasado, cada bosque requería su propia CA para la inscripción automática, ahora todos los servicios PKI están centralizados, lo que podría provocar una gran reducción del número total de CA necesarias. De nuevo, dado que se trata de un escenario de intranet, el esquema de autenticación más común es Kerberos o NTLM.
Red perimetral y sucursal
Este escenario de implementación proporciona la capacidad de inscribir usuarios y equipos que no están conectados directamente a la red de una organización o conectados a través de una red privada virtual (VPN). En este diseño, el servicio web de la directiva de inscripción de certificados y el servicio web de inscripción de certificados se colocan en la red perimetral y los clientes basados en Internet se inscriben a través de HTTPS en estos puntos de conexión. Este modelo de implementación es ideal para los usuarios de dominio que a menudo trabajan de forma remota o en escenarios de sucursales en los que la VPN o la conexión directa a la red corporativa no son confiables.
Opcionalmente, se puede usar un controlador de dominio de solo lectura (RODC). Los clientes externos (usuarios remotos) no tienen acceso a través del firewall Corp al controlador de dominio escribible o a la entidad de certificación. Los servidores del servicio web de inscripción y políticas no tienen acceso al controlador de dominio con capacidad de escritura. Sin embargo, se debe permitir que el servicio web de inscripción de certificados se conecte a través del firewall a la CA mediante DCOM.
Modo de solo renovación
Para que el servicio web de inscripción de certificados pueda solicitar certificados de una entidad de certificación, debe delegar la llamada a la ENTIDAD de certificación al suplantar al autor de la llamada. Esto significa que la cuenta de servicio web de inscripción de certificados debe tener habilitada la delegación. En el caso de los puntos de conexión de servicio web de inscripción de certificados accesibles desde Internet, esto puede no ser preferible porque representa un mayor nivel de exposición a las amenazas basadas en Internet.
Para mitigar este riesgo, el modo de solo renovación permite que el servicio web de inscripción de certificados procese solo las solicitudes de renovación de certificados sin la delegación habilitada. El servicio web de inscripción de certificados usa el certificado original, aprovisionado desde dentro de la red interna, para autenticar la solicitud de renovación enviada a través de Internet. A continuación, el servicio web de inscripción de certificados envía la solicitud a la ENTIDAD de certificación bajo su propia credencial, y la ENTIDAD de certificación renovará el certificado en función de la información de Active Directory del solicitante del certificado original o la información del firmante en el certificado original. En este modo, el Servicio Web de Inscripción de Certificados deniega las nuevas solicitudes de inscripción de certificados, impidiendo que lleguen a la Autoridad de Certificación.
Desde una perspectiva de diseño de red, este escenario combina los modelos de red internos y perimetrales descritos anteriormente.
Renovación basada en claves
El modo de renovación basado en claves permite usar un certificado válido existente para autenticar su propia solicitud de renovación. Esto permite a los equipos que no están conectados directamente a la red interna la capacidad de renovar automáticamente un certificado existente.
Puede usar la renovación basada en claves para permitir que los equipos cliente de certificados fuera del bosque de AD DS renueven sus certificados antes de que expiren. Esto incluye clientes configurados en grupos de trabajo o clientes que son miembros de otros bosques de AD DS. Se debe usar una cuenta en el bosque del CA para obtener el certificado inicial. Sin embargo, una vez que ese certificado se distribuye al cliente, la renovación basada en claves no requiere confianzas de bosque para permitir la renovación de certificados.
Por ejemplo, un miembro de dominio de una Entidad de Certificación Empresarial podría renovar un certificado emitido a un servidor web configurado en un grupo de trabajo. En el diagrama siguiente se muestra un ejemplo de esta configuración.
Web1 debe tener el certificado de entidad de certificación raíz en el almacén de entidades de certificación raíz de confianza antes de solicitar una renovación de certificado. Web1 usa servicios web de inscripción de certificados para renovar sus certificados automáticamente si está habilitada la renovación basada en claves. Además, un administrador de Web1 debe asegurarse de que el URI del servicio web de directiva de inscripción de certificados está configurado en Web1.
Nota:
Si desea habilitar la renovación basada en claves, debe habilitar la autenticación de certificados de cliente para el Servicio Web de Inscripción de Certificados.
Diferencias con el servicio de funciones de inscripción web de la entidad de certificación
Aunque la inscripción web de CA y los servicios web de inscripción de certificados usan HTTPS, son tecnologías fundamentalmente diferentes. La inscripción web de CA proporciona un método interactivo basado en explorador para solicitar certificados individuales que no requieren componentes de cliente específicos ni configuración. La inscripción web de CA solo admite solicitudes interactivas que el solicitante crea y carga manualmente a través del sitio web. Por ejemplo, si un administrador quiere aprovisionar un certificado en un servidor web apache que ejecuta el sistema operativo Linux, se podría cargar una solicitud PKCS #10 creada mediante OpenSSL. Después de que la ENTIDAD de certificación emitió la solicitud, el certificado se podría descargar mediante el explorador.
El servicio web de la directiva de inscripción de certificados y el servicio web de inscripción de certificados se centran en las solicitudes de certificado automatizadas y el aprovisionamiento mediante el cliente nativo. Los servicios web de inscripción de certificados y la inscripción web de CA son tecnologías complementarias. La inscripción web de CA admite solicitudes de certificado y un amplio conjunto de sistemas operativos cliente. Los servicios web de inscripción de certificados ofrecen solicitudes automatizadas y aprovisionamiento de certificados para equipos cliente.