Qué Es El Complemento Certificados

Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz

Qu es el complemento Certificados?

El complemento Certificados es la herramienta principal para que los usuarios y administradores
vean y administren los certificados para un usuario, un equipo o un servicio.
El complemento Certificados permite al usuario solicitar, renovar, buscar, ver, mover, copiar y
eliminar certificados.
Por qu usar el complemento Certificados
El complemento Certificados es una herramienta verstil para administrar certificados para un
usuario, un equipo o un servicio. Se puede usar para saber qu certificados hay almacenados en
un equipo, dnde estn almacenados o las opciones de configuracin para dichos certificados.
Adems, con el complemento Certificados, el usuario puede iniciar los asistentes que simplifican
las tareas de:

Inscripcin para certificados nuevos

Renovacin de certificados existentes

Bsqueda de certificados

Importacin de certificados

Exportacin o copia de seguridad de certificados
En la mayora de los casos, los usuarios no tienen que administrar personalmente sus certificados
y sus almacenes de certificados. Los administradores pueden llevar a cabo esta tarea mediante la
configuracin de directivas y con programas que usen certificados.
Los administradores son los principales usuarios del complemento Certificados y, como tales,
pueden realizar numerosas tareas de administracin de certificados en sus almacenes de
certificados personales, as como en los almacenes de certificados de cualquier equipo o servicio
que puedan administrar. Los usuarios solo pueden administrar certificados de su almacn personal.
Para obtener informacin acerca de los certificados y cmo usar el complemento Certificados, vea
los siguientes temas:

Introduccin a los certificados

Agregar el complemento Certificados a MMC

Administrar certificados

Solucionar problemas relacionados con los certificados

Recursos para certificados
Introduccin a los certificados


Se aplica a: Windows 7, Windows Server 2008 R2
Un certificado de clave pblica, por lo general conocido simplemente como un "certificado", es una
declaracin firmada digitalmente que enlaza el valor de una clave pblica con la identidad de una
persona, un dispositivo o un servicio que posee la clave privada correspondiente. Una de las
ventajas principales de los certificados es que los host ya no tienen que mantener ningn conjunto
de contraseas para sujetos individuales que necesiten como requisito previo autenticarse para
tener acceso. Por el contrario, el host simplemente establece la confianza en un emisor de
certificados.
La mayor parte de los certificados de uso comn se basan en el estndar de certificados X.509 v3.
Normalmente, los certificados contienen la informacin siguiente:

Valor de la clave pblica del sujeto

Informacin del identificador del sujeto, como el nombre y la direccin de correo electrnico.

Perodo de validez (el tiempo durante el que el certificado se considera vlido).

Informacin del identificador del emisor.

La firma digital del emisor, que da fe de la validez del enlace entre la clave pblica del sujeto
y la informacin del identificador de sujeto.
Un certificado slo es vlido para el perodo especificado en ste; cada certificado contiene las
fechas Vlido desde y Vlido hasta, que marcan el lmite del perodo de validez. Una vez que el
perodo de validez del certificado ha transcurrido, el sujeto del certificado que ha expirado debe
solicitar un certificado nuevo.

Uso de certificados

Claves pblicas y privadas

Formatos de archivos de certificado
Uso de certificados
Los certificados se pueden usar para lo siguiente:

Autenticacin, que comprueba la identidad de alguien o de algo.

Privacidad, que garantiza que la informacin est disponible solo para los destinatarios
deseados.

Cifrado, que oculta informacin de forma que los lectores no autorizados no puedan
descifrarla.

Firmas digitales, que facilitan la integridad y la obligatoriedad de aceptar los mensajes.


Estos servicios pueden ser importantes para la seguridad de las comunicaciones. Adems, muchas
aplicaciones usan certificados, como las aplicaciones de correo electrnico y los exploradores web.
Autenticacin
La autenticacin es fundamental para que la comunicacin sea ms segura. Los usuarios deben
poder demostrar su identidad a aqullos con los que se comunican y deben ser capaces de
comprobar la identidad de los otros. La autenticacin de la identidad en una red es compleja
porque las partes que se comunican no se conocen fsicamente. Esto puede permitir que una
persona desconocida intercepte mensajes o se haga pasar por otra persona o entidad.
Privacidad
Por lo tanto, si se transmite informacin confidencial entre dos dispositivos en cualquier tipo de red,
es recomendable que los usuarios usen alguna clase de cifrado para mantener la privacidad de sus
datos.
Cifrado
El cifrado se puede entender como el hecho de guardar algo valioso dentro de una caja fuerte
cerrada con llave. Por el contrario, el descifrado se puede comparar con abrir la caja y recuperar el
elemento valioso. En los equipos, los datos confidenciales que adquieren la forma de mensajes de
correo electrnico, archivos en un disco y archivos que se transmiten a travs de la red, se pueden
cifrar mediante una clave. Los datos cifrados y la clave usada para cifrar los datos son ininteligibles.
Para obtener ms informacin acerca del cifrado y los certificados, consulte Recursos para
certificados.
Firmas digitales
Una firma digital es una forma de asegurar la integridad y el origen de los datos. Proporciona una
evidencia de que los datos no se han modificado desde que se firmaron y confirma la identidad de
la persona o entidad que los firm. Esto posibilita las importantes caractersticas de seguridad de
integridad y ausencia de rechazo, que resultan esenciales para asegurar las transacciones de
comercio electrnico.
Normalmente, las firmas digitales se usan cuando los datos se distribuyen en formato de texto
simple o sin cifrar. En estos casos, aunque la confidencialidad del propio mensaje puede no hacer
preciso el cifrado, podra haber un motivo convincente para asegurar que los datos se encuentran
en su formato original y no han sido enviados por un impostor porque, en un entorno informtico
distribuido, cualquier persona en la red con los recursos adecuados puede leer o modificar el texto
simple, est autorizada o no.
Claves pblicas y privadas
En el cifrado de claves pblicas, se usan dos claves diferentes para cifrar y descifrar la informacin.
La clave privada solo la conoce su propietario, mientras que la clave pblica se puede revelar y
poner a disposicin de otras entidades en la red.
Estas dos claves son distintas, aunque complementarias por lo que respecta a su funcin. Por
ejemplo, una clave pblica del usuario se puede publicar en un certificado de una carpeta de modo
que otras personas de la organizacin puedan obtener acceso a ella. El remitente de un mensaje
puede recuperar el certificado del usuario de los Servicios de dominio de Active Directory, obtener
la clave pblica del certificado y, a continuacin, cifrar el mensaje con la clave pblica del
destinatario. La informacin cifrada con la clave pblica slo se puede descifrar con la clave


privada correspondiente del conjunto, que permanece con su propietario, que es el destinatario del
mensaje.
Formatos de archivos de certificado
Las operaciones de importacin y exportacin de certificados admiten cuatro formatos de archivo.
Elija el formato que cumpla sus requisitos especficos.

Intercambio de informacin personal (PKCS #12)

El formato Intercambio de informacin personal (PFX, tambin denominado PKCS #12)
admite el almacenamiento seguro de certificados, claves privadas y todos los certificados en
una ruta de certificacin.

El formato PKCS #12 es el nico formato de archivo que se puede usar para exportar un
certificado y su clave privada.

Estndar de sintaxis de cifrado de mensajes (PKCS #7)

E l formato PKCS #7 admite el almacenamiento de certificados y todos los certificados en la
ruta de certificacin.

DER binario codificado X.509

El formato de reglas de codificacin distinguible (DER) admite el almacenamiento de un
certificado nico. Este formato no admite el almacenamiento de la clave privada o la ruta de
certificacin.

X.509 codificado base 64

El formato Base64 admite el almacenamiento de un certificado nico. Este formato no
admite el almacenamiento de la clave privada o la ruta de certificacin.
Agregar el complemento Certificados a MMC
Puede usar el complemento Certificados para administrar certificados para un usuario, un equipo o
una cuenta de servicio. Para cambiar entre la administracin de certificados para la cuenta de
usuario, un equipo o un servicio, debe agregar instancias independientes del complemento
Certificados a la consola.

Para una cuenta de usuario

Para una cuenta de equipo


Para un servicio
Usuarios o Administradores locales son las pertenencias a grupos mnimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para agregar el complemento Certificados a MMC para una cuenta de usuario
1. Haga clic en Inicio, escriba mmc en el cuadro Buscar programas y archivos y, a
continuacin, presione ENTRAR.
2. En el men Archivo, haga clic en Agregar o quitar complemento.
3. En Complementos disponibles, haga doble clic en Certificados y, a continuacin:

Si ha iniciado una sesin como administrador, haga clic en Mi cuenta de usuario y,
a continuacin, en Finalizar.

Si ha iniciado sesin como usuario, se abrir automticamente el complemento
Certificados.
4. Si no tiene ms complementos que agregar a la consola, haga clic en Aceptar.
5. Para guardar esta consola, en el men Archivo, haga clic en Guardar.
Consideraciones adicionales

Un usuario o un administrador puede administrar los certificados de usuario.
Administradores locales es la pertenencia al grupo mnima necesaria para completar este
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
Para agregar el complemento Certificados a MMC para una cuenta de equipo
3. En Complementos disponibles, haga doble clic en Certificados.
4. Seleccione Cuenta de equipo y, a continuacin, haga clic en Siguiente.
5. Realice una de estas acciones:

Para administrar certificados para el equipo local, haga clic en Equipo local y, a
continuacin, en Finalizar.


Para administrar certificados para un equipo remoto, haga clic en Otro equipo y, a
continuacin, escriba el nombre del equipo, o haga clic en Examinar para
seleccionar el nombre del equipo y, a continuacin, haga clic en Finalizar.

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el
equipo local o tener delegada la autoridad correspondiente. Si el equipo est unido a un
dominio, los miembros del grupo Administradores de dominio podran llevar a cabo este
procedimiento. Como prctica recomendada de seguridad, considere la posibilidad de usar
la opcin Ejecutar como para llevar a cabo este procedimiento.

Para administrar certificados para otro equipo, puede crear otra instancia del complemento
Certificados o hacer clic con el botn secundario en Certificados (Nombre del equipo) y, a
continuacin, en Conectarse a otro equipo.
Administradores locales es la pertenencia al grupo mnima necesaria para completar este
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
Para agregar el complemento Certificados a MMC para un servicio
3. En Complementos disponibles, haga doble clic en Certificados.
4. Seleccione Cuenta de servicio y, a continuacin, haga clic en Siguiente.

Para administrar certificados para servicios en el equipo local, haga clic en Equipo
local y, despus, en Siguiente.

Para administrar certificados para un servicio en un equipo remoto, haga clic en Otro
equipo y, a continuacin, escriba el nombre del equipo, o haga clic en Examinar
para seleccionar el nombre del equipo y, a continuacin, haga clic en Siguiente.
6. Seleccione el servicio para el que administra los certificados.
7. Haga clic en Finalizar y, despus, en Cerrar.



Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el
equipo local o tener delegada la autoridad correspondiente. Si el equipo est unido a un
dominio, los miembros del grupo Administradores de dominio podran llevar a cabo este
procedimiento. Como prctica recomendada de seguridad, considere la posibilidad de usar
la opcin Ejecutar como para llevar a cabo este procedimiento.

Para administrar certificados de un servicio en otro equipo, puede crear otra instancia del
complemento Certificados o hacer clic con el botn secundario en Certificados - Servicio
(Nombre de servicio) en Nombre de equipo y, a continuacin, hacer clic en Conectarse a
otro equipo.
Administrar certificados
Los certificados los suele emitir un equipo, un usuario o un servicio concretos con un propsito
especfico, con determinada duracin y, a menudo, para destinatarios concretos. Por consiguiente,
en ocasiones puede que necesite obtener certificados adicionales, renovar los existentes, examinar
o modificar las propiedades de un certificado o mover los certificados. Aunque muchas de estas
tareas se pueden realizar para un solo usuario, equipo o servicio, se recomienda que el
administrador realice algunas otras tareas automticamente desde un servidor. En las siguientes
secciones se describen algunas tareas comunes de administracin de certificados y el
procedimiento para completarlas.

Obtener un certificado

Renovar un certificado

Ver certificados

Modificar las propiedades de un certificado

Eliminar un certificado

Buscar certificados

Mover certificados

Automatizar la administracin de certificados


Para realizar una inscripcin de un certificado, la solicitud del certificado la debe hacer el usuario, el
equipo o el servicio que obtiene acceso a la clave privada asociada a la clave pblica que formar
parte del certificado. Segn las directivas de clave pblica establecidas por el administrador del
sistema, los usuarios, los equipos y los servicios pueden realizar una inscripcin automtica de
certificados sin la intervencin del usuario.
Adems, los usuarios pueden obtener certificados mediante lo siguiente:

Inicio de la inscripcin automtica desde el complemento Certificados.

Solicitud de certificados con el Asistente para solicitud de certificados.

Solicitud de un certificado a travs de web.
Adems, los administradores pueden solicitar certificados de usuario con tarjeta inteligente y
certificados de tarjeta inteligente para iniciar una sesin en el sistema en nombre de otros usuarios
con su certificado de agente de inscripcin.
En los siguientes temas se incluyen los procedimientos para la obtencin de certificados:

Realizar una inscripcin automtica de un certificado desde el complemento Certificados

Solicitar certificados mediante el Asistente para solicitud de certificados

Solicitar un certificado a travs de web

Realizar inscripciones de certificados en nombre de otros usuarios
Solicitar certificados mediante el Asistente para solicitud de certificados
Cuando solicite certificados de una entidad de certificacin empresarial de Windows, podr usar el
Asistente para solicitud de certificados que se encuentra en el complemento Certificados. Este
asistente le gua en los siguientes pasos:

Seleccionar la entidad de certificacin a la que enviar la solicitud.

Seleccionar la plantilla de certificados apropiada que se usar para el nuevo certificado.

Las plantillas de certificados son configuraciones predefinidas que proporcionan valores
comunes para la solicitud de certificados. Las plantillas de certificados describen el
propsito para el que se va a usar el certificado solicitado. La lista de las plantillas de
certificados disponible est determinada por los tipos de certificados para cuya emisin est
configurada la CA y si el administrador del sistema le ha concedido los derechos de acceso
a la plantilla de certificados.


(Opcional) Usar Opciones avanzadas en el Asistente para solicitud de certificados para
seleccionar el proveedor de servicios de cifrado (CSP) para el par de claves asociado a la
solicitud de certificados.
Para obtener instrucciones acerca de cmo abrir y usar el Asistente para solicitud de certificados,
consulte Solicitar un certificado.
Tambin puede usar el Asistente para solicitud de certificados con el fin de solicitar un certificado
nuevo de una CA de empresa mediante un par de claves existente que ya este asociado a otro
certificado.
Referencias adicionales

Solicitar un certificado

Crear una solicitud de certificado personalizada

Guardar una solicitud de certificado en un archivo

Firmar solicitudes de certificado

Solicitar un certificado
Puede usar el complemento Certificados para solicitar certificados. Puede solicitar cualquier tipo de
certificado disponible y preconfigurado por el administrador de la entidad de certificacin (CA) que
va a procesar la solicitud de certificado.
Para solicitar un certificado
1. Abra el complemento Certificados para un usuario o un equipo.
2. En el rbol de consola, haga clic en Certificados: usuario actual o en Certificados
(equipo local). Seleccione el almacn de certificados Personal.
3. En el men Accin, seleccione Todas las tareas y, a continuacin, haga clic en Solicitar
un nuevo certificado para iniciar el asistente para inscripcin de certificados. Haga clic en
Siguiente.
4. Haga clic en los tipos de certificado que desee solicitar.
5. Puede hacer clic en Detalles para revisar informacin adicional acerca de cada certificado.
Si aparece un smbolo de precaucin debajo del certificado, puede que necesite
proporcionar informacin adicional antes de solicitar ese tipo de certificado. Haga clic en el
mensaje Se necesita ms informacin para inscribir este certificado. Haga clic aqu


para configurar el mensaje y proporcione la informacin solicitada (por ejemplo, un nombre
de sujeto o la ubicacin de un certificado de firma vlido).
6. Para terminar, haga clic en Inscribir.

Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio slo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.

Para abrir el complemento Certificados, consulte Agregar el complemento Certificados a
MMC.

Solamente puede usar este procedimiento para solicitar certificados de una CA empresarial.
Para solicitar certificados de una CA autnoma, tiene que solicitar los certificados a travs
de pginas web. La pgina web para una CA basada en Windows se encuentra en
http://servername/certsrv, donde servername es el nombre del servidor que hospeda la CA.

Si el tipo de certificado solicitado debe aprobarse antes de emitirse, tendr que recuperar el
certificado completado a travs de pginas web.

Para solicitar un certificado Estndar de firma digital (DSS) de una CA de empresa, debe
seleccionar la plantilla de certificado Slo firma de usuario en el Asistente para solicitud de
certificados.

Nombres de sujeto


El titular de la clave privada asociada a un certificado se conoce como sujeto. Puede ser un
usuario, un programa o prcticamente cualquier objeto, equipo o servicio.

Como el nombre del sujeto puede variar en gran medida segn quin o qu sea, ser
necesaria cierta flexibilidad a la hora de proporcionarle un nombre en la solicitud de
certificado. Windows puede crear el nombre del sujeto automticamente a partir de la
informacin del sujeto almacenada en los Servicios de dominio de Active Directory (AD DS)
o lo puede suministrar manualmente el mismo sujeto (por ejemplo, mediante el uso de
pginas web de inscripcin de certificados para crear y enviar una solicitud de certificado.

Las entidades de certificacin (CA) incluyen el complemento Plantillas de certificado para
configurar las plantillas de certificados. Use la ficha Nombre de sujeto en la hoja de
propiedades de la plantilla del certificado para configurar las opciones de nombre del sujeto.

Proporcionado por el solicitante

Cuando se selecciona la opcin Proporcionado por el solicitante, la opcin Usar
informacin de sujeto de certificados existentes para las solicitudes de renovacin de
inscripcin automtica se encuentra disponible para simplificar la tarea de agregar el
nombre del sujeto a la solicitud de renovacin del certificado y para permitir que los


certificados generados por los equipos se puedan renovar automticamente. La informacin
del sujeto a partir de certificados existentes no se usa para la renovacin automtica de
certificados de usuario.

La opcin Usar informacin de sujeto de certificados existentes para las solicitudes de
renovacin de inscripcin automtica permite que el cliente de inscripcin de certificados
lea la informacin sobre el nombre del sujeto y el nombre alternativo del sujeto a partir de un
certificado existente generado por un equipo basado en la misma plantilla de certificado
cuando se crean automticamente solicitudes de renovacin o se usa el complemento
Certificados. Esta opcin se aplica a los certificados generados por equipos que han
caducado, han sido revocados o se encuentran dentro del perodo de renovacin.

Creacin a partir de AD DS

Cuando se selecciona la opcin Construir a partir de esta informacin de Active
Directory, se pueden configurar las siguientes opciones adicionales:

Formato de nombre de sujeto
Valor Descripcin
Nombre comn La CA crea el nombre del sujeto a partir del nombre comn (CN)
obtenido de AD DS. Este nombre debe ser nico en el dominio,
aunque puede no ser nico en una empresa.
Nombre completo (DN) La CA crea el nombre del sujeto a partir del nombre completo
obtenido de AD DS. De este modo se garantiza que el nombre sea
nico en una empresa.
Incluir el nombre de
correo electrnico en el
nombre del sujeto.
Si el campo del nombre del correo electrnico se rellena en el
objeto de usuario de Active Directory, este nombre de correo
electrnico se incluye con un nombre comn o con un nombre
completo como parte del nombre del sujeto.
Ninguno No se necesita ningn valor de nombre para este certificado.

Incluir esta informacin en el nombre de sujeto alternativo
Valor Descripcin
Nombre de correo
electrnico
Si el campo de nombre de correo electrnico se rellena en el objeto de
usuario de Active Directory, se usar dicho nombre de correo
electrnico.
Nombre DNS Es el nombre de dominio completo (FQDN) del sujeto que solicit el
certificado. Es el nombre usado con ms frecuencia en los certificados


de equipo.
Nombre principal del
usuario (UPN)
El nombre principal del usuario forma parte del objeto de usuario de
Active Directory y es el que se usa.
Nombre principal de
servicio (SPN)
El nombre principal de servicio forma parte del objeto de usuario de
Extensiones de certificado
La ficha Extensiones permite al administrador definir directivas de aplicacin especficas,
directivas de emisin, tipos de sujeto del certificado y atributos de uso de las claves para una
plantilla de certificado.
Directivas de aplicacin
Las directivas de aplicacin son un conjunto de opciones que informan a un destino de que el
sujeto tiene un certificado que se puede usar para ejecutar una determinada tarea. En un
certificado se representan mediante un identificador de objeto que se define para una aplicacin
determinada. Este identificador de objeto se incluye en el certificado emitido. Cuando un sujeto
presenta su certificado, el destino puede examinarlo para comprobar la directiva de aplicacin y
determinar si el sujeto puede ejecutar la accin solicitada.
Directivas de emisin
Las directivas de emisin, llamadas tambin directivas de certificado, definen las medidas usadas
para identificar al sujeto del certificado y, por lo tanto, definen tambin el nivel de garanta para un
certificado emitido. Por ejemplo, puede que la organizacin necesite organizar una reunin
presencial antes de emitir el certificado para ofrecer un nivel de garanta superior para el certificado
emitido.
Tipo de sujeto del certificado
El tipo de sujeto del certificado, llamado tambin informacin de la plantilla de certificado, define el
propsito del certificado o la plantilla de certificado.
La extensin del tipo de sujeto de certificado no se puede modificar. Si el administrador necesita
aplicar un tipo de sujeto especfico al certificado, debe duplicar una plantilla de certificado que
incluya el tipo de sujeto requerido.
Uso de claves
Los certificados permiten a los sujetos realizar determinadas tareas. Con el fin de ayudar a
controlar el uso de un certificado ms all de su finalidad pretendida, se aplican restricciones a los
certificados automticamente. El uso de claves es un mtodo de restriccin que determina el uso
de un certificado. De esta forma, el administrador puede emitir certificados que nicamente pueden
usarse para tareas especficas o certificados que pueden utilizarse para una amplia gama de
funciones. Si no se especifica ningn uso de claves, el certificado se puede usar para cualquier
propsito.
En el caso de las firmas, el uso de claves se puede limitar a uno o varios de los propsitos
siguientes:


Firma digital

La firma es una prueba de origen (sin rechazo)

Firma de certificados

Firma de CRL
Para el uso de claves cifrado, estn disponibles las siguientes opciones:

Intercambio de claves sin cifrado de claves

Intercambio de claves slo con cifrado de claves
Atributos
Adems de la informacin requerida por la entidad emisora (CA) para crear el certificado solicitado,
una solicitud de certificado tambin incluye atributos que describen cmo fue creada. Los atributos
de la solicitud de certificado incluyen la versin del sistema operativo y aplicacin usados para
crear la solicitud, el proveedor de servicios de cifrado usado para generar el par de claves, la
plantilla de certificados en la que se basa la solicitud y otros detalles.
Los atributos se agregan automticamente a las solicitudes de certificado que se crean mediante el
complemento Certificados y que se almacenan en la base de datos de la CA con cada solicitud de
certificado.
Proveedores de servicios de cifrado
Un proveedor de servicios de cifrado (CSP) es un programa que ofrece servicios de autenticacin,
codificacin y cifrado para que las aplicaciones basadas en Windows obtengan acceso mediante la
interfaz de programacin de aplicaciones criptogrficas de Microsoft (CryptoAPI). Cada proveedor
ofrece una implementacin distinta de CryptoAPI. Algunos proporcionan algoritmos de cifrado ms
seguros, mientras que otros usan componentes de hardware, como las tarjetas inteligentes.
Si genera una solicitud de un certificado nuevo, la informacin de dicha solicitud se transfiere
primero del programa solicitante a CryptoAPI. CryptoAPI pasa los datos correspondientes a un CSP
instalado en el equipo o en un dispositivo al que puede obtener acceso el equipo. Si el CSP se
basa en software, genera una clave pblica y una clave privada, a menudo denominadas par de
claves, en el equipo. Si el CSP se basa en hardware, como un CSP de tarjeta inteligente, indicar a
un componente de hardware que construya el par de claves.
Despus de generar las claves, un CSP de software cifra y, a continuacin, asegura la clave
privada. El CSP de tarjeta inteligente almacena la clave privada en una tarjeta inteligente. A
continuacin, la tarjeta inteligente controla el acceso a la clave.
La clave pblica se enva a la entidad de certificacin (CA), junto con la informacin del solicitante
del certificado. Una vez que la CA comprueba que la solicitud de certificado cumple las directivas,
usar su propia clave privada para crear una firma digital en el certificado y, a continuacin, lo
emitir para el solicitante. La CA presenta el certificado al solicitante del certificado junto con la
opcin para instalarlo en el almacn de certificados adecuado del equipo o del dispositivo de
hardware.


Crear una solicitud de certificado personalizada
Los administradores suelen configurar las plantillas de certificado por anticipado para que se
puedan usar para solicitar o realizar inscripciones de certificados. Las solicitudes personalizadas se
pueden usar para modificar una plantilla de certificado a fin de que satisfaga requisitos especiales o
para crear un nuevo certificado no basado en una plantilla. Adems, se pueden usar para guardar
una solicitud de certificado en un archivo para su procesamiento en otro momento o en otro equipo.
Para completar este procedimiento, el requisito mnimo es la pertenencia al grupo Usuarios o
Administradores locales. Revise los detalles de "Consideraciones adicionales" en este tema.
Para crear una solicitud de certificado personalizada
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el rbol de consola, haga doble clic en Personal y, a continuacin, haga clic en
Certificados.
3. En el men Accin, elija Todas las tareas y Operaciones avanzadas y, a continuacin,
haga clic en Crear solicitud personalizada para iniciar el asistente para inscripcin de
certificados. Haga clic en Siguiente.
4. En la pgina Solicitud personalizada, en la lista Plantillas, realice una de las acciones
siguientes:

Si sabe qu tipo de certificado desea y va a aceptar las opciones de configuracin
predeterminadas, seleccione la plantilla de certificado correspondiente.

Si necesita un certificado totalmente personalizado, seleccione Clave CNG (sin
plantilla) o Clave heredada (sin plantilla).
Nota
Las claves CNG pueden no ser compatibles con todas la aplicaciones.
5. Cada plantilla de certificado incluida en un conjunto estndar de extensiones puede
proporcionar informacin de identificacin del sujeto adicional o informacin de uso de la
clave, lo que especifica las tareas (por ejemplo, la firma o el cifrado) para las que se puede
usar la clave. Si desea usar solo las extensiones personalizadas especificadas, seleccione
la casilla Suprimir las extensiones predeterminadas.
6. Seleccione el formato de archivo que desee usar para la solicitud de certificado:

PKCS #10 es un formato usado con frecuencia para las solicitudes de certificados.

CMC se puede usar para preparar las solicitudes que se van a enviar a una entidad
de certificacin que no es de Microsoft.


7. Haga clic en Siguiente.
8. Haga clic en Detalles para ver los detalles de la solicitud de certificado. Si desea
personalizar an ms la solicitud, haga clic en Propiedades y rellene las opciones que
desee. Cuando haya terminado, haga clic en Aceptar para cerrar Propiedades de
certificado y, a continuacin, haga clic en Siguiente.
9. Escriba el nombre del archivo y la ruta de acceso y haga clic en Finalizar.

emitidos para un equipo o un servicio solo los puede administrar un administrador o un
Guardar una solicitud de certificado en un archivo
Puede preparar una solicitud de certificado para su uso posterior o para conservar una copia de la
solicitud incluso si se procesa al mismo tiempo que se guarda.
Los usuarios o administradores locales son las pertenencias a grupos mnimas requeridas para
Para guardar una solicitud de certificado en un archivo PKCS #10 o CMC
1. Abra un explorador web.
2. Abra http://servername/certsrv, donde servername es el nombre del servidor web donde se
hospedan las pginas de inscripcin en web de la entidad de certificacin (CA).
3. Haga clic en Solicitar un certificado y, en Solicitud de certificado avanzada, haga clic en
Crear y enviar una solicitud a esta CA.
4. Escriba la informacin de identificacin solicitada y cualquier otra opcin necesaria.
5. En Opciones adicionales, seleccione el formato de archivo que desee usar.
6. En Nombre de ruta completa, escriba una ruta de acceso y un nombre de archivo.
7. Haga clic en Enviar. El archivo se guarda en el escritorio del equipo.
8. Si ha terminado de usar las pginas de inscripcin en web, cierre el explorador web.



El componente que habilita la inscripcin web en esta versin de Windows es distinto del
componente que habilita la inscripcin web en Windows Server 2003 y Windows XP. Las
pginas de inscripcin de CA de Windows Server 2003 se deben actualizar para admitir
equipos con los sistemas operativos Windows Vista o Windows 7. Para obtener ms
informacin, vea el sitio web Ayuda y soporte tcnico de Windows
(http://go.microsoft.com/fwlink/?LinkId=85331 (puede estar en ingls)).

Firmar solicitudes de certificado


En algunos casos, las solicitudes de certificado se deben firmar digitalmente mediante un
certificado de agente de inscripcin o de firma vlido para que la entidad de certificacin
(CA) pueda procesar la solicitud.
Importante
Una vez que el usuario tiene el certificado de agente de inscripcin, puede realizar una
inscripcin de un certificado y generar una tarjeta inteligente en nombre de cualquier usuario de
la organizacin. La tarjeta inteligente resultante se puede usar para iniciar una sesin en la red
y suplantar al usuario real. Dada la gran capacidad del certificado de agente de inscripcin, se
recomienda que la organizacin mantenga unas directivas de seguridad de alto nivel para estos
certificados.

Un escenario para minimizar el riesgo de uso incorrecto del certificado de agente de
inscripcin es contar con una CA subordinada con controles administrativos muy estrictos
en la organizacin que solo se use para emitir certificados de agente de inscripcin. Una
vez emitidos los certificados de agente de inscripcin, el administrador de la CA puede
deshabilitar la emisin de certificados de agente de inscripcin hasta que vuelva a ser
necesaria.

Al restringir los administradores que pueden usar el servicio de CA en la CA subordinada, el
servicio se puede mantener en lnea para la generacin y distribucin de listas de
revocacin de certificados (CRL) si es necesario.

Otras CA de la jerarqua pueden seguir emitiendo certificados de agente de inscripcin si la
configuracin de directiva cambia, aunque puede determinar si la emisin de certificados de
agente de inscripcin es correcta mediante la comprobacin regular del registro de
certificados emitidos para cada CA.
Introduccin al Servicio web de directiva de inscripcin de certificados
Se aplica a: Windows Server 2008 R2
El Servicio web de directiva de inscripcin de certificados es un servicio de rol de los Servicios de
certificados de Active Directory (AD CS) que permite que los usuarios y equipos obtengan
informacin sobre directivas de inscripcin de certificados. Junto con el Servicio web de inscripcin
de certificados, permite la inscripcin de certificados basada en directivas si el equipo cliente no es
miembro de un dominio o si un miembro del dominio no est conectado al dominio.
El Servicio web de directiva de inscripcin de certificados utiliza el protocolo HTTPS para
comunicar la informacin sobre directivas de certificados a los equipos clientes de la red. El servicio
web usa el protocolo LDAP para recuperar la directiva de certificados de los Servicios de dominio
de Active Directory (AD DS) y guarda en cach la informacin sobre directivas para atender las
solicitudes de los clientes. En versiones anteriores de AD CS, solo los equipos cliente del dominio
que usan el protocolo LDAP pueden obtener acceso a la informacin sobre directivas de
certificados. Esto restringe la emisin de certificados basados en directivas a los lmites de
confianza establecidos por los bosques de AD DS.


La publicacin de la directiva de inscripcin a travs de HTTPS permite los nuevos escenarios de
implementacin que se describen a continuacin:

Inscripcin de certificados a travs de los lmites del bosque para reducir el nmero de
entidades de certificacin (CA) en una empresa.

Implementacin de extranet para emitir certificados para usuarios que trabajan a distancia y
socios comerciales.
Introduccin al Servicio web de inscripcin de certificados
El Servicio web de inscripcin de certificados es un servicio de rol de Servicios de certificados de
Active Directory (AD CS) que permite a los usuarios y equipos realizar la inscripcin de certificados
con el protocolo HTTPS. Junto con el Servicio web de directiva de inscripcin de certificados,
permite la inscripcin de certificados basada en directivas si el equipo cliente no es miembro de un
dominio o si un miembro del dominio no est conectado al dominio.
El Servicio web de inscripcin de certificados usa el protocolo HTTPS para aceptar solicitudes de
certificados de los equipos cliente de la red y devolver a stos los certificados emitidos. El Servicio
web de inscripcin de certificados usa el protocolo DCOM para conectar a la entidad de
certificacin (CA) y completar la inscripcin de certificados en nombre del solicitante. En versiones
anteriores de AD CS, la inscripcin de certificados basada en directivas solo la pueden realizar los
equipos cliente miembro que usan el protocolo DCOM. Esto limita la emisin de certificados a los
lmites de confianza establecidos por los dominios y bosques de Active Directory.
La inscripcin de certificados sobre HTTPS habilita los siguientes escenarios de implementacin
nuevos:

Inscripcin de certificados entre lmites de bosques para reducir el nmero de entidades de
certificacin en una empresa

Implementacin de extranet para emitir certificados a trabajadores mviles y socios
empresariales
Servidores de directivas de inscripcin de certificados
La directiva de inscripcin de certificados proporciona las ubicaciones de las entidades de
certificacin (CA) y los tipos de certificados que se pueden solicitar. Las organizaciones que utilizan
Servicios de dominio de Active Directory (AD DS) pueden usar la directiva de grupo para
proporcionar una directiva de inscripcin de certificados a los miembros del dominio mediante la
Consola de administracin de directivas de grupo para configurar los valores de directiva de
inscripcin de certificados. El complemento Certificados se puede utilizar para configurar los
valores de directiva de inscripcin de certificados para equipos cliente individuales a menos que la
configuracin de la directiva de grupo est establecida para deshabilitar la directiva de inscripcin
configurada por el usuario.
Utilice los siguientes procedimientos para configurar los valores de directiva de inscripcin de
certificados:

Administrar la directiva de inscripcin de certificados mediante la directiva de grupo


Administrar directiva de inscripcin de certificados mediante el complemento Certificados
Administrar la directiva de inscripcin de certificados mediante la directiva de grupo
Este tema describe los procedimientos y aplicaciones utilizados para establecer la configuracin de
directivas de inscripcin de certificados.
Establecer la configuracin de directivas de inscripcin de certificados mediante la directiva
de grupo
Para poder completar este procedimiento, debe pertenecer como mnimo al grupo Admins. del
dominio.
Para establecer la configuracin de directivas de inscripcin de certificados en la directiva
de grupo
1. Haga clic en Inicio, escriba gpmc.msc en el cuadro Buscar programas y archivos y, a
2. En el rbol de consola, expanda el bosque y el dominio que contienen la directiva que
desea editar y haga clic en Objetos de directiva de grupo.
3. Haga clic con el botn secundario en la directiva que desee modificar y, a continuacin,
haga clic en Editar.
4. En el rbol de consola, en Configuracin del equipo\Directivas\Configuracin de
Windows\Configuracin de seguridad, haga clic en Directivas de clave pblica.
5. Haga doble clic en Cliente de Servicios de servidor de certificados - Directiva de
inscripcin de certificados. Para obtener ms informacin acerca de la configuracin de
este cuadro de dilogo, vea la tabla "Cuadro de dilogo Cliente de Servicios de servidor de
certificados - Propiedades de directivas de inscripcin de certificados" ms adelante en este
tema.
6. Haga clic en Agregar para abrir el cuadro de dilogo Servidor de directivas de
inscripcin de certificados. Para obtener ms informacin acerca de la configuracin de
este cuadro de dilogo, vea la tabla "Cuadro de dilogo Servidor de directivas de inscripcin
de certificados" ms adelante en este tema.

Para agregar la directiva de inscripcin proporcionada por Servicios de dominio de
Active Directory (AD DS), active la casilla Usar URI de controlador de dominio de
Active Directory predeterminado.


En el cuadro Especifique el URI del servidor de directivas de inscripcin,
escriba un URI para el servidor de directivas de inscripcin de certificados.
8. En la lista Tipo de autenticacin, seleccione el tipo de autenticacin requerido por el
servidor de directivas de inscripcin.
9. Haga clic en Validar y revise los mensajes del rea Propiedades del servidor de
directivas de inscripcin de certificados. El botn Agregar solo est disponible cuando
el URI del servidor de directivas de inscripcin y el tipo de autenticacin son vlidos.
10. Haga clic en Agregar.
Nota
Si el servidor de directivas de inscripcin admite una directiva de inscripcin que ya aparece en
Lista de directivas de inscripcin de certificados, el servidor agregado no se mostrar por
separado. Haga clic en Propiedades para comprobar que el servidor de directivas de
inscripcin que se ha agregado aparece en la lista Servidores de directivas de inscripcin.
Para obtener ms informacin acerca de la configuracin de este cuadro de dilogo, vea la
tabla "Cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados"
ms adelante en este tema.
Referencia de interfaz de usuario
Las tablas siguientes describen la configuracin disponible en los cuadros de dilogo Cliente de
Servicios de servidor de certificados - Propiedades de directivas de inscripcin de
certificados, Servidor de directivas de inscripcin de certificados y Propiedades del servidor
de directivas de inscripcin de certificados.
Cuadro de dilogo Cliente de Servicios de servidor de certificados - Propiedades de directiva
de inscripcin de certificados
Opcin Descripcin
Modelo de
configuracin
Especifica si la configuracin de directiva est habilitada en la
directiva de grupo.
Lista de directivas de
inscripcin de
certificados
Muestra la lista de directivas de inscripcin incluidas en la
configuracin de directiva. Una de las directivas mostradas debe
aparecer como la directiva predeterminada mediante la activacin
de la casilla Predeterminada.
Agregar Abre el cuadro de dilogo Servidor de directivas de inscripcin
de certificados, que se usa para agregar un servidor de directivas


de inscripcin.
Quitar Quita de la lista la directiva de inscripcin seleccionada y todos los
servidores de directivas de inscripcin asociados.
Propiedades Abre el cuadro de dilogo Propiedades del servidor de
directivas de inscripcin de certificados, que muestra los
detalles de la directiva y una lista de los servidores de directivas de
inscripcin para la directiva de inscripcin seleccionada.
Deshabilitar directiva de
inscripcin configurada
por el usuario
Deshabilita la directiva de inscripcin configurada por usuarios y
aplicaciones. Solo se utilizar una directiva de inscripcin
configurada en la directiva de grupo.

Cuadro de dilogo Servidor de directivas de inscripcin de certificados
Opcin Descripcin
Usar URI de controlador
de dominio de Active
Directory
predeterminado
Especifique el URI LDAP del servidor de directivas de inscripcin
predeterminado y el tipo de autenticacin Integrada de Windows.
Configurar nombre
descriptivo
Este botn solo est disponible cuando se ha seleccionado Usar
URI de controlador de dominio de Active Directory
predeterminado.
Esta opcin se usa para configurar un nombre para la directiva de
inscripcin que se muestra en lugar del nombre de directiva o el
identificador de directiva de inscripcin predeterminados. Los
usuarios pueden ver el nombre especificado en el asistente para
inscripcin de certificados y en otras aplicaciones.
Nota
Si ms de un servidor de directivas de inscripcin admite la
misma directiva de inscripcin, cada servidor debe
configurarse para usar el mismo nombre descriptivo de
directiva de inscripcin. En los servicios web de directivas de
inscripcin, el valor de nombre descriptivo es una
configuracin de la aplicacin que se establece mediante el
Administrador del servidor. Si la configuracin de nombre
descriptivo ya se ha establecido en cada servicio web de


directivas de inscripcin, agregue los URI de servicios web de
directivas de inscripcin antes de agregar el URI LDAP del
controlador de dominio. De esta manera, se garantiza que los
valores del nombre descriptivo sean los mismos.

Especifique el URI del
servidor de directivas de
inscripcin
Especifica el URI del Servicio web de directiva de inscripcin de
certificados. El URI debe usar HTTPS.
Tipo de autenticacin Especifica el tipo de autenticacin que se usa para conectar con el
URI especificado. El tipo de autenticacin especificado debe
coincidir con el tipo de autenticacin requerido por el Servicio web
de directiva de inscripcin de certificados.
Estn disponibles los siguientes tipos de autenticacin:
Annima. No se proporcionan credenciales al conectar con el
servidor de directivas de inscripcin de certificados.
Integrada de Windows. La autenticacin integrada de
Windows usa el protocolo Kerberos y es adecuada para
miembros de dominios de AD DS.
Nombre de usuario y contrasea. Durante la inscripcin de
certificados, los usuarios debern especificar un nombre de
usuario y una contrasea.
Certificado X.509. Durante la inscripcin de certificados, los
usuarios debern seleccionar un certificado para la
autenticacin.
Validar Se conecta al URI especificado mediante el tipo de autenticacin
que se haya seleccionado para verificar los detalles siguientes:
Existe una conexin SSL al servidor de directivas de
inscripcin.
El servidor de directivas de inscripcin devuelve una directiva
de inscripcin vlida.
La directiva de inscripcin no se ha incluido previamente en la
configuracin de la directiva de grupo.


Antes de que se pueda agregar un URI del servidor de directivas
de inscripcin, se requiere su validacin. Si el URI especificado y
el tipo de autenticacin son vlidos, se mostrarn el identificador
de directiva de inscripcin y el nombre descriptivo. Si hay algn
problema con la validacin, aparecern mensajes de error o
advertencia.
Agregar Agrega el URI del servidor de directivas de inscripcin y la
directiva de inscripcin validada a la configuracin de la directiva
de grupo. El botn Agregar solo est disponible despus de que
el URI del servidor de directivas de inscripcin y el tipo de
autenticacin se hayan validado.

Cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados
Opcin Descripcin
Servidores de
directivas de
inscripcin
Muestra la lista de servidores de directivas de inscripcin que admiten la
directiva de inscripcin.
Quitar Quita el servidor de directivas de inscripcin seleccionado. Si se quitan
todos los servidores de directivas de inscripcin, la directiva de inscripcin
tambin se eliminar.
Habilitar para la
inscripcin y la
renovacin
automticas
Especifica que la directiva de inscripcin se usa para la inscripcin
automtica cuando esta caracterstica est habilitada.
En los equipos que ejecutan Windows 7 y no son miembros de un dominio,
la inscripcin automtica est habilitada de forma predeterminada. En los
equipos que son miembros de un dominio, la inscripcin automtica debe
ser habilitada en la directiva de grupo. Para conocer los procedimientos de
configuracin de la inscripcin automtica, vea Administracin de la
inscripcin de certificados (http://go.microsoft.com/fwlink/?LinkId=143282
(puede estar en ingls)).
Requerir
validacin
segura durante
la inscripcin
Especifica que los clientes de inscripcin requieren la validacin de la ruta
de certificacin de la CA emisora durante
Administrar directiva de inscripcin de certificados mediante el complemento Certificados


En este tema se describen los procedimientos y las aplicaciones usados para agregar servidores
de directivas de inscripcin y administrar directivas de inscripcin con el complemento Certificados.
Estos procedimientos se pueden usar para configurar directivas de inscripcin que permitan a los
usuarios solicitar certificados de las entidades de certificacin (CA) comerciales que ofrecen
servicios de inscripcin en Internet o CA empresariales en una organizacin.
Configuracin de directivas de inscripcin de certificados
El cuadro de dilogo Servidor de directivas de inscripcin de certificados se usa para agregar
servidores de directivas de inscripcin y se puede abrir con el cuadro de dilogo Administrar
directivas de inscripcin o el asistente para inscripcin de certificados.
Para configurar las directivas de inscripcin de certificados
1. Haga clic en Inicio, escriba certmgr.msc en el cuadro Buscar programas y archivos y
presione ENTRAR.
2. En el rbol de consola, haga clic en Personal.

En el men Accin, apunte a Todas las tareas, Operaciones avanzadas y, a
continuacin, haga clic en Administrar directivas de inscripcin. En Lista de
directivas de inscripcin de certificados, haga clic en Agregar. Para obtener ms
informacin acerca de las opciones de este cuadro de dilogo, vea la tabla "Cuadro
de dilogo Administrar directivas de inscripcin" posteriormente en este tema.

En el men Accin, apunte a Todas las tareas y, a continuacin, haga clic en
Solicitar un nuevo certificado para iniciar el asistente para inscripcin de
certificados. Haga clic en Siguiente y, a continuacin, en la pgina Seleccionar
directiva de inscripcin de certificados, haga clic en Agregar nueva. Para
obtener ms informacin acerca de las opciones de este cuadro de dilogo, vea la
tabla "Cuadro de dilogo Servidor de directivas de inscripcin de certificados"
posteriormente en este tema.
4. En el cuadro Especifique el URI del servidor de directivas de inscripcin, escriba un
URI de servidor de directivas de inscripcin de certificado.
5. En la lista Tipo de autenticacin, seleccione el tipo de autenticacin requerido por el
servidor de directivas de inscripcin.
6. Haga clic en Validar y, a continuacin, revise los mensajes del rea Propiedades del
servidor de directivas de inscripcin de certificados. El botn Agregar solo est
disponible despus de validar el URI del servidor de directivas de inscripcin y el tipo de
autenticacin.


Nota
Si el servidor de directivas de inscripcin agregado admite una directiva de inscripcin que se
muestra en Lista de directivas de inscripcin de certificados, el servidor agregado no
aparecer por separado. Haga clic en Propiedades para comprobar que el servidor de
directivas de inscripcin agregado aparece en la lista Servidores de directivas de inscripcin.
Para obtener ms informacin acerca de las opciones de este cuadro de dilogo, vea la tabla
"Cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados"
posteriormente en este tema.
Referencia de interfaz de usuario
En las tablas siguientes se describen las opciones disponibles en el cuadro de dilogo Administrar
directivas de inscripcin, el cuadro de dilogo Servidor de directivas de inscripcin de
certificados y el cuadro de dilogo Propiedades del servidor de directivas de inscripcin de
certificados.
Cuadro de dilogo Administrar directivas de inscripcin
Opcin Descripcin
Lista de directivas de
inscripcin de
certificados
Muestra la lista de las directivas de inscripcin incluidas en la
configuracin de directivas. Una de las directivas mostradas se debe
especificar como la directiva predeterminada mediante la activacin de
la casilla Predeterminada.
Agregar Abra el cuadro de dilogo Servidor de directivas de inscripcin de
certificados, que se usa para agregar un servidor de directivas de
inscripcin.
Quitar Quita la directiva de inscripcin seleccionada y todos los servidores de
directivas de inscripcin asociados de la lista.
Propiedades Abra el cuadro de dilogo Propiedades del servidor de directivas
de inscripcin de certificados, que muestra los detalles de la
directiva y la lista de servidores de directivas de inscripcin para la
directiva de inscripcin seleccionada.

Cuadro de dilogo Servidor de directivas de inscripcin de certificados
Opcin Descripcin


Especifique el URI
del servidor de
directivas de
inscripcin
Especifica el URI del Servicio web de directivas de inscripcin de
certificados. El URI debe usar HTTPS.
Tipo de autenticacin Especifica el tipo de autenticacin usado para conectarse al URI
especificado. El tipo de autenticacin especificado debe coincidir con
el tipo de autenticacin requerido por el Servicio web de directivas de
inscripcin de certificados.
Los siguientes tipos de autenticacin estn disponibles:
Annima. No se proporciona ninguna credencial al conectarse al
servidor de directivas de inscripcin de certificados.
Integrada en Windows. La autenticacin integrada en Windows
usa el protocolo Kerberos y es adecuada para los miembros de
dominio de AD DS.
Nombre de usuario y contrasea. Durante la inscripcin de
certificados, a los usuarios se les pedir que especifiquen un
nombre de usuario y una contrasea.
Certificado X.509. Durante la inscripcin de certificados, a los
usuarios se les pedir que seleccionen un certificado para la
autenticacin.
Validar Conecta con el URI especificado con el tipo de autenticacin
especificado para comprobar los siguientes detalles:
Se puede realizar una conexin SSL con el servidor de directivas
de inscripcin.
El servidor de directivas de inscripcin devuelve una directiva de
inscripcin vlida.
La directiva de inscripcin ya no est incluida en la configuracin
de directiva de grupo.
La validacin es necesaria para poder agregar un URI de servidor de
directivas de inscripcin. Si el URI especificado y el tipo de
autenticacin son vlidos, se muestran el identificador de directivas de
inscripcin y el nombre descriptivo. Los mensajes de error o


advertencia se muestran si hay un problema con la validacin.
Agregar Agrega el URI del servidor de directivas de inscripcin y la directiva de
inscripcin validada a la configuracin de directiva de grupo. El botn
Agregar solo est disponible despus de validar el URI del servidor
de directivas de inscripcin y el tipo de autenticacin.
Cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados
Opcin Descripcin
Lista Servidores
de directivas de
inscripcin
Muestra la lista de servidores de directivas de inscripcin que admiten la
Quitar Quita el servidor de directivas de inscripcin seleccionado. Si se quitan
todos los servidores de directivas de inscripcin, tambin se eliminar la
Habilitar para la
inscripcin y la
renovacin
automticas
Especifica que se usa la directiva de inscripcin para la inscripcin
automtica cuando se habilita dicha inscripcin.
En los equipos que ejecutan Windows 7 y que no son miembros de un
dominio, se habilita la inscripcin automtica de forma predeterminada. En
equipos que son miembros de un dominio, se debe habilitar la inscripcin
automtica en la directiva de grupo. Vea el tema acerca de la
administracin de la inscripcin de certificados
(http://go.microsoft.com/fwlink/?LinkID=143282) para obtener informacin
acerca de los procedimientos de configuracin de inscripcin automtica.
Requerir
validacin
segura durante
la inscripcin
Especifica que los clientes de inscripcin requieren la validacin de la ruta
de certificacin de CA de emisin

Solicitar un certificado a travs de web
Es posible obtener acceso a las entidades de certificacin (CA) mediante pginas de inscripcin en
web de CA, que se pueden usar para realizar una serie de tareas relativas a la solicitud de
certificados. La ubicacin predeterminada de las pginas de inscripcin en web de CA es
http://servername/certsrv, donde servername es el nombre del servidor que hospeda las pginas de
inscripcin en web de CA.


Enviar una solicitud de certificado de usuario a travs de Web

Enviar una solicitud de certificado a travs de web

Solicitar un certificado mediante un archivo PKCS #10 o PKCS #7

Comprobar una solicitud de certificado pendiente

Enviar una solicitud de certificado de usuario a travs de Web
Cuando solicite certificados de una entidad de certificacin (CA) independiente de Windows, use
las pginas de inscripcin web de CA. Adems, se pueden usar las pginas de inscripcin web
para solicitar certificados de las CA empresariales si desea establecer caractersticas de solicitud
opcionales que no estn disponibles en el Asistente para solicitud de certificados, como marcar las
claves como exportables, definir la longitud de la clave, elegir el algoritmo hash o guardar la
solicitud en un archivo.
Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Usuarios o
Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.
Para enviar una solicitud de certificado de usuario a travs de Web
2. Abra https://servername/certsrv, donde servername es el nombre del servidor que hospeda
las pginas de inscripcin web de CA.
3. Haga clic en Solicitar un certificado.
4. En Solicitar un certificado, seleccione el tipo de certificado que desee:
a. Si se trata de una CA de empresa, haga clic en Certificado de usuario.
b. Si se trata de una CA independiente, seleccione Certificado de explorador web o
Certificado de proteccin de correo electrnico.
5. En la pgina Identificando informacin, escriba la informacin de identificacin para la
solicitud de certificado si es necesario.
6. (Opcional) Haga clic en Ms opciones para especificar el proveedor de servicios de cifrado
(CSP) y si desea habilitar la proteccin segura de claves privadas. (Esto significa que, cada
vez que se use la clave privada, recibir un aviso).
7. Haga clic en Enviar.


Si aparece la pgina web Certificado pendiente, vea Comprobar una solicitud de
certificado pendiente para obtener informacin acerca del procedimiento para
comprobar un certificado pendiente.

Si se muestra la pgina web Certificado emitido, haga clic en Instalar este
certificado.

Para que un usuario obtenga un certificado mediante la inscripcin web, el administrador
debe configurar los premisos correspondientes en las plantillas de certificado en las que se
basa el certificado solicitado.
Enviar una solicitud de certificado a travs de web
La directiva de una entidad de certificacin (CA) determina los tipos de certificados que el usuario
puede solicitar y las opciones que puede configurar. Si se habilita, puede usar la pgina web
Solicitud de certificado avanzada para configurar las siguientes opciones para cada certificado
solicitado:

Plantilla de certificado (de una CA de empresa) o Tipo de certificado necesario (de una
CA independiente). Indica las aplicaciones para las que se puede usar la clave pblica en el
certificado, como la autenticacin de clientes o el correo electrnico.

Proveedor de servicios de cifrado (CSP). Los proveedores de servicios de cifrado se
encargan de crear claves, destruirlas y usarlas para realizar una serie de operaciones de
cifrado. Cada proveedor ofrece una implementacin distinta de CryptoAPI. Algunos
proporcionan algoritmos de cifrado ms seguros, mientras que otros usan componentes de
hardware, como las tarjetas inteligentes.

Tamao de la clave. La longitud, en bits, de la clave pblica del certificado. En general, las
claves largas resultan ms difciles de vulnerar para un usuario malintencionado que las
claves cortas.

Algoritmo hash. Un buen algoritmo hash hace que sea computacionalmente imposible
crear dos entradas independientes que tengan el mismo valor hash. Entre los algoritmos
hash tpicos se incluyen MD2, MD4, MD5 y SHA-1.

Uso de la clave. Cmo se puede usar la clave privada. Intercambio quiere decir que la
clave privada se puede usar para permitir el intercambio de informacin confidencial. Firma
quiere decir que la clave privada slo se puede usar para crear una firma digital. Ambos
quiere decir que la clave se puede usar para realizar funciones de intercambio y firma.


Crear conjunto de claves nuevo o Usar el conjunto de claves establecido. Puede usar
un par de clave privada y clave pblica almacenado en el equipo o crear un par para un
certificado.

Habilitar proteccin segura de clave privada. Si habilita la proteccin segura de clave
privada, se le pedir la contrasea cada vez que sea necesario usar la clave privada.

Marcar esta clave como exportable. Al marcar claves como exportables, puede guardar la
clave privada y la clave pblica en un archivo PKCS #12. Resulta til si cambia de equipo y
desea mover el par de claves o si desea quitar el par de claves y asegurarlas en otro lugar.

Almacenar el certificado en el almacn de certificados del equipo local. Seleccione
esta opcin si el equipo va a necesitar obtener acceso a la clave privada asociada al
certificado cuando otros usuarios inicien una sesin. Seleccione esta opcin cuando intente
enviar solicitudes de certificados a equipos (como servidores web) en vez de enviar
certificados a usuarios.

Formato de la solicitud. Esta seccin se puede usar para seleccionar los formatos PKCS
#10 o CMC. Si desea enviar la solicitud ms tarde, tambin puede seleccionar Guardar
solicitud en un archivo.
Para enviar una solicitud de certificado avanzada a travs de web
2. Abra https://servername/certsrv, donde servername es el nombre del servidor web que
hospeda las pginas de inscripcin en web de CA.
3. Haga clic en Solicitar un certificado.
4. Haga clic en Solicitud de certificado avanzada.
5. Haga clic en Crear y enviar una solicitud a esta CA.
6. Escriba la informacin de identificacin solicitada y cualquier otra opcin necesaria.

Si aparece la pgina web Certificado pendiente, vea el tema acerca de la
Comprobar una solicitud de certificado pendiente para obtener informacin acerca
del procedimiento para comprobar un certificado pendiente.


Si aparece la pgina web Certificado emitido, haga clic en Instalar este
certificado.


Para que un usuario obtenga un certificado mediante la inscripcin en web, el administrador
debe configurar los premisos adecuados en las plantillas de certificado en que se basa el
certificado solicitado.
No siempre es posible enviar una solicitud de certificado en lnea a una entidad de certificacin
(CA). En estos casos, es posible que pueda enviar la solicitud de certificado como un archivo
PKCS #7 o PKCS #10. En general, los archivos PKCS #10 se usan para enviar una solicitud de un
certificado nuevo, mientras que los archivos PKCS #7 se usan para enviar una solicitud para
renovar un certificado existente.
Para solicitar un certificado mediante un archivo PKCS #10 o PKCS #7
hospeda las pginas de inscripcin web de CA.
3. Haga clic en Solicitar un certificado y, a continuacin, en Solicitud de certificado
avanzada.
4. Haga clic en Enviar una solicitud de certificados con un archivo codificado en base64
CMC o PKCS #10o una solicitud de renovacin con un archivo codificado en base64
PKCS #7.
5. En el Bloc de notas, haga clic en Archivo, haga clic en Abrir, seleccione el archivo
PKCS #10 o PKCS #7 y, a continuacin, haga clic en Edicin, Seleccionar todo, Edicin y
Copiar. En la pgina web, haga clic en el cuadro Guardar solicitud. Haga clic en Edicin
y, a continuacin, en Pegar para pegar el contenido de la solicitud de certificado en el
cuadro.
6. Si se va a conectar a una CA empresarial, elija la plantilla de certificado que desee usar.
7. Si tiene atributos que agregar a la solicitud de certificado, especifquelos en Atributos
adicionales.



Si aparece la pgina web Certificado pendiente, vea Comprobar una solicitud de
certificado pendiente.

Si se muestra la pgina web Certificado emitido, haga clic en Descargar cadena
de certificados. Guarde el archivo en el disco duro y, a continuacin, importe el
certificado a su almacn de certificados. Para obtener informacin acerca del
procedimiento para importar un certificado, vea Importar un certificado.


El servidor web para una CA debe estar configurado para usar autenticacin HTTPS.

Si enva la solicitud e inmediatamente despus aparece un mensaje en el que se le
pregunta si desea enviarla aunque no contenga una etiqueta "BEGIN" o "END", haga clic en
Aceptar.
Comprobar una solicitud de certificado pendiente
Si enva una solicitud de certificado a una entidad de certificacin (CA) empresarial de Windows, se
procesa de inmediato y se rechaza o se concede, a menos que la plantilla del certificado se haya
configurado para que requiera la aprobacin de un administrador de certificados.
Cuando enve una solicitud de certificado a una CA independiente de Windows, se procesar
inmediatamente o, de forma predeterminada, se considerar pendiente hasta que el administrador
de la CA apruebe o rechace la solicitud. En el caso de una solicitud pendiente, el solicitante del
certificado tendr que usar las pginas de inscripcin web de CA para comprobar el estado de los
certificados pendientes.
Para comprobar una solicitud de certificado pendiente
hospeda las pginas de inscripcin web de CA.
3. Haga clic en Ver el estado de una solicitud de certificado pendiente.


4. Si no hay solicitudes de certificados pendientes, se mostrar un mensaje que lo indica. En
caso contrario, seleccione la solicitud de certificado que desee comprobar y haga clic en
Siguiente.
5. Compruebe las solicitudes de certificados pendientes:

En espera. Debe esperar a que el administrador de la CA emita el certificado. Para
quitar la solicitud de certificado, haga clic en Quitar.

Emitido. Para instalar el certificado, haga clic en Instalar este certificado.

Denegado. Pngase en contacto con el administrador de la entidad de certificacin
para obtener ms informacin.
6. Si ha terminado de usar las pginas de inscripcin web de CA, cierre el explorador web.

Realizar inscripciones de certificados en nombre de otros usuarios
Los usuarios no siempre pueden realizar una inscripcin de un certificado en su propio nombre.
Puede ser el caso de un certificado de tarjeta inteligente de usuario. De forma predeterminada, solo
los administradores de dominio tienen permiso para solicitar un certificado en nombre de otro
usuario. No obstante, un usuario distinto del administrador de dominio puede tener obtener un
permiso para ser agente de inscripcin. El usuario se convierte en un agente de inscripcin
mediante la inscripcin de un certificado de agente de inscripcin.
Importante
Una vez que el usuario tiene el certificado de agente de inscripcin, puede realizar una
inscripcin de un certificado y generar una tarjeta inteligente en nombre de cualquier usuario de
la organizacin. La tarjeta inteligente resultante se puede usar para iniciar una sesin en la red
y suplantar al usuario real. Dada la gran capacidad del certificado de agente de inscripcin, se
recomienda que la organizacin mantenga unas directivas de seguridad de alto nivel para estos
certificados.
La pertenencia al grupo Usuarios y un certificado de agente de inscripcin son los requisitos
mnimos para completar este procedimiento. Revise los detalles de "Consideraciones adicionales"
en este tema.
Para realizar la inscripcin de un certificado en nombre de otros usuarios
1. Abra el complemento Certificados para un usuario.
2. En el rbol de consola, expanda el almacn Personal y, a continuacin, haga clic en
Certificados.


3. En el men Accin, apunte a Todas las tareas, Operaciones avanzadas y, a
continuacin, haga clic en Inscribirse en nombre de para iniciar el asistente para
inscripcin de certificados. Haga clic en Siguiente.
4. Busque el certificado de agente de inscripcin que va a usar para firmar la solicitud de
certificado que est procesando. Haga clic en Siguiente.
5. Seleccione el tipo de certificado para el que desee inscribirse. Cuando est preparado para
solicitar un certificado, haga clic en Inscribir.
6. Despus de que el Asistente para renovacin de certificados haya finalizado correctamente,
haga clic en Cerrar.

Un usuario o un administrador puede administrar los certificados de usuario. Para abrir el
complemento Certificados, vea Agregar el complemento Certificados a MMC.

Autoridades de registro


Una autoridad de registro es un equipo configurado para que un administrador solicite y
recupere los certificados emitidos en nombre de otros usuarios.

No es necesario instalar la autoridad de registro en el mismo equipo que la entidad de
certificacin para la que procesa las solicitudes de certificado.
Renovar un certificado
Cada certificado tiene un perodo de validez. Despus del final de dicho perodo, el certificado ya
no se considera una credencial aceptable ni utilizable. El complemento Certificados permite renovar
un certificado emitido desde una entidad de certificacin (CA) de empresa de Windows antes o
despus del final del perodo de validez mediante el Asistente para renovacin de certificados.
Puede renovar el certificado con el mismo conjunto de claves que us antes o con un conjunto de
claves nuevo. Esta decisin se puede basar en una serie de factores, entre los que se incluyen la
duracin del certificado, la duracin de la clave existente o futura, el valor de los datos protegidos
por el par de claves y la posibilidad de que un usuario malintencionado haya obtenido una clave
privada.
Antes de renovar un certificado, debe conocer:

La CA que emite el certificado.

(Opcional) Si desea un nuevo par de clave pblica y privada para el certificado, el proveedor
de servicios de cifrado (CSP) que debe usarse para generar el par de claves.
Windows proporciona una notificacin de expiracin para que sepa que los certificados de usuario
o equipo especficos han expirado o estn a punto de expirar. En la mayora de los casos, la
inscripcin automtica renueva estos certificados la prxima vez que se conecta a la red e inicia
una sesin en el equipo.


En los siguientes temas se incluyen los procedimientos para la renovacin de certificados:

Renovar un certificado con una clave nueva

Renovar un certificado con la misma clave
Adems, si pega el contenido de un archivo PKCS #7, puede renovar los certificados emitidos tanto
por entidades de certificacin empresariales de Windows como por CA independientes de Windows
con las pginas de inscripcin en Web de CA. Para obtener ms informacin, consulte el siguiente
tema:


Renovar un certificado con la misma clave
La renovacin de un certificado con la misma clave proporciona un nivel de compatibilidad mximo
con los usos anteriores del par de claves correspondiente, aunque no aumenta la seguridad del
certificado y el par de claves.
Para renovar un certificado con la misma clave
2. En el rbol de consola, expanda el almacn Personal y haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que est renovando.
4. En el men Accin, seleccione Todas las tareas y Operaciones avanzadas y, a
continuacin, haga clic en Renovar este certificado con la misma clave para iniciar el
Asistente para renovacin de certificados.
5. Si se incluye ms de un certificado en la ventana Solicitar certificados, seleccione el
certificado que desee renovar. Realice una de estas acciones:

Use los valores predeterminados para renovar el certificado.

Haga clic en Detalles y, a continuacin, haga clic en Propiedades para proporcionar
su propia configuracin de renovacin de certificados. Es necesario conocer la
entidad de certificacin (CA) que emite el certificado.


6. Haga clic en Inscribir. Despus de que el Asistente para renovacin de certificados haya
finalizado correctamente, haga clic en Finalizar.


Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC.

Una vez renovado, el certificado antiguo se archivar.

Solamente puede usar este procedimiento para solicitar certificados de una CA empresarial.
Para solicitar certificados de una CA independiente, tiene que solicitar los certificados a
travs de pginas web. Las pginas web para una CA de Windows estn ubicadas en
http://servername/certsrv, donde servername es el nombre del servidor donde se hospeda la
CA.
Renovar un certificado con una clave nueva
La renovacin de un certificado con una clave nueva permite seguir usando un certificado existente
y los datos asociados, a la vez que se aumenta la seguridad de la clave asociada al certificado.
Esto puede ser conveniente si el uso de un certificado nuevo provoca interrupciones y el certificado
existente no se ha puesto en riesgo.
Para renovar un certificado con una clave nueva
2. En el rbol de consola, expanda el almacn Personal y, a continuacin, haga clic en
Certificados.
3. En el panel de detalles, seleccione el certificado que va a renovar.
4. En el men Accin, seleccione Todas las tareas y, a continuacin, haga clic en Renovar
certificado con clave nueva para abrir el Asistente para renovacin de certificados.
5. En el Asistente para renovacin de certificados, realice una de las siguientes acciones:

Use los valores predeterminados para renovar el certificado.

(Solo para usuarios avanzados) Haga clic en Detalles y, a continuacin, en
Propiedades para proporcionar su propia configuracin de renovacin de
certificados. Tiene que conocer el proveedor de servicios de cifrado (CSP) y la


entidad emisora de certificados (CA) que emite el certificado.

Debe seleccionar la longitud de clave de la clave pblica (medida en bits) asociada
al certificado.

Tambin puede optar por habilitar la proteccin de claves privadas seguras. Al
habilitar la proteccin de claves privadas seguras, garantizar que se pida la
contrasea cada vez que se use la clave privada. Esto es til si desea asegurarse de
que la clave privada no se usa sin su conocimiento.
6. Cuando est preparado para solicitar un certificado, haga clic en Inscribir. Despus de que
el Asistente para renovacin de certificados haya finalizado correctamente, haga clic en
Cerrar.



Una vez renovado, el certificado antiguo y el par de claves se archivarn.

Solamente puede usar este procedimiento para solicitar certificados de una CA de empresa.
Para solicitar certificados de una CA independiente, tiene que solicitar los certificados a
travs de pginas web. Las pginas web para una CA de Windows se encuentran en
http://servername/Certsrv, donde servername es el nombre del servidor que hospeda la CA.
Ver certificados
Los certificados se pueden emitir y usar para muchos propsitos. Puede ser til examinar los
almacenes de certificados, la informacin y las propiedades de los certificados y la informacin
acerca de los certificados archivados y revocados.

Mostrar almacenes de certificados

Ver informacin de certificados

Ver las propiedades del certificado

Ver los certificados en un archivo PKCS #7

Mostrar certificados archivados


Ver detalles de la lista de revocacin de certificados
Mostrar almacenes de certificados
Mediante el complemento Certificados, puede mostrar el almacn de certificados de un usuario, un
equipo o un servidor segn el propsito para el que se emiti el certificado o mediante sus
categoras de almacenamiento lgico. Cuando se muestran los certificados segn sus categoras
de almacenamiento, tambin se puede optar por mostrar los almacenes fsicos, incluida la jerarqua
de almacenamiento del certificado. Se recomienda slo para usuarios con experiencia.
Si tiene derechos de usuario para hacerlo, puede importar o exportar certificados de cualquier
carpeta del almacn de certificados. Adems, si la clave privada asociada con un certificado est
marcada como disponible para exportar, puede exportar ambos a un archivo PKCS #12.
Windows tambin puede publicar certificados en Servicios de dominio de Active Directory (AD DS).
La publicacin de un certificado en AD DS permite a todos los usuarios o equipos que tengan los
permisos adecuados recuperar el certificado cuando sea necesario.
Almacenes de certificados
Los certificados se pueden mostrar por propsito o por almacenes lgicos, como se indica en la
tabla siguiente. De forma predeterminada, el complemento Certificados muestra los certificados por
almacenes lgicos.
Nota
La lista de almacenes de certificados por propsito no incluye todos los posibles casos.

Mostrar
por
Nombre de
carpeta Contenido
Almacn
lgico
Personal Certificados asociados a las claves privadas a las que tiene
acceso. Son los certificados que se han emitido para usted o
para el equipo o servicio cuyos certificados administra.
Entidades de
certificacin raz
de confianza
Entidades de certificacin de confianza (CA) de forma
implcita. Incluye todos los certificados del almacn de otras
entidades de certificacin raz, adems de los certificados raz
de su organizacin y Microsoft.
Si es un administrador y desea agregar certificados de una
entidad de certificacin que no es de Microsoft a este almacn
para todos los equipos de un dominio de Active Directory,
puede utilizar la directiva de grupo para distribuir certificados
raz de confianza en su organizacin.
Confianza Un contenedor para las listas de certificados de confianza.


empresarial Una lista de certificados de confianza proporciona un
mecanismo para confiar en los certificados raz firmados de
otras organizaciones y limitar los propsitos para los que se
confa en esos certificados.
Entidades de
certificacin
intermedias
Certificados emitidos para entidades de certificacin
subordinadas. Si es administrador, puede usar la directiva de
grupo para distribuir certificados al almacn de entidades de
certificacin intermedias.
Personas de
confianza
Certificados emitidos a personas o entidades finales en las
que se confa de forma explcita. Casi siempre, se trata de
certificados firmados por el propio emisor o certificados que
los que se confa de forma explcita en una aplicacin como
Microsoft Outlook. Si es administrador, puede usar la directiva
de grupo para distribuir certificados al almacn de personas
de confianza.
Otras personas Certificados emitidos a personas o entidades finales en las
que se confa de forma implcita. Estos certificados tienen que
formar parte de una jerarqua de certificados de confianza. En
la mayora de las ocasiones, se trata de certificados
almacenados en la cach para servicios como el Sistema de
cifrado de archivos (EFS), donde los certificados se usan para
crear la autorizacin de descifrado de un archivo cifrado.
Editores de
confianza
Certificados de entidades de certificacin en las que se confa
mediante directivas de restriccin de software. Si es
administrador de dominio, puede usar la directiva de grupo
para distribuir certificados al almacn de editores de
confianza.
Certificados no
permitidos
Son certificados en los que se ha decidido no confiar de forma
explcita mediante la directiva de restriccin de software o
cuando se le presenta la decisin en el correo o en un
explorador web. Si es administrador de dominio, puede usar
la directiva de grupo para distribuir certificados al almacn de
certificados no permitidos.
Entidades de
certificacin raz
de tercero
Certificados raz de confianza de entidades de certificacin
distintas de Microsoft y su organizacin. No puede usar la
directiva de grupo para distribuir certificados al almacn de
entidades de certificacin raz de tercero.


Solicitudes de
inscripcin de
certificado
Solicitudes de certificado pendientes o rechazadas.
Objeto de usuario
de Active
Directory
Certificados asociados a su objeto de usuario y publicados en
AD DS.
Propsito Autenticacin del
servidor
Certificados que los programas servidor usan para
autenticarse ante los equipos cliente.
Autenticacin del
cliente
Certificados que los programas cliente usan para autenticarse
ante los servidores.
Firma de cdigo Certificados asociados a pares de claves usados para firmar
contenido activo.
Correo seguro Certificados asociados a pares de claves usados para firmar
mensajes de correo electrnico.
Sistema de
cifrado de
archivos
Certificados asociados a pares de claves que cifran y
descifran la clave simtrica usada para cifrar y descifrar datos
mediante el EFS.
Recuperacin de
archivos
Certificados asociados a pares de claves que cifran y
descifran la clave simtrica usada para recuperar datos
cifrados mediante el EFS.
Cuando consulte los certificados por almacenes lgicos, ocasionalmente ver lo que parecen ser
dos copias del mismo certificado en el almacn. Esto se debe a que el mismo certificado se
encuentra en almacenes fsicos independientes pertenecientes a un almacn lgico. Cuando el
contenido de los almacenes de certificados fsicos se combina en una vista de almacn lgico, se
muestran ambas instancias del mismo certificado.
Puede comprobarlo al configurar las Opciones de vista de modo que se muestren los Almacenes
fsicos de certificados y, a continuacin, observar si el certificado se almacena en almacenes
fsicos independientes en el mismo almacn lgico. Puede comprobar que es el mismo certificado
mediante la comparacin de los nmeros de serie.

Ms informacin acerca de los almacenes de certificados

Mostrar certificados por almacenes lgicos de certificados


Mostrar certificados segn su propsito


Mover certificados
Ms informacin acerca de los almacenes de certificados
Windows almacena un certificado localmente en el equipo o el dispositivo que lo ha solicitado o, en
el caso de un usuario, en el equipo o el dispositivo que el usuario us para solicitarlo. La ubicacin
de almacenamiento se llama almacn de certificados. Normalmente, un almacn de certificados
tendr muchos certificados, posiblemente emitidos por diferentes entidades de certificacin.
Puede ver los certificados segn su propsito (por ejemplo, Autenticacin del cliente y Firma de
cdigo) o segn los roles lgicos (por ejemplo, Personal, Editoresde confianza o Entidades de
certificacin raz de confianza).
Adems, puede usar las opciones del almacn de certificados para ver los certificados archivados y
la estructura de almacenamiento de los almacenes de certificados.


Los almacenes de certificados lgicos organizan certificados en categoras funcionales lgicas para
usuarios, equipos y servicios. El uso de almacenes de certificados lgicos elimina la necesidad de
almacenar duplicados de objetos de clave pblica comunes, como los certificados raz de
confianza, las listas de certificados de confianza (CTL) y las listas de revocacin de certificados
(CRL) para usuarios, equipos y servicios.
Para mostrar certificados por almacenes de certificados lgicos
2. En el rbol de consola, haga clic en actual, Certificados (equipo local) o en Certificados:
servicio.
3. En el men Ver, haga clic en Opciones.
4. En Organizar el modo de visualizacin por, haga clic en Almacenes lgicos de
certificados y, a continuacin, en Aceptar. El encabezado de la columna Nombre de
almacn lgico aparecer en el panel de detalles.




Cuando vea certificados por almacn lgico, ver ocasionalmente lo que parecen ser dos
copias del mismo certificado en el almacn. Esto se debe a que el mismo certificado se
encuentra en almacenes fsicos independientes pertenecientes a un almacn lgico.
Cuando el contenido de los almacenes de certificados fsicos se combina en una vista de
almacn lgico, se muestran ambas instancias del mismo certificado.

Puede comprobarlo al configurar la opcin de vista de modo que se muestren los
almacenes de certificados fsicos y, a continuacin, observar que el certificado est
almacenado en almacenes fsicos independientes en el mismo almacn lgico. Para
comprobar que es el mismo certificado, compare los nmeros de serie.
Puede ver y revisar los certificados segn su uso (por ejemplo, la autenticacin del cliente o la
recuperacin de claves) y no segn sus roles lgicos.
Para mostrar los certificados segn su propsito
2. En el rbol de consola, haga clic en Certificados: usuario actual, Certificados (equipo
local) o Certificados: servicio.
4. En Organizar el modo de visualizacin por, haga clic en Propsito del certificado y, a
continuacin, en Aceptar. El encabezado de la columna Propsitos planteados aparecer
en el panel de detalles.


MMC.


Ver informacin de certificados
Haga doble clic en un certificado para ver sus propiedades y usos previstos. Esta informacin se
muestra en tres fichas: General, Detalles y Ruta de certificacin.

General (ficha)

Detalles (ficha)

Ruta de certificacin (ficha)
General (ficha)
Puede ver informacin acerca de los campos, las extensiones y las propiedades que definen un
certificado emitido si hace doble clic en uno de los certificados que se muestran en el almacn de
certificados.
Al hacer clic en la ficha General, se proporciona una introduccin general al certificado, incluida la
siguiente informacin:

Usos admitidos del certificado. Informacin de resumen (por ejemplo, acerca de las
aplicaciones, la firma, el cifrado o la autenticacin) relativa al uso del certificado. En esta
seccin se explica tambin si el certificado ha expirado o si no es vlido.

Entidad para la que se emiti el certificado. Nombre del destinatario del certificado. Los
destinatarios pueden ser usuarios finales, equipos o entidades como las entidades de
certificacin (CA).

Emisor del certificado. Nombre de la CA que emiti el certificado.

Perodo de validez del certificado. Empieza en la fecha en que el certificado comienza a
ser vlido y termina en la fecha en que el certificado expira.

Declaracin del emisor. Al hacer clic en el botn Declaracin del emisor, se abre una
ventana independiente que contiene informacin adicional sobre el certificado o una
direccin URL donde se puede obtener informacin adicional.
Detalles (ficha)
La ficha Detalles proporciona la siguiente informacin acerca del certificado:

Versin. Nmero de versin de X.509.


Nmero de serie. Nmero de serie exclusivo que asigna al certificado la entidad de
certificacin (CA) que lo emite. El nmero de serie es exclusivo para todos los certificados
emitidos por una CA determinada.

Algoritmo de firma. Algoritmo hash que la CA usa para firmar digitalmente el certificado.

Emisor. Informacin acerca de la CA que ha emitido el certificado.

Vlido desde. Fecha en que el certificado empieza a ser vlido.

Vlido hasta. Fecha en que el certificado deja de ser vlido.

Asunto. Nombre del usuario, equipo, dispositivo o CA para los que se ha emitido el
certificado. Si la CA emisora existe en un servidor de miembros de dominio en la empresa,
ser un nombre distintivo dentro de ella. De lo contrario, puede ser un nombre completo y
una direccin de correo electrnico u otro identificador personal.

Clave pblica. Tipo de clave pblica y longitud asociada al certificado.

Algoritmo de identificacin. Algoritmo hash que genera una sntesis de datos (o
identificacin) para las firmas digitales.

Huella digital. Sntesis (o identificacin) de los datos del certificado.

Nombre descriptivo. (Opcional) Un nombre para mostrar que se usar en lugar del nombre
en el campo Asunto.

Uso mejorado de claves. (Opcional) Propsitos para los que se puede usar este
certificado.
Existen extensiones X.509 v3 adicionales que pueden usarse en un certificado. Si las hay, tambin
se mostrarn.

Perodos de validez de los certificados

Algoritmos hash

Proveedores de servicios de cifrado

Instrucciones para usar formatos de firma alternativos

Acerca de la validez de los certificados


Cada certificado tiene un perodo de validez. Despus del final de dicho perodo, el
certificado ya no se considera una credencial aceptable ni utilizable.

Puede renovar el certificado con el mismo conjunto de claves que us antes o con un
conjunto de claves nuevo.

Antes de renovar el certificado, debe conocer la CA emisora. (Opcional) Si desea un nuevo
par de clave pblica y privada para el certificado, es necesario saber quin es el proveedor
de servicios de cifrado (CSP) que debe usarse para generar el par de claves.

Para obtener ms informacin, consulte Renovar un certificado con una clave nueva y
Renovar un certificado con la misma clave.

Adems, para renovar los certificados emitidos tanto por CA empresariales como por CA
independientes con las pginas de inscripcin en web de CA, puede pegar el contenido de
un archivo PKCS #7. Para obtener ms informacin, consulte Solicitar un certificado
mediante un archivo PKCS #10 o PKCS #7.

Algoritmos hash


Un algoritmo hash genera un valor hash de un dato, como un mensaje o una clave de
sesin. Con un algoritmo hash correcto, los cambios de los datos de entrada pueden
modificar cada bit del valor hash resultante. Por este motivo, los algoritmos hash resultan
tiles para detectar cualquier modificacin de un objeto de datos como, por ejemplo, un
mensaje. Adems, un buen algoritmo hash hace que sea computacionalmente imposible
crear dos entradas independientes que tengan el mismo valor hash. Entre los algoritmos
hash tpicos se incluyen MD5, SHA-1 y SHA-256.


Ruta de certificacin (ficha)


Si usa la ficha Ruta de certificacin, puede ver la ruta de acceso del certificado
seleccionado las entidades de certificacin (CA) que emiten el certificado.

Antes de confiar en un certificado, Windows debe comprobar si el certificado procede de
una fuente confiable. Este proceso de comprobacin se llama validacin de ruta.

La validacin de ruta implica el procesamiento de certificados de clave pblica, y el emisor
certifica de forma jerrquica hasta que la ruta de certificacin termina en un certificado
autofirmado de confianza. Normalmente, se trata de un certificado de CA raz. Si hay un
problema con uno de los certificados de la ruta o si no se encuentra un certificado, se
considera que la ruta de certificacin no es de confianza.

Una ruta de certificacin tpica incluye un certificado raz y uno o ms certificados
intermedios. Al hacer clic en Ver certificado, puede obtener ms informacin acerca de los
certificados para cada CA de la ruta.
Ver las propiedades del certificado
El cuadro de dilogo Propiedades de certificado muestra los valores de las propiedades de
certificado en cuatro fichas.

Propiedades de certificado: ficha General

Propiedades del certificado: ficha Certificados cruzados

Ficha OCSP de propiedades de certificado

Ficha Validacin extendida de Propiedades de certificado

Propiedades de certificado: ficha General



La ficha General se puede usar para proporcionar un nombre para mostrar y una
descripcin que ayuden a diferenciar dos certificados que son similares, por ejemplo dos
certificados de firma nicos.

Tambin se puede usar la ficha General para habilitar o deshabilitar propsitos o usos
especficos del certificado.
Nota
Solo se pueden agregar propsitos permitidos segn las instrucciones y restricciones impuestas
al emitir el certificado por primera vez.
Propiedades del certificado: ficha Certificados cruzados
Los certificados cruzados se usan para establecer la confianza entre jerarquas de certificacin
independientes; por ejemplo, en redes independientes o en partes de una red. En estos casos, los
certificados cruzados se suelen configurar para:

Definir los espacios de nombres para los que los certificados emitidos en una jerarqua de
certificacin se pueden usar y aceptar en la segunda jerarqua.

Especificar los usos admisibles de los certificados emitidos por una entidad de certificacin
(CA) de certificados cruzados.

Definir las prcticas de emisin que se deben seguir para un certificado emitido por una CA
de certificados cruzados con el fin de que se considere vlido en la otra jerarqua.

Crear una confianza administrada entre jerarquas de certificacin independientes.
La ficha Certificados cruzados se puede usar para agregar las ubicaciones de descarga de
certificados cruzados.
Si se usan certificados cruzados, en la informacin de la ficha Certificados cruzados se describe
qu tipos de restricciones se aplicaron, si procede.
Los certificados cruzados se pueden usar en entornos de intranet y extranet.
Ficha OCSP de propiedades de certificado
Los administradores usan la ficha OCSP para agregar direcciones URL del Respondedor del
Protocolo de estado de certificados en lnea (OCSP) a certificados de la entidad de certificacin
(CA) emisora, que se distribuyen mediante la directiva de grupo a miembros del dominio de Active
Directory. Esto permite a las organizaciones agregar Respondedores de OCSP a una
infraestructura de clave pblica (PKI) existente sin tener que volver a emitir el certificado de CA o
cualquier certificado emitido anteriormente por la CA. Las direcciones URL del Respondedor de
OCSP proporcionadas de este modo se usan para comprobar el estado de revocacin de los
certificados emitidos por la CA.
Para poder completar este procedimiento, debe pertenecer como mnimo al grupo
Administradores de organizacin.


Para agregar una direccin URL del Respondedor de OCSP a un certificado de CA
1. Haga clic en Inicio y, a continuacin, en Ejecutar. Escriba gpmc.msc y, a continuacin,
haga clic en Aceptar para abrir la Consola de administracin de directivas de grupo
(GPMC).
2. En el rbol de consola, expanda el bosque y el dominio que contienen la directiva que
desea modificar y, a continuacin, haga clic en Objetos de directiva de grupo.
4. En el rbol de consola, en Configuracin del equipo, expanda Directivas, Configuracin
de Windows, Configuracin de seguridad, Directivas de clave pblica y Entidades de
certificacin intermedias.
5. Si no se muestra ningn certificado de CA, exporte el certificado de CA desde la CA
emisora e imprtelo en Entidades de certificacin intermedias. Vea Exportar un
certificado.
6. Haga clic con el botn secundario en el certificado de CA, haga clic en Propiedades y, a
continuacin, haga clic en la ficha OCSP.
7. Escriba una direccin URL del Respondedor de OCSP y haga clic en Agregar URL.
8. Si desea impedir que los miembros de dominio descarguen las CRL de las ubicaciones de
puntos de distribucin de CRL especificadas en los certificados emitidos, active la casilla
Deshabilitar listas de revocacin de certificados (CRL).
Precaucin
No se recomienda deshabilitar las CRL. El OCSP tiene prioridad sobre las CRL cuando se
proporcionan direcciones URL para ambos. Sin embargo, el proceso de comprobacin de
revocacin determina cundo la descarga y el almacenamiento en cach de una nica CRL es
ms eficaz que varias solicitudes de OCSP.
9. Haga clic en Aceptar para guardar los cambios.
Nota
Los miembros del dominio aplican los cambios en la directiva de grupo peridicamente segn el
intervalo de actualizacin de la directiva de grupo, durante el inicio del equipo y durante el inicio
de sesin de usuario. El intervalo de actualizacin predeterminado es de 90 minutos. Para
actualizar inmediatamente la directiva de grupo en un miembro del dominio, ejecute el comando
Gpupdate.


Ficha Validacin extendida de Propiedades de certificado
Los administradores usan la ficha Validacin extendida para agregar una directiva de certificado
de validacin extendida para certificados raz que se distribuyen por directiva de grupo. La adicin
de la directiva de certificado de validacin extendida a certificados raz y certificados emitidos para
sitios web de Intranet ofrece un indicador visual de que un sitio es de confianza.
Estos procedimientos se deben completar para usar certificados de validacin extendida para sitios
web de Intranet.
1. Agregue una directiva de certificado de validacin extendida a una plantilla de certificado.
2. Agregue una directiva de certificado de validacin extendida a un certificado raz.
3. Emita certificados de validacin extendida para sitios web de Intranet.
Adicin de una directiva de certificado de validacin extendida a una plantilla de certificado
Adems del certificado raz, la directiva de certificado de validacin extendida tambin se debe
incluir en certificados emitidos para sitios web de la intranet y en todos los certificados de entidad
de certificacin (CA) de emisin en la ruta de acceso de certificacin.
En este procedimiento, puede modificar una plantilla de certificado que se usa para emitir
certificados de servidor web en la organizacin o cualquier plantilla de certificado que cumpla los
siguientes requisitos.

La plantilla de certificado es de la versin 2 o de la versin 3.

El propsito del certificado incluye la firma y el cifrado.

La extensin de la directiva de aplicacin incluye la autenticacin del servidor.
La CA de emisin debe cumplir los requisitos siguientes:

La ruta de certificacin del certificado de CA de emisin incluye un certificado raz que
incluye una directiva de certificado de validacin extendida.

El certificado de CA de emisin incluye la directiva Todas las directivas de emisin o la
directiva de certificado de validacin extendida.

La CA de emisin es una CA empresarial.
Para poder completar este procedimiento, el requisito mnimo es pertenecer al grupo
Administradores de empresas.
Para agregar una directiva de certificado de validacin extendida a una plantilla de
certificado


1. En la CA de emisin, abra el Administrador del servidor. En el rbol de consola, expanda
Roles, expanda Servicios de certificados de Active Directory y, a continuacin, haga clic
en Plantillas de certificado.
2. Haga doble clic en una plantilla que se use para emitir certificados para sitios web de
Intranet.
3. Haga clic en la ficha Extensiones.
4. Haga clic en Directivas de aplicacin y, a continuacin, haga clic en Editar para abrir el
cuadro de dilogo Editar extensin de directivas de aplicacin.
5. Haga clic en Agregar para abrir el cuadro de dilogo Agregar directivas de aplicacin.
6. Haga clic en Nueva para abrir el cuadro de dilogo Nueva directiva de aplicacin.
7. Escriba un nombre para la directiva de certificado de validacin extendida. El nombre
aparecer en las extensiones de certificados emitidos y en las propiedades de plantilla del
complemento Plantillas de certificado.
8. Un valor de identificador de objeto nico (denominado tambin OID) se genera
automticamente. Copie el valor del identificador de objeto para usarlo en el siguiente
procedimiento. Haga clic en Aceptar.
9. En la lista Directivas de aplicacin, seleccione la directiva que ha creado. Haga clic en
Aceptar.
10. Haga clic en Aceptar para guardar la extensin de directiva de aplicacin. En la ficha
Extensiones, compruebe que la directiva de certificado de validacin extendida aparece en
el cuadro Descripcin de directivas de aplicacin.
11. Haga clic en la ficha Seguridad. Compruebe que los grupos o usuarios que solicitan
certificados para sitios web de la intranet tiene los permisos Leer e Inscribir.
12. Haga clic en Aceptar para guardar la plantilla de certificado.
13. En el rbol de consola, haga doble clic en la CA.
14. En el rbol de consola, haga clic con el botn secundario en Plantillas de certificado, haga
clic en Nueva y, a continuacin, haga clic en Plantilla de certificado que se va a emitir
para abrir el cuadro de dilogo Habilitar plantillas de certificados.
15. Seleccione la plantilla de certificado con la directiva de certificado de validacin extendida y
haga clic en Aceptar.


Adicin de una directiva de certificado de validacin extendida a un certificado raz
Para poder completar este procedimiento, el requisito mnimo es pertenecer al grupo
Administradores de empresas.
Para agregar una directiva de certificado de validacin extendida a un certificado raz
1. Haga clic en Inicio y, a continuacin, en Ejecutar. Escriba gpmc.msc y haga clic en
Aceptar para abrir la Consola de administracin de directivas de grupo (GPMC).
2. En el rbol de consola, expanda el bosque y el dominio que contiene la directiva que desea
editar y, a continuacin, haga clic en Objetos de directiva de grupo.
4. En el rbol de consola, en Configuracin del equipo, expanda Directivas, Configuracin
de Windows, Configuracin de seguridad, Directivas de clave pblica y Entidades de
certificacin raz de confianza.
5. Si no se muestra ningn certificado raz, exporte el certificado de CA de la CA raz e importe
el certificado en Entidades de certificacin raz de confianza. Vea Exportar un certificado.
6. Haga clic con el botn secundario en el certificado raz, haga clic en Propiedades y, a
continuacin, haga clic en la ficha Validacin extendida.
7. Escriba un valor de identificador de objeto que represente la directiva de certificado de
validacin extendida en la organizacin. Si ha creado la directiva de certificado de validacin
extendida con el procedimiento anterior, use el mismo valor de identificador de objeto.
8. Haga clic en Agregar OID y, a continuacin, haga clic en Aceptar para guardar los
cambios.
Nota
Los cambios de la directiva de grupo se aplican por miembros de dominio peridicamente
segn el intervalo de actualizacin de la directiva de grupo, durante el inicio del equipo y
durante el inicio de sesin del usuario. El intervalo de actualizacin predeterminado es de 90
minutos. Para actualizar inmediatamente la directiva de grupo en un miembro del dominio,
ejecute el comando Gpupdate.

Ver los certificados en un archivo PKCS #7
Si se exportan y guardan varios certificados como archivos PKCS #7 o si ha pasado algn tiempo
desde la creacin del ltimo archivo, puede que no sea obvio qu certificados contiene un archivo


PKCS #7. El siguiente procedimiento permite revisar los certificados incluidos en un archivo
PKCS #7.
Para poder completar este procedimiento debe pertenecer como mnimo al grupo Usuarios o
Administradores local. Revise los detalles en la seccin "Consideraciones adicionales" de este
tema.
Para ver los certificados de un archivo #PKCS #7
1. Abra el Explorador de Windows.
2. Busque el archivo PKCS #7 que contiene los certificados que desea ver.
3. En el panel de detalles, haga doble clic en el archivo PKCS #7.
4. En el rbol de la consola, haga doble clic en la carpeta que contiene el archivo PKCS #7 y,
a continuacin, haga clic en Certificados. Los certificados que contiene el archivo PKCS #7
se mostrarn en el panel de detalles.

Normalmente, un archivo PKCS #7 tiene la extensin de archivo .p7b, pero no siempre es
as. Como con cualquier otro archivo de datos, el creador del archivo tiene control sobre el
nombre y sobre si se usa o no esta extensin.
Los certificados archivados son certificados que han expirado o que se han renovado. En muchos
casos, es conveniente conservar los certificados archivados, en vez de eliminarlos. Por ejemplo,
podra mantener un certificado archivado para comprobar las firmas digitales de los documentos
antiguos que se firmaron con la clave del certificado que ahora se ha renovado o ha expirado.
Para completar este procedimiento, el requisito mnimo es la pertenencia al grupo Usuarios o
Administradores locales. Revise los detalles de "Consideraciones adicionales" en este tema.
Para mostrar certificados archivados
3. En Mostrar lo siguiente, active la casilla Certificados archivados y haga clic en Aceptar.
4. Haga clic en uno de los almacenes de certificados. En el panel de detalles, los certificados
archivados se identifican con el atributo A en la columna Estado.


Ver detalles de la lista de revocacin de certificados



Las listas de revocacin de certificados (CRL) se usan para distribuir informacin acerca de
los certificados revocados a los usuarios, los equipos y las aplicaciones que intentan
comprobar la validez de los certificados.

En la ficha Lista de revocacin se incluyen los nmeros de serie de los certificados
revocados y la fecha de la revocacin. El campo Entrada de revocacin tambin puede
proporcionar informacin acerca de la razn por el que se revoc el certificado.

En la ficha General se proporciona informacin adicional acerca de la CRL, incluidos la CA
que emiti la CRL, la fecha en la que se emiti, la fecha en que se emitir la siguiente CRL
y el nombre del punto de distribucin CRL.
Modificar las propiedades de un certificado
Puede modificar las propiedades de un certificado por varios motivos:

Adicin o modificacin de un nombre para mostrar para ayudar a distinguirlo de otros
certificados similares.

Cambio del propsito del certificado mediante la adicin o la deshabilitacin de propsitos.

Especificacin de ubicaciones de descarga de certificados cruzados.
completar este procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
Para modificar las propiedades de un certificado
2. En el rbol de consola en el almacn lgico donde se almacena el certificado que desea
mover, haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que desea modificar.
4. En el men Accin, haga clic en Propiedades.
5. Realice los cambios deseados:
a. Para cambiar el nombre para mostrar de un certificado, en Nombre descriptivo,
escriba el nombre nuevo.
b. Para cambiar la descripcin del certificado, en Descripcin, escriba la descripcin
nueva.
c. Para habilitar todos los propsitos del certificado, en Propsitos de certificado,
haga clic en Habilitar todos los propsitos para este certificado.
d. Para deshabilitar todos los propsitos del certificado, en Propsitos de certificado,
haga clic en Deshabilitar todos los propsitos para este certificado.


e. Para designar un propsito especfico para el certificado, en Propsitos de
certificado, haga clic en Habilitar slo los siguientes propsitos y seleccione las
casillas correspondientes.
f. Para modificar las propiedades de los certificados cruzados, haga clic en la ficha
Certificados cruzados, haga clic en Especifique ubicaciones adicionales de
certificados cruzados, escriba la direccin URL en que se pueden obtener los
certificados cruzados y haga clic en Agregar direccin URL.
g. Haga clic en Aceptar para aceptar todos los cambios.

emitidos para un equipo o un servicio solo los puede administrar un administrador.
Eliminar un certificado
Los certificados pueden quedarse obsoletos por una serie de motivos (por ejemplo, si se ponen en
peligro, se daan o se sustituyen por un certificado nuevo). No obstante, aunque el certificado se
elimine, no se elimina la clave privada correspondiente.
Importante
Antes de eliminar un certificado, asegrese de que no va a necesitarlo ms adelante para
propsitos como la lectura de documentos anteriores cifrados con la clave privada del
certificado.
Para eliminar un certificado
2. En el rbol de consola, en el almacn lgico que contenga el certificado que vaya a eliminar,
haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que desee eliminar. Para seleccionar
varios certificados, mantenga presionada la tecla CTRL y haga clic en cada certificado.
4. En el men Accin, haga clic en Eliminar.
5. Haga clic en S si est seguro de que desea eliminar de forma definitiva el certificado.


emitidos para un equipo o un servicio solamente los puede administrar un administrador o
un usuario que tenga los permisos correspondientes.


Puede ser recomendable exportar el certificado para hacer una copia de seguridad antes de
eliminarlo. Para obtener informacin acerca del procedimiento para exportar un certificado,
vea Exportar un certificado.
Buscar certificados
El cuadro Buscar certificados permite encontrar certificados segn los criterios que especifique.
Administradores local. Revise los detalles en "Consideraciones adicionales" de este tema.
Para buscar un certificado
1. En el rbol de consola, haga clic en el nodo superior Certificados de un usuario, un equipo
o un servicio.
2. En el men Accin, haga clic en Buscar certificados.
3. Escriba la informacin solicitada. Estn disponibles las opciones siguientes:

Buscar en. Busca en un almacn de certificados determinado o en todos ellos.

Buscar en el campo. Permite limitar una bsqueda a uno de los siguientes campos:

Emitido por. El nombre o parte del nombre del emisor.

Emitido para. El nombre o parte del nombre de la entidad para la que se emiti el
certificado.

Hash MD5. El valor de huella digital o parte del valor de huella digital del hash
MD5 usado para este certificado.

Nmero de serie. El nmero de serie o parte del nmero de serie del certificado.

Hash SHA1. El valor de huella digital o parte del valor de huella digital del hash
SHA1 usado para este certificado.

Contiene. El nombre, parte del nombre, el nmero de serie, parte del nmero de
serie, el valor de huella digital o parte del valor de huella digital que desee buscar.
4. Despus de especificar la informacin necesaria, haga clic en Buscar ahora.



emitidos para un equipo o un servicio solamente los puede administrar un administrador o
un usuario que tenga los permisos correspondientes.
Mover certificados
Muchas aplicaciones buscan un certificado slo en un almacn de certificados. Si el certificado no
se encuentra en el almacn de certificados que necesita, puede moverlo de un almacn a otro.
Para mover un certificado
2. En el almacn lgico donde se almacena el certificado que desea mover, haga clic en
Certificados.
3. En el panel de detalles, haga clic en el certificado que est moviendo. (Para seleccionar
ms de un certificado, mantenga presionada la tecla CTRL y haga clic en cada certificado).
4. En el men Accin, haga clic en Cortar.
5. En el rbol de consola, haga clic en el almacn lgico al que desea mover el certificado.
6. En el men Accin, haga clic en Pegar.



En el complemento Certificados, solo puede mover un objeto dentro de los almacenes de
certificados. Por ejemplo, no puede mover un objeto a una carpeta en el Explorador de
Windows. Para mover un certificado a o desde una carpeta del sistema de archivos o de un
dispositivo de almacenamiento extrable, vea Importar un certificado, Exportar un certificado
y Exportar un certificado con la clave privada.
Importar un certificado


Slo debe importar los certificados obtenidos de fuentes de confianza. Importar un certificado no
confiable podra comprometer la seguridad de cualquier componente del sistema que usara el
certificado importado.
Puede importar un certificado en cualquier almacn lgico o fsico. En la mayora de los casos,
importar los certificados en el almacn personal o en el almacn de las entidades de certificacin
raz de confianza, en funcin de si el certificado es para usted o si es un certificado de entidad de
certificacin (CA) raz.
Para importar un certificado
2. En el rbol de consola, haga clic en el almacn lgico en el que desee importar el
certificado.
3. En el men Accin, seleccione Todas las tareas y haga clic en Importar para iniciar el
Asistente para importacin de certificados.
4. Escriba el nombre del archivo que contiene el certificado que se va a importar. (Tambin
puede hacer clic en Examinar y navegar hasta el archivo).
5. Si es un archivo PKCS #12, haga lo siguiente:

Escriba la contrasea usada para cifrar la clave privada.

(Opcional) Si desea poder usar la proteccin de clave privada segura, active la
casilla Habilitar la proteccin segura de clave privada.

(Opcional) si desea realizar una copia de seguridad o transportar sus claves
posteriormente, active la casilla Marcar esta clave como exportable.

Si el certificado debe colocarse automticamente en un almacn de certificados
segn el tipo de certificado, haga clic en Seleccionar automticamente el almacn
de certificados en base al tipo de certificado.

Si desea especificar dnde se almacena el certificado, seleccione Colocar todos
los certificados en el siguiente almacn, haga clic en Examinar y seleccione el
almacn de certificados que desee usar.



MMC.

Al habilitar la proteccin de claves privadas seguras se asegurar de que se pida una
contrasea cada vez que se use la clave privada. Esto es til si desea asegurarse de que la
clave privada no se usa sin su conocimiento.

El archivo del que importa los certificados permanecer intacto despus de que haya
terminado de importar los certificados. Puede usar el Explorador de Windows para eliminar
el archivo si ya no lo necesita.
Exportar un certificado
Puede exportar un certificado para importar una copia a otro equipo o dispositivo o para almacenar
una copia en una ubicacin segura.
Si va a exportar certificados para importarlos en un equipo en el que se ejecuta Windows, PKCS #7
es el formato de exportacin preferido. Este formato conserva la cadena de entidades de
certificacin (la ruta de certificacin) de cualquier certificado que incluya contrafirmas asociadas a
las firmas.
Si va a exportar certificados para importarlos a un equipo en el que se ejecuta otro sistema
operativo, es posible que el formato PKCS #7 est admitido. Si no est admitido, se proporcionan
el formato binario codificado con DER o el formato codificado en base 64 para asegurar la
interoperabilidad.
Para completar este procedimiento hay que pertenecer como mnimo al grupo Usuarios o
Para exportar un certificado
2. En el rbol de consola, en el almacn lgico que contiene el certificado que se va a
exportar, haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que desee exportar.
4. En el men Accin, seleccione Todas las tareas y haga clic en Exportar.
5. En el Asistente para exportacin de certificados, haga clic en No exportar la clave privada.
(Esta opcin solo aparecer si la clave privada est marcada como exportable y tiene
acceso a ella).
6. Proporcione la informacin siguiente en el Asistente para exportacin de certificados:

Haga clic en el formato de archivo que desee usar para almacenar el certificado
exportado: un archivo codificado mediante DER, un archivo codificado base 64 o un
archivo PKCS #7.


Si exporta el certificado a un archivo PKCS #7, tambin puede incluir todos los
certificados de la ruta de certificacin.
7. Si es necesario, en Contrasea, escriba una contrasea para cifrar la clave privada que va
a exportar. En Confirmar contrasea, escriba la contrasea otra vez y haga clic en
Siguiente.
8. En Nombre de archivo, escriba el nombre y la ruta de acceso del archivo PKCS #7 en el
que se almacenarn el certificado exportado y la clave privada. Haga clic en Siguiente y,
despus, en Finalizar.


MMC.

Despus de finalizar el Asistente para exportacin de certificados, el certificado
permanecer en el almacn de certificados, adems de en el nuevo archivo. Si desea quitar
el certificado del almacn de certificados, tendr que eliminarlo.
Exportar un certificado con la clave privada
En algunos casos puede que desee exportar un certificado con su clave privada para almacenarlo
en un medio extrable o para su uso en otro equipo. Hay algunas restricciones para este
procedimiento:

Una clave privada solo se puede exportar cuando se especifica en la solicitud de certificado
o la plantilla de certificado utilizadas para crear el certificado.

De forma predeterminada, la proteccin de alto nivel (tambin conocida como iteration
count) est habilitada en el Asistente para exportacin de certificados cuando se exporta un
certificado con su clave privada asociada. La proteccin segura no es compatible con
algunos programas, por lo que deber desactivar la casilla Permitir proteccin segura si
utiliza la clave privada con algn programa que no sea compatible con la proteccin segura.
Para exportar un certificado con la clave privada


2. En el rbol de consola, en el almacn lgico que contenga el certificado que vaya a
exportar, haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que desee exportar.
4. En el men Accin, seleccione Todas las tareas y haga clic en Exportar.
5. En el Asistente para exportacin de certificados, haga clic en Exportar la clave privada.
(Esta opcin slo aparecer si la clave privada est marcada como exportable y tiene
acceso a ella).
6. En Formato de archivo de exportacin, realice alguna de las siguientes acciones y, a
continuacin, haga clic en Siguiente.

Para incluir todos los certificados en la ruta de certificacin, active la casilla Si es
posible, incluir todos los certificados en la ruta de acceso de certificacin.

Para eliminar la clave privada si la exportacin es correcta, active la Eliminar la
clave privada si la exportacin es correcta.

Para exportar las propiedades extendidas del certificado, active la casilla Exportar
todas las propiedades extendidas.
7. En Contrasea, escriba una contrasea para cifrar la clave privada que va a exportar. En
Confirmar contrasea, escriba la contrasea otra vez y haga clic en Siguiente.
8. En Nombre de archivo, escriba el nombre y la ruta de acceso del archivo PKCS #12 que
almacenar el certificado exportado y la clave privada. Haga clic en Siguiente y, despus,
en Finalizar.
Despus de finalizar el Asistente para exportacin de certificados, el certificado permanecer en el
almacn de certificados adems de incluirse en el archivo recin creado. Si desea quitar el
certificado del almacn de certificados, tendr que eliminarlo.

Automatizar la administracin de certificados
La administracin de certificados de forma individual puede ser una tarea laboriosa, si no imposible.
Muchas organizaciones administran los certificados con la configuracin de directiva de grupo
establecida en un servidor y aplicada a los equipos cliente de un dominio, un grupo o una unidad
organizativa. Las siguientes opciones se pueden ver en un equipo cliente, aunque se suelen
configurar en un servidor.


Credenciales mviles

Validacin de rutas de certificados
Credenciales mviles
Las credenciales mviles permiten a las organizaciones administrar certificados y claves privadas
en Servicios de dominio de Active Directory (AD DS), adems de informacin acerca del estado de
la aplicacin o la configuracin.
Cmo funcionan las credenciales mviles
Las credenciales mviles usan los mecanismos de inscripcin automtica e inicio de sesin para
descargar certificados y claves de forma segura en un equipo local siempre que el usuario inicie
una sesin y, si se desea, quitarlos cuando el usuario cierra la sesin. Adems, la integridad de
estas credenciales se mantiene en todas las condiciones, incluso cuando se actualizan los
certificados o cuando los usuarios inician una sesin en ms de un equipo al mismo tiempo.
En el procedimiento siguiente se describe el funcionamiento de las credenciales digitales mviles.
1. Un usuario inicia una sesin en un equipo cliente conectado a un dominio de Active
Directory.
2. Como parte del proceso de inicio de sesin, se aplica la directiva de grupo de credenciales
mviles al equipo del usuario.
3. Si es la primera vez que se usan las credenciales mviles, los certificados del almacn de
certificados del usuario en el equipo cliente se copian en AD DS.
4. Si el usuario ya tiene certificados en AD DS, los certificados del almacn de certificados del
usuario del equipo cliente se comparan con los certificados almacenados para el usuario en
AD DS.
5. Si los certificados del almacn de certificados del usuario estn actualizados, no se realiza
ninguna otra accin. Sin embargo, si AD DS tiene almacenados certificados ms recientes
para el usuario, estas credenciales se copian en el equipo cliente. Sin embargo, si el equipo
cliente tiene almacenados certificados ms recientes para el usuario, estas credenciales se
copian en AD DS.
6. Si se necesitan certificados adicionales en el equipo cliente, se procesan las solicitudes de
inscripcin automtica de certificados pendientes.
Nota
Los certificados recin emitidos se almacenan en el almacn de certificados del equipo cliente y


se replican en AD DS.
7. Cuando el usuario inicia una sesin en otro equipo cliente conectado al dominio, se aplica la
misma configuracin de directiva de grupo y, una vez ms, las credenciales se replican
desde AD DS. Las credenciales mviles sincronizan y resuelven los posibles conflictos entre
los certificados y las claves privadas de los equipos cliente en los que inicie una sesin el
usuario, as como en AD DS.
Importante
Es posible que en los entornos con mltiples dominios y en los dominios con varios
controladores de dominio, las credenciales no estn inmediatamente disponibles cuando el
usuario inicia una sesin en la red con un controlador de dominio justo despus de haberse
emitido un certificado en un equipo que valida la identidad del usuario con otro controlador de
dominio. Las credenciales solo estarn disponibles cuando haya finalizado la replicacin entre
los dos dominios o controladores de dominio.
8. Cuando el certificado del usuario expira, el certificado antiguo se archiva automticamente
en el perfil del usuario en el equipo y en AD DS.
Las credenciales mviles se activan cada vez que cambia una clave privada o un certificado en el
almacn de certificados local del usuario, siempre que el usuario bloquea o desbloquea su equipo,
y siempre que se actualiza la directiva de grupo.
Se firman y se cifran todas las comunicaciones relacionadas con los certificados entre los
componentes del equipo local y entre el equipo local y AD DS.
Validacin de rutas de certificados
Dado que el uso de certificados para una comunicacin segura y para la proteccin de los datos va
en aumento, los administradores pueden usar la directiva de certificado de confianza para
aumentar el control del uso de los certificados y el rendimiento de la infraestructura de claves
pblicas mediante el uso de la configuracin de validacin de rutas de certificados.
La configuracin de validacin de rutas de certificados en la directiva de grupo permite a los
administradores:

Administrar certificados raz de confianza. Esta configuracin de directiva permite controlar
en qu certificados de entidad de certificacin (CA) raz y en qu certificados de confianza
del mismo nivel de los almacenes de certificados de usuario y certificados raz se puede
confiar.

Administrar editores de confianza. Esta configuracin de directiva controla qu certificados
de firma de cdigo (Authenticode) se pueden aceptar para su uso en la organizacin y
bloquea los certificados que no son de confianza segn la directiva.


Administrar la recuperacin de red y la validacin de rutas. Esta configuracin de directiva
se puede usar para compensar situaciones en las que se produce un error de descarga de
una lista de revocacin de certificados (CRL) porque la CRL es demasiado grande y las
condiciones de red no son ptimas.

Directiva de administracin de comprobacin de revocacin. Esta configuracin de directiva
se puede usar para coordinar el uso de CRL y Respondedores en lnea durante la
comprobacin de revocacin. Esta opcin tambin permite al administrador ampliar la
vigencia de las duraciones recibidas de un Respondedor en lnea o una CRL.
Administrar certificados raz de confianza
Debido al creciente nmero de certificados que se usan en la actualidad y de emisiones de
certificados, algunas organizaciones administran los certificados de confianza e impiden a los
usuarios del dominio configurar su propio conjunto de certificados raz de confianza. Adems,
puede que algunas organizaciones deseen identificar y distribuir certificados raz de confianza
especficos para habilitar escenarios empresariales en los que son necesarias las relaciones de
confianza.
Este tema incluye procedimientos para las siguientes tareas:

Administrar certificados raz de confianza en un equipo local

Administrar certificados raz de confianza en un dominio

Agregar certificados al almacn de entidades de certificacin raz de confianza en un equipo
local

Agregar certificados al almacn de entidades de certificacin raz de confianza en un
dominio
Administrar certificados raz de confianza en un equipo local
Para poder completar este procedimiento debe pertenecer como mnimo al grupo
Administradores.
Para administrar certificados raz de confianza en un equipo local
1. Haga clic en Inicio y en Iniciar bsqueda, escriba mmc y, a continuacin, presione
ENTRAR.
3. En Complementos disponibles, haga clic en Editor de objetos de directiva de grupo
local,haga clic en Agregar, seleccione el equipo cuyo objeto de directiva de grupo (GPO)
local desee editar y, a continuacin, haga clic en Finalizar.


5. En el rbol de consola, vaya a Directiva de equipo local, Configuracin de equipo,
Configuracin de Windows, Configuracin de seguridad y, a continuacin, haga clic en
Directivas de clave pblica.
6. Haga doble clic en Configuracin de validacin de rutas de certificadosy, a
continuacin,haga clic en la ficha Almacenes.
7. Active la casilla Definir esta configuracin de directiva.
8. En Almacenes de certificados por usuario, desactive las casillas Permitir el uso de
entidades de certificacin raz para validar certificados y Permitir que los usuarios
confen en certificados de confianza del mismo nivel.
9. En Almacenes de certificados raz, seleccione la entidad de certificacin raz en la que los
equipos cliente pueden confiar y, a continuacin, haga clic en Aceptar para aplicar la nueva
configuracin.
Administrar certificados raz de confianza en un dominio
dominio.
Para administrar certificados raz de confianza en un dominio
1. Abra Administrador del servidor y, en Resumen de caractersticas, haga clic en
Agregar caractersticas. Active la casilla Administracin de directivas de grupo, haga
clic en Siguiente y, a continuacin, haga clic en Instalar.
2. Una vez que la pgina Resultados de la instalacin muestra que la instalacin de la
Consola de administracin de directivas de grupo (GPMC) es correcta, haga clic en Cerrar.
3. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic
en Administracin de directivas de grupo.
4. En el rbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y
dominio que contiene el GPO de la Directiva de dominio predeterminada que desea
editar.
5. Haga clic con el botn secundario en el GPO de la Directiva de dominio predeterminada
y, a continuacin, haga clic en Editar.
6. En GPMC, vaya a Configuracin del equipo, Configuracin de Windows,
Configuracin de seguridad y haga clic en Directivas de clave pblica.


7. Haga doble clic en Configuracin de validacin de rutas de certificados y, a
continuacin, haga clic en la ficha Almacenes.
9. En Almacenes de certificados por usuario, desactive las casillasPermitir el uso de
entidades de certificacin raz para validar certificados y Permitir que los usuarios
confen en certificados de confianza del mismo nivel.
10. En Almacenes de certificados raz, seleccione la entidad de certificacin raz en la que los
equipos cliente pueden confiar y, a continuacin, haga clic en Aceptar para aplicar la nueva
configuracin.
Agregar certificados al almacn de entidades de certificacin raz de confianza en un equipo
local
Para poder completar este procedimiento, debe pertenecer como mnimo al grupo
Administradores.
Para agregar certificados al almacn de entidades de certificacin raz de confianza en un
equipo local
1. Haga clic en Inicio y en Iniciar bsqueda, escriba mmc y, a continuacin, presione
ENTRAR.
3. En Complementos disponibles, haga clic en Certificados y,a continuacin, haga clic en
Agregar.
4. En Este complemento administrar siempre certificados de, haga clic en Cuenta de
equipo y, a continuacin, en Siguiente.
5. Haga clic en Equipo local y en Finalizar.
7. En el rbol de consola, haga doble clic en Certificados.
8. Haga clic con el botn secundario en el almacn Entidades de certificacin raz de
confianza.
9. Haga clic en Importar para importar los certificados y siga los pasos del Asistente para
importacin de certificados.
Agregar certificados al almacn de entidades de certificacin raz de confianza en un
dominio


dominio.
Para agregar certificados al almacn de entidades de certificacin raz de confianza en un
dominio
1. Abra Administrador del servidor y, en Resumen de caractersticas, haga clic en
Agregar caractersticas. Active la casilla Administracin de directivas de grupo, haga
clic en Siguiente y, a continuacin, haga clic en Instalar.
2. Una vez que la pgina Resultados de la instalacin muestra que la instalacin de GPMC
es correcta, haga clic en Cerrar.
editar.
6. En GPMC, vaya a Configuracin del equipo, Configuracin de Windows,
Configuracin de seguridad y haga clic en Directivas de clave pblica.
7. Haga clic con el botn secundario en el almacn Entidades de certificacin raz de
confianza.
8. Haga clic en Importar y siga los pasos del Asistente para importacin de certificados para
importar los certificados.
Administrar editores de confianza
La firma de software se usa cada vez ms entre los editores de software y los programadores para
comprobar si las aplicaciones proceden de un origen de confianza. No obstante, muchos usuarios
no entienden o prestan poca atencin a los certificados de firma asociados a las aplicaciones que
instalan.
La configuracin de directiva de la ficha Editores de confianza de la directiva de validacin de
rutas de certificados permite a los administradores controlar qu certificados se pueden aceptar
como procedentes de un editor de confianza.

Establecer la configuracin de la directiva Editores de confianza en un equipo local


Establecer la configuracin de la directiva Editores de confianza en un dominio

Permitir que solo los administradores puedan administrar los certificados usados para la
firma de cdigo en un equipo local

firma de cdigo en un dominio
Establecer la configuracin de la directiva Editores de confianza en un equipo local
Administradores.
Para establecer la configuracin de la directiva Editores de confianza en un equipo local
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a
2. En el rbol de consola, en Directiva de equipo local\Configuracin del
equipo\Configuracin de Windows\Configuracin de seguridad, haga clic en Directivas
de clave pblica.
continuacin, haga clic en la ficha Editores de confianza.
4. Active la casilla Definir esta configuracin de directiva, seleccione la configuracin de
directiva que desea aplicar y, a continuacin, haga clic en Aceptar para aplicar la nueva
configuracin.
Establecer la configuracin de la directiva Editores de confianza en un dominio
dominio.
Para establecer la configuracin de la directiva Editores de confianza en un dominio
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en
Administrador de servidores.
2. En Resumen de caractersticas, haga clic en Agregar caractersticas. Active la casilla
Administracin de directivas de grupo, haga clic en Siguiente y, a continuacin, haga
clic en Instalar.


dominio que contiene el objeto de directiva de grupo (GPO) de la Directiva
predeterminada de dominio que desea editar.
7. En el rbol de consola, en Configuracin del equipo\Configuracin de
9. Active la casilla Definir esta configuracin de directiva, seleccione la configuracin de
configuracin.
firma de cdigo en un equipo local
Administradores.
Para que slo los administradores puedan administrar los certificados usados para la firma
de cdigo en un equipo local
1. Haga clic en Inicio, escriba gpedit.msc en Buscar programas y archivos y, a
2. En el rbol de consola, en Directiva de dominio predeterminada o Directiva de equipo
local, haga doble clic en Configuracin del equipo, Configuracin de Windows y
Configuracin de seguridad y despus haga clic en Directivas de clave pblica.
5. En Administracin de editores de confianza, haga clic en Permitir que slo los
administradores administren editores de confianza y, a continuacin, haga clic en
Aceptar para aplicar la nueva configuracin.
firma de cdigo en un dominio
dominio.


Para que slo los administradores puedan administrar los certificados usados para la firma
de cdigo en un dominio
clic en Instalar.
editar.
9. Active la casilla Definir esta configuracin de directiva, realice los cambios oportunos y, a
continuacin, haga clic en Aceptar para aplicar la nueva configuracin
Administrar la recuperacin de red y la validacin de rutas
Para que sean eficaces, los datos relacionados con los certificados como es el caso de los
certificados raz de confianza, los certificados cruzados y las listas de revocacin de certificados
(CRL) se deben actualizar en el momento oportuno. Las opciones de recuperacin de red y
validacin de rutas permiten a los administradores:

Actualizar automticamente los certificados en el programa de certificados raz de Microsoft.

Configurar los valores de tiempo de espera de recuperacin para las CRL y la validacin de
rutas (los valores predeterminados altos pueden ser tiles si las condiciones de la red no
son ptimas).


Habilitar la recuperacin de certificados del emisor durante la validacin de rutas.

Definir la frecuencia de descarga de los certificados cruzados.

Aumentar la opcin de tiempo de espera de recuperacin en CRL amplias de un equipo
local

Aumentar la opcin de tiempo de espera de recuperacin en CRL amplias de un dominio
Administracin de la recuperacin de CRL
La obtencin de datos de revocacin de certificados en el momento oportuno es fundamental para
un uso seguro de los certificados. No obstante, se pueden producir problemas si se agota el tiempo
de espera de la comprobacin de la validacin y la recuperacin de los datos de la revocacin
debido a que se transmiten ms datos de los previstos.
Las opciones de recuperacin de red de la directiva de grupo de claves pblicas permiten a los
administradores administrar los valores de tiempo de espera de recuperacin de red.
Aumentar la opcin de tiempo de espera de recuperacin en CRL amplias de un equipo local
Administradores es la pertenencia a grupos mnima necesaria para completar este procedimiento.
Para aumentar la opcin de tiempo de espera de recuperacin en CRL amplias de un equipo
local
de clave pblica.
continuacin, haga clic en la ficha Recuperacin de red.
5. En Configuracin de tiempos predeterminados de espera para recuperacin,
especifique un valor de tiempo de espera en el cuadro Tiempo predeterminado de espera
para recuperar direcciones URL (en segundos) y haga clic en Aceptar para aplicar la
nueva configuracin.
Aumentar la opcin de tiempo de espera de recuperacin en CRL amplias de un dominio
dominio.


Para aumentar la opcin de tiempo de espera de recuperacin en CRL amplias de un
dominio
Administrador del servidor.
clic en Instalar.
predeterminada de dominios que desea editar.
6. Haga clic con el botn secundario en el GPO de la Directiva predeterminada de dominios
continuacin, haga clic en la ficha Recuperacin de red.
10. En Configuracin de tiempos predeterminados de espera para recuperacin,
especifique un valor de tiempo de espera en el cuadro Tiempo predeterminado de espera
para recuperar direcciones URL (en segundos) y haga clic en Aceptar para aplicar la
nueva configuracin.
Directiva de administracin de comprobacin de revocacin
La revocacin de un certificado invalida un certificado como credencial de seguridad de confianza
antes de la expiracin programada de su perodo de validez. Una infraestructura de clave pblica
(PKI) depende de la comprobacin distribuida de las credenciales en las que no es necesario que
haya comunicacin directa con la entidad de confianza central que avala dichas credenciales.
Para admitir de manera eficaz la revocacin de certificados, el equipo cliente deber determinar si
el certificado es vlido o si ha sido revocado. Para permitir diversas situaciones, los Servicios de
certificados de Active Directory son compatibles con varios mtodos de revocacin de certificados


estndares del sector. Entre ellos se incluye la publicacin de listas de revocacin de certificados
(CRL) y las diferencias de CRL en diversas ubicaciones para que los clientes tengan acceso a
ellas, incluidos los Servicios de dominio de Active Directory, los servidores web y los recursos
compartidos de archivos de red. En Windows, los datos de la revocacin tambin estn disponibles
en una serie de opciones mediante las respuestas del estado del Protocolo de estado de
certificados en lnea (OCSP).
Nota
Las CRL se publican en las ubicaciones de red especificadas de forma peridica, desde donde
las pueden descargar los equipos cliente. Las respuestas de OCSP son respuestas firmadas
digitalmente que indican si un certificado concreto se ha revocado o suspendido, o bien si su
estado es desconocido. Los servicios de respuesta de OCSP obtienen los datos de las CRL
publicadas o se pueden actualizar directamente desde la base de datos de estados de
certificados de una entidad de certificacin (CA).
Adems, la directiva de grupo de claves pblicas permite a los administradores mejorar el uso de
las CRL y los servicios de respuesta de OCSP, sobre todo en situaciones en que las CRL son muy
amplias o las condiciones de la red reducen el rendimiento.
En este tema se incluyen procedimientos para realizar las siguientes tareas:

Configurar los valores de revocacin en un equipo local

Configurar los valores de revocacin en un dominio

Ampliar el perodo de validez para las respuestas de CRL y OCSP en un equipo local

Ampliar el perodo de validez para las respuestas de CRL y OCSP en un dominio
Configurar los valores de revocacin en un equipo local
Administradores.
Para configurar los valores de revocacin en un equipo local
de clave pblica.
continuacin, haga clic en la ficha Revocacin.
4. Active la casilla Definir esta configuracin de directiva, seleccione las opciones de
configuracin.


Configurar los valores de revocacin en un dominio
dominio.
Para configurar los valores de revocacin en un dominio
clic en Instalar.
predeterminada de dominios que desea editar.
9. Active la casilla Definir esta configuracin de directiva, seleccione las opciones de
configuracin.
Ampliar el perodo de validez para las respuestas de CRL y OCSP en un equipo local
Administradores.
Para ampliar el perodo de validez para las respuestas de CRL y OCSP en un equipo local


de clave pblica.
4. Active la casilla Definir esta configuracin de directiva y, a continuacin, active la casilla
Permitir que todas las respuestas CRL y OSCP sigan siendo vlidas tras finalizar su
duracin.
5. En el cuadro Tiempo que se puede ampliar el perodo de validez, especifique un valor en
horas y haga clic en Aceptar para aplicar la nueva configuracin.
Ampliar el perodo de validez para las respuestas de CRL y OCSP en un dominio
dominio.
Para ampliar el perodo de validez para las respuestas de CRL y OCSP en un dominio
clic en Instalar.
dominio que contiene el GPO de la Directiva predeterminada de dominios que desea
editar.


9. Active la casilla Definir esta configuracin de directiva y, a continuacin, active la casilla
Permitir que todas las respuestas CRL y OSCP sigan siendo vlidas tras finalizar su
duracin.
10. En el cuadro Tiempo que se puede ampliar el perodo de validez, especifique un valor en
horas y haga clic en Aceptar para aplicar la nueva configuracin.
Solucionar problemas relacionados con los certificados
En esta seccin se enumeran algunos problemas comunes que puede encontrar al usar el
complemento Certificados o al trabajar con los certificados.
Qu problema tiene?

No puedo realizar la inscripcin de un certificado nuevo con el Asistente para solicitud de
certificados.

Aparece un mensaje que indica que debo realizar la inscripcin de un certificado nuevo,
pero el proceso de inscripcin no se realiza correctamente.

No puedo realizar la inscripcin de un certificado nuevo a travs de web.

No puedo seguir usando el certificado.
No puedo realizar la inscripcin de un certificado nuevo con el Asistente para solicitud de
certificados.
Causa: el tipo de certificado solicitado no est disponible.
Solucin: pngase en contacto con el administrador.
Aparece un mensaje que indica que debo realizar la inscripcin de un certificado nuevo,
pero el proceso de inscripcin no se realiza correctamente.
Causa: para que los clientes reciban los certificados, es necesario que se puedan poner en
contacto con la entidad de certificacin (CA) que va a procesar la solicitud.
Solucin: si la CA est desconectada, la solicitud de certificado se debe procesar manualmente
mediante su copia y traslado fsico a la CA para su procesamiento. En caso contrario, espere hasta
que la CA vuelva a tener conexin e intntelo de nuevo.
Causa: si la CA tiene conexin y no se puede realizar la inscripcin, puede que los permisos de
inscripcin automtica no se hayan configurado correctamente.
Solucin: el administrador debe modificar la lista de control de acceso para la plantilla de
certificado para conceder permisos de lectura, inscripcin e inscripcin automtica para los
destinatarios del certificado.


No puedo realizar la inscripcin de un certificado nuevo a travs de web.
Causa: las pginas de inscripcin web de la CA en el servidor con el que intenta ponerse en
contacto se deben actualizar para procesar las solicitudes de certificado en esta versin de
Windows.
Solucin: pngase en contacto con el administrador.
No puedo seguir usando el certificado.
Causa: el certificado ha expirado o no es vlido para el propsito planteado.
Solucin: vea el certificado para determinar la fecha de expiracin. Si el certificado expir, use el
Asistente para renovacin de certificados para renovarlo. Si el certificado no expir, compruebe si
es vlido para el propsito deseado. Si no lo es, solicite un certificado nuevo para el propsito
deseado.

Plantillas de certificado
Las plantillas de certificado pueden simplificar en gran medida la tarea de administrar una entidad
de certificacin (CA) permitiendo a un administrador emitir certificados configurados previamente
para tareas seleccionadas. El complemento Plantillas de certificado permite a un administrador
llevar a cabo las siguientes tareas:

Ver las propiedades de cada plantilla de certificado

Copiar y modificar plantillas de certificado

Controlar qu usuarios y equipos pueden leer las plantillas e inscribirse para los certificados.

Realizar otras tareas administrativas relacionadas con las plantillas de certificado

Conceptos de plantilla de certificado

Administracin de plantillas de certificado

Solucin de problemas de plantillas de certificado

Recursos adicionales para plantillas de certificado




Las plantillas de certificado son una parte fundamental de las entidades de certificacin (CA)
de empresa. Constituyen un elemento importante de la directiva de certificado para un
entorno, que es el conjunto de reglas y formatos para la administracin, uso e inscripcin de
certificados.

Cuando una CA recibe una solicitud de certificado, deben aplicarse a dicha solicitud grupos
de reglas y opciones de configuracin a fin de llevar a cabo la funcin solicitada, como la
emisin o la renovacin de un certificado. Estas reglas pueden ser sencillas o complejas, y
pueden aplicarse a todos los usuarios o a grupos de usuarios especficos. Las plantillas de
certificado son conjuntos de reglas y opciones que se configuran en una CA para que se
apliquen a las solicitudes de certificado que se reciban. Las plantillas de certificado tambin
dan instrucciones al cliente sobre cmo crear y enviar una solicitud de certificado vlida.

Los certificados basados en una plantilla de certificado slo pueden ser emitidos por una CA
de empresa. Las plantillas se almacenan en Servicios de dominio de Active Directory (AD
DS) para su uso por parte de todas las CA del bosque. Esto permite a la CA tener acceso
en todo momento a la plantilla estndar actual y garantiza la aplicacin uniforme de la
directiva de certificado en todo el bosque.

Los administradores de CA empresariales basadas en Windows Server 2008 pueden usar
una serie de plantillas de certificado predefinidas. Para obtener ms informacin, consulte
Plantillas de certificado predeterminadas.

Las plantillas de certificado incorporadas en Windows Server 2008, Windows Server 2003 y
Windows 2000 admiten diferentes niveles de configuracin. Para obtener ms informacin,
consulte Versiones de plantillas de certificado.

Plantillas de certificado predeterminadas


En las entidades de certificacin (CA) empresariales basadas en Windows Server 2008, se
incluye una serie de plantillas de certificado configuradas previamente y diseadas para
satisfacer las necesidades de la mayora de las organizaciones. Dichas plantillas se
describen en la tabla siguiente.

Nombre Descripcin
Uso de
claves
Tipo de
sujeto
Publicado en
Servicios de
dominio de
Active
Directory
(AD DS)?
Versin
de
plantilla
Administrador Permite la firma de
listas de confianza y la
autenticacin de
usuarios.
Firma y
cifrado
Usuario S 1
Sesin
autenticada
Permite al sujeto
autenticarse en un
servidor web.
Firma Usuario No 1


EFS bsico Usada por el Sistema
de cifrado de archivos
(EFS) para cifrar datos.
Cifrado Usuario S 1
Intercambio de
CA
Se usa para almacenar
claves que estn
configuradas para el
archivo de claves
privadas.
Cifrado Equipo No 2
Cifrado CEP Permite al propietario
del certificado actuar
como autoridad de
registro para las
solicitudes del Protocolo
de inscripcin de
certificados simple
(SCEP).
Cifrado Equipo No 1
Firma de cdigo Se usa para firmar
software digitalmente.
Firma Usuario No 1
Equipo Permite a un equipo
autenticarse en la red.
Firma y
cifrado
Equipo No 1
Entidad de
certificacin
cruzada
Se usa para
certificacin cruzada y
subordinacin
certificada.
Firma CA
certificada
de forma
cruzada
S 2
Replicacin del
directorio de
correo
electrnico
Se usa para replicar
correo electrnico
dentro de AD DS.
Firma y
cifrado
Equipo S 2
Controlador de
dominio
Usada por
controladores de
dominio como
certificados para todos
los fines.
Firma y
cifrado
Equipo S 1
Autenticacin Se usa para autenticar Firma y Equipo No 2


de controlador
de dominio
usuarios y equipos de
Active Directory.
cifrado
Agente de
recuperacin de
EFS
Permite al sujeto
descifrar archivos
cifrados previamente
con EFS.
Cifrado Usuario No 1
Agente de
inscripcin
Se usa para solicitar
certificados en nombre
de otro sujeto.
Firma Usuario No 1
Agente de
inscripcin (PC)
de otro PC.
Firma Equipo No 1
Intercambiar
agente de
inscripcin
(solicitud sin
conexin)
de otro sujeto y
proporcionar el nombre
del sujeto en la solicitud.
Firma Usuario No 1
Intercambiar
slo la firma
Usada por el Servicio de
administracin de
claves de Microsoft
Exchange para emitir
certificados a usuarios
de Exchange para
firmar correo electrnico
digitalmente.
Firma Usuario No 1
Intercambiar
usuario
Usada por el Servicio de
administracin de
claves de Microsoft
Exchange para emitir
certificados a usuarios
de Exchange para cifrar
correo electrnico.
Cifrado Usuario S 1
IPSEC Usada por el protocolo
de seguridad de Internet
(IPsec) para firmar,
cifrar y descifrar
Firma y
cifrado
Equipo No 1


digitalmente
comunicaciones de red.
IPSEC (solicitud
sin conexin)
Usada por IPsec para
firmar, cifrar y descifrar
digitalmente
comunicaciones de red
cuando el nombre del
sujeto se indica en la
solicitud.
Firma y
cifrado
Equipo No 1
Autenticacin
Kerberos
Se usa para autenticar
usuarios y equipos de
Active Directory.
Firma y
cifrado
Equipo No 2
Key Recovery
Agent
Recupera claves
privadas que se
archivan en la CA.
Cifrado Key
Recovery
Agent
No 2
Firma de
respuesta de
OCSP
Usada por un servicio
Respondedor en lnea
para firmar respuestas a
solicitudes de estado de
certificado.
Firma Equipo No 3
Servidor RAS e
IAS
Habilita servidores de
acceso remoto y
servidores de Servicio
de autenticacin de
Internet (IAS) para que
autentiquen su identidad
en otros equipos.
Firma y
cifrado
Equipo No 2
Entidad de
certificacin raz
Se usa para demostrar
la identidad de la CA
raz.
Firma CA No 1
Enrutador
(solicitud sin
conexin)
Usada por un enrutador
cuando se solicita a
travs de una solicitud
SCEP desde una CA
que posee un certificado
Firma y
cifrado
Equipo No 1


de cifrado CEP.
Inicio de sesin
de Tarjeta
inteligente
Permite al propietario
autenticarse mediante
una tarjeta inteligente.
Firma y
cifrado
Usuario No 1
Usuario de
tarjeta
inteligente
autenticar y proteger el
correo electrnico
mediante una tarjeta
inteligente.
Firma y
cifrado
Usuario S 1
Entidad de
certificacin
subordinada
Se usa para demostrar
la identidad de la CA
raz. El emisor es la CA
raz o primaria.
Firma CA No 1
Firma de listas
de confianza
firmar digitalmente una
lista de confianza.
Firma Usuario No 1
Usuario Usada por los usuarios
para autenticacin de
correo electrnico, EFS
y cliente.
Firma y
cifrado
Usuario S 1
Slo firma de
usuario
Permite a los usuarios
firmar datos
digitalmente.
Firma Usuario No 1
Servidor web Demuestra la identidad
de un servidor web.
Firma y
cifrado
Equipo No 1
Autenticacin
de estacin de
trabajo
Permite a los equipos
cliente que autentiquen
su identidad en los
servidores.
Firma y
cifrado
Equipo No 2

Cuando se duplica una plantilla de certificado de la versin 1 o de la versin 2, el duplicado
se puede convertir en una plantilla de las versiones 2 o 3 para poder configurar las opciones
avanzadas disponibles en las versiones ms recientes. No obstante, las plantillas de
certificado de la versin 3 slo pueden ser emitidas por CA empresariales basadas en
Windows Server 2008 y usadas por clientes en equipos que estn ejecutando Windows


Server 2008 o Windows Vista. Para obtener ms informacin, consulte Versiones de
plantillas de certificado.

Para obtener informacin sobre las opciones de configuracin de plantillas de certificado,
consulte Configuracin de una plantilla de certificado.
Versiones de plantillas de certificado
Los Servicios de certificados de Active Directory (AD CS) proporcionan estas versiones de plantillas
de certificados disponibles en las entidades de certificacin (CA) empresariales.
Plantillas de certificado de la versin 1
Las plantillas de certificado de la versin 1 admiten las necesidades generales de certificado y
proporcionan compatibilidad con los clientes y con las CA emisoras que ejecuten los sistemas
operativos de Windows 2000. Las plantillas de la versin 1 se instalan de manera predeterminada
durante la configuracin de la CA y no pueden ser eliminadas. La nica propiedad que puede
modificarse en la plantilla de la versin 1 es el conjunto de permisos asignados que controlan el
acceso a la plantilla.
Opciones de inscripcin

Inscripcin automtica

Scripts personalizados

Las configuraciones de la solicitud de certificados automtica en la directiva de grupo
slo se puede usar para los certificados de equipo

Inscripcin manual

Complemento certificados

Pginas de inscripcin en web de CA
Disponibilidad de la plantilla

Todas las ediciones de Windows Server 2008 R2

Todas las ediciones de Windows Server 2008


Todas las ediciones de Windows Server 2003

Todas las ediciones de Windows 2000 Server


Las plantillas de certificado de la versin 2 se presentaron en Windows Server 2003 y se pueden
configurar por un administrador para controlar la manera en que se solicitan, emiten y usan los
certificados. Las plantillas de la versin 2 proporcionan compatibilidad para la inscripcin
automtica de certificados.
Opciones de inscripcin

Inscripcin automtica

Inscripcin automtica en Windows Server 2008, Windows Vista, Windows Server 2003 y
Windows XP Professional

Scripts personalizados

Inscripcin manual

Asistente para inscripcin de certificados

Pginas de inscripcin en web de CA


Windows Server 2008, Enterprise y Datacenter

Windows Server 2003 R2, Enterprise y Datacenter

Adems de las caractersticas y la inscripcin automtica de las plantillas de la versin 2, las
plantillas de certificado de la versin 3 admiten algoritmos criptogrficos de Suite B. Suite B fue
creado por la National Security Agency de EE.UU. para especificar los algoritmos criptogrficos que
deben usar los organismos gubernamentales de EE.UU. para mantener a salvo informacin
confidencial.





Plantillas de certificado predeterminadas

Creacin de una plantilla de certificado nueva

Configuracin de la inscripcin de certificados automtica
En los temas de esta seccin se describe cmo realizar las siguientes tareas bsicas de
administracin de plantillas de certificado.

Instalacin del complemento Plantillas de certificado

Conexin a un controlador de dominio de escritura

Actualizacin de plantillas existentes


Eliminar una plantilla de certificado

Cambiar el nombre de una plantilla de certificado

Configuracin de una plantilla de certificado


Emisin de certificados basados en plantillas de certificados
Instalacin del complemento Plantillas de certificado
El complemento Plantillas de certificado permite ver y administrar informacin crtica sobre todas
las plantillas de certificado de un dominio.
Entre los campos ms importantes del complemento Plantillas de certificado se incluyen:

Nombre para mostrar plantilla: este campo describe el propsito del certificado. Cuando
una organizacin crea una plantilla de certificado personalizada, puede ser til usar una
convencin de nomenclatura que ayude a los administradores a identificar la entidad de
certificacin (CA) o parte de la organizacin asociada a la plantilla.

Entidades de certificacin con compatibilidad mnima: Las opciones configurables en
las plantillas de certificado basadas en Windows difieren en funcin de la versin del


sistema operativo. Por lo tanto, no todas las plantillas de certificado son compatibles con
todas las CA basadas en Windows Server.

Versin: si las configuraciones de la plantilla de certificado evolucionan a lo largo del
tiempo, la capacidad de realizar un seguimiento de la informacin de versin se vuelve
importante por motivos de compatibilidad y soporte tcnico.
Es preciso ser administrador local para instalar el complemento Plantillas de certificado y
pertenecer a Admins. del dominio para usar el complemento Plantillas de certificado. Para
obtener ms informacin, consulte Implementacin de la administracin basada en funciones.
Para instalar el complemento Plantillas de certificado
1. Haga clic en Inicio, Ejecutar y, a continuacin, escriba mmc.
3. En el cuadro de dilogo Agregar o quitar complementos, haga doble clic en el
complemento Plantillas de certificado para agregarlo a la lista. Haga clic en Aceptar.
De manera predeterminada, el complemento Plantillas de certificado se instala automticamente al
instalar una CA en un servidor. El complemento Plantillas de certificado se puede instalar en un
servidor diferente mediante el Administrador del servidor para instalar las herramientas de los
Servicios de certificados de Active Directory (AD CS).
Es preciso ser administrador local para instalar las Herramientas de administracin de servidor
remoto. Es preciso pertenecer al grupo Admins. del dominio para obtener acceso a las plantillas
de certificado de un dominio y administrarlas. Para obtener ms informacin, vea el tema acerca de
la Implementacin de la administracin basada en funciones.
Para administrar plantillas de certificado desde un servidor remoto
1. Abra el Administrador del servidor.
2. En Resumen de caractersticas, haga clic en Agregar caractersticas.
3. Expanda Herramientas de administracin de servidor remoto y Herramientas de
administracin de funciones.
4. Active la casilla Servicios de certificados de Active Directory, haga clic en Siguiente y, a
continuacin, haga clic en Instalar.
5. Cuando se haya completado el proceso de instalacin, haga clic en Cerrar.
6. Haga clic en Inicio, escriba mmc y presione Entrar.


8. Haga clic en el complemento Plantillas de certificado, haga clic en Agregar, compruebe
que el controlador de dominio que alberga las plantillas de certificado que desea administrar
est seleccionado y, a continuacin, haga clic en Aceptar.
Puede usar el complemento Plantillas de certificado para administrar plantillas de certificado en otro
dominio diferente.
Para llevar a cabo este procedimiento, es preciso ser un administrador de dominio o de empresa en
el otro dominio. Para obtener ms informacin, vea el tema acerca de la Implementacin de la
administracin basada en funciones.
Para administrar las plantillas de certificado en un dominio diferente
1. Haga clic con el botn secundario en el complemento Plantillas de certificado y, a
continuacin, haga clic en Conectar a otro controlador de dominio de escritura.
2. Para escribir el nombre de un dominio diferente, haga clic en Cambiar. Para seleccionar un
controlador de dominio diferente al existente, haga clic en Seleccione un controlador de
dominio de escritura.
3. Si ha seleccionado anteriormente un controlador de dominio alternativo, puede volver al
controlador de dominio original haciendo clic en Controlador de dominio de escritura
predeterminado.
Conexin a un controlador de dominio de escritura
Si tiene varios controladores de dominio, puede que no todas las plantillas de certificado se
repliquen en todos los controladores de dominio, incluidos los controladores de dominio de slo
lectura.
Nota
Los controladores de dominio de slo lectura, introducidos en Windows Server 2008, son
controladores de dominio que albergan una copia de slo lectura de la base de datos del
dominio.
No obstante, es posible recuperar o modificar plantillas de certificado desde un controlador de
dominio de escritura especfico.
Para poder realizar este procedimiento, es necesario, como mnimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener ms
informacin, vea el tema acerca de la Implementacin de la administracin basada en funciones.
Para obtener acceso a las plantillas de certificado de un controlador de dominio de escritura
1. Abra el complemento Plantillas de certificado.
2. En el rbol de consola, haga clic con el botn secundario en Plantillas de certificado y, a
continuacin, haga clic en Conectar a otro controlador de dominio de escritura.


3. Compruebe el nombre del dominio y haga clic en Aceptar.
Actualizacin de plantillas existentes
Cuando se actualiza una entidad de certificacin (CA), puede que sea necesario actualizar el
esquema de Active Directory para admitir los nuevos atributos de la plantilla de certificado. Para
obtener ms informacin acerca de la actualizacin del esquema de Active Directory con
Adprep.exe, consulte la referencia de la lnea de comandos
(http://go.microsoft.com/fwlink/?LinkID=20331) (puede estar en ingls).
Adems, es necesario actualizar las plantillas de certificado a fin de incluir y configurar estos
atributos. Al actualizar las plantillas de certificado se aplican los permisos de seguridad adecuados
a las plantillas de certificado existentes y se instala cualquier plantilla de certificado nueva que est
disponible.
Si no se lleva a cabo este procedimiento antes de actualizar las CA a Windows Server 2008 R2, se
le pedir que lo haga al abrir el complemento Plantillas de certificado. Si en la empresa ya se ha
realizado este procedimiento, no ver ningn mensaje al abrir dicho complemento.
El mnimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o
un grupo equivalente.
Para instalar plantillas nuevas y actualizar las existentes
2. Cuando se le indique que instale nuevas plantillas de certificado, haga clic en Aceptar.

Una vez actualizada la CA e instaladas las plantillas de certificado, puede crear copias
nuevas de la versin 2 o 3 de cualquiera de las plantillas de certificado del dominio. Para
obtener ms informacin, consulte Creacin de una plantilla de certificado nueva.
Es posible crear una plantilla de certificado nueva duplicando una plantilla existente y usando las
propiedades de la misma como predeterminadas para la plantilla nueva. Las diferentes
aplicaciones y tipos de entidades de certificacin (CA) admiten distintas plantillas de certificado. Por
ejemplo, algunas plantillas de certificado slo pueden ser emitidas y administradas por CA
empresariales que ejecuten Windows Server 2003, y otras pueden exigir que la entidad de
certificacin ejecute Windows Server 2008. Revise la lista de plantillas de certificado
predeterminadas y examine las propiedades de las mismas a fin de identificar la plantilla de
certificado que mejor satisfaga sus necesidades. De esta manera se reduce al mnimo el trabajo de
configuracin que es necesario llevar a cabo.


un grupo equivalente. Para obtener ms informacin, vea el tema acerca de la Implementacin de
la administracin basada en funciones.
Para crear una plantilla de certificado nueva
2. Haga clic con el botn secundario en la plantilla de la que desea copiar y, a continuacin,
haga clic en Plantilla duplicada.
3. Elija la versin mnima de CA que desea admitir.
4. Escriba un nuevo nombre para esta plantilla de certificado.
5. Realice los cambios que sean necesarios y haga clic en Aceptar.
Eliminar una plantilla de certificado
Es posible eliminar una plantilla de certificado cuando se desea que deje de estar disponible.
Cuando se elimina una plantilla de certificado, los certificados basados en la plantilla no se pueden
volver a emitir. Si se usan entidades de certificacin (CA) de empresa, esto afectar a todas las CA
del bosque. Las plantillas de certificado no se pueden recuperar una vez que se eliminan.
Para eliminar una plantilla de certificado
2. Haga clic con el botn secundario en la plantilla que desea eliminar y, a continuacin, haga
clic en Eliminar.
3. Haga clic en S para confirmar que desea eliminar la plantilla.
Cambiar el nombre de una plantilla de certificado
El administrador puede cambiar los nombres de las plantillas de certificado personalizadas. No se
pueden cambiar los nombres de las plantillas de certificado predeterminadas. Use el cuadro de
dilogo Cambiar nombres para cambiar el nombre de la plantilla y el nombre para mostrar
plantilla.
El nombre de la plantilla es un atributo de nombre comn del objeto de plantilla de certificado en los
Servicios de dominio de Active Directory (AD DS) y slo se actualiza ese objeto de plantilla cuando
se cambia el nombre de la plantilla. Si la plantilla modificada fue previamente publicada para emitir
entidades de certificacin (CA) o agregada a una lista de plantillas reemplazadas, entonces esas
acciones deben repetirse para mantener la coherencia del entorno de la infraestructura de clave
pblica (PKI).


Para cambiar el nombre de la plantilla de certificado
1. En la CA, abra el complemento Plantillas de certificado.
2. Haga clic en la plantilla que desea modificar. En el men Accin, haga clic en Cambiar
nombres.
Nota
Cuando se selecciona un certificado predeterminado, no se muestra Cambiar nombres. No se
pueden cambiar los nombres de las plantillas de certificado predeterminadas.
3. Escriba un nuevo nombre en el cuadro Nombre de plantilla o en Nombre para mostrar
plantilla, o en ambos.
4. Haga clic en Aceptar para guardar los cambios.
Importante
Los cambios de nombre de la plantilla pueden requerir los siguientes procedimientos
adicionales:
Si se reemplaza la plantilla modificada por otra, actualice la plantilla reemplazante
agregando la plantilla modificada a la lista de plantillas reemplazadas. Vea el tema acerca
del Reemplazar plantillas.
Si se public la plantilla modificada para CA emisoras, actualice la lista de plantillas de
certificado en cada CA emisora. Vea el tema Agregar una plantilla de certificado a una
entidad de certificacin.

Cuando se crea una plantilla de certificado nueva, tambin es posible personalizar sus
propiedades, extensiones y otras caractersticas generales importantes.


Propiedades generales de plantillas de certificado

Extensiones de plantillas de certificado

Tratamiento de solicitudes

Criptografa


Reemplazar plantillas

Nombres de sujeto

Servidor de plantillas de certificado
Propiedades generales de plantillas de certificado
La ficha General contiene informacin sobre renovacin y validez de los certificados que se emitan
basados en una plantilla de certificado.
Las opciones predeterminadas de perodos de renovacin y validez para los certificados emitidos
por los Servicios de certificados de Active Directory (AD CS) han sido diseadas para satisfacer la
mayora de las necesidades de seguridad. No obstante, puede que desee especificar opciones de
renovacin y validez diferentes, como perodos de duracin o renovacin ms cortos para los
certificados de determinados grupos de usuarios.
Para modificar el perodo de renovacin o validez de una plantilla de certificado
2. En el panel Detalles, haga clic con el botn secundario en la plantilla de certificado que
desea cambiar y, a continuacin, haga clic en Propiedades.
3. En la ficha General, compruebe los valores actuales de los perodos de validez y
renovacin, modifquelos como corresponda y, a continuacin, haga clic en Aplicar.
La opcin Publicar certificado en Active Directory determina si la informacin sobre la plantilla
de certificado se pondr a disposicin de toda la empresa.
La opcin No volver a inscribir automticamente si ya existe un certificado duplicado de
Active Directory se aplica cuando el sujeto intenta inscribirse para un certificado basado en esta
plantilla desde un equipo en el que se est ejecutando Windows XP o posterior. Con esta opcin, la
inscripcin automtica de certificados no enviar ninguna solicitud de nueva inscripcin si existe un
certificado duplicado en Servicios de dominio de Active Directory (AD DS). Esto permite renovar los
certificados, pero impide que se emitan varios certificados duplicados.
La opcin Para la renovacin automtica de certificados de tarjeta inteligente, usar la clave
existente si no se puede crear una clave nueva habilita la clave existente para que se use si no
se puede crear ninguna clave nueva durante la renovacin de un certificado de tarjeta inteligente.
Esta opcin ayuda a prevenir los errores de renovacin de certificados de tarjeta inteligente que
podran aparecer cuando una tarjeta inteligente se queda sin espacio en disco.
Para configurar la publicacin de certificados en AD DS


3. En la ficha General, seleccione la opcin de Active Directory que corresponda y, a
continuacin, haga clic en Aplicar.
Una entidad de certificacin (CA) procesa las solicitudes de certificado mediante un conjunto
definido de reglas. Las plantillas de certificado se pueden personalizar con una serie de
extensiones que regulan su uso. Estas extensiones pueden incluir:

Directivas de emisin. Una directiva de emisin (conocida tambin como directiva de
certificado o inscripcin) es un grupo de reglas administrativas que se implementan al emitir
certificados. Dichas reglas se representan en un certificado mediante un identificador de
objeto (denominado tambin OID) que se define en la CA. Este identificador de objeto se
incluye en el certificado emitido. Cuando un sujeto presenta su certificado, ste puede
examinarse en el destino para comprobar la directiva de emisin y determinar si el nivel de
la misma es suficiente para llevar a cabo la accin solicitada. Para obtener ms informacin,
consulte Requisitos de emisin.

Directivas de aplicacin. Las directivas de aplicacin otorgan la importante capacidad de
decidir qu certificados pueden usarse para determinados fines. Esto permite emitir
certificados tranquilamente sin tener que preocuparse de que se usen incorrectamente o
para fines distintos de los previstos. Las directivas de aplicacin a veces se denominan uso
de claves extendido o mejorado. Puesto que algunas implementaciones de aplicaciones de
infraestructura de clave pblica (PKI) no pueden interpretar las directivas de aplicacin,
tanto dichas directivas de aplicacin como las secciones de uso mejorado de claves
aparecen en los certificados emitidos por una CA basada en Windows Server. Para obtener
ms informacin, consulte Directiva de aplicacin.

Uso de claves. Los certificados permiten a los sujetos realizar determinadas tareas. Con el
fin de ayudar a controlar el uso de un certificado ms all de su finalidad pretendida, se
aplican restricciones a los certificados automticamente. El uso de claves es un mtodo de
restriccin que determina el uso de un certificado. De esta forma, el administrador puede
emitir certificados que pueden usarse nicamente para tareas especficas, o bien
certificados que pueden usarse para una amplia gama de funciones. Para obtener ms
informacin, consulte Uso de claves.


Archivo de claves. Cuando los sujetos pierden sus claves privadas, cualquier informacin
que se haya cifrado de forma persistente con la correspondiente clave pblica queda
inaccesible. Para ayudar a evitar esta circunstancia, el archivo de claves permite cifrar y
archivar las claves de un sujeto en la base de datos de la CA cuando se emiten los
certificados. Si un sujeto pierde sus claves, la informacin puede recuperarse de la base de
datos y entregarse al sujeto. Esto permite recuperar la informacin cifrada en lugar de
perderla. Para obtener ms informacin, consulte Tratamiento de solicitudes.

Restricciones bsicas. Las restricciones bsicas se usan para garantizar que los
certificados de CA se usan slo en aplicaciones determinadas. Un ejemplo es la longitud de
la ruta de acceso, que se puede especificar como una restriccin bsica. La longitud de una
ruta de acceso define el nmero de CA permitidas por debajo de la CA actual. Esta
restriccin de longitud de ruta de acceso garantiza que las CA situadas al final de dicha ruta
pueden usar nicamente certificados de entidad final, y no certificados de CA. Para obtener
ms informacin, consulte Restricciones bsicas.

Comprobacin de no revocacin de OCSP. Esta extensin aparece slo en la nueva
plantilla de certificado Firma de respuesta de OCSP y en los duplicados derivados de dicha
plantilla. No puede agregarse a ninguna otra plantilla de certificado. Esta extensin indica a
la CA que incluya la extensin Comprobacin de no revocacin de OCSP (id-pkix-ocsp-
nocheck) en el certificado emitido y que no incluya en el mismo las extensiones de punto de
distribucin Acceso a la informacin de entidad y Lista de revocacin de certificados (CLR).
Esto se debe a que no se comprueba el estado de revocacin de los certificados Firma de
respuesta de OCSP. Esta extensin se aplica slo si la solicitud de certificado contiene
Firma de respuesta de OCSP en las directivas de aplicacin y uso mejorado de clave.


Requisitos de emisin

Directiva de aplicacin

Uso de claves

Restricciones bsicas

Marcar la directiva de aplicacin o de emisin como crtica


Una entidad de certificacin (CA) procesa las solicitudes de certificado mediante un conjunto
definido de reglas. La CA puede emitir algunos certificados sin prueba de identificacin y requerir
dicha prueba para emitir otros tipos de certificados. Esto proporciona niveles de seguridad
diferentes para los distintos certificados. Dichos niveles de seguridad se representan en los
certificados como directivas de emisin.
Una directiva de emisin (conocida tambin como directiva de certificado o inscripcin) es un grupo
de reglas administrativas que se implementan al emitir certificados. Dichas reglas se representan
en un certificado mediante un identificador de objeto (denominado tambin OID) que se define en la
CA. Este identificador de objeto se incluye en el certificado emitido. Cuando un sujeto presenta su
certificado, ste puede examinarse en el destino para comprobar la directiva de emisin y
determinar si el nivel de la misma es suficiente para llevar a cabo la accin solicitada.
Windows Server 2008 R2, Windows Server 2008 y Windows Server 2003 incluyen cuatro directivas
de emisin predefinidas:

Todas las directivas de emisin (2.5.29.32.0). Todas las directivas de emisin indica que
la directiva de emisin incluye a todas las otras directivas. Normalmente, este identificador
de objeto se asigna slo a certificados de CA.

Seguridad baja (1.3.6.1.4.1.311.21.8.x.y.z.1.400). El identificador de objeto de seguridad
baja se usa para representar certificados que se emiten sin requisitos de seguridad
adicionales.
Nota
La porcin x.y.z del identificador de objeto es una secuencia numrica generada al azar y nica
para cada bosque de Active Directory.

Seguridad media (1.3.6.1.4.1.311.21.8.x.y.z.1.401). El identificador de objeto de seguridad
media se usa para representar certificados que tienen requisitos de seguridad adicionales
para la emisin. Por ejemplo, un certificado de tarjeta inteligente que se emita en una
reunin presencial con un emisor de tarjetas inteligentes puede considerarse un certificado
de seguridad media y contener el identificador de objeto de seguridad media.

Seguridad alta (1.3.6.1.4.1.311.21.8.x.y.z.1.402). El identificador de objeto de seguridad
alta se usa para representar certificados que se emiten con el mximo nivel de seguridad.
Por ejemplo, la emisin de un certificado de Key Recovery Agent podra requerir
comprobaciones adicionales en segundo plano y una firma digital de un responsable de
aprobacin, ya que la persona que posee dicho certificado puede recuperar material de
clave privada de una CA de empresa.


Adems, es posible crear identificadores de objetos propios para representar directivas de emisin
personalizadas.
Cuando los sujetos emiten solicitudes de certificados a una CA, dicha solicitud puede aprobarse
automticamente o dejarse en un estado de "pendiente". Un estado pendiente se usa normalmente
para los certificados que requieren un nivel elevado de seguridad y, por lo tanto, ms tareas de
administracin y comprobacin de la solicitud. Existe una serie de opciones que permiten
configurar los requisitos de autenticacin y firma para certificados de emisin basados en una
plantilla.

Opcin Descripcin
Aprobacin del
administrador de
certificados de entidad
de certificacin
Todos los certificados se colocan en el contenedor de pendientes a la
espera de que un administrador de certificados los apruebe o
deniegue.
Este nmero de firmas
autorizadas
Esta opcin requiere que uno o ms sujetos firmen digitalmente la
solicitud de certificado para poder emitirla. Esto habilita varios
parmetros ms de configuracin.
Tipo de directiva que se
requiere en la firma
Las firmas necesarias para emitir un certificado deben contener una
directiva de aplicacin especfica, una directiva de emisin o ambas.
De esta manera, la CA determina si la firma es adecuada para
autorizar la emisin del certificado del sujeto. Esta opcin se habilita
cuando se establece Este nmero de firmas autorizadas.
Directiva de aplicacin Especifica la directiva de aplicacin que se comprueba cuando se
firma una solicitud de certificado. Esta opcin se habilita al establecer
Tipo de directiva que se requiere en la firma en Directiva de
aplicacin o La directiva de aplicacin y la de emisin.
Directiva de emisin Especifica la directiva de emisin que se comprueba cuando se firma
una solicitud de certificado. Esta opcin se habilita al establecer Tipo
de directiva que se requiere en la firma en Directiva de emisin o
La directiva de aplicacin y la de emisin.
La capacidad de modificar o crear directivas de aplicacin nuevas slo est disponible con las
plantillas de certificado de las versiones 2 y 3. Para obtener ms informacin, consulte Plantillas de
certificado predeterminadas.
Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla modificada
si ya tienen un certificado vlido basado en la plantilla anterior. Para obtener ms informacin a
este respecto, consulte Volver a inscribir a todos los propietarios de certificados.


Para modificar una directiva de emisin
3. Haga clic en la ficha Requisitos de emisin.
4. Proporcione la informacin solicitada.
Las directivas de aplicacin otorgan la importante capacidad de decidir qu certificados pueden
usarse para determinados fines. Esto permite emitir certificados tranquilamente sin tener que
preocuparse de que se usen para fines distintos de los previstos.
Las directivas de aplicacin son un conjunto de opciones que informan a un destino de que el
sujeto tiene un certificado que se puede usar para ejecutar una determinada tarea. Dichas reglas
se representan en un certificado mediante un identificador de objeto (denominado tambin OID)
que se define para una aplicacin dada. Este identificador de objeto se incluye en el certificado
emitido. Cuando un sujeto presenta su certificado, el destinatario del certificado puede examinar
dicho certificado para comprobar la directiva de aplicacin y determinar si el sujeto puede ejecutar
la accin solicitada.
Las directivas de aplicacin a veces se denominan uso de claves extendido o mejorado. Puesto
que algunas implementaciones de aplicaciones de infraestructura de clave pblica (PKI) no pueden
interpretar las directivas de aplicacin, tanto dichas directivas de aplicacin como las secciones de
uso mejorado de clave aparecen en los certificados emitidos por una entidad de certificacin (CA)
basada en Windows Server. En la siguiente tabla se enumeran algunas directivas de aplicacin de
uso habitual.

Propsito Identificador de objeto
Autenticacin del cliente 1.3.6.1.5.5.7.3.2
Certificado de cifrado de CA 1.3.6.1.4.1.311.21.5
Inicio de sesin de tarjeta inteligente 1.3.6.1.4.1.311.20.2.2


Firma de documento 1.3.6.1.4.1.311.10.3.12
Recuperacin de archivos 1.3.6.1.4.1.311.10.3.4.1
Recuperacin de clave 1.3.6.1.4.1.311.10.3.11
Firma de listas de confianza de Microsoft 1.3.6.1.4.1.311.10.3.1
Subordinacin certificada 1.3.6.1.4.1.311.10.3.10
Firmante de listas de raz 1.3.6.1.4.1.311.10.3.9
La capacidad de modificar o crear directivas de aplicacin nuevas slo est disponible con las
plantillas de certificado de las versiones 2 y 3. Para obtener ms informacin, consulte Plantillas de
certificado predeterminadas.
Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla modificada
si ya tienen un certificado vlido basado en la plantilla anterior. Para obtener ms informacin a
este respecto, consulte Volver a inscribir a todos los propietarios de certificados.
Para agregar una directiva de aplicacin
3. En la ficha Extensiones, haga clic en Directivas de aplicacin y, a continuacin, haga clic
en Editar.
4. En Editar extensin de directivas de aplicacin, haga clic en Agregar.
5. En Agregar directivas de aplicacin, haga clic en la directiva de aplicacin que desea
agregar y, a continuacin, haga clic en Aceptar.
Puede que la directiva de aplicacin que desea no est disponible. En ese caso, puede crear una
directiva de aplicacin nueva.


Para crear una directiva de aplicacin
3. En la ficha Extensiones, haga clic en Directivas de aplicacin y, a continuacin, haga clic
en Editar.
4. En Editar extensin de directivas de aplicacin, haga clic en Agregar.
5. En Agregar directivas de aplicacin, haga clic en Nuevas.
Uso de claves
Los certificados permiten a los sujetos realizar determinadas tareas. Con el fin de ayudar a
controlar el uso de un certificado ms all de su finalidad pretendida, se aplican restricciones a los
certificados automticamente. Estas restricciones pueden aplicarse mediante la extensin del uso
de claves.
El uso de claves es un mtodo de restriccin que determina el uso de un certificado. De esta forma,
el administrador puede emitir certificados que pueden usarse nicamente para tareas especficas, o
bien certificados que pueden usarse para una amplia gama de funciones. Las descripciones del
uso de claves incluyen "Firma digital" y "Permitir slo intercambio de claves con cifrado".
Para modificar el uso de claves
3. En la ficha Extensiones, haga clic en Uso de la clave y, a continuacin, haga clic en
Editar.
4. Seleccione las opciones de uso de claves que desee agregar o quitar y, a continuacin,
haga clic en Aceptar dos veces.
Nota


No todas las opciones de uso de claves pueden modificarse en todas las plantillas de
certificado.
El uso de certificados tambin puede administrarse mediante la extensin de directivas de
aplicacin. Para obtener ms informacin, consulte Directiva de aplicacin.
Restricciones bsicas
Las entidades de certificacin (CA) deben tener un certificado para poder emitir certificados. Estas
entidades usan la clave privada asociada a dicho certificado para firmar digitalmente los
certificados emitidos. Cuando una CA obtiene un certificado de otra CA, es posible que la CA
primaria desee controlar si dicho certificado se puede usar para emitir certificados a otros
servidores de certificados. Esto es una restriccin bsica.
Las restricciones bsicas se usan para garantizar que un certificado se usa slo en aplicaciones
determinadas. Un ejemplo es la longitud de la ruta de acceso, que se puede especificar como una
restriccin bsica.
El siguiente procedimiento slo funciona con plantillas de certificado que emiten certificados que
firman otros certificados, como las CA con certificacin cruzada y CA raz.
Para cambiar las restricciones bsicas
3. En la ficha Extensiones, haga clic en Restricciones bsicas y, a continuacin, haga clic
en Editar.
4. En Edicin de extensin de restricciones bsicas, proporcione la informacin solicitada.

Este procedimiento es aplicable a las plantillas de las versiones 2 y 3. Para obtener ms
informacin, consulte Versiones de plantillas de certificado.
Marcar la directiva de aplicacin o de emisin como crtica
Un identificador de objeto debe describir todas las directivas de aplicacin y de emisin que se
definan. La inclusin de un identificador de objeto de directiva de emisin en un certificado emitido


indica que dicho certificado se emiti satisfaciendo los requisitos de emisin asociados al objeto de
directiva de emisin.
De manera predeterminada, las directivas de aplicacin o de emisin no son crticas. Convertirlas
en tales puede ayudar a garantizar que un certificado no se use de manera inadecuada. No
obstante, tambin incrementa las posibilidades de que el certificado no sea compatible con todas
las aplicaciones.
Para marcar una directiva de aplicacin o de emisin como crtica
3. En la ficha Extensiones, haga clic en Directivas de emisin o Directivas de aplicacin y,
a continuacin, haga clic en Editar.
4. Active la casilla Marcar esta extensin como crtica.
5. Haga clic en Aceptar.

Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla
modificada si ya tienen un certificado vlido basado en la plantilla antigua. Para obtener ms
informacin a este respecto, consulte Volver a inscribir a todos los propietarios de
certificados.


Identificadores de objeto



Tratamiento de solicitudes



La ficha Tratamiento de la solicitud define el propsito de una plantilla de certificado, los
proveedores de servicios de cifrado (CSP) compatibles, la longitud mnima de la clave, la
exportabilidad, las opciones de inscripcin automtica, y si debe solicitarse proteccin
segura de claves privadas.

Propsito del certificado

El propsito del certificado define el uso principal que se desea dar al certificado y puede
ser uno de los cuatro que se describen en la siguiente tabla.

Opcin Propsito
Cifrado Contiene claves criptogrficas para cifrado y descifrado.
Firma Contiene claves criptogrficas para firmar datos nicamente.
Firma y cifrado Abarca todos los usos principales de la clave criptogrfica de un
certificado, incluido el cifrado y descifrado de datos, el inicio de
sesin o la firma digital de datos.
Firma e inicio de sesin
mediante tarjeta
inteligente
Permite iniciar la sesin con una tarjeta inteligente y firmar datos
digitalmente; no se puede usar para cifrar datos.

Nota
El archivo de claves slo es posible si el propsito del certificado se establece en Cifrado o
Firma y cifrado.

Opciones de archivo

Las entidades de certificacin (CA) pueden archivar las claves de un sujeto en sus bases de
datos al emitirse los certificados. Si un sujeto pierde sus claves, la informacin puede
recuperarse de la base de datos y entregarse a los sujetos de forma segura.

Las opciones del archivo de claves de la siguiente tabla se establecen en la ficha
Tratamiento de la solicitud.

Opcin Propsito
Archivar clave
privada de cifrado de
Si la CA emisora est configurada para el archivo de claves, la clave


sujeto privada del sujeto se archivar.
Permitir que la clave
privada se pueda
exportar
La clave privada del sujeto se puede exportar a un archivo para
realizar copias de seguridad o transferencias a otro equipo.
Borrar certificados
revocados o
caducados (no
archivar)
Si un certificado se renueva por motivos de expiracin o revocacin,
el certificado emitido anteriormente se quita del almacn de
certificados del sujeto. De forma predeterminada, esta opcin no est
activada y se archiva el certificado.
Incluir los algoritmos
simtricos que
permite el sujeto
Cuando el sujeto solicita el certificado, puede proporcionar una lista
de algoritmos simtricos compatibles. Esta opcin permite a la CA
emisora incluir dichos algoritmos en el certificado, aun cuando no
sean reconocidos o admitidos por ese servidor.

Opciones de acciones de usuario

La ficha Tratamiento de la solicitud tambin permite definir varias de las opciones de
entrada de usuario que se describen en esta tabla para una plantilla de certificado.

Opcin Propsito
Inscribir el sujeto sin exigir
ninguna accin por parte del
usuario
Esta opcin permite la inscripcin automtica sin la
interaccin del usuario; se trata de la opcin predeterminada
para los certificados de usuario y de equipo.
Preguntar al usuario durante
la inscripcin
Si se deshabilita esta opcin, los usuarios no tienen que
proporcionar ninguna entrada para la instalacin de un
certificado basado en la plantilla de certificado.
Preguntar al usuario durante
la inscripcin y requerir la
accin del usuario cuando se
use una clave privada
Esta opcin permite al usuario establecer una contrasea
segura de proteccin de claves privadas en la clave privada
del usuario cuando se genere la clave, y exige al usuario
que la use siempre que se utilicen el certificado y la clave
privada.

Otras opciones de tratamiento de solicitudes de la versin 3

La ficha Tratamiento de la solicitud para las plantillas de certificado de la versin 3 se ha
actualizado a fin de admitir las nuevas opciones disponibles en la ficha Criptografa,
adems de otros cambios. Dichas opciones se enumeran en la tabla siguiente.


Opcin Propsito
Usar el algoritmo
simtrico
avanzado para
enviar la clave a la
CA
Esta opcin permite al administrador elegir el algoritmo Estndar de
cifrado avanzado (AES) para cifrar claves privadas mientras se
transfieren a la CA para el archivo de claves. Si se selecciona esta
opcin, el cliente usar el cifrado simtrico de AES-256 (junto con el
certificado de intercambio de la CA para cifrado asimtrico) para enviar
la clave privada a la CA para archivarla. Si no se selecciona esta opcin,
se usa el algoritmo simtrico 3DES. Puesto que el archivo de claves est
pensado para claves de cifrado (no claves de firma), esta opcin se
habilita slo cuando el propsito del certificado se establece en Cifrado.
Agregar permisos
de lectura a
Servicio de red en
la clave privada
Esta opcin permite que una lista de control de acceso (ACL)
personalizado se defina en las claves privadas de los certificados de
equipos basados en cualquier plantilla de certificado de equipo versin 3
excepto la CA raz, la CA subordinada o las plantillas de CA cruzada.
Slo se necesita una lista de control de acceso (ACL) personalizada
cuando una cuenta de servicio que requiere acceso a la clave privada no
se incluye en los permisos predeterminados. Los permisos
predeterminados aplicados a la clave privada por el cliente de inscripcin
de certificado de Microsoft y el proveedor de almacenamiento de la clave
de software incluye el permiso de Control total para el grupo de
administradores y la cuenta de sistema local. Los proveedores ajenos a
Microsoft pueden aplicar diferentes permisos predeterminados y pueden
no ser compatibles con listas de control de acceso personalizadas
definidas por el uso de esta opcin. Consulte la documentacin del
proveedor para obtener ms informacin.
Nota
Esta opcin reemplaz la opcin Agregar permisos de lectura a
Servicio de red en la clave privada. En Windows Server 2008 R2,
los permisos predeterminados aplicados a la clave privada de los
certificados firma de respuesta de OCSP incluyen el permiso de
lectura para la cuenta de servicio de Respondedor en lnea y
permisos de control total para el grupo de administradores y para la
cuenta de sistema local.

Para obtener ms informacin acerca de las opciones asociadas a las plantillas de
certificado de la versin 3, consulte Criptografa.

Otras opciones de tratamiento de solicitudes de la versin 2


Adems de las opciones de archivo de claves, es posible definir opciones generales que
afectan a todos los certificados basados en plantillas de certificado de la versin 2. Dichas
opciones se enumeran en la tabla siguiente.

Opcin Propsito
Tamao mnimo
de clave
Especifica el tamao mnimo, en bits, de la clave que se generar para
este certificado.
Proveedores de
servicios de
cifrado
Es una lista de proveedores de servicios de cifrado (CSP) que se usar
para inscribir certificados para la plantilla dada. Al seleccionar uno o varios
CSP, el certificado se configura para que funcione slo con dichos CSP. El
CSP debe instalarse en el equipo cliente para que pueda usarse durante la
inscripcin. Si se elige un CSP especfico y no est disponible en un
equipo cliente, la inscripcin dar error.

Criptografa
La ficha Criptografa est disponible para las plantillas de certificado de la versin 3. Esta ficha
sustituye al cuadro de dilogo de seleccin del proveedor de servicios de cifrado (CSP) usada para
seleccionar proveedores para las plantillas de certificado de la versin 2. La ficha Criptografa se
usa para configurar las siguientes propiedades:

Nombre de algoritmo: Seleccione un algoritmo compatible con el par de claves del
certificado emitido. La lista slo muestra aquellos algoritmos compatibles con las
operaciones de cifrado requeridas para el propsito de certificado seleccionado en la ficha
Control de solicitudes. La siguiente tabla describe la relacin entre el propsito de
certificado y los algoritmos disponibles.

Propsito Algoritmos
Cifrado ECDH_P256
ECDH_P384
ECDH_P521
RSA
Firma DSA
ECDSA_P256
ECDSA_P384


ECDSA_P521
RSA
Firma y cifrado ECDH_P256
ECDH_P384
ECDH_P521
RSA
Firma e inicio de sesin mediante tarjeta inteligente ECDH_P256
ECDH_P384
ECDH_P521
RSA

Tamao mnimo de clave: esta opcin permite especificar un tamao mnimo necesario
para las claves que se usen con el algoritmo elegido. De manera predeterminada, se usar
la longitud mnima de clave para el algoritmo elegido que admita el equipo.

Proveedores: las plantillas de la versin 2 ofrecen una lista de proveedores de servicios de
cifrado de CryptoAPI, mientras que las plantillas de la versin 3 ofrecen una lista de
proveedores CNG (Cryptography Next Generation) que se completa dinmicamente. La lista
incluye todos los proveedores disponibles en el equipo que satisfacen los criterios
especificados por una combinacin de las siguientes opciones de configuracin: Nombre de
algoritmo y Tamao mnimo de clave en la ficha Criptografa, y Propsito y Permitir
que la clave privada se pueda exportar en la ficha Tratamiento de la solicitud.

Algoritmo hash: esta opcin permite elegir un algoritmo hash avanzado. De manera
predeterminada, estn disponibles los siguientes algoritmos: AES-GMAC, MD2, MD4, MD5,
SHA1, SHA256, SHA384 y SHA512.

Usar formato de firma alternativo: cuando se selecciona el algoritmo RSA, esta casilla
permite especificar que las solicitudes de certificados creadas para esta plantilla incluyan
una firma discreta en formato PKCS #1 V2.1.
Nota
Esta opcin slo se aplica a la solicitud de certificado, no al certificado emitido por la CA desde
esta plantilla.


Puede haber ocasiones en las que desee modificar las propiedades de un tipo de certificado que ya
se ha emitido para los clientes. Esto puede realizarse creando una plantilla de certificado
actualizada para el propsito de dicho certificado y especificando que desea que los sujetos de los
certificados basados en la plantilla antigua obtengan nuevos certificados basados en la plantilla
nueva. Este procedimiento obliga a los sujetos a obtener certificados nuevos antes de la fecha de
renovacin especificada en la plantilla de certificado original.
Para reemplazar plantillas
3. Haga clic en la ficha Plantillas reemplazadas.
5. Haga clic en una o varias plantillas para reemplazarlas y, a continuacin, haga clic en
Aceptar.
6. Realice cualquier otro cambio que desee en la plantilla y haga clic en Aceptar.
7. Nombres de sujeto
8. Se aplica a: Windows 7, Windows Server 2008 R2
9. El titular de la clave privada asociada a un certificado se conoce como sujeto. Puede ser un
usuario, un programa o prcticamente cualquier objeto, equipo o servicio.
10. Como el nombre del sujeto puede variar en gran medida segn quin o qu sea, ser
necesaria cierta flexibilidad a la hora de proporcionarle un nombre en la solicitud de
certificado. Windows puede crear el nombre del sujeto automticamente a partir de la
informacin del sujeto almacenada en los Servicios de dominio de Active Directory (AD DS)
o lo puede suministrar manualmente el mismo sujeto (por ejemplo, mediante el uso de
pginas web de inscripcin de certificados para crear y enviar una solicitud de certificado.
11. Las entidades de certificacin (CA) incluyen el complemento Plantillas de certificado para
configurar las plantillas de certificados. Use la ficha Nombre de sujeto en la hoja de
propiedades de la plantilla del certificado para configurar las opciones de nombre del sujeto.
12. Proporcionado por el solicitante
13. Cuando se selecciona la opcin Proporcionado por el solicitante, la opcin Usar
informacin de sujeto de certificados existentes para las solicitudes de renovacin de
inscripcin automtica se encuentra disponible para simplificar la tarea de agregar el
nombre del sujeto a la solicitud de renovacin del certificado y para permitir que los
certificados generados por los equipos se puedan renovar automticamente. La informacin


del sujeto a partir de certificados existentes no se usa para la renovacin automtica de
certificados de usuario.
14. La opcin Usar informacin de sujeto de certificados existentes para las solicitudes de
renovacin de inscripcin automtica permite que el cliente de inscripcin de certificados
lea la informacin sobre el nombre del sujeto y el nombre alternativo del sujeto a partir de un
certificado existente generado por un equipo basado en la misma plantilla de certificado
cuando se crean automticamente solicitudes de renovacin o se usa el complemento
Certificados. Esta opcin se aplica a los certificados generados por equipos que han
caducado, han sido revocados o se encuentran dentro del perodo de renovacin.
15. Creacin a partir de AD DS
16. Cuando se selecciona la opcin Construir a partir de esta informacin de Active
Directory, se pueden configurar las siguientes opciones adicionales:
17. Formato de nombre de sujeto
Valor Descripcin
Nombre comn La CA crea el nombre del sujeto a partir del nombre comn (CN)
obtenido de AD DS. Este nombre debe ser nico en el dominio,
aunque puede no ser nico en una empresa.
Nombre completo (DN) La CA crea el nombre del sujeto a partir del nombre completo
obtenido de AD DS. De este modo se garantiza que el nombre sea
nico en una empresa.
Incluir el nombre de
correo electrnico en el
nombre del sujeto.
Si el campo del nombre del correo electrnico se rellena en el
objeto de usuario de Active Directory, este nombre de correo
electrnico se incluye con un nombre comn o con un nombre
completo como parte del nombre del sujeto.
Ninguno No se necesita ningn valor de nombre para este certificado.
18. Incluir esta informacin en el nombre de sujeto alternativo
Valor Descripcin
Nombre de correo
electrnico
Si el campo de nombre de correo electrnico se rellena en el objeto de
usuario de Active Directory, se usar dicho nombre de correo
electrnico.
Nombre DNS Es el nombre de dominio completo (FQDN) del sujeto que solicit el
certificado. Es el nombre usado con ms frecuencia en los certificados
de equipo.


Nombre principal del
usuario (UPN)
El nombre principal del usuario forma parte del objeto de usuario de
Nombre principal de
servicio (SPN)
El nombre principal de servicio forma parte del objeto de usuario de

Servidor de plantillas de certificado
Los escenarios de emisin de certificados de alto volumen, como las implementaciones de
Proteccin de acceso a redes (NAP) con cumplimiento del protocolo de seguridad de Internet
(IPsec), crean necesidades de infraestructura de clave pblica nica (PKI). Para cubrir estas
necesidades, se pueden usar las siguientes opciones que se presentan en Windows
Server 2008 R2 para configurar las plantillas de certificado para el uso por entidades de
certificacin (CA) de alto volumen. Estas opciones estn disponibles en la ficha Servidor de la hoja
de propiedades de la plantilla de certificado.
No almacenar certificados y solicitudes en la base de datos de CA.
Los certificados emitidos en escenarios de alto volumen suelen caducar tan solo horas despus de
haber sido emitidos. La CA emisora procesa un alto volumen de solicitudes de certificado. De forma
predeterminada, se almacena un registro de cada solicitud y certificado emitido en la base de datos
de CA. Un volumen elevado de solicitudes incrementa el ndice de crecimiento de la base de datos
de CA y los costos de administracin.
La opcin No almacenar certificados y solicitudes en la base de datos de CA configura la
plantilla para que la CA procese las solicitudes de certificados sin agregar registros a la base de
datos.
Importante
La CA emisora debe configurarse de forma que sea compatible con las solicitudes de
certificados que tienen esta opcin habilitada. En la CA emisora, ejecute el siguiente comando:
CertUtil.exe SetReg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS.
No incluir informacin de revocacin en los certificados emitidos
La revocacin de certificados de algunas CA de alto volumen no es beneficiosa ya que,
generalmente, el certificado caduca horas despus de ser emitido.
La opcin No incluir informacin de revocacin en los certificados emitidos configura la
plantilla de manera que la informacin de revocacin no se incluye en los certificados emitidos. De
este modo, se evita tener que comprobar el estado de revocacin durante la validacin del
certificado y se reduce el tiempo de validacin.
Nota
Se recomienda esta opcin siempre que se use la opcin No almacenar certificados y


solicitudes en la base de datos de la CA.

Implementacin de plantillas de certificado
Cuando se crea una entidad de certificacin (CA) de empresa, las plantillas de certificado se
almacenan en los Servicios de dominio de Active Directory (AD DS) y pueden ponerse a
disposicin de todas las CA de empresa del bosque. Esto simplifica la replicacin, la administracin
de seguridad y la actualizacin de plantillas de certificado cuando una CA se actualiza a una
versin ms reciente de un sistema operativo Windows Server. Tenga en cuenta que ello requiere
que el grupo Admins. del dominio del dominio raz cuente con permisos de Control total en todas
las plantillas de certificado, o que dichos permisos se hayan concedido a otro grupo o usuario.
Una vez planeadas y creadas las plantillas de certificado adecuadas, stas se replicarn
automticamente en todos los controladores de dominio de la empresa. Normalmente, esta
replicacin requiere unas ocho horas para completarse. Por ello, debera crear la plantilla de
certificado y dejar que se replicase antes de emitir certificados para los clientes basados en la
plantilla de certificado. Lo mejor es llevar esto a cabo durante algn momento de inactividad del
entorno. Configurar plantillas y usar certificados antes de que finalice la replicacin puede tener
consecuencias no deseadas.


Agregar una plantilla de certificado a una entidad de certificacin

Quitar una plantilla de certificado de una entidad de certificacin
Agregar una plantilla de certificado a una entidad de certificacin
Para que una entidad de certificacin (CA) pueda emitir certificados, la plantilla de certificado debe
agregarse a una CA.
Para agregar una plantilla de certificado a una entidad de certificacin
1. Abra el complemento Entidad de certificacin y haga doble clic en el nombre de la CA.
2. Haga clic con el botn secundario en Plantillas de certificado, haga clic en Nueva y, a
continuacin, haga clic en Plantilla de certificado que se va a emitir.
3. Seleccione la plantilla de certificado y haga clic en Aceptar.
Quitar una plantilla de certificado de una entidad de certificacin


En algunas ocasiones, puede ser necesario quitar una plantilla de certificado de una entidad de
certificacin (CA), por ejemplo para evitar la confusin cuando se agregue una versin ms
reciente de la plantilla de certificado.
Para quitar una plantilla de certificado de una CA
1. Abra el complemento Entidad de certificacin.
2. En el rbol de consola, haga clic en Plantillas de certificado.
desea eliminar y, a continuacin, haga clic en Eliminar.
Emisin de certificados basados en plantillas de certificados
Los Servicios de certificados de Active Directory (AD CS) admiten varios mtodos de inscripcin y
renovacin, incluidos la inscripcin automtica sin interaccin del cliente y mtodos de inscripcin
interactiva como el Asistente para solicitud de certificados y las pginas web de AD CS.
Nota
Si implementa entidades de certificacin (CA) ajenas a Microsoft o aplicaciones de inscripcin y
renovacin de certificados personalizadas, debe realizar la configuracin que requieran dichas
CA y aplicaciones.
La manera en que un cliente obtiene un certificado se controla, en gran parte, mediante las
propiedades de seguridad de la plantilla de certificado.
Cuando las plantillas de certificado se publican en un servidor, cada plantilla contiene una lista de
control de acceso (ACL) que define las operaciones especficas que un sujeto puede realizar en un
certificado.

Opcin Descripcin
Control total El usuario o grupo seleccionado puede realizar cualquier accin en esta
plantilla.
Leer El usuario o grupo seleccionado puede leer esta plantilla.
Escribir El usuario o grupo seleccionado puede modificar esta plantilla.
Inscripcin El usuario o grupo seleccionado puede enviar una solicitud de emisin o
renovacin de certificado basada en esta plantilla.


Nota
Para recuperar de manera automtica los certificados Firma de respuesta
de OCSP, las cuentas de servicio Respondedor en lnea requieren
permisos de inscripcin, no de inscripcin automtica.

Inscripcin
automtica
El usuario o grupo seleccionado puede enviar una solicitud de certificado
basada en esta plantilla mediante una inscripcin automtica.
Nota
El permiso de inscripcin automtica no incluye el permiso de inscripcin.
Para usar el permiso de inscripcin automtica, conceda los dos
permisos.

El uso ms habitual de los certificados es para realizar inscripcin de sujetos con la inscripcin
automtica permitida. En este caso, el sujeto debe tener permisos de lectura, inscripcin e
inscripcin automtica.
Si no desea inscribir automticamente a los usuarios, pero desea que la inscripcin manual o a
travs de la web est disponible, lo apropiado es conceder permisos de lectura e inscripcin.
Si los sujetos ya poseen un certificado, slo necesitarn permisos de lectura e inscripcin para
renovar dicho certificado, tanto si usan la inscripcin automtica como si no.
Los permisos de escritura y control total deben reservarse para los administradores de CA a fin de
garantizar que las plantillas se configuren de forma adecuada.



Permitir a los sujetos solicitar un certificado basado en una plantilla

Volver a inscribir a todos los propietarios de certificados

Modificacin de una directiva de emisin

Configuracin de la publicacin de certificados en los Servicios de dominio de Active
Directory
La inscripcin automtica es una caracterstica muy til de los Servicios de certificados de Active
Directory (AD CS). Permite al administrador configurar sujetos para que la inscripcin en
certificados, la recuperacin de certificados emitidos y la renovacin de certificados expirados se
realice automticamente sin requerir la interaccin del sujeto. El sujeto no necesita estar al tanto de


ninguna de las operaciones de certificado, a no ser que la plantilla de certificado se configure para
interactuar con el sujeto.
Para configurar adecuadamente la inscripcin automtica de sujetos, el administrador debe planear
la plantilla o plantillas de certificado que deben usarse. Varias opciones de configuracin de la
plantilla de certificado afectan directamente al comportamiento de la inscripcin automtica de
sujetos. Para obtener ms informacin acerca de estos valores de configuracin, consulte:



Uso de claves

Para configurar la inscripcin de certificados automtica
3. Haga clic en las fichas de Propiedades, incluidas General, Tratamiento de la solicitud y
Requisitos de emisin, y modifquelas si es necesario.
4. En la ficha Seguridad, seleccione un nombre de usuario o grupo. Active la casilla Permitir
situada junto a Inscripcin automtica y, a continuacin, haga clic en Aplicar.
Permitir a los sujetos solicitar un certificado basado en una plantilla
Los usuarios pueden obtener los certificados que sean necesarios mediante el Asistente para
solicitud de certificados a fin de solicitar un certificado basado en una plantilla de certificado. Para
poder hacer esto, debe habilitar la plantilla de certificado para dichas operaciones.
Para configurar adecuadamente la inscripcin de sujetos, el administrador debe planear la plantilla
o plantillas de certificado que deben usarse. Varias opciones de configuracin de la plantilla de
certificado afectan directamente al comportamiento de la inscripcin de certificados. Para obtener
ms informacin acerca de estos valores de configuracin, consulte:



Uso de claves


Para permitir que los sujetos soliciten un certificado basado en una plantilla
3. En la ficha Seguridad, agregue los grupos, equipos o usuarios a los que desea permitir
solicitudes de certificados.
4. En Nombres de grupos o usuarios, haga clic en uno de los objetos nuevos y, a
continuacin, en Permisos para nombreDeObjeto, en la columna Permitir, active las
casillas Leer e Inscribir.
5. Repita el paso anterior para cada uno de los objetos nuevos.
inscribir a todos los prop...
Modificacin de una directiva de emisin
Un certificado puede solicitarlo cualquier sujeto que tenga, como mnimo, permisos de lectura y de
inscripcin para la plantilla de certificado correspondiente. En ocasiones, puede que el
administrador desee imponer algunas restricciones al proceso que se produce una vez formulada la
solicitud de certificado. Estas restricciones otorgan al administrador el control sobre los certificados
que se emiten y la forma en que se lleva a cabo el proceso. Este tipo de restriccin se conoce
como directiva de emisin (tambin denominada directiva de certificado o de inscripcin). Las
directivas de emisin pueden incluir requisitos para la aprobacin del administrador de certificados,
varios requisitos de firma autorizada, y si deben implementarse directivas de aplicacin y de
emisin para un certificado determinado. Para obtener ms informacin, consulte Directiva de
aplicacin.
Para modificar una directiva de emisin
3. Haga clic en la ficha Requisitos de emisin.


5. Haga clic en Aplicar.

Este procedimiento es aplicable a las plantillas de certificado de las versiones 2 y 3. Para
obtener ms informacin, consulte Versiones de plantillas de certificado.

Volver a inscribir a todos los propietarios de certificados
Este procedimiento se usa cuando se ha realizado un cambio crtico en la plantilla de certificado y
se desea que todos los sujetos que poseen un certificado basado en esta plantilla vuelvan a
inscribirse lo ms rpido posible. El sujeto volver a inscribirse la prxima vez que compruebe la
versin del certificado con la versin de la plantilla en la entidad de certificacin (CA).
Para volver a inscribir a todos los propietarios de certificados
2. Haga clic con el botn secundario en la plantilla que desea usar y, a continuacin, haga clic
en Volver a inscribir a todos los poseedores de certificados.

Configuracin de la publicacin de certificados en los Servicios de dominio de Active
Directory
Una entidad de certificacin (CA) basada en Windows Server puede agregar certificados emitidos
para sujetos de Active Directory al objeto de Active Directory correspondiente. Esto permite a otros
usuarios de Servicios de dominio de Active Directory (AD DS) encontrar y usar fcilmente el
certificado del sujeto. Hay dos opciones de configuracin (en la ficha General de la hoja de
propiedades de la plantilla de certificado) que afectan a la manera en que funciona esta
caracterstica:

Publicar certificado en Active Directory. Cuando un sujeto obtiene un certificado basado
en esta plantilla, el certificado emitido se agregar al objeto de Active Directory de dicho
sujeto.

No volver a inscribir automticamente si ya existe un certificado duplicado de Active
Directory. Cuando el sujeto intenta inscribirse para un certificado basado en esta plantilla,
los equipos con Windows XP o posterior comprobarn si existe un certificado duplicado en
AD DS. Si es as, la inscripcin automtica no enviar una nueva solicitud de inscripcin.


Esto permite renovar los certificados, pero impide que se emitan varios certificados
duplicados.
Para configurar la publicacin de certificados en AD DS
3. En la ficha General, active la casilla correspondiente a la opcin de Active Directory que
desee y, a continuacin, haga clic en Aplicar.
Solucin de problemas de plantillas de certificado
En esta seccin se enumeran algunos problemas comunes que pueden aparecer al usar el
complemento Plantillas de certificado o al trabajar con plantillas de certificado. Para obtener ms
informacin acerca de la solucin de problemas relacionados con las plantillas de certificado,
consulte el tema sobre solucin de problemas de los Servicios de certificados de Active Directory
(http://go.microsoft.com/fwlink/?LinkId=89215) (puede estar en ingls).
De qu problema se trata?

El complemento Plantillas de certificado no muestra ninguna lista de plantillas despus de
solicitar la instalacin de plantillas de certificado nuevas

No se estn emitiendo certificados a los clientes

Se emiten certificados a los sujetos, pero se produce un error en las operaciones
criptogrficas con dichos certificados

Los controladores de dominio no obtienen certificados de controlador de dominio

Los clientes no pueden obtener certificados a travs de la inscripcin automtica

Los nombres de las plantillas de certificado del complemento no son coherentes entre s en
vistas o ventanas

La clave privada no se puede exportar desde los certificados de tarjeta inteligente, aun
cuando se ha seleccionado Permitir que la clave privada se pueda exportar en la plantilla de
certificado


La plantilla de certificado se ha modificado, pero algunas entidades de certificacin (CA)
tienen todava la versin no modificada

La clave privada no se archiva a pesar de que he seleccionado la opcin Archivar clave
privada de cifrado de sujeto y he configurado la CA para que solicite la recuperacin de
claves

La inscripcin automtica me solicita que renueve un certificado que no me pertenece y
tengo certificados en mi almacn de certificados personales que yo no he puesto ah
El complemento Plantillas de certificado no muestra ninguna lista de plantillas despus de solicitar
la instalacin de plantillas de certificado nuevas

Causa: las plantillas de certificado no se han replicado todava en la entidad de certificacin
(CA) a la que est conectado el equipo. Esta replicacin es parte de la replicacin de Active
Directory.

Solucin: espere a que se repliquen las plantillas de certificado y vuelva a abrir el
complemento Plantillas de certificado.
No se estn emitiendo certificados a los clientes

Causa: la duracin del certificado de emisin usado por la entidad de certificacin (CA) es
ms corta que el perodo superpuesto de plantilla configurado para la plantilla de certificado
solicitada. Esto significa que el certificado emitido sera apto inmediatamente para la
reinscripcin. En lugar de emitir y renovar continuamente este certificado, la solicitud de
certificado no se procesa.

Solucin: renueve el certificado de emisin usado por la entidad de certificacin.
Se emiten certificados a los sujetos, pero se produce un error en las operaciones criptogrficas con
dichos certificados

Causa: el proveedor de servicios de cifrado (CSP) no coincide con las opciones de uso de
claves o no existe.

Solucin: confirme que ha establecido en la plantilla un CSP que admite el tipo de
operacin criptogrfica para la que se usar el certificado.


Los controladores de dominio no obtienen certificados de controlador de dominio

Causa: se ha deshabilitado la inscripcin automtica mediante las opciones de
configuracin de directiva de grupo para controladores de dominio. Los controladores de
dominio obtienen sus certificados mediante la inscripcin automtica.

Solucin: habilite la inscripcin automtica para controladores de dominio.

Causa: la configuracin predeterminada de la Solicitud de certificados automtica para
controladores de dominio se ha quitado de la directiva predeterminada de controladores de
dominio.

Solucin: cree una nueva Solicitud de certificados automtica en la directiva
predeterminada de controladores de dominio para la plantilla de certificado del controlador
de dominio.
Los clientes no pueden obtener certificados a travs de la inscripcin automtica

Causa: los permisos de seguridad deben configurarse para permitir a los sujetos previstos
la inscripcin y la inscripcin automtica en la plantilla de certificado. Ambos permisos son
necesarios para habilitar la inscripcin automtica.

Solucin: modifique la lista de control de acceso discrecional (DACL) de la plantilla de
certificado para otorgar permisos de lectura, inscripcin e inscripcin automtica a los
sujetos que desee.
Los nombres de las plantillas de certificado del complemento no son coherentes entre s en vistas o
ventanas

Causa: se est usando Sitios y servicios de Active Directory para ver las plantillas de
certificado. Es posible que este complemento no muestre una vista tan precisa como
Plantillas de certificado.

Solucin: use el complemento Plantillas de certificado para administrar las plantillas de
certificado.
La clave privada no se puede exportar desde los certificados de tarjeta inteligente, aun cuando se
ha seleccionado Permitir que la clave privada se pueda exportar en la plantilla de certificado

Causa: las tarjetas inteligentes no permiten exportar claves privadas una vez que se
escriben en la tarjeta inteligente.

Solucin: ninguna.


La plantilla de certificado se ha modificado, pero algunas entidades de certificacin (CA) tienen
todava la versin no modificada

Causa: las plantillas de certificado se replican entre entidades de certificacin con el
proceso de replicacin de Active Directory. Puesto que esta replicacin no es instantnea,
puede que la nueva versin de la plantilla est disponible para todas las entidades de
certificacin con algo de retraso.

Solucin: espere a que la plantilla modificada se haya replicado en todas las entidades de
certificacin. Para visualizar las plantillas de certificado que estn disponibles en la CA, use
la herramienta de lnea de comandos Certutil.exe.
La clave privada no se archiva a pesar de que he seleccionado la opcin Archivar clave privada de
cifrado de sujeto y he configurado la CA para que solicite la recuperacin de claves

Causa: las claves privadas no se archivarn si el uso de claves para la plantilla de
certificado est establecido en Firma. Esto se debe a que el uso de firma digital requiere
que la clave no sea recuperable.

Solucin: Ninguna
La inscripcin automtica me solicita que renueve un certificado que no me pertenece y tengo
certificados en mi almacn de certificados personales que yo no he puesto ah

Causa: cuando se usa la estacin de inscripcin de tarjeta inteligente en el equipo del
administrador para renovar o cambiar el certificado almacenado en la tarjeta inteligente, el
certificado de la tarjeta inteligente se copia en el almacn de certificados privado del
administrador. Este certificado puede procesarse mediante inscripcin automtica e
indicarle que comience el proceso de renovacin.

Solucin: haga clic en Iniciar para comenzar el proceso de renovacin de inscripcin
automtica. Puesto que el certificado no es suyo, el proceso de inscripcin automtica
terminar cuando haga clic en Iniciar. Si desea quitar los certificados de su almacn de
certificados personales, puede eliminarlos manualmente.
Respondedor en lnea
El servicio Respondedor en lnea de Microsoft permite configurar y administrar la comprobacin de
revocaciones y validacin del Protocolo de estado de certificados en lnea (OCSP) en redes
basadas en Windows. El complemento Respondedor en lnea permite configurar y administrar
configuraciones de revocacin y matrices de Respondedor en lnea para admitir clientes de
infraestructura de clave pblica (PKI) en diversos entornos.


Qu es un Respondedor en lnea?

Configuracin de los Respondedores en lnea en una red

Administracin de Servicios de respuesta en lnea

Administracin de una configuracin de revocacin

Administracin de una matriz de Respondedores en lnea

Solucin de problemas de Servicios de respuesta en lnea
Qu es un Respondedor en lnea?
Un Respondedor en lnea es un servidor de confianza que recibe y responde las solicitudes de
clientes individuales de informacin acerca del estado de un certificado.
El uso de Respondedores en lnea es uno de los dos mtodos ms comunes para transmitir
informacin acerca de la validez de los certificados. A diferencia de las listas de revocacin de
certificados (CRL), que se distribuyen peridicamente y contienen informacin acerca de todos los
certificados que se han revocado o suspendido, un Respondedor en lnea recibe y responde slo
solicitudes individuales de clientes que requieren informacin sobre el estado de un certificado. La
cantidad de datos recuperados por solicitud permanece constante, independientemente del nmero
de certificados revocados que pueda existir.
En muchos casos, los Respondedores en lnea pueden procesar las solicitudes de estado de
certificados de forma ms eficiente que las CRL. Por ejemplo:

Clientes que se conectan a la red de forma remota y no necesitan ni disponen de las
conexiones de alta velocidad necesarias para descargar grandes CRL.

Una red que necesita administrar perodos de mxima actividad en la comprobacin de
revocaciones, por ejemplo, cuando un gran nmero de usuarios inician sesin o envan
correo electrnico firmado simultneamente.

Una organizacin que necesita un mtodo eficaz para distribuir los datos de revocacin para
los certificados emitidos desde una entidad de certificacin (CA) que no es de Microsoft.

Una organizacin que desea proporcionar slo los datos de comprobacin de revocaciones
necesarios para comprobar las solicitudes individuales de estado de certificados y no quiere
que la informacin sobre todos los certificados revocados o suspendidos est disponible.

Componentes de un Respondedor en lnea


El servicio de rol Respondedor en lnea de Windows Server 2008 R2 est formado por los
siguientes componentes.


Componente Descripcin
Servicio
Respondedor en
lnea
El servicio Respondedor en lnea descodifica una solicitud de estado
de revocacin para un certificado especfico, evala el estado de ese
certificado y devuelve una respuesta firmada que contiene la
informacin solicitada sobre el estado del certificado. El servicio
Respondedor en lnea es un componente independiente de una
entidad de certificacin (CA).
Respondedor en
lnea
Un equipo en el cual se ejecutan el servicio Respondedor en lnea y el
proxy web del Respondedor en lnea. Adems, se puede configurar
como Respondedor en lnea un equipo que hospede una CA, pero
deber mantener las CA y los Respondedores en lnea en equipos
independientes. Un nico Respondedor en lnea puede proporcionar
informacin de estado de revocacin de certificados emitidos por una o
varias CA. La informacin de revocacin de CA puede admitirse en
ms de un Respondedor en lnea.
Nota
Se puede instalar un Respondedor en lnea en cualquier equipo
con Windows Server 2008 R2 Enterprise o Windows
Server 2008 R2 Datacenter. Los datos de revocacin de
certificados se derivan de una lista pblica de revocacin de
certificados (CRL). sta puede proceder de la CA de un equipo
con Windows Server 2008 R2, Windows Server 2008, Windows
Server 2003 o Windows 2000 Server, o de una CA que no sea
Microsoft.

Proxy web de
Respondedor en
lnea
La interfaz del servicio del Respondedor en lnea se implementa como
una extensin ISAPI (Internet Server API) hospedada por Internet
Information Services (IIS). El proxy web recibe y descodifica las
solicitudes y almacena en cach las respuestas durante un perodo de
tiempo configurable.
Configuracin de
revocacin
Una configuracin de revocacin incluye todas las opciones necesarias
para responder a las solicitudes de estado de certificado que se han
emitido mediante una clave de CA especfica. Estos valores de
configuracin incluyen el certificado de CA, el certificado de firma del
Respondedor en lnea y el tipo de proveedor de revocacin que se va a
usar.
Proveedor de Un proveedor de revocacin es el mdulo de software que, junto con


revocacin otra configuracin de revocacin, habilita a un Respondedor en lnea
para la comprobacin del estado de un certificado. El proveedor de
revocacin de Windows Server 2008 R2 usa datos de las CRL para
proporcionar esta informacin de estado.
Matriz de
Respondedores en
lnea
Una matriz de Respondedores en lnea contiene uno o varios
Respondedores en lnea. Existen diversas razones para agregar
Respondedores en lnea adicionales a una matriz de Respondedores
en lnea, incluidas las consideraciones geogrficas, la escalabilidad, las
consideraciones de diseo de red o la tolerancia a errores en caso de
que un Respondedor en lnea especfico no est disponible. Los
Respondedores de una matriz de Respondedores en lnea se conocen
como miembros de la matriz.
Controlador de la
matriz de
Respondedores en
lnea
Cuando varios Respondedores en lnea se combinan en una matriz, se
debe designar a uno de ellos como controlador de la matriz. Aunque
cada Respondedor en lnea de la matriz se puede configurar y
administrar de forma independiente, en caso de conflictos, la
informacin de configuracin del controlador de la matriz invalidar las
opciones de configuracin de los otros miembros de la matriz.

Funcionamiento de los Servicios de respuesta en lnea
La mayora de las aplicaciones que dependen de certificados X.509 necesitan validar el estado de
los certificados que usan cuando se realizan operaciones de autenticacin, firma o cifrado. Esta
comprobacin de la validez y revocacin de certificados se lleva a cabo en todos los certificados de
una cadena de certificados, hasta el certificado raz. Si el certificado raz, o cualquier certificado de
la cadena, no es vlido, los certificados que se encuentran por debajo del certificado no vlido de la
cadena tambin carecern de validez.
La validacin incluye lo siguiente:

La firma de cada certificado es vlida.

La fecha y hora actual estn dentro del perodo de validez de cada certificado.

Ningn certificado est daado ni tiene un formato incorrecto.
Adems, se comprueba el estado de revocacin de cada certificado de la cadena de certificados.
La comprobacin de revocacin se puede realizar mediante la lista de revocacin de certificados
(CRL) o mediante respuestas del Protocolo de estado de certificados en lnea (OCSP).
Qu es OCSP?
El Respondedor en lnea de Microsoft implementa el protocolo OCSP, que permite que el
destinatario de un certificado pueda enviar una solicitud de estado de certificado a un Respondedor


de OCSP mediante el Protocolo de transferencia de hipertexto (HTTP). Este Respondedor de
OCSP devuelve una respuesta definitiva y firmada digitalmente donde se indica el estado del
certificado. La cantidad de datos recuperada por solicitud es constante, independientemente del
nmero de certificados revocados en la CA.
Para obtener ms informacin, consulte RFC 2560, sobre el Protocolo de estado de certificados en
lnea (OCSP) de la infraestructura de clave pblica X.509
(http://go.microsoft.com/fwlink/?LinkID=71068) (puede estar en ingls).
Respondedor en lnea
La implementacin de Microsoft de OCSP (Respondedor en lnea) se divide en componentes
cliente y servidor. El componente cliente se integra en la biblioteca CryptoAPI 2.0, mientras que el
componente servidor se introduce como un nuevo servicio suministrado por el rol de servidor
Servicios de certificados de Active Directory (AD CS). El siguiente proceso describe cmo
interactan los componentes cliente y servidor:
1. Cuando una aplicacin intenta comprobar un certificado que especifica ubicaciones de
Respondedores de OCSP, el componente cliente busca primero en la memoria local y las
cachs de disco una respuesta OCSP en cach que contenga datos actuales de
revocacin.
2. Si no encuentra una respuesta en cach aceptable, se enva una solicitud a un
Respondedor en lnea mediante el protocolo HTTP.
3. El proxy web del Respondedor en lnea decodifica y comprueba la solicitud. Si la solicitud es
vlida, se busca la informacin de revocacin necesaria para cumplimentar la solicitud en la
cach del proxy web. Si la informacin actual no est disponible en la cach, la solicitud se
enva al servicio Respondedor en lnea.
4. El servicio Respondedor en lnea recibe la solicitud y comprueba una CRL local, si est
disponible, y una copia en cach de la CRL ms reciente emitida por la CA.
5. Si el certificado no aparece en las listas de revocacin locales o en cach, el proveedor de
revocacin obtiene una CRL de CA actualizada, si est disponible, de las ubicaciones
enumeradas en la configuracin de revocacin, a fin de comprobar el estado del certificado.
A su vez, el proveedor devuelve el estado del certificado al servicio Respondedor en lnea.
6. A continuacin, el proxy web codifica y enva la respuesta al cliente para informarle de que
el certificado es vlido. Tambin guarda en cach una copia de la respuesta durante un
perodo de tiempo limitado, en caso de que existan solicitudes de estado adicionales sobre
este certificado.
Configuracin de los Respondedores en lnea en una red


La configuracin de los servicios Respondedor en lnea implica varios pasos interrelacionados.
Algunos de estos pasos se deben realizar en la entidad de certificacin (CA) que se usar para
emitir los certificados de firma del Protocolo de estado de certificados en lnea (OCSP) necesarios
para que un Respondedor en lnea funcione. Estos pasos incluyen la configuracin de la plantilla de
certificado adecuada, la habilitacin de la plantilla de certificado, y la configuracin y formalizacin
de la inscripcin automtica del certificado, de forma que el equipo que hospeda el Respondedor
en lnea disponga de los certificados necesarios para que ste funcione.
La instalacin y configuracin de un Respondedor en lnea implica el uso del Administrador del
servidor para instalar el servicio Respondedor en lnea, el uso del complemento Plantillas de
certificado para configurar y publicar las plantillas de certificado Firma de respuesta de OCSP, el
uso del complemento Entidad de certificacin para incluir extensiones OCSP en los certificados que
emitir y para emitir certificados Firma de respuesta de OCSP, y el uso del complemento
Respondedor en lnea para crear una configuracin de revocacin.
Los siguientes temas describen los pasos necesarios para llevar a cabo estos pasos de instalacin
y configuracin, y cmo comprobar que la instalacin se ha realizado correctamente.

Configurar una entidad de certificacin (CA) para admitir Respondedores de OCSP

Configurar un Respondedor en lnea

Creacin de una configuracin de revocacin

Comprobacin de una instalacin de Respondedor en lnea
Configurar una entidad de certificacin (CA) para admitir Respondedores de OCSP
Para funcionar adecuadamente, un Respondedor en lnea debe tener un certificado de firma de
respuesta de Protocolo de estado de certificados en lnea (OCSP). Este certificado de firma del
Servicio de respuesta de OCSP tambin es necesario si se usa un Respondedor de OCSP que no
es de Microsoft.
La configuracin de una entidad de certificacin (CA) para que admita Respondedores de OCSP
incluye los siguientes pasos:
1. Configurar las plantillas de certificado y las propiedades de emisin de los certificados de
firma de respuesta de OCSP.
2. Configurar los permisos de inscripcin para los equipos que hospedarn los Respondedores
en lnea.
3. Si es una CA basada en Windows Server 2003, habilite la extensin OCSP en los
certificados emitidos.
4. Agregar la ubicacin del Respondedor en lnea o del Respondedor de OCSP a la extensin
de acceso a informacin de entidad de certificacin en la CA.
5. Habilitar la plantilla de certificado Firma de respuesta de OCSP para la CA.


La plantilla de certificado que se us para emitir un certificado Firma de respuesta de OCSP debe
contener una extensin con el ttulo "Comprobacin de no revocacin de OCSP" y la directiva de
aplicacin de firma de OCSP. Tambin se deben configurar los permisos para permitir que el
equipo que hospedar al Respondedor en lnea inscriba este certificado.
Se debe seguir el siguiente procedimiento para una CA que se instale en un equipo con Windows
Server 2008 R2 o Windows Server 2008.
informacin acerca de la administracin de una infraestructura de clave pblica (PKI), vea
Implementacin de la administracin basada en funciones.
Para configurar una plantilla de certificado para un certificado Firma de respuesta de OCSP
emitido por una CA basada en Windows Server 2008 R2 o una CA basada en Windows
Server 2008
Nota
Si est realizando este procedimiento en un equipo que no tiene una CA o un Respondedor en
lnea instalado, es posible que deba instalar las Herramientas de administracin remota del
servidor de Servicios de certificados de Active Directory (AD CS) a fin de usar el complemento
Plantillas de certificado. Para obtener ms informacin acerca de las Herramientas de
administracin remota del servidor, vea Administracin de un Respondedor en lnea desde otro
equipo.
2. Haga clic con el botn secundario en la plantilla Firma de respuesta de OCSP y, a
continuacin, haga clic en Propiedades.
3. Haga clic en la ficha Seguridad. En Nombre de grupo o de usuario, haga clic en Agregar.
4. Haga clic en Tipos de objeto, active la casilla Equipos y, a continuacin, haga clic en
Aceptar.
5. Escriba el nombre o localice y seleccione el equipo que hospeda los Respondedores en
lnea o los Respondedores OCSP, y haga clic en Aceptar.
6. En el cuadro de dilogo Nombres de grupos o usuarios, haga clic en el nombre del
equipo y, en el cuadro de dilogo Permisos, active las casillas Leer e Inscribir Despus,
haga clic en Aceptar.
Siga el siguiente procedimiento para una CA que se instale en un equipo con Windows
Server 2003. El procedimiento se debe realizar en un equipo con Windows Server 2008 R2 o
Windows Server 2008.
informacin acerca de la administracin de una PKI, vea Implementacin de la administracin
basada en funciones.


Para configurar una plantilla de certificado para un certificado Firma de respuesta de OCSP
emitido por una CA basada en Windows Server 2003
2. Haga clic con el botn secundario en la plantilla Firma de respuesta de OCSP y, a
continuacin, haga clic en Duplicar. Haga clic en Windows 2003 Server, Enterprise
Edition y, a continuacin, haga clic en Aceptar.
3. Haga clic en la ficha Seguridad. En Nombre de grupo o de usuario, haga clic en Agregar
y, a continuacin, escriba el nombre o localice y seleccione el equipo que hospeda los
servicios Respondedor en lnea o los servicios Respondedor de OCSP.
4. Haga clic en Tipos de objeto, active la casilla Equipos y, a continuacin, haga clic en
Aceptar.
5. Escriba el nombre o localice y seleccione el equipo que hospeda los Respondedores en
lnea o los Respondedores de OCSP, y haga clic en Aceptar.
6. En el cuadro de dilogo Nombres de grupos o usuarios, haga clic en el nombre del
equipo y, en el cuadro de dilogo Permisos, active las casillas Leer e Inscribir
Nota
La plantilla de certificado Firma de respuesta de OCSP predeterminada contiene una extensin
con el ttulo "Comprobacin de no revocacin de OCSP". No elimine esta extensin, ya que
muchos clientes la usan para comprobar que las respuestas firmadas con el certificado de firma
son vlidas.
Si la CA se instala en un equipo con Windows Server 2003, debe realizar el siguiente
procedimiento a fin de configurar el mdulo de directiva en la CA para emitir certificados que
incluyan esta extensin.
Para completar este procedimiento debe ser un administrador local. Para obtener ms informacin
acerca de la administracin de una PKI, vea Implementacin de la administracin basada en
funciones.
Para preparar un equipo que ejecute Windows Server 2003 para emitir certificados de Firma
de respuesta de OCSP
1. En el equipo que hospeda la CA, abra una ventana del smbolo del sistema y escriba:

Copiar cdigo
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
2. Detenga y vuelva a iniciar la CA. Puede hacer esto en un smbolo del sistema mediante la
ejecucin de los siguientes comandos:


Copiar cdigo
net stop certsvc
net start certsvc
Para configurar su CA para OCSP, debe usar el complemento Entidad de certificacin para llevar a
cabo los siguientes pasos de configuracin:

Agregar la ubicacin del Respondedor en lnea o del Respondedor de OCSP a la extensin
de acceso a informacin de entidad de certificacin.

Habilitar la plantilla de certificado para la CA.
Para completar este procedimiento, debe ser un administrador de CA. Para obtener ms
informacin acerca de la administracin de una PKI, vea Implementacin de la administracin
basada en funciones.
Para configurar una CA para que admita servicios Respondedor en lnea o servicios
Respondedor de OCSP
1. Abra el complemento Entidad de certificacin.
2. En el rbol de consola, haga clic en el nombre de la CA.
3. En el men Accin, haga clic en Propiedades.
4. Haga clic en la ficha Extensiones.
5. En la lista Seleccionar extensin, haga clic en Acceso a la informacin de entidad (AIA)
y, a continuacin, haga clic en Agregar.
6. Especifique las ubicaciones desde las cuales los usuarios pueden obtener los datos de
revocacin de certificados como, por ejemplo, http://computername/ocsp.
7. Active la casilla Incluir en la extensin del Protocolo de estado de certificados en lnea
(OCSP).
8. En el rbol de consola del complemento Entidad de certificacin, haga clic con el botn
secundario en Plantillas de certificados y, a continuacin, haga clic en Plantilla de
certificado que se va a emitir.
9. En Habilitar plantillas de certificados, seleccione la plantilla Firma de respuesta de
OCSP y cualquier otra plantilla de certificado que haya configurado anteriormente y, a
continuacin, haga clic en Aceptar.


10. Haga doble clic en Plantillas de certificado y compruebe que las plantillas de certificado
modificadas aparecen en la lista.
Se puede instalar un Respondedor en lnea en cualquier equipo con Windows Server 2008 R2
Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise o Windows
Server 2008 Datacenter. Los datos de revocacin de certificado pueden proceder de una entidad
de certificacin (CA) de un equipo con Windows Server 2008 R2, Windows Server 2008 o Windows
Server 2003, o de una CA que no sea de Microsoft.
Nota
Tambin debe instalar Internet Information Services (IIS) en este equipo antes de que pueda
instalarse el Respondedor en lnea.
Se puede usar el siguiente procedimiento si no se han instalado los servicios de rol Servicios de
certificados de Active Directory (AD CS) (como una CA) en este equipo.
El mnimo requerido para completar este procedimiento es la pertenencia al grupo
Administradores local o un grupo equivalente. Para obtener ms informacin acerca de la
administracin de una infraestructura de clave pblica (PKI), vea Implementacin de la
Para instalar el servicio Respondedor en lnea
en Administrador del servidor.
2. Haga clic en Administrar roles. En Servicios de certificados de Active Directory, haga
clic en Agregar servicios de rol. Si ya se ha instalado en este equipo un servicio de rol AD
CS diferente, active la casilla Servicios de certificados de Active Directory en el panel
Resumen de roles y, a continuacin, haga clic en Agregar servicios de rol.
3. En la pgina Seleccionar servicios de rol, active la casilla Protocolo de estado de
certificados en lnea.
Aparecer un mensaje que explica que tambin se deben instalar IIS y WAS (Windows
Activation Service) para la compatibilidad con OCSP.
4. Haga clic en Agregar servicios de rol requeridos y, a continuacin, haga clic en
Siguiente tres veces.
5. En la pgina Confirmar opciones de instalacin, haga clic en Instalar.


6. Cuando finalice la instalacin, revise la pgina de estado para comprobar que la instalacin
se ha realizado correctamente.

Antes de usar un Respondedor en lnea, se debe crear una configuracin de revocacin.
Vea Creacin de una configuracin de revocacin.

De manera predeterminada, el filtrado de solicitudes de IIS 7.0 bloquea el signo ms (+),
que se usa en la direccin URL de las diferencias entre listas CRL. Para permitir la
recuperacin de las diferencias entre listas CRL, modifique la configuracin de ISS
mediante el establecimiento de allowDoubleEscaping=true en el elemento
requestFiltering de la seccin system.web de la configuracin de IIS. Para obtener ms
informacin acerca de la configuracin de filtros de solicitudes de IIS 7.0, vea IIS 7.0:
Configurar filtros de solicitudes en IIS 7.0 (http://go.microsoft.com/fwlink/?LinkId=136512).
Seguridad Nota
Permitir que determinados caracteres pasen el filtro de solicitudes puede tener como resultado
un nivel reducido de seguridad, lo que puede ser inaceptable en algunos entornos. Para obtener
una explicacin de este tipo de amenaza, vea el captulo 12 de la publicacin Writing Secure
Code (http://go.microsoft.com/fwlink/?LinkId=136514).
Creacin de una configuracin de revocacin
Un Respondedor en lnea puede hacer que la informacin de revocacin est disponible desde
varias entidades de certificacin (CA) y varios certificados de CA. Sin embargo, cada CA y
certificado de CA que sirve un Respondedor en lnea requiere una configuracin de revocacin
independiente.
Una configuracin de revocacin incluye todas las opciones necesarias para responder a las
solicitudes de estado con relacin a los certificados que se han emitido mediante una clave de CA
especfica. Estos valores de configuracin incluyen:

Certificado de CA. Este certificado se puede encontrar en Servicios de dominio de
Active Directory (AD DS), en el almacn de certificados local, o se puede importar desde un
archivo.

Certificado de firma para el Respondedor en lnea. Este certificado de firma se puede
seleccionar automticamente, se puede seleccionar manualmente (esto implica un paso de
importacin adicional despus de agregar la configuracin de revocacin) o puede usar el
certificado de CA seleccionado para que sirva tambin como certificado de firma.


Proveedor de revocacin. El proveedor de revocacin proporcionar los datos de
revocacin que usa esta configuracin. Para un proveedor de Windows Server 2008 R2 o
Windows Server 2008, esta informacin se especifica como una o varias direcciones URL
donde se pueden obtener CRL base y diferencias entre listas CRL vlidas.
Antes de empezar a agregar una nueva configuracin de revocacin, asegrese de tener
disponible la informacin de la lista anterior.
Para llevar a cabo este procedimiento, debe tener el permiso de Administrar Respondedor en
lnea en todos los Servicios de respuesta en lnea de la matriz. Para obtener ms informacin
acerca de la administracin de una infraestructura de clave pblica (PKI), vea Implementacin de la
Para agregar una configuracin de revocacin a un Respondedor en lnea
1. Abra el complemento Respondedor en lnea.
2. En el rbol de consola, haga clic en Configuracin de revocacin.
Aparecer una lista de las configuraciones de revocacin existentes en el panel de detalles.
3. En el panel Acciones, haga clic en Agregar configuracin de renovacin para iniciar el
Asistente para agregar configuracin de revocacin.
4. Suministre la informacin que solicita el asistente.

Para obtener ms informacin acerca de la pgina Seleccionar ubicacin de
certificado de CA, consulte Configuracin de revocacin de certificados de CA.

Para obtener ms informacin acerca de la pgina Seleccionar certificado de
firma, vea Certificados de firma de configuracin de revocacin.
5. Cuando se haya especificado toda la informacin, haga clic en Finalizar y, a continuacin,
haga clic en S para completar el proceso de configuracin.
Puede modificar las propiedades de una configuracin de revocacin existente, ver su certificado
de CA o eliminar la configuracin de revocacin. Para ello, seleccinela y haga clic en Editar
propiedades en el panel Acciones.
Se pueden modificar las siguientes propiedades de una configuracin de revocacin:

CRL local. Para obtener ms informacin, vea Administracin de datos de revocacin
mediante CRL locales.

Proveedor de revocacin. Para obtener ms informacin, vea Propiedades de los
proveedores de revocacin.

Firma. Para obtener ms informacin, vea Firma del proveedor de revocacin.


Configuracin de revocacin de certificados de CA
Siga el criterio siguiente para seleccionar el certificado de configuracin de revocacin:

Si el certificado de entidad de certificacin (CA) se ha publicado en Servicios de dominio de
Active Directory (AD DS) y el equipo que va a configurar tiene acceso a esta informacin en
AD DS, haga clic en Seleccionar un certificado de una CA empresarial existente.

Si no se tiene acceso a AD DS y conoce el nombre del certificado de CA que se encuentra
en el almacn de certificados raz local, haga clic en Seleccionar un certificado del
almacn de certificados local.
Nota
Esta opcin no est disponible si el Respondedor en lnea no est en el mismo equipo que el
complemento Respondedor en lnea.

Si no se tiene acceso a AD DS y el certificado de CA (con una extensin .cer) est
disponible en un medio extrable, haga clic en Importar certificado de un archivo.
Certificados de firma de configuracin de revocacin
Las siguientes opciones estn disponibles para seleccionar un certificado de firma de configuracin
de revocacin:

Por lo general, la opcin predeterminada, Seleccionar automticamente un certificado de
firma, es suficiente para las necesidades de la mayora de las organizaciones. Esta opcin
permite que el proceso de instalacin de la configuracin de revocacin identifique un
certificado de firma adecuado en el almacn de certificados local. Sin embargo, si tambin
habilita una opcin para realizar la inscripcin automtica de un certificado de firma, el
servicio Respondedor en lnea realizar la inscripcin y usar ese certificado de firma.

Cuando selecciona Seleccionar manualmente un certificado de firma, el Respondedor
en lnea no asignar ningn certificado y el usuario tendr que seleccionar manualmente
certificados de firma para cada uno de los miembros de la matriz de Servicios de respuesta
en lnea.

Usar el certificado de CA para la configuracin de revocacin se puede seleccionar si el
Respondedor en lnea est instalado en el mismo equipo que la entidad de certificacin
(CA).


Nota
La instalacin predeterminada de los servicios Respondedor en lnea no admite la inscripcin
automtica del certificado Firma de respuesta de OCSP (Protocolo de estado de certificados en
lnea) desde un mdulo de seguridad de hardware (HSM) que requiera interaccin por parte del
usuario. Si necesita usar un HSM para distribuir certificados Firma de respuesta de OCSP, debe
modificar el servicio Respondedor en lnea para que se ejecute como Sistema local con la
interaccin habilitada. Adems, en la ficha Firma de la pgina Propiedades del Respondedor
en lnea, se debe desactivar la casilla No mostrar interfaz de usuario para operaciones
criptogrficas.

Propiedades de los proveedores de revocacin
El proveedor de revocacin recupera la lista de revocacin de certificados (CRL) de una entidad de
certificacin (CA) y usa la lista de revocacin para determinar el estado de revocacin de un
certificado. Use la hoja de propiedades Proveedor de revocacin para especificar una o ms
ubicaciones para una CRL y una diferencia opcional entre listas CRL, y para definir el intervalo de
actualizacin para recuperar CRL actualizadas.
Ubicaciones de CRL base y de diferencias CRL
La ubicacin de CRL y diferencias CRL se puede especificar en los formatos descritos en la
siguiente tabla. Todas las ubicaciones de CRL definidas en la extensin de punto de distribucin
del certificado de CA se agregan al proveedor de revocacin durante la instalacin del servicio
Respondedor en lnea.

Forma
to de
ubicac
in Ejemplo
HTTP http://OnlineResponderHost/OCSP/CRLFile.crl
LDAP ldap:CN=CACommonName,CN=CAHostName,CN=CDP,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Fabrikam,DC=com?certificateRevocationLi
st?base?objectClass=cRLDistributionPoint
Se pueden proporcionar varias ubicaciones para una CRL. El orden de la lista define el orden de
prioridad. Si dos CRL no contienen la misma lista de revocacin, se usar una CRL que aparezca
en una posicin superior.
Intervalo de actualizacin
El intervalo de actualizacin predeterminado se define como el perodo de validez de la CRL. El
intervalo tambin se puede definir en minutos para actualizar las CRL con mayor frecuencia.


Firma del proveedor de revocacin
La ficha Firma de la pgina Propiedades del Respondedor en lnea muestra el algoritmo hash
que se usa para comprobar las operaciones de firma de las respuestas a los clientes del
Respondedor en lnea.
Se pueden configurar las siguientes opciones de firma:

No pedir credenciales para operaciones criptogrficas. Si la clave de firma est
fuertemente protegida mediante una contrasea adicional, la seleccin de esta opcin
significa que el Respondedor en lnea no pedir la contrasea al usuario y producir un
error de forma silenciosa.
Nota
No seleccione esta opcin si se usa un mdulo de seguridad de hardware (HSM) para proteger
las claves privadas.

Usar automticamente certificados de firma renovados. Indica al Respondedor en lnea
que use automticamente certificados de firma renovados sin pedir al administrador del
Respondedor en lnea que los asigne manualmente.

Habilitar compatibilidad con extensin NONCE. Indica al Respondedor en lnea que
inspeccione y procese una solicitud de Protocolo de estado de certificados en lnea (OCSP)
que incluye una extensin de valor de seguridad (nonce). Si se incluye una extensin nonce
en la solicitud de OCSP y se selecciona esta opcin, el Respondedor en lnea omitir
cualquier respuesta de OCSP en cach y crear una nueva respuesta que incluir el valor
de seguridad (nonce) suministrado en la solicitud. Si se deshabilita esta opcin y se recibe
una solicitud que incluye una extensin nonce, el Respondedor en lnea rechazar la
solicitud con un error de "no autorizado".
Nota
El cliente OCSP de Microsoft no admite la extensin nonce.

Usar cualquier certificado de firma de OCSP vlido. De forma predeterminada, el
Respondedor en lnea slo usar certificados de firma emitidos por la misma entidad de
certificacin (CA) que emiti el certificado que se va a validar. Esta opcin permite modificar
el comportamiento predeterminado e indica al Respondedor en lnea que use cualquier
certificado vlido existente que incluya la extensin EKU de firma de OCSP.


Nota
Los clientes que ejecuten versiones de Windows anteriores a Windows Vista con Service Pack
(SP1) no admiten esta opcin y las solicitudes de estado de certificado de estos clientes
producirn errores si est seleccionada esta opcin.
Se pueden usar las siguientes opciones de identificador de Respondedor en lnea para seleccionar
si se incluye en la respuesta la hash de clave o el sujeto del certificado de firma.

Hash de clave del certificado de firma. Algunos proveedores de servicios de cifrado
(CSP) requieren el hash de clave del certificado de firma para obtener acceso a las claves
privadas.

Sujeto del certificado de firma. Algunos proveedores de servicios de cifrado requieren el
sujeto del certificado de firma para obtener acceso a las claves privadas.
Comprobacin de una instalacin de Respondedor en lnea
Una vez que ha finalizado la configuracin de un Respondedor en lnea, puede comprobar si
funciona adecuadamente confirmando si es posible realizar la inscripcin automtica de
certificados, revocar certificados y hacer que los datos de revocacin precisos estn disponibles en
el Respondedor en lnea.
Para completar este procedimiento, debe ser administrador de la entidad de certificacin (CA). Para
obtener ms informacin acerca de la administracin de una infraestructura de clave pblica (PKI),
vea Implementacin de la administracin basada en funciones.
Para comprobar que el Respondedor en lnea funciona adecuadamente
1. En la CA, configure varias plantillas de certificado para la inscripcin automtica de equipos
y usuarios.
2. Despus de haber publicado las nuevas plantillas de certificado en los Servicios de dominio
de Active Directory (AD DS), abra un smbolo del sistema en el equipo cliente y escriba el
siguiente comando para iniciar la inscripcin automtica del certificado:
certutil -pulse
Nota
La replicacin de la informacin sobre nuevos certificados en todos los controladores de
dominio puede tardar varias horas.
3. En el equipo cliente, use el complemento Certificados para comprobar que se han emitido
los nuevos certificados. Si no se han emitido, repita el paso 2. Tambin puede reiniciar el
equipo cliente para iniciar la inscripcin automtica del certificado.


4. En la CA, use el complemento Entidad de certificacin para ver y revocar uno o ms de los
certificados emitidos. Para ello, haga clic en Entidad de certificacin (Equipo)\Nombre de
CA\Certificados emitidos y seleccione el certificado que desee revocar. En el men
Accin, seleccione Todas las tareas y haga clic en Revocar certificado. Seleccione la
causa de la revocacin del certificado y haga clic en S.
5. En el complemento Entidad de certificacin, publique una nueva lista de revocacin de
certificados (CRL). Para ello, haga clic en Entidad de certificacin (Equipo)\Nombre de
CA\Certificados revocados en el rbol de consola. En el men Accin, seleccione Todas
las tareas y haga clic en Publicar.
6. En el equipo cliente, use el complemento Certificados para exportar uno de los certificados
emitidos y guardarlo como un archivo X.509.
7. Abra un smbolo del sistema y escriba el siguiente comando:
certutil url <exportedcert.cer>
8. En el cuadro de dilogo Herramienta de recuperacin de URL, seleccione OCSP (desde
AIA) y haga clic en Recuperar. Una vez recuperada la CRL, se mostrar el estado
Comprobado.
Administracin de Servicios de respuesta en lnea
Existen procedimientos disponibles para realizar las siguientes tareas bsicas de administracin del
Respondedor en lnea:

Agregar el complemento Respondedor en lnea a una consola

Auditora de las operaciones del Respondedor en lnea

Administracin de un Respondedor en lnea desde otro equipo

Modificar el proxy web del Respondedor en lnea

Agregar ubicaciones de OCSP a certificados emitidos

Renovacin de certificados de Firma de respuesta de OCSP con una clave existente
Agregar el complemento Respondedor en lnea a una consola
Puede usar el complemento Respondedor en lnea para supervisar y administrar el servicio
Respondedor en lnea y las configuraciones de revocacin en este u otro equipo.


Debe tener el permiso de Administrar Respondedor en lnea en el servidor que hospeda el
Respondedor en lnea para completar este procedimiento. Para obtener ms informacin acerca de
la administracin de una infraestructura de clave pblica (PKI), vea Implementacin de la
Para agregar el complemento Respondedor en lnea a una consola
3. En Complementos disponibles, haga doble clic en Respondedor en lnea, seleccione el
equipo donde est instalado el Respondedor en lnea y, a continuacin, haga clic en
Finalizar.
Puede supervisar las operaciones de un Respondedor en lnea mediante el registro de los eventos
en el registro de eventos de seguridad de Windows. El Respondedor en lnea permite la
configuracin de los siguientes eventos de auditora:

Iniciar o detener el servicio Respondedor en lnea. Se registrarn todos los eventos de
inicio o detencin del servicio Respondedor en lnea.

Cambios en la configuracin del Respondedor en lnea. Se registrarn todos los
cambios en la configuracin del Respondedor en lnea, incluidos los cambios en la
configuracin de auditora.

Cambios en la configuracin de seguridad del Respondedor en lnea. Se registrarn
todos los cambios en la lista de control de acceso (ACL) de las interfaces de administracin
y solicitud de servicio Respondedor en lnea.

Solicitudes enviadas al Respondedor en lnea. Se registrarn todas las solicitudes
procesadas por el servicio Respondedor en lnea. Esta opcin puede crear una carga
intensiva en el servicio y se debe evaluar de forma individual. Tenga en cuenta que slo
generarn y auditarn eventos las solicitudes que requieran una operacin de firma por
parte del Respondedor en lnea; no se registrarn las solicitudes con respuestas anteriores
en cach.


Para habilitar la auditora de las operaciones del Respondedor en lnea
1. Abra el complemento Respondedor en lnea y seleccione el Respondedor en lnea.
2. Haga clic en Propiedades del Respondedor en el men Accin o haga clic en
Propiedades del Respondedor en el panel Accin.
3. Haga clic en la ficha Auditar, seleccione las opciones de auditora del Respondedor en
lnea que desee registrar y, a continuacin, haga clic en Aceptar.
Los eventos de auditora se registrarn en el registro de seguridad de Windows slo si se habilita la
directiva Auditar el acceso a objetos.
Para completar este procedimiento debe ser un administrador en el servidor que hospeda el
Respondedor en lnea. Para obtener ms informacin acerca de la administracin de una PKI, vea
Para habilitar la directiva Auditar el acceso a objetos
1. Abra el Editor de directivas de grupo local.
2. En Configuracin del equipo, expanda Configuracin de Windows, Configuracin de
seguridad y Directivas locales y, a continuacin, haga clic en Directiva de auditora.
3. Haga doble clic en la directiva Auditar el acceso a objetos.
4. Active la casilla Correcto o Error y, a continuacin, haga clic en Aceptar.
Administracin de un Respondedor en lnea desde otro equipo
Una ventaja de los Respondedores en lnea es que se pueden implementar para proporcionar
servicios de comprobacin de revocaciones en una ubicacin remota o incluso fuera de la intranet
local. No obstante, esto requiere, con frecuencia, la capacidad de administrar el Respondedor en
lnea desde otro equipo.
De forma predeterminada, el complemento Respondedor en lnea se instala automticamente al
instalar un Respondedor en lnea en un servidor. El complemento Respondedor en lnea se puede
instalar en un servidor diferente mediante el Administrador del servidor para instalar las
herramientas de los Servicios de certificados de Active Directory (AD CS).
Antes de habilitar la administracin remota, se deben configurar las opciones de firewall
relacionadas con el Respondedor en lnea en el equipo que lo hospeda.
Para configurar las opciones de firewall, debe ser administrador local. Para obtener ms
informacin acerca de la administracin de una infraestructura de clave pblica (PKI), vea
Para configurar las opciones de firewall para habilitar la administracin remota de un
Respondedor en lnea


1. Abra el Administrador del servidor.
2. En Configuracin, expanda Firewall de Windows con seguridad avanzada.
3. Expanda Reglas de entrada y haga clic en Servicio Respondedor en lnea (DCOM de
entrada).
4. En el panel Acciones, haga clic en Habilitar regla.
5. Haga clic en Servicio Respondedor en lnea (RPC de entrada), y en el panel Accin,
haga clic en Habilitar regla.
6. Para identificar usuarios o equipos autorizados que pueden tener acceso al Respondedor
en lnea a travs de cada una de las reglas de entrada del firewall del Respondedor en
lnea, en el panel Acciones, haga clic en Propiedades para cada una de estas reglas y, a
continuacin, haga clic en la ficha Usuarios y equipos.
Es preciso ser administrador local en el equipo remoto para instalar las Herramientas de
administracin remota del servidor. Debe tener el permiso de Administrar Respondedor en lnea
en el servidor que hospeda el Respondedor en lnea para completar este procedimiento. Para
obtener ms informacin acerca de la administracin de una PKI, vea Implementacin de la
Para administrar un Respondedor en lnea remoto
1. En el equipo remoto, abra el Administrador del servidor.
2. En Resumen de caractersticas, haga clic en Agregar caractersticas.
3. Expanda Herramientas de administracin de servidor remoto y Herramientas de
administracin de roles.
4. Active la casilla Servicios de certificados de Active Directory, haga clic en Siguiente y, a
continuacin, haga clic en Instalar.
5. Cuando se haya completado el proceso de instalacin, haga clic en Cerrar.
8. Haga clic en el complemento Respondedor en lnea, en Agregar y, a continuacin, en
Aceptar.
9. En el rbol de consola, haga doble clic en el Respondedor en lnea.


10. En el men Accin, haga clic en Redirigir Respondedor para identificar el Respondedor
en lnea que desea administrar.

Si el equipo desde el que desea realizar tareas de administracin remota ejecuta Windows
Vista, puede obtener el paquete de Herramientas de administracin remota del servidor del
Centro de descarga de Microsoft (http://go.microsoft.com/fwlink/?LinkId=89361) (puede
estar en ingls).

Si hay un firewall entre el Respondedor en lnea y el equipo remoto, el firewall se debe
configurar para que permita que el trfico pase a travs del puerto 80 entre Internet
Information Services (IIS) y el Respondedor en lnea. Se pueden conseguir resultados
similares mediante la capacidad de servidor proxy inverso de Microsoft Internet Security and
Acceleration (ISA) Server.

Es posible que sea necesario configurar los permisos DCOM para habilitar los
Respondedores en lnea en una matriz y que se autentiquen entre s.
Modificar el proxy web del Respondedor en lnea
La cach de proxy web del Respondedor en lnea representa la interfaz de servicio del
Respondedor en lnea. Se implementa como una extensin de la Interfaz de programacin de
aplicaciones para servidores de Internet (ISAPI) hospedada por Internet Information Services (IIS) y
realiza las siguientes operaciones:

Descodificacin de la solicitud. Despus de que el proxy web del Respondedor en lnea
reciba una solicitud, el componente descodificador intentar descodificarla y extraer el
nmero de serie del certificado para validarlo.

Almacenamiento en cach de la respuesta. Despus de recibir una solicitud y de extraer
el nmero de serie del certificado, el proxy web del Respondedor en lnea buscar una
respuesta vlida en la cach local. El perodo de validez del elemento en cach se
establece de forma predeterminada en el perodo de validez de la lista de revocacin de
certificados (CRL) desde la que se genera la respuesta.
Puede modificar las siguientes configuraciones relacionadas con el proxy web de un Respondedor
en lnea:

Subprocesos de proxy web. Este valor se refiere al nmero de subprocesos que la
extensin ISAPI del Respondedor en lnea asignar para atender las solicitudes. El aumento
del nmero de subprocesos usar ms memoria del servidor y la reduccin del nmero de
subprocesos reducir el nmero de clientes a los que se puede servir de forma simultnea.


Entradas de cach permitidas. La cach se implementa como parte de la extensin ISAPI
del Respondedor en lnea y es slo una cach de memoria interna. El tamao recomendado
de la cach est entre 1.000 y 10.000 entradas. El nmero mnimo de entradas de cach es
cinco. Un tamao pequeo de cach causar ms errores de cach y dar como resultado
una mayor carga de operaciones de consulta y firma por parte del servicio Respondedor en
lnea; un tamao grande de cach aumentar el uso de la memoria del Respondedor en
lnea.
Para modificar el proxy web del Respondedor en lnea
3. Haga clic en la ficha Proxy web, modifique las opciones de proxy web que desea cambiar y,
a continuacin, haga clic en Aceptar.
4. Agregar ubicaciones de OCSP a certificados emitidos
5. Se aplica a: Windows Server 2008 R2
6. La ubicacin de un Respondedor en lnea se especifica como una direccin URL en la
extensin de acceso a informacin de entidad de certificacin en un certificado. Cuando una
entidad de certificacin (CA) emite un certificado, le agrega la extensin de acceso a la
informacin de entidad de certificacin; cuando un cliente necesita comprobar el estado de
revocacin de un certificado, enviar la solicitud de estado de certificado a esta direccin
URL.
7. La ficha Propiedades de OCSP permite agregar direcciones URL de Respondedor en lnea
a certificados emitidos anteriormente que no incluyen una extensin de acceso a
informacin de entidad de certificacin. Si una organizacin agrega un Respondedor en
lnea a una infraestructura de clave pblica (PKI) existente, esta configuracin permite usar
las respuestas del Protocolo de estado de certificados en lnea (OCSP) para los certificados
existentes y elimina la necesidad de volver a emitirlos. Cuando se agrega una ubicacin de
descarga de OCSP a un certificado de CA raz o intermedio, esa ubicacin se usar para
recuperar la respuesta de OCSP para todos los certificados emitidos por esa CA especfica.
Nota
Las ubicaciones de descarga de OCSP que se han agregado a travs de la ficha Propiedades
de OCSP se comprueban antes que cualquier otra ubicacin de descarga que ya exista en un
certificado. Si necesita agregar un marcador de posicin URL, use la siguiente direccin:
http://localhost.

Renovacin de certificados de Firma de respuesta de OCSP con una clave existente


Los certificados de Firma de respuesta del Protocolo de estado de certificados en lnea (OCSP)
necesitan estar firmados por la misma entidad de certificacin (CA) que se us para firmar los
certificados de entidad final para la cual se suministra el estado.
Una vez que se renueva la clave de la CA, sta usar la nueva clave para firmar los nuevos
certificados que emite. En el perodo entre el momento en que un certificado de CA se renueva y la
fecha de expiracin del certificado de CA original, la CA no puede emitir ni renovar certificados de
Firma de respuesta de OCSP. Esto puede evitar que un Respondedor en lnea firme respuestas de
OCSP.
Para solucionar este problema, las CA basadas en Windows Server 2008 R2 y Windows Server
2008 se pueden configurar para modificar el comportamiento predeterminado y permitir que los
certificados de firma de respuesta de OCSP se emitan mediante una clave de CA renovada.
Para completar este procedimiento debe ser un administrador en el servidor que hospeda la CA.
Para obtener ms informacin acerca de la administracin de una infraestructura de clave pblica
(PKI), vea Implementacin de la administracin basada en funciones.
Para permitir la renovacin de certificados de Firma de respuesta de OCSP mediante claves
de CA existentes
1. En el equipo de la CA, abra una ventana del smbolo del sistema y escriba:
certutil -setreg ca\UseDefinedCACertInRequest 1
2. Presione ENTRAR.
3. Reinicie el servicio de CA.
Una configuracin de revocacin incluye todas las opciones necesarias para responder a las
solicitudes de estado de certificado que se han emitido mediante una clave de entidad de
certificacin (CA) especfica. Estos valores de configuracin incluyen el certificado de CA, el
certificado de firma del Respondedor en lnea y el tipo de proveedor de revocacin que se va a
usar.
Existen procedimientos disponibles para realizar las siguientes tareas de administracin de
revocacin:

Auditora de los cambios en la configuracin de revocacin

Administracin de la seguridad del Respondedor en lnea

Administracin de datos de revocacin mediante CRL locales

Eliminacin de una configuracin de revocacin


Puede supervisar los cambios en las configuraciones de revocacin mediante el registro de los
eventos en el registro de eventos de seguridad de Windows. El Respondedor en lnea permite la
configuracin de los siguientes eventos de auditora relacionados con la configuracin de
revocacin:

Cambios en la configuracin del Respondedor en lnea. Se registrarn todos los
cambios en la configuracin del Respondedor en lnea, incluidos los cambios en la
configuracin de auditora.

Cambios en la configuracin de seguridad del Respondedor en lnea. Se registrarn
todos los cambios en la lista de control de acceso (ACL) de las interfaces de administracin
y solicitud del servicio Respondedor en lnea.
Para configurar la auditora de los cambios en las configuraciones de revocacin
3. Haga clic en la ficha Auditar, seleccione las opciones de auditora del Respondedor en
lnea que desee registrar y, a continuacin, haga clic en Aceptar.
Los eventos de auditora se registrarn en el registro de seguridad de Windows slo si se habilita la
directiva Auditar el acceso a objetos.
Para completar este procedimiento debe ser un administrador en el servidor que hospeda el
Respondedor en lnea. Para obtener ms informacin acerca de la administracin de una
infraestructura de clave pblica (PKI), vea Implementacin de la administracin basada en
funciones.
Para habilitar la directiva Auditar el acceso a objetos
1. Abra el Editor de directivas de grupo local.
2. En Configuracin del equipo, expanda Configuracin de Windows, Configuracin de
seguridad y Directivas locales y, a continuacin, haga clic en Directiva de auditora.
3. Haga doble clic en la directiva Auditar el acceso a objetos.
4. Active la casilla Correcto o Error y, a continuacin, haga clic en Aceptar.







Se pueden usar tres entradas de control de acceso (ACE) para controlar el acceso administrativo a
un Respondedor en lnea, cada una de las cuales se puede configurar para Permitir o Denegar:

Lectura. Define quin puede usar el complemento Respondedor en lnea para ver
informacin acerca del Respondedor en lnea.

Administrar Respondedor en lnea. Define quin puede usar el complemento
Respondedor en lnea para modificar la configuracin del servicio Respondedor en lnea.
Estos permisos se deben conceder de forma muy selectiva.

Solicitudes de proxy. Habilita un proxy web del Respondedor en lnea para el envo de
solicitudes de estado de certificado al servicio Respondedor en lnea.
Para modificar la configuracin de seguridad del Respondedor en lnea
1. Abra el complemento Respondedor en lnea, haga clic con el botn secundario en el
Respondedor en lnea que desea administrar y, a continuacin, haga clic en Propiedades.
2. Haga clic en la ficha Seguridad.
3. Agregue el usuario o grupo para el cual desea establecer los permisos y, a continuacin,
active las casillas Permitir o Denegar para cada ACE.
4. Haga clic en Aceptar.





El comportamiento ideal sera que los datos de revocacin de certificados se administraran en una
ubicacin central y estuvieran disponibles de forma inmediata para todos los usuarios potenciales.
Sin embargo, esto no siempre es posible en entornos complejos de red.
No obstante, las organizaciones que usan Servicios de respuesta en lnea pueden crear una lista
de revocacin de certificados (CRL) para administrar localmente los datos de revocacin de
certificados durante algunos intervalos cuando el Servicio de respuesta en lnea no puede obtener
los datos de revocacin actualizados de una entidad de certificacin (CA) o de otro Servicio de
respuesta en lnea. La prxima vez que se establezca una conexin, los datos de la CRL local se
pueden replicar en la CRL de la CA y quitar la CRL local. Hasta que no se quite la CRL local, sta
tendr precedencia sobre la informacin del estado de revocaciones del proveedor de
revocaciones.
Debe tener el permiso de Administrar Servicio de respuesta en lnea en el servidor que hospeda
el Servicio de respuesta en lnea para completar este procedimiento. Para obtener ms informacin
Para modificar los datos de certificado en una CRL local
1. Abra el complemento Servicio de respuesta en lnea.
3. Haga clic con el botn secundario en una configuracin de revocacin y, luego, haga clic en
Lista de revocacin de certificados local.
4. En el cuadro de dilogo Lista de revocacin de certificados local, seleccione el
certificado cuyos datos desea modificar.
5. Haga clic en Actualizar.
6. Modifique los valores que desee cambiar.
7. Haga clic en Aceptar dos veces para salir del cuadro de dilogo Lista de revocacin de
certificados local.


Cuando los datos de revocacin locales se hayan sincronizado con los datos de revocacin de toda
la CA, debe eliminar todos los datos de la CRL local.
Debe tener el permiso de Administrar Servicio de respuesta en lnea en el servidor que hospeda
el Servicio de respuesta en lnea para completar este procedimiento. Para obtener ms informacin
acerca de la administracin de una PKI, vea Implementacin de la administracin basada en
funciones.
Para eliminar uno o ms certificados de una CRL local
1. Abra el complemento Servicio de respuesta en lnea.
3. Haga clic con el botn secundario en una configuracin de revocacin y, a continuacin,
haga clic en Lista de revocacin de certificados local.
4. En el cuadro de dilogo Lista de revocacin de certificados local, seleccione el
certificado o certificados que desee quitar de la CRL local.
5. Haga clic en Quitar.
6. Haga clic en Aceptar dos veces para salir del cuadro de dilogo Lista de revocacin de
certificados local.




Las configuraciones de revocacin son verstiles y se pueden modificar en cualquier momento, a
menos que los cambios entren en conflicto con la configuracin del controlador de la matriz. No
obstante, es posible que, en ocasiones, necesite eliminar una configuracin de revocacin. Por
ejemplo:

El certificado de CA ha expirado y la configuracin de revocacin ya no es necesaria.


La configuracin de revocacin est daada y es ms sencillo instalar una configuracin de
revocacin nueva en lugar de la configuracin daada.
Para eliminar una configuracin de revocacin de un Respondedor en lnea
3. Haga clic con el botn secundario en la configuracin de revocacin que desee eliminar y, a
continuacin, haga clic en Eliminar.




Administracin de una matriz de Respondedores en lnea
Cuando se usan varios Respondedores en lnea, necesitan organizarse en una estructura lgica
denominada matriz de Respondedores en lnea. Debido a que los Respondedores en lnea estn
diseados para responder a solicitudes de estado de certificado individuales, una matriz de
Respondedores en lnea ayuda a distribuir las solicitudes de estado entre varios Respondedores en
lnea dispersos geogrficamente.
Se debe designar un Respondedor en lnea de la matriz como controlador de la matriz. La
informacin de configuracin del controlador de la matriz determina las opciones de configuracin
de los otros miembros de la matriz.
La configuracin de una matriz requiere un planeamiento avanzado sobre los siguientes puntos:

El nmero y ubicacin de las entidades de certificacin (CA) que la matriz va a admitir.

El nmero de clientes que solicitarn certificados de las CA y sus ubicaciones.

La conectividad de red entre clientes, CA y los Respondedores en lnea potenciales.


El volumen de inscripciones de certificados, las revocaciones de certificados y las
solicitudes de estado de certificado que atiende la infraestructura de clave pblica (PKI) de
la organizacin.

La necesidad de redundancia en caso de que los Respondedores en lnea no estn
disponibles.

Lista de comprobacin: crear una matriz de Respondedores en lnea

Agregar miembros de la matriz

Designacin de un controlador para la matriz

Sincronizacin de los miembros con una configuracin de la matriz

Evaluacin del estado de los miembros de la matriz

Quitar un miembro de una matriz

Lista de comprobacin: crear una matriz de Respondedores en lnea


Una vez planeada la matriz de Respondedores en lnea, la configuracin de la matriz
implica algunos procedimientos que se deben llevar a cabo de forma sucesiva.

Tarea Referencia
Configurar una entidad de certificacin (CA)
para admitir Respondedores en lnea.
Configurar una entidad de certificacin (CA)
para admitir Respondedores de OCSP
Configurar los Respondedores en lnea que
desea agregar a la matriz
Agregar Respondedores en lnea a la matriz Agregar miembros de la matriz
Agregar miembros de la matriz
Cuando se crea un Respondedor en lnea, no se convierte automticamente en miembro de una
matriz. Cada Respondedor en lnea debe agregarse manualmente a la matriz.


lnea en todos los Respondedores en lnea que desea agregar. Para obtener ms informacin
Para agregar miembros a una matriz
2. En el rbol de consola, haga clic en Miembros de configuracin de la matriz.
3. En el panel Acciones, haga clic en Agregar miembro de la matriz.
4. Escriba el nombre y la ruta de acceso de red del equipo que hospeda el Respondedor en
lnea que desea agregar a la matriz o haga clic en Examinar para navegar hasta el
Respondedor en lnea y, a continuacin, haga clic en Aceptar.
5. Repita este procedimiento para cada uno de los miembros que desee agregar a la matriz
Designacin de un controlador para la matriz
Cuando una matriz contiene varios Respondedores en lnea, se debe designar a uno de ellos como
controlador de la matriz. Los valores de configuracin del controlador de la matriz invalidan los
valores en conflicto de otros Respondedores en lnea de una matriz.
Para designar un controlador de la matriz
2. En el rbol de consola, haga clic en Miembros de configuracin de la matriz.
3. Seleccione el Respondedor en lnea que desea designar como controlador de la matriz.
4. En el panel Acciones, haga clic en Establecer como controlador de la matriz.
Despus de seleccionar un nuevo controlador de la matriz, los datos de configuracin de
revocacin de este Respondedor en lnea se recuperan y comparan con los datos de configuracin
de los otros Respondedores en lnea que son miembros de la matriz.
Sincronizacin de los miembros con una configuracin de la matriz
Todos los Respondedores en lnea de una matriz deben usar los mismos datos de configuracin.
Los datos de configuracin de una matriz se definen en un controlador de la matriz. Debe
sincronizar los miembros de la matriz con el controlador de la matriz para asegurarse de que todos
los miembros de la matriz tienen la misma configuracin que el controlador.


Para sincronizar miembros con un controlador de la matriz
2. En el rbol de consola, haga clic en //Miembros de configuracin de la matriz.
3. En el panel Acciones, haga clic en Sincronizar configuracin del Respondedor.
Evaluacin del estado de los miembros de la matriz
Aunque un Respondedor en lnea debe funcionar de modo confiable una vez configurado, el
administrador debe comprobar peridicamente el estado de la matriz y de sus miembros.
Puede comprobar el estado de la matriz y de sus miembros con el complemento Respondedor en
lnea. Los mensajes de error y de advertencia, si los hay, aparecern en el panel de estado del
complemento.
Si ve un mensaje de error o de advertencia, es posible que deba comprobar cada miembro de la
matriz para averiguar si:

Existe una conexin de red. Si no es as, debe decidir cmo restablecer la conectividad.

El servicio est en ejecucin. Si no es as, el servicio debe reiniciarse.

La entidad de certificacin (CA) o los certificados de firma estn a punto de expirar. Si es
as, renuvelos antes de que expiren.

La CA o los certificados de firma han expirado. Si es as, renuvelos inmediatamente.
Quitar un miembro de una matriz
A veces puede ser necesario eliminar un miembro de una matriz si sta ya no se requiere, se ha
daado, se ha puesto en riesgo o se va a configurar de nuevo.
Para quitar un miembro de una matriz
2. En el rbol de consola, haga clic en Configuracin de la matriz.


3. Seleccione el miembro de la matriz que desea eliminar.
4. En el men Accin o en el panel Acciones, haga clic en Quitar miembro de la matriz.

Si el miembro de la matriz que quiere eliminar es el controlador de la matriz, primero debe
designar un nuevo controlador de la matriz antes de eliminar el anterior. Para obtener ms
informacin, vea Designacin de un controlador para la matriz.
Solucin de problemas de Servicios de respuesta en lnea
En esta seccin se enumeran algunos problemas comunes que pueden aparecer al usar el
complemento Respondedor en lnea o al trabajar con matrices de Respondedor en lnea. Para
obtener ms informacin acerca de la solucin de problemas relacionados con los Respondedores
en lnea, vea el tema acerca de la solucin de problemas de los Servicios de certificados de Active
Directory (http://go.microsoft.com/fwlink/?LinkId=89215) (puede estar en ingls).
De qu problema se trata?

El servicio Respondedor en lnea no se inicia

El certificado de firma del Respondedor en lnea no se pudo localizar

Error al intentar crear una configuracin de revocacin

El certificado de firma para la configuracin del Respondedor en lnea expirar pronto

El certificado de firma para la configuracin de revocacin ha expirado

No se puede cargar una configuracin de revocacin de Respondedor en lnea

El servicio Respondedor no pudo recuperar la CRL para la configuracin de revocacin
especificada
El Respondedor en lnea no se inicia.

Causa: el servicio Respondedor en lnea puede producir un error al iniciarse debido a
informacin del Registro daada o a recursos del sistema insuficientes.

Solucin: intente reiniciar el servicio Respondedor en lnea desde el complemento
Servicios (Services.msc). Si el servicio Respondedor en lnea produce un error al iniciarse,
compruebe si en el registro de eventos hay otros errores que puedan estar relacionados. Si
no hay disponibles suficientes recursos del sistema para iniciar el servicio Respondedor en
lnea, intente reiniciar el equipo o liberar recursos del sistema. Si la informacin del Registro


est daada, debe usar el Administrador del servidor para desinstalar y volver a instalar el
servicio Respondedor en lnea.
El certificado de firma del Respondedor en lnea no se pudo localizar

Causa: el certificado Firma de respuesta de OCSP no est presente en el almacn de
certificados personales de la cuenta del equipo, o bien, si el certificado de firma se debera
haber emitido mediante inscripcin automtica, sta no se realiz.

Solucin: si un certificado Firma de respuesta de OCSP no est presente en el almacn de
certificados personales del equipo local y la revocacin se ha configurado para la inscripcin
manual de Firma de respuesta de OCSP o para la deteccin automtica, deber inscribirse
en un certificado manualmente. En configuraciones en las cuales el servicio Respondedor
en lnea se inscribe en su certificado, la inscripcin manual no funcionar y ser necesario
identificar la razn por la que la inscripcin automtica no funciona. Las posibles razones
incluyen:

El equipo en el cual se ejecuta el servicio Respondedor en lnea no puede conectarse a
una entidad de certificacin (CA) configurada para emitir certificados basados en la
plantilla Firma de respuesta de OCSP.

El Respondedor en lnea no tiene permisos de lectura, de inscripcin ni de inscripcin
automtica (si sta se utiliza) en la plantilla Firma de respuesta de OCSP.
Error al intentar crear una configuracin de revocacin

Causa: un intento de crear una configuracin de revocacin produjo en error con el mensaje
"Certificado de firma defectuoso en el controlador de la matriz".

Solucin: compruebe si la plantilla de certificado de firma de respuesta de OCSP se ha
configurado correctamente. En caso contrario, configure la plantilla de certificado para
permitir la inscripcin manual de estos certificados de firma.
El certificado de firma para la configuracin del Respondedor en lnea expirar pronto

Causa: cuando no se usa la inscripcin automtica, se genera automticamente un aviso
recordatorio para que renueve un certificado que va a expirar cuando un certificado tiene
configurado un determinado porcentaje de duracin restante (de forma predeterminada, el
10 por ciento de su perodo total de validez). Para comprobar el tiempo restante en el
certificado de firma actual, use el complemento Certificados para examinar el certificado
Firma de respuesta de OCSP en el almacn de certificados personales del equipo o el
servicio Respondedor en lnea.


Solucin: si la plantilla de certificado Firma de respuesta de OCSP se ha configurado para
la inscripcin y renovacin automticas, no es necesario realizar ninguna otra accin. En
configuraciones manuales, puede renovar el certificado de firma mediante el complemento
Certificados y el Asistente para renovacin de certificados.
El certificado de firma para la configuracin de revocacin ha expirado

Causa: la renovacin automtica del certificado de firma produjo un error o la renovacin
manual del certificado no se complet antes de la fecha de expiracin.

Solucin: En configuraciones en las cuales el servicio Respondedor en lnea se inscribe en
su certificado, la inscripcin manual no funcionar y ser necesario identificar la razn por la
que la inscripcin automtica no funciona. Las posibles razones incluyen:

El equipo en el cual se ejecuta el servicio Respondedor lnea no puede conectarse a una
entidad de certificacin (CA) configurada para emitir certificados basados en la plantilla
Firma de respuesta de OCSP.

El Respondedor en lnea no tiene permisos de lectura, de inscripcin ni de inscripcin
automtica en la plantilla Firma de respuesta de OCSP.
Un administrador de CA debe usar los complementos Plantillas de certificado y Entidad de
certificacin para comprobar la disponibilidad y la configuracin de la plantilla Firma de
respuesta de OCSP antes de intentar de nuevo la inscripcin automtica.

Si la configuracin de revocacin se ha configurado para la inscripcin manual del
certificado Firma de respuesta de OCSP, ubique el certificado de firma dentro del almacn
de certificados personales del equipo local del Respondedor en lnea.

En configuraciones manuales, puede renovar el certificado de firma mediante el
complemento Certificados y el Asistente para renovacin de certificados.

Tambin es posible que el certificado Firma de respuesta de OCSP no se pueda renovar
debido a que la clave de CA que se us para firmar el certificado Firma de respuesta de
OCSP original no se ha renovado y ya no est disponible. Para resolver este problema,
debe permitir la renovacin del certificado Firma de respuesta de OCSP con una clave
existente. Para obtener ms informacin, vea Renovacin de certificados de Firma de
respuesta de OCSP con una clave existente.


No se puede cargar una configuracin de revocacin de Respondedor en lnea

Causa: la configuracin de revocacin est daada.

Solucin: use el complemento Respondedor en lnea para eliminar y volver a crear la
configuracin de revocacin. Si este problema se produjo en un miembro de la matriz,
puede eliminar la configuracin daada del miembro de la matriz y despus sincronizar la
matriz para volver a crear la configuracin de revocacin. Si este problema se encuentra en
un controlador de la matriz, configure temporalmente otro equipo como controlador de la
matriz, sincronice sta y, a continuacin, restablezca el equipo original como controlador de
la matriz.
El servicio Respondedor en lnea no pudo recuperar la CRL para la configuracin de revocacin
especificada

Causa: se produjo un error en la publicacin de la lista de revocacin de certificados (CRL),
los puntos de distribucin CRL no son vlidos o el servicio Respondedor en lnea no pudo
obtener acceso a la CRL publicada.

Solucin: para identificar y resolver problemas de recuperacin de CRL en un
Respondedor en lnea:
1. Use el complemento Respondedor en lnea para comprobar que las direcciones URL
configuradas como puntos de distribucin CRL base y delta son vlidas.
2. Use el complemento Entidad de certificacin para comprobar las direcciones URL
donde la CA publicar las CRL base y delta.
3. En el equipo donde se publica la CRL base, examine la extensin CRL ms
actualizada de la CRL base. Compruebe que identifica una ubicacin donde se
encuentra la CRL delta.
4. Si es necesario, vuelva a publicar la CRL actual, escribiendo el siguiente comando
en el smbolo del sistema: certutil -crl
5. A continuacin, compruebe que el servicio Respondedor en lnea puede obtener
acceso a la CRL. En el complemento Respondedor en lnea, haga clic con el botn
secundario en Configuracin de la matriz y, a continuacin, haga clic en
Actualizar datos de revocacin.


Qué Es El Complemento Certificados

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Qué Es El Complemento Certificados

Caricato da

Copyright:

Formati disponibili

Imparten: Gustavo Garca Manzano

Francisco Bermejo Daz

Potrebbero piacerti anche