¿Cuál es el servicio de rol de entidad de certificación?
En este artículo se proporciona información sobre el servicio de rol entidad de certificación para servicios de certificados de Active Directory cuando se implementa en el sistema operativo Windows Server.
Una entidad de certificación (CA) se encarga de avalar la identidad de usuarios, equipos y organizaciones. Las CA autentican una entidad y responden por ella emitiendo un certificado firmado digitalmente. Asimismo, administran, revocan y renuevan certificados.
Una entidad de certificación puede ser:
- Una organización que acepta la identidad de un usuario final.
- Un servidor que la organización usa para emitir y administrar certificados
Si se instala el servicio de rol Entidad de certificación de Servicios de certificados de Active Directory (AD CS), el servidor de Windows se podrá configurar para las funciones de CA.
Descripción de los tipos de entidad de certificación
Windows Server admite cuatro tipos diferentes de CA:
- Entidad de certificación raíz de empresa.
- Entidad de certificación subordinada de empresa.
- Entidad de certificación raíz independiente.
- CA subordinada independiente.
Entidades de certificación empresariales e independientes
LasCA empresariales están integradas en Servicios de dominio de Active Directory (AD DS). Publican certificados y listas de revocación de certificados (CRL) en AD DS. Las CA empresariales usan la información almacenada en AD DS, incluidas las cuentas de usuario y los grupos de seguridad, para aprobar o denegar las solicitudes de certificados. Estas CA empresariales usan plantillas de certificado. Cuando se emite un certificado, las CA empresariales usan la información de la plantilla de certificado para generar un certificado con los atributos apropiados para ese tipo de certificado.
Recurre a las CA empresariales para emitir certificados en caso de que quieras que la aprobación de certificados y la inscripción de certificados de usuario se produzcan de forma automatizada. Estas características solo están disponibles si la infraestructura de CA está integrada en Active Directory. Además, las CA empresariales son las únicas que pueden emitir certificados que permiten los inicios de sesión de tarjeta inteligente, dado que este proceso requiere que los certificados de tarjeta inteligente estén asignados automáticamente a las cuentas de usuario en Active Directory.
Las CA independientes no requieren AD DS y no usan plantillas de certificado. Si usas CA independientes, toda la información sobre el tipo de certificado solicitado deberá estar incluida en la solicitud de certificado. Todas las solicitudes de certificado que se envían a CA independientes se ponen de forma predeterminada en una cola pendiente hasta que un administrador de CA las aprueba. Puede configurar CA independientes para emitir certificados automáticamente a petición, pero es menos seguro y no se recomienda porque las solicitudes no se autentican.
Debe usar CA independientes para emitir certificados cuando use un servicio de directorio que no sea de Microsoft o cuando AD DS no esté disponible. Puede usar entidades de certificación independientes y empresariales en su organización.
Entidades de certificación raíz y subordinada
Las CA empresariales e independientes se pueden configurar como CA raíz o como CA subordinadas. Las CA subordinadas se pueden configurar además como CA intermedias (también denominadas CA de directiva) o CA emisoras.
Una CA raíz es la CA que se encuentra en la parte superior de una jerarquía de certificación, donde finalizan todas las cadenas de certificados. Cuando el certificado de la CA raíz está presente en el cliente, la CA raíz es de confianza incondicional. Es necesario designar una CA raíz, tanto si se usan CA empresariales como independientes.
Dado que la CA raíz es la CA superior en la jerarquía de certificación, el campo Asunto del certificado tiene el mismo valor que el campo Emisor. De igual modo, como la cadena de certificados acaba cuando llega a una CA autofirmada, todas las CA autofirmadas son CA raíz. La decisión de designar una CA como CA raíz de confianza se puede tomar a nivel empresarial, o bien hacerlo localmente un administrador de TI individual.
Las CA raíz sirven de base para el modelo de confianza de entidades de certificación. Así, garantiza que la clave pública del sujeto coincida con la información de identidad reflejada en el campo Sujeto de los certificados que emite. Las diferentes CA también pueden comprobar esta relación usando diferentes estándares; por lo tanto, es importante entender las políticas y procedimientos de la autoridad de certificación raíz antes de elegir confiar en esa autoridad para verificar las claves públicas.
La CA raíz es la CA más importante de la jerarquía. Si la CA raíz está en riesgo, se considerará que también lo están todas las CA de la jerarquía y todos los certificados emitidos. Para mejorar la seguridad de la CA raíz, mantenla desconectada de la red y usa CA subordinadas para emitir certificados a otras CA subordinadas o usuarios finales. Una CA raíz desconectada también se conoce como CA raíz sin conexión.
Las CA que no son CA raíz se consideran subordinadas. La primera CA subordinada de una jerarquía obtiene su certificado de CA de la CA raíz. Esta primera CA subordinada puede usar esta clave para emitir certificados que confirmen la integridad de otra CA subordinada. Esta CA subordinada con un nivel superior se conoce como CA intermedia. Una CA intermedia está subordinada a una CA raíz, pero ostenta una posición de entidad de certificación superior ante una o varias CA subordinadas.
A menudo, las CA intermedias se denominan CA de directiva, porque se suelen usar para separar tipos de certificado que pueden distinguirse mediante directivas. Por ejemplo, la separación mediante directiva incluye el nivel de control que una CA reporta o la ubicación geográfica de la CA para, así, poder distinguir diferentes poblaciones de entidad final. Una CA de directiva puede tener un estado conectado o desconectado.
Claves privadas de entidad de certificación
La clave privada forma parte de la identidad de la CA y, como tal, se debe proteger de posibles riesgos. Muchas organizaciones protegen las claves privadas de CA con un módulo de seguridad de hardware (HSM). Si no se usa un HSM, la clave privada se almacena en el equipo de ca.
Las CA sin conexión deben almacenarse en ubicaciones seguras y no estar conectadas a la red. Las CA emisoras usan sus claves privadas cuando emiten certificados, con lo cual la clave privada debe poder estar accesible (esto es, en línea) mientras la CA esté operativa. En cualquier caso, la CA y su clave privada correspondiente deben estar protegidas físicamente.
Módulos de seguridad de hardware
El uso de un módulo de seguridad de hardware (HSM) puede mejorar la seguridad de su CA y de su infraestructura de clave privada (PKI).
Un HSM es un dispositivo de hardware dedicado que se administra de forma independiente con respecto al sistema operativo. Los HSM proporcionan un almacén de hardware seguro para las claves de CA, además de un procesador criptográfico dedicado para acelerar las operaciones de firma y cifrado. El sistema operativo usa el HSM mediante interfaces de CryptoAPI, y el HSM funciona como un dispositivo de proveedor de servicios criptográficos (CSP).
Normalmente, los HSM son adaptadores PCI, pero también están disponibles como dispositivos basados en red, dispositivos serie y dispositivos USB. Si una organización tiene previsto implementar dos o más CA, se puede instalar un único HSM de red y compartirlo entre varias CA.
Los HSM deben instalarse y configurarse antes de configurar las CA con claves que deban almacenarse en el HSM.