Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las plantillas de certificado pueden simplificar en gran medida la tarea de administrar una entidad de certificación (CA) de Servicios de certificados de Active Directory (AD CS), ya que permiten a un administrador emitir certificados preconfigurados para las tareas seleccionadas. El complemento Plantillas de certificado permite a un administrador realizar las siguientes tareas:
- Ver las propiedades de cada plantilla de certificado.
- Copie y modifique plantillas de certificados.
- Controle qué usuarios y equipos pueden leer plantillas e inscribirse para obtener certificados.
- Realizar otras tareas administrativas relacionadas con las plantillas de certificados.
Las plantillas de certificado son los conjuntos de reglas y valores que se configuran en una CA para aplicarlos a las solicitudes de certificado entrantes. Las plantillas de certificado también proporcionan instrucciones al cliente sobre cómo crear y enviar una solicitud de certificado válida.
Solo una entidad de certificación empresarial puede emitir certificados basados en una plantilla de certificado. Las plantillas se almacenan en Servicios de dominio de Active Directory (AD DS) para su uso por parte de todas las CA del bosque. Esto permite que la CA siempre tenga acceso a la plantilla estándar actual y garantiza la aplicación coherente de la directiva de certificados en todo el bosque.
Versiones de plantillas de certificado
Las versiones de la plantilla de certificado determinan qué características están disponibles en una plantilla de certificado. Servicios de certificados de Active Directory (AD CS) proporciona tres versiones de plantillas de certificado que están disponibles en las entidades de certificación (CA) empresariales.
- Las plantillas de certificado de la versión 1 satisfacen las necesidades generales de certificados y son compatibles con todas las versiones de AD CS a partir de Windows 2000. Las plantillas de la versión 1 se instalan de forma predeterminada durante la configuración de la CA y no se pueden eliminar. La única propiedad que se puede modificar en una plantilla de la versión 1 es el conjunto de permisos asignados que controla el acceso a la plantilla. La inscripción automática solo se admite para scripts personalizados y a través de la directiva de grupo si se usan certificados de equipo.
- Las plantillas de certificado de la versión 2 se introdujeron con Windows Server 2003. Un administrador puede configurar plantillas de la versión 2 para controlar la forma en que se solicitan, emiten y utilizan los certificados. Las plantillas de la versión 2 proporcionan compatibilidad con la inscripción automática de certificados.
- Las plantillas de certificado de la versión 3 son compatibles con todas las características de la plantilla de la versión 2, pero también proporcionan compatibilidad con los algoritmos criptográficos del Suite B. Suite B fue creado por la Agencia de Seguridad Nacional de EE. UU. para especificar los algoritmos criptográficos que deben utilizar las agencias gubernamentales de EE. UU. para proteger la información confidencial. Las plantillas de certificado de la versión 3 están disponibles a través de AD CS en todas las versiones compatibles de Windows Server.
Plantillas de certificado predeterminadas
Una serie de plantillas de certificado preconfiguradas que están diseñadas para satisfacer las necesidades de la mayoría de las organizaciones se incluyen con las entidades de certificación empresarial (CA) de AD CS. Se pueden crear nuevas plantillas de certificado modificando una copia de una plantilla preconfigurada existente. Las plantillas de certificado predeterminadas se describen en la tabla siguiente:
| Nombre | Descripción | Uso de las claves | Tipo de asunto | ¿Publicado en Servicios de dominio de Active Directory (AD DS)? | Versión de la plantilla |
|---|---|---|---|---|---|
| Administrador | Permite la firma de listas de confianza y la autenticación de usuarios. | Firma y cifrado | Usuario | Sí | 1 |
| Sesión autenticada | Permite que el sujeto se autentique en un servidor web. | Firma | Usuario | No | 1 |
| EFS básico | Utilizado por el sistema de cifrado de archivos (EFS) para cifrar datos. | Encriptación | Usuario | Sí | 1 |
| Intercambio de CA | Se utiliza para almacenar claves configuradas para el archivado de claves privadas. | Encriptación | Ordenador | No | 2 |
| Encriptación CEP | Permite que el titular del certificado actúe como autoridad de registro para las solicitudes del Protocolo simple de inscripción de certificados (SCEP). | Encriptación | Ordenador | No | 1 |
| Firma de códigos | Se utiliza para firmar digitalmente software. | Firma | Usuario | No | 1 |
| Ordenador | Permite que un equipo se autentique en la red. | Firma y cifrado | Ordenador | No | 1 |
| Autoridad de certificación cruzada | Se utiliza para la certificación cruzada y la subordinación cualificada. | Firma | CA con certificación cruzada | Sí | 2 |
| Replicación de correo electrónico de directorios | Se usa para replicar correo electrónico dentro de AD DS. | Firma y cifrado | Ordenador | Sí | 2 |
| Controlador de dominio | Usados por los controladores de dominio como certificados de uso general. | Firma y cifrado | Ordenador | Sí | 1 |
| Autenticación de controlador de dominio | Se usa para autenticar equipos y usuarios de Active Directory. | Firma y cifrado | Ordenador | No | 2 |
| Agente de recuperación de EFS | Permite al sujeto descifrar archivos que se cifraron previamente con EFS. | Encriptación | Usuario | No | 1 |
| Agente de inscripción | Se utiliza para solicitar certificados en nombre de otro sujeto. | Firma | Usuario | No | 1 |
| Agente de inscripción (equipo) | Se utiliza para solicitar certificados en nombre de otro sujeto informático. | Firma | Ordenador | No | 1 |
| Agente de inscripción de Exchange (solicitud sin conexión) | Se utiliza para solicitar certificados en nombre de otro sujeto y proporcionar el nombre del sujeto en la solicitud. | Firma | Usuario | No | 1 |
| Solo firma de Exchange | Usado por el servicio de administración de claves de Microsoft Exchange para emitir certificados a los usuarios de Exchange para firmar digitalmente el correo electrónico. | Firma | Usuario | No | 1 |
| Usuario de Exchange | Utilizado por el servicio de administración de claves de Microsoft Exchange para emitir certificados a los usuarios de Exchange para cifrar el correo electrónico. | Encriptación | Usuario | Sí | 1 |
| IPSEC | Utilizado por el protocolo de seguridad de Internet (IPsec) para firmar, cifrar y descifrar digitalmente las comunicaciones de red. | Firma y cifrado | Ordenador | No | 1 |
| IPSEC (solicitud sin conexión) | IPsec lo usa para firmar, cifrar y descifrar digitalmente la comunicación de red cuando se proporciona el nombre del sujeto en la solicitud. | Firma y cifrado | Ordenador | No | 1 |
| Autenticación Kerberos | Se usa para autenticar equipos y usuarios de Active Directory. | Firma y cifrado | Ordenador | No | 2 |
| Agente de recuperación de claves | Recupera las claves privadas archivadas en la CA. | Encriptación | Agente de recuperación de claves | No | 2 |
| Firma de respuesta OCSP | Lo usa un respondedor en línea para firmar respuestas a solicitudes de estado de certificado. | Firma | Ordenador | No | 3 |
| Servidor RAS e IAS | Permite que los servidores de acceso remoto y los servidores del Servicio de autenticación de Internet (IAS) autentiquen su identidad en otros equipos. | Firma y cifrado | Ordenador | No | 2 |
| Autoridad de certificación raíz | Se utiliza para demostrar la identidad de la CA raíz. | Firma | CA | No | 1 |
| Router (solicitud sin conexión) | Utilizado por un router cuando se solicita a través de una solicitud SCEP de una CA que posee un certificado de cifrado CEP. | Firma y cifrado | Ordenador | No | 1 |
| Inicio de sesión con tarjeta inteligente | Permite que el titular se autentique mediante una tarjeta inteligente. | Firma y cifrado | Usuario | No | 1 |
| Usuario de tarjeta inteligente | Permite al titular autenticar y proteger el correo electrónico mediante el uso de una tarjeta inteligente. | Firma y cifrado | Usuario | Sí | 1 |
| Autoridad de Certificación Subordinada | Se utiliza para demostrar la identidad de la CA raíz. Lo emite la CA principal o raíz. | Firma | CA | No | 1 |
| Firma de lista de confianza | Permite al titular firmar digitalmente una lista de confianza. | Firma | Usuario | No | 1 |
| Usuario | Lo usan los usuarios para el correo electrónico, EFS y la autenticación de clientes. | Firma y cifrado | Usuario | Sí | 1 |
| Solo firma de usuario | Permite a los usuarios firmar digitalmente los datos. | Firma | Usuario | No | 1 |
| Servidor web | Demuestra la identidad de un servidor web. | Firma y cifrado | Ordenador | No | 1 |
| Autenticación de estación de trabajo | Permite que los equipos cliente autentiquen su identidad en los servidores. | Firma y cifrado | Ordenador | No | 2 |