Compartir a través de


Renovación de la entidad de certificación

Servicios de certificados admite la renovación de una entidad de certificación (CA). La renovación es la emisión de un nuevo certificado para que la ENTIDAD de certificación extienda la vida de la entidad de certificación más allá de la fecha de finalización de su certificado original. Puede renovar una ENTIDAD de certificación como una tarea dentro del complemento MMC de la entidad de certificación o mediante la herramienta Certutil.exe (con el comando -renewCert ).

Cada renovación da como resultado un nuevo certificado de ENTIDAD de certificación; Sin embargo, el administrador puede generar un nuevo par de claves pública o privada o reutilizar el par de claves pública o privada existente para el certificado de entidad de certificación. Para la coherencia e integridad, los certificados de ENTIDAD de certificación y las listas de revocación de certificados (CRL) emitidos por la ENTIDAD de certificación antes de que su renovación esté disponible después de que se haya renovado la ENTIDAD de certificación. Para que estén disponibles, Certificate Services mantiene un índice de certificados de ENTIDAD de certificación, CRL y claves.

Los índices y los nombres de sufijo de los certificados de ENTIDAD de certificación y las CRL durante varias operaciones de renovación de CA son los siguientes.

Operación Índice de certificado de entidad de certificación Sufijo de nombre de archivo de certificado de entidad de certificación CRL e índice de clave Sufijo CRL y nombre de contenedor de claves
Instalación de ca original 0 "" 0 ""
Renovación con nueva clave 1 "(1)" 1 "(1)"
Clave de reutilización de renovación 2 "(2)" 1 "(1)"
Clave de reutilización de renovación 3 "(3)" 1 "(1)"
Renovación con nueva clave 4 "(4)" 4 "(4)"
Clave de reutilización de renovación 5 "(5)" 4 "(4)"
Renovación con nueva clave 6 "(6)" 6 "(6)"
Clave de reutilización de renovación 7 "(7)" 6 "(6)"

 

Cuando se instala una CA, el índice del certificado es cero y el sufijo de certificado es "" (una cadena vacía). Cada vez que se renueva el certificado (independientemente de si se reutilizan las claves), el índice del certificado se incrementa en uno y el sufijo de nombre de archivo de certificado se convierte en una cadena del formato "(n)", donde n representa el número de veces que se ha renovado el certificado de ca. Después de la primera renovación, el índice de certificado es 1 y el sufijo de nombre de archivo de certificado es "(1)". Después de la segunda renovación, el índice del certificado es 2 y el sufijo de nombre de archivo de certificado es "(2)", etc.

Aunque el índice y el sufijo del certificado de entidad de certificación se incrementan en uno cada vez que se renueva la ENTIDAD de certificación, los índices CRL y clave y los sufijos de nombre de archivo se establecen en el índice del certificado de entidad de certificación solo si el proceso de renovación incluye un nuevo par de claves pública y privada. Si no es así, los valores de estos índices y sufijos siguen siendo los mismos que para el último índice. Durante la renovación, un administrador especifica si se genera un nuevo par de claves o se usa el par de claves existente. (En el complemento MMC de la entidad de certificación, una opción en la interfaz de usuario especifica un par de claves nuevo o existente; en la herramienta Certutil.exe, el comando certutil -renewCert renueva la ENTIDAD de certificación con un nuevo par de claves, mientras que el comando certutil -renewCert ReuseKeys renueva la ENTIDAD de certificación con el par de claves existente).

El índice CRL está vinculado directamente al índice de clave, que se establece en el índice de certificado de ENTIDAD de certificación solo cuando se usa un nuevo par de claves para la renovación. Después de la primera renovación (que usó un nuevo par de claves), el índice de la CRL y la clave se establece en 1, y el sufijo CRL y nombre del contenedor de claves es "(1)". Sin embargo, después de la segunda renovación, el índice de la CRL y la clave permanecen 1, y el sufijo CRL y nombre del contenedor de claves también permanecen "(1)"; esto se debe a que la segunda renovación usó el par de claves existente y solo se emite una CRL para cada par de claves de CA.

Puede recuperar los certificados de CA indexados y las CRL llamando al método GetCertificateProperty (en las interfaces ICertServerExit e ICertServerPolicy ). Al recuperar determinadas propiedades relacionadas con el certificado de entidad de certificación o crL, puede anexar el índice de base cero del certificado de entidad de certificación a los nombres de propiedad. Por ejemplo, para recuperar el índice CRL que corresponde al tercer certificado de la ENTIDAD de certificación, pase la propiedad "CRLIndex.2" a ICertServerPolicy::GetCertificateProperty; para la tabla, el valor de propiedad "CRLIndex.2" recuperado sería 1. Se puede usar una propiedad denominada "CertCount" para determinar el número de veces que la ENTIDAD de certificación ha emitido un certificado de CA.

Los certificados de entidad de certificación y las CRL contienen una extensión que proporciona información sobre el certificado y el índice de clave. La extensión se define en Wincrypt.h como szOID_CERTSRV_CA_VERSION con un valor de "1.3.6.1.4.1.311.21.1". Los datos de extensión son un valor DWORD (codificado como X509_INTEGER en la extensión); los 16 bits bajos son el índice de certificado y los 16 bits altos son el índice de clave.

La instalación inicial de una ENTIDAD de certificación genera un índice de certificado de cero y un índice de clave de cero. La renovación de un certificado de entidad de certificación hará que se incremente el índice de certificado. Si la clave se reutiliza en la renovación, el índice de clave será el mismo que el índice de clave anterior. Si la clave no se reutiliza, el índice de clave coincidirá con el nuevo índice de certificado.

ICertServerPolicy::GetCertificateProperty

ICertServerExit::GetCertificateProperty