Compartir a través de

CAPolicy.inf Syntax

CAPolicy.inf es un archivo de configuración que define las extensiones, restricciones y otras opciones de configuración que se aplican a un certificado de CA raíz y todos los certificados emitidos por la CA raíz. El archivo CAPolicy.inf debe instalarse en un servidor host antes de que comience la rutina de instalación de la CA raíz. Cuando se modifican las restricciones de seguridad de una CA raíz, se debe renovar el certificado raíz y se debe instalar un archivo CAPolicy.inf actualizado en el servidor antes de que comience el proceso de renovación.

CAPolicy.inf:

  • Se crea y define manualmente por un administrador

  • Se utiliza durante la creación de certificados de CA raíz y subordinada

  • Se define en la CA de firma en la que firma y emite el certificado (no la CA en la que se concede la solicitud).

Una vez creado el archivo CAPolicy.inf, debe copiarlo en la carpeta %systemroot% del servidor antes de instalar ADCS o renovar el certificado de CA.

CAPolicy.inf permite especificar y configurar una amplia variedad de atributos y opciones de CA. En la sección siguiente se describen todas las opciones para crear un archivo .inf adaptado a sus necesidades específicas.

Estructura de archivos CAPolicy.inf

Los siguientes términos se usan para describir la estructura de archivos .inf:

  • Sección: área del archivo que cubre un grupo lógico de claves. Los nombres de sección de los archivos .inf se identifican entre corchetes. Muchas secciones, pero no todas, se usan para configurar extensiones de certificado.

  • Clave: es el nombre de una entrada y aparece a la izquierda del signo igual.

  • Valor: es el parámetro y aparece a la derecha del signo igual.

En el siguiente ejemplo, [Version] es la sección, Signature es la clave y "$Windows NT$" es el valor.

Ejemplo:

[Version]
Signature="$Windows NT$"

Versión

Identifica el archivo como un archivo .inf. La versión es la única sección necesaria y debe estar al principio del archivo CAPolicy.inf.

PolicyStatementExtension

Enumera las directivas definidas por la organización y si son opcionales u obligatorias. Varios elementos están separados por comas. Los nombres tienen significado en el contexto de una implementación específica o en relación con las aplicaciones personalizadas que comprueban la presencia de estas directivas.

Para cada directiva definida, debe haber una sección que defina la configuración de esa directiva concreta. Para cada directiva, debe proporcionar un identificador de objeto definido por el usuario (OID) y el texto que desee mostrar como la instrucción de directiva o un puntero de dirección URL a la instrucción de directiva. La dirección URL puede tener la forma de una dirección URL HTTP, FTP o LDAP.

Si va a tener texto descriptivo en la instrucción de directiva, las tres líneas siguientes de CAPolicy.inf tendrán el siguiente aspecto:

[InternalPolicy]
OID=1.1.1.1.1.1.1
Notice="Legal policy statement text"

Si va a usar una dirección URL para hospedar la instrucción de directiva de entidad de certificación, las tres líneas siguientes tendrían el siguiente aspecto:

[InternalPolicy]
OID=1.1.1.1.1.1.2
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp

Además, debe tener en cuenta lo siguiente:

  • Se admiten varias direcciones URL y claves de aviso.

  • Se admiten las claves de dirección URL y de aviso en la misma sección de directiva.

  • Las direcciones URL con espacios o texto con espacios deben estar entre comillas. Esto es así para la clave de dirección URL , independientemente de la sección en la que aparezca.

Un ejemplo de varias notificaciones y direcciones URL en una sección de directiva tendría el siguiente aspecto:

[InternalPolicy]
OID=1.1.1.1.1.1.1
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
URL=ftp://ftp.wingtiptoys.com/pki/policies/legalpolicy.asp
Notice="Legal policy statement text"

CRLDistributionPoint

Puede especificar puntos de distribución CRL (CDP) para un certificado de CA raíz en CAPolicy.inf. Después de instalar la CA, puede configurar las direcciones URL de CDP que la CA incluye en cada certificado emitido. El certificado de CA raíz muestra las direcciones URL especificadas en esta sección del archivo CAPolicy.inf.

[CRLDistributionPoint]
URL=http://pki.wingtiptoys.com/cdp/WingtipToysRootCA.crl

Los puntos de distribución de CRL (CDP) admiten:

  • HTTP
  • Direcciones URL de archivo
  • Direcciones URL LDAP
  • Varias direcciones URL

Importante

Los puntos de distribución de CRL (CDP) no admiten direcciones URL HTTPS.

  • Las direcciones URL con espacios deben estar entre comillas.

  • Si no se especifica ninguna dirección URL ( es decir, si la sección [CRLDistributionPoint] existe en el archivo pero está vacía, se omite la extensión de punto de distribución CRL del certificado de CA raíz. Esto es preferible al configurar una CA raíz. Windows no realiza la comprobación de revocación en un certificado de CA raíz, por lo que la extensión CDP es superflua en un certificado de CA raíz.

  • La CA puede publicar en FILE UNC, por ejemplo, en un recurso compartido que representa la carpeta de un sitio web donde un cliente recupera a través de HTTP.

  • Use esta sección solo si va a configurar una CA raíz o renovar el certificado de CA raíz. La CA determina las extensiones de CDP de CA subordinadas.

AuthorityInformationAccess

Puede especificar los puntos de acceso de información de autoridad en CAPolicy.inf para el certificado de CA raíz.

[AuthorityInformationAccess]
URL=http://pki.wingtiptoys.com/Public/myCA.crt

Algunas notas más sobre la sección acceso a la información de autoridad:

  • Se admiten varias direcciones URL.

  • Se admiten direcciones URL HTTP, FTP, LDAP y FILE. No se admiten direcciones URL HTTPS.

  • Use esta sección solo si va a configurar una CA raíz o renovar el certificado de CA raíz. Las extensiones de CA AIA subordinadas vienen determinadas por la CA que emitió el certificado de la CA subordinada.

  • Las direcciones URL con espacios deben estar entre comillas.

  • Si no se especifica ninguna dirección URL, es decir, si la sección [AuthorityInformationAccess] existe en el archivo pero está vacía, la extensión Acceso a la información de autoridad se omite del certificado de CA raíz. Una vez más, esta sería la configuración preferida cuando no hay ninguna autoridad superior a una CA raíz a la que se tendría que hacer referencia mediante un vínculo a su certificado.

certsrv_Server

La sección [certsrv_server] de CAPolicy.inf es opcional. [certsrv_server] se usa para especificar la longitud de la clave de renovación, el período de validez de la renovación y el período de validez de la lista de revocación de certificados (CRL) para una CA que se está renovando o instalando. No se requiere ninguna de las claves de esta sección. Muchas de estas opciones de configuración tienen valores predeterminados suficientes para la mayoría de las necesidades y se pueden omitir en el archivo CAPolicy.inf. Como alternativa, muchas de estas opciones de configuración se pueden cambiar después de instalar la CA.

A continuación se muestra un ejemplo:

[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0

RenewalKeyLength establece el tamaño de clave solo para la renovación. Esto solo se usa cuando se genera un nuevo par de claves durante la renovación del certificado de CA. El tamaño de clave del certificado de CA inicial se establece cuando se instala la CA.

Al renovar un certificado de CA con un nuevo par de claves, la longitud de la clave se puede aumentar o disminuir. Por ejemplo, si ha establecido un tamaño de clave de CA raíz de 4096 bytes o superior y, a continuación, descubre que tiene aplicaciones Java o dispositivos de red que solo pueden admitir tamaños de clave de 2048 bytes. Tanto si aumenta o disminuye el tamaño, debe volver a emitir todos los certificados emitidos por esa CA.

RenewalValidityPeriod y RenewalValidityPeriodUnits establecen la vigencia del nuevo certificado de CA raíz al renovar el certificado de CA raíz anterior. Solo se aplica a una CA raíz. La duración del certificado de una CA subordinada viene determinada por su superior. RenewalValidityPeriod puede tener los siguientes valores: Horas, Días, Semanas, Meses y Años.

CRLPeriod y CRLPeriodUnits establecen el período de validez de la CRL base. CRLPeriod puede tener los siguientes valores: Horas, Días, Semanas, Meses y Años.

CRLDeltaPeriod y CRLDeltaPeriodUnits establecen el período de validez de la CRL delta. CRLDeltaPeriod puede tener los siguientes valores: Horas, Días, Semanas, Meses y Años.

Cada una de estas opciones se puede configurar una vez instalada la CA:

Certutil -setreg CACRLPeriod Weeks
Certutil -setreg CACRLPeriodUnits 1
Certutil -setreg CACRLDeltaPeriod Days
Certutil -setreg CACRLDeltaPeriodUnits 1

No olvide reiniciar Servicios de certificados de Active Directory para que los cambios surtan efecto.

LoadDefaultTemplates solo se aplica durante la instalación de una CA empresarial. Esta configuración, ya sea True o False (o 1 o 0), determina si la CA está configurada con cualquiera de las plantillas predeterminadas.

En una instalación predeterminada de la ENTIDAD de CA, se agrega un subconjunto de las plantillas de certificado predeterminadas a la carpeta Plantillas de certificado en el complemento Entidad de certificación. Esto significa que tan pronto como el servicio de AD CS se inicie después de que el rol se haya instalado, un usuario o equipo con permisos suficientes puede inscribirse inmediatamente para un certificado.

Es posible que no quiera emitir ningún certificado inmediatamente después de instalar una CA, por lo que puede usar la configuración LoadDefaultTemplates para evitar que las plantillas predeterminadas se agreguen a la CA empresarial. Si no hay ninguna plantilla configurada en la CA, no puede emitir ningún certificado.

AlternateSignatureAlgorithm configura la CA para admitir el formato de firma PKCS#1 V2.1 para las solicitudes de certificado y certificado de CA. Cuando se establece en 1 en una CA raíz, el certificado de CA incluirá el formato de firma PKCS#1 V2.1. Cuando se establece en una CA subordinada, la CA subordinada creará una solicitud de certificado que incluye el formato de firma PKCS#1 V2.1.

ForceUTF8 cambia la codificación predeterminada de nombres distintivos relativos (RDN) en los nombres distintivos del firmante y del emisor a UTF-8. Solo se ven afectados los RDN que admiten UTF-8, como los definidos como tipos de cadena de directorio por una RFC. Por ejemplo, el RDN para componente de dominio (DC) admite la codificación como IA5 o UTF-8, mientras que el RDN de país (C) solo admite la codificación como una cadena imprimible. Por lo tanto, la directiva ForceUTF8 afectará a un RDN de DC, pero no afectará a un RDN de C.

EnableKeyCounting configura la CA para incrementar un contador cada vez que se usa la clave de firma de la CA. No habilite esta configuración a menos que tenga un módulo de seguridad de hardware (HSM) y un proveedor de servicios criptográficos (CSP) asociado que admita el recuento de claves. El recuento de claves no es compatible con el CSP seguro de Microsoft ni con el proveedor de almacenamiento de claves de software (KSP) de Microsoft.

Creae el archivo CAPolicy.inf

Antes de instalar AD CS, configure el archivo CAPolicy.inf con una configuración específica para la implementación.

Requisito previo: Para usar esta herramienta, debe ser miembro del grupo de administradores.

  1. En el equipo en el que planea instalar AD CS, abra Windows PowerShell, escriba notepad.exe y presione ENTRAR.

  2. Escriba el siguiente texto:

    [Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
[AuthorityInformationAccess]

  3. Seleccione Archivo y haga clic en Guardar como.

  4. Vaya a la carpeta %systemroot%.

  5. Asegúrese de que las siguientes opciones están establecidas:

    • El Nombre de archivo está establecido en CAPolicy.inf

    • Tipo esté establecido en Todos los archivos

    • Codificación sea ANSI

  6. Seleccione Guardar.

  7. Cuando se le pregunte si desea sobrescribir el archivo, seleccione .

    Guardar como ubicación para el archivo CAPolicy.inf

    Precaución

    Asegúrese de guardar el archivo CAPolicy.inf con la extensión inf. Si no escribes específicamente .inf al final de un nombre de archivo y seleccionas las opciones de la manera descrita, el archivo se guardará como un archivo de texto y no se usará durante la instalación de la entidad de certificación.

  8. Cierre el Bloc de notas.

Importante

Puede ver que en el archivo CAPolicy.inf hay una línea que especifica la dirección URL https://pki.corp.contoso.com/pki/cps.txt. La sección Internal Policy del archivo CAPolicy.inf se muestra como ejemplo de cómo se especificaría la ubicación de una orden de prácticas de certificación (CPS). En esta guía, no se le indica que cree la instrucción de práctica de certificado (CPS).