Administrar una infraestructura de claves públicas de Windows Server 2003
Una infraestructura de claves públicas (PKI) requiere planear las operaciones y el mantenimiento de su implementación inicial. En este documento se ofrece una guía acerca de cómo planear e implementar la administración y las operaciones para una PKI de Microsoft® Windows Server™. Se incluyen detalles acerca de la estimación de los recursos necesarios para administrar la PKI y orientación acerca de la asignación de funciones administrativas y la programación de tareas operativas. La mayor parte del documento describe las tareas operativas y de soporte cotidianas necesarias para mantener un estado óptimo de la PKI. El documento se basa y complementa la implementación de la Microsoft System Architecture (MSA) de Servicios de Certificate Server.
En esta página
Introducción
Administrar una infraestructura de claves públicas de Windows Server 2003 constituye una guía para el funcionamiento y la administración de una PKI de Windows®. Windows Server 2003 con clientes Windows XP proporciona una de las tecnologías de PKI más fáciles de implementar y administrar; aunque aún es necesario administrarla. Sin un soporte operativo adecuado, se acabarán produciendo errores incluso en infraestructuras de claves públicas de complejidad moderada.
Este documento está diseñado para atender la necesidad de una referencia sencilla de la administración, la supervisión y las tareas de soporte para mantener un funcionamiento correcto de la PKI. También contiene directrices con el fin de planear los recursos para administrar la PKI y asignar las funciones administrativas de forma adecuada, así como referencias a otros documentos de Microsoft relacionados.
Este documento acompaña a la Guía de operaciones de PKI de Windows Server 2003 (en inglés), que es una colección de técnicas y prácticas recomendadas que ayudan a administrar la PKI. No obstante, este documento se ha diseñado posteriormente como un manual de referencia de operaciones. Debe poder implementar directamente las orientaciones de este documento como parte de sus operaciones de TI. Tendrá que utilizar la Guía de operaciones de PKI de Windows Server 2003 (en inglés) y la sección "Infraestructura de claves públicas" de la documentación de Windows Server 2003 para complementar la información de este documento (consulte la sección Vínculos relacionados). Para reducir al máximo la duplicidad y las posibles incoherencias, no se incluyen los detalles completos de algunas tareas. En su lugar, se hace referencia al documento donde la tarea se describe de forma completa.
Las directrices de este documento se basan en el diseño de PKI de empresa definido en el Kit de implementación de Microsoft Systems Architecture versión 2.0 (en inglés) y en el documento Prácticas recomendadas para implementar una infraestructura de claves públicas de Microsoft Windows Server 2003 (en inglés) (ambos documentos describen el diseño y la creación de prácticamente la misma PKI) mediante Windows Server 2003 con clientes Windows XP. Sin embargo, las orientaciones de este documento resultan igual de importantes o se pueden adaptar fácilmente a otros diseños de PKI.
La mayor parte del contenido de este documento se desarrolló originalmente para Solución de Microsoft para proteger LAN inalámbricas. Los conceptos y el marco de esta guía se basan en Microsoft Operations Framework (MOF) y Soluciones Microsoft para la administración (MSM). Para obtener referencias a todos estos documentos, consulte la sección Vínculos relacionados.
Introducción
Este documento se divide en seis secciones principales. En las dos primeras se trata el diseño y la configuración inicial, y las cuatro restantes se concentran en el funcionamiento de la PKI.
| • | Planear los recursos para administrar la PKI de Windows se centra en las tareas de preparación y diseño e incluye una guía que le ayudará a evaluar los costos de administrar una PKI de Windows. En esta sección se trata la asignación de funciones de equipo y la formación del personal de operaciones. También contiene una lista de las tareas para configurar una PKI bien administrada y las tareas que se deben realizar periódicamente para mantener el sistema. Se incluye una estimación del esfuerzo necesario para llevar a cabo cada tarea. Conjuntamente ofrecen una base adecuada para planear los recursos continuos necesarios para la PKI. |
| • | En Configurar el entorno operativo de la PKI se trata de la preparación de la PKI para un entorno de producción e incluye procedimientos detallados para crear grupos administrativos, configurar copias de seguridad y configurar la supervisión. La organización de esta sección se basa en las categorías que se utilizan en el modelo de proceso de MOF. |
| • | En Funcionamiento de la PKI se incluyen todas las tareas relacionadas con el mantenimiento normal de la PKI. Se incluye la renovación de las entidades emisoras de certificados (CA), la publicación de las listas de revocación de certificados (CRL), las tareas de supervisión, auditoría y revisión, y el mantenimiento de la base de datos de entidades emisoras de certificados. |
| • | Planear y optimizar la capacidad se centra en las tareas fundamentales para ayudar a administrar la capacidad y el rendimiento de la PKI. |
| • | En Administrar cambio y configuración se incluyen procedimientos genéricos para ayudar a administrar los cambios de la PKI así como para recopilar y mantener la información de configuración fundamental acerca de la PKI. |
| • | Tareas de soporte comunes se concentra en procedimientos para recuperar problemas del sistema, incluida la restauración de una entidad emisora de certificados a partir de una copia de seguridad, la revocación de certificados de entidad emisora de certificados y la ampliación de la duración de las CRL durante un error de entidad emisora de certificados. En esta sección también se incluye una tabla de problemas de soporte comunes con referencias a otros documentos que contienen información de solución de problemas y soporte que le ayudarán a resolver el problema. |
| • | En Vínculos relacionados se enumeran los documentos a los que se hace referencia en este documento y el modo de encontrarlos. |
Nota: a menos que se indique lo contrario, las referencias están vinculadas a las secciones de este documento.
Ámbito
Este documento no incluye orientación acerca de las siguientes cuestiones:
| • | El planeamiento, el diseño y la instalación de la PKI. Esto se trata de forma adecuada en documentos como el documento de prácticas recomendadas y el kit de implementación de MSA. |
| • | El uso de módulos de seguridad de hardware (HSM) para proteger las claves de CA. No obstante, en el documento se indica dónde se modificaría de forma significativa un determinado procedimiento mediante el uso de HSM. |
| • | El uso de componentes de software adicionales de un proveedor que no sea Microsoft, por ejemplo, un componente de complemento de entidad de registro (RA) o un componente de protocolo de estado de certificado con conexión (OCSP). |
| • | Los procedimientos específicos de una aplicación de certificados digitales, como el correo electrónico seguro, las tarjetas inteligentes y el sistema de archivos de cifrado (EFS). |
Qué necesita saber
Debe estar familiarizado con los conceptos de PKI y con los Servicios de Microsoft Certificate Server en concreto. También es preciso estar familiarizado con Windows Server 2003 (y con Windows XP, donde resulte pertinente) en las siguientes áreas:
| • | Operaciones básicas y mantenimiento de Windows Server 2003, incluido el uso de herramientas como Visor de sucesos, Administración de equipos y Copia de seguridad de Windows. |
| • | Active Directory®, incluida la estructura y las herramientas de Active Directorio, la manipulación de usuarios, grupos y otros objetos de Active Directory y el uso de Directiva de grupo. |
| • | Seguridad del sistema de Windows: conceptos de seguridad como usuarios, grupos, auditoría y listas de control de acceso (ACL), el uso de plantillas de seguridad, la aplicación de plantillas de seguridad mediante Directiva de grupo o herramientas de la línea de comandos. |
| • | Administración de Servicios de Internet Information Server (IIS) |
| • | Conocimiento de Windows Scripting Host y del lenguaje Microsoft Visual Basic® Scripting Editing (VBScript) (esto resulta útil para comprender las secuencias de comandos suministradas pero no es fundamental). |
Antes de continuar, se recomienda consultar los capítulos acerca del diseño y creación de Servicios de Certificate Server del Kit de implementación de Microsoft Systems Architecture 2.0 (en inglés) y el documento Prácticas recomendadas para implementar una infraestructura de claves públicas de Microsoft Windows Server 2003 (en inglés) (consulte la sección Vínculos relacionados) para conocer la arquitectura y el diseño de la solución en la que se basa este documento. En muchas de las operaciones descritas en este documento se supone una PKI diseñada y creada según las mismas especificaciones de dichos documentos, por lo que resulta importante que comprenda estos supuestos.
Diseño de PKI utilizado en este documento:
El diseño de PKI utilizado en este documento se describe brevemente en el apéndice A, Descripción general del diseño de PKI. Se trata de una jerarquía de PKI de tres niveles con una raíz sin conexión y entidades emisoras de certificados intermedias en la plataforma Windows Server 2003. La mayoría de las tareas descritas en este documento resultan adecuadas para configuraciones más simples (dos niveles o, incluso, un solo nivel) sin cambios o sólo con modificaciones menores.
Planear los recursos para administrar la PKI de Windows
En esta sección se trata el diseño de los recursos de personal para administrar una PKI de Windows. Se supone una PKI de empresa según se describe en la introducción y en el apéndice A, Descripción general del diseño de PKI. Aunque este proceso será similar para instalaciones de PKI más simples, la estructura del equipo y, en concreto, las cifras del esfuerzo estimado para las tareas necesarias se tienen que adaptar de forma adecuada.
Existen cuatro áreas principales que se deben tener en cuenta. Las dos primeras corresponden a la asignación de funciones administrativas y el diseño de la formación que necesita el personal de soporte. La tercera corresponde al esfuerzo necesario para que la PKI esté operativa. Se incluyen la configuración de copias de seguridad, la asignación de permisos administrativos, el plan de recuperación y la programación de tareas operativas. La cuarta área corresponde al esfuerzo continuo en relación con las operaciones, el soporte y el personal de asistencia al usuario necesarios para mantener un funcionamiento correcto de la PKI.
En esta sección no se trata el planeamiento, el diseño, la instalación y la configuración de los servidores de PKI o de otra infraestructura.
Asignar funciones administrativas de PKI
Existen varias funciones en la administración de una PKI y cada una representa un conjunto concreto de capacidades en lo que respecta a la PKI. Por ejemplo, la aprobación de una solicitud de certificado, la auditoría de una CA y la administración de copias de seguridad y almacenamiento son responsabilidades de distintas funciones administrativas. En un entorno de alta seguridad, cada función se puede asignar a distintas personas como un método de protección frente a los abusos de privilegio. En otras organizaciones, sólo un administrador puede ser responsable de todas las tareas de PKI, aunque la mayoría de las organizaciones están entre ambos extremos.
Existe un perfil de criterios comunes para las funciones administrativas para una entidad emisora de certificados. En el apéndice B, Funciones administrativas de criterios comunes, se describe su relación con el modelo administrativo utilizado en este documento.
Decidir la granularidad del modelo administrativo
El modelo administrativo utilizado en este documento se adapta a una variedad de necesidades organizativas, desde funciones administrativas detalladas hasta divisiones más simples de las responsabilidades. Las capacidades administrativas con respecto a la PKI se han dividido en grupos de funciones y cada uno corresponde a un grupo de seguridad de dominio o local. En todos los procedimientos del documento se indica la pertenencia a grupos de seguridad administrativa que es necesaria para llevarlos a cabo.
Este enfoque permite que las distintas organizaciones alcancen el grado necesario de granularidad de funciones mediante la incorporación de cuentas de personal de TI a los grupos necesarios. Por ejemplo, una organización con un solo administrador para todas las tareas operativas y de soporte de la PKI agregaría la cuenta de dicha persona a todos los grupos de funciones de PKI. Una organización más compleja que necesitara dividir la responsabilidad entre administradores de PKI, operadores de copia, auditores y propietarios de aplicación agregaría las cuentas de dichas personas sólo a los grupos de funciones administrativas de PKI necesarios para su trabajo.
Si todavía no ha asignado las responsabilidades administrativas de la PKI, tendrá que hacerlo antes de que la PKI pase a producción. Utilice la tabla 1 para determinar las capacidades que desea asignar al personal administrativo de PKI. El primer conjunto de tareas de Configurar el entorno operativo de la PKI implica crear y llenar los grupos de funciones administrativas de PKI y asignar los permisos adecuados a dichos grupos.
Asignar funciones a grupos de seguridad
En la tabla 1 se describen las funciones de cada función administrativa de PKI en toda la entidad emisora de certificados y en toda la empresa, así como el grupo de seguridad que se utiliza para implementar dicha función. Estos grupos de seguridad se utilizan para describir los requisitos de seguridad de los procedimientos de este documento. Cada procedimiento dispone de una sección Requisitos de seguridad que enumera los grupos de seguridad a los que debe pertenecer una persona para llevar a cabo el procedimiento.
La tabla también está dividida en secciones que corresponden a límites administrativos comunes. Aunque es común, esta división no significa que sea universal, por lo que es posible que no coincida con su organización de forma exacta. Por ejemplo, un "propietario de aplicación" puede ser una persona de la línea de negocios en vez de la organización de soporte.
Las entidades emisoras de certificados sin conexión (la raíz y las intermedias) no pueden utilizar grupos de dominio, sólo grupos de seguridad locales. Para dichas entidades, se deben crear cuentas locales individuales en la propia entidad emisora de certificados y se deben utilizan para llenar los grupos administrativos locales. Para las entidades emisoras de certificados con conexión (que son miembros de dominio), se utilizan grupos de seguridad de dominio para aplicar los permisos correspondientes a cada función. Las cuentas de dominio se utilizan para llenar los grupos de funciones.
Tabla 1: Asignar funciones de Servicios de Certificate Server a grupos de seguridad
| Nombre de función administrativa | Grupo de seguridad de dominio(entidades emisoras de certificados con conexión) | Grupo de seguridad local(entidades emisoras de certificados sin conexión) | Capacidades | ||||
| Administrador/funciones de soporte de tercer nivel | |||||||
Administrador empresarial | Administradores empresariales | — | Controla todos los recursos de Active Directory del bosque, incluido el contenedor Servicios de claves públicas; por lo tanto, incluye el control de plantillas, publicación de confianzas y otros elementos de configuración en toda la empresa (bosque). | ||||
Administrador de PKI de empresa | Administradores de PKI de empresa | — | Control del contenedor Servicios de claves públicas de Active Directory; por lo tanto, controla plantillas, publicación de confianzas y otros elementos de configuración en toda la empresa (bosque). | ||||
Editor de PKI de empresa | Editores de PKI de empresa |
| Puede publicar certificados raíz de confianza de empresa, certificados de subentidad emisora y CRL en el directorio. | ||||
Administrador de entidad emisora de certificados | Administradores de entidad emisora de certificados | Administradores de entidad emisora de certificados | Tiene permisos "Administrar entidad emisora" en la entidad emisora, controla las funciones de la entidad, también tiene permisos para cambiar las propiedades de la entidad, normalmente se combina con el administrador local en el servidor de entidad emisora a menos que se exija la separación de funciones. | ||||
Administrador | — | Administradores | Administrador local del servidor de entidad emisora. | ||||
Administrador de certificados | Administradores de certificados | Administradores de certificados | Tiene permiso "Emitir y administrar certificados" en la entidad emisora; se pueden configurar varios administradores de certificados en cada entidad emisora y cada uno gestiona certificados para un subconjunto de usuarios u otras entidades finales. | ||||
| Función de auditor | |||||||
Auditor de entidad emisora de certificados | Auditores de entidad emisora de certificados | Auditores de entidad emisora de certificados | Tiene el derecho de usuario "Administrar registros de seguridad y auditoría" en una entidad emisora de certificados. | ||||
| Operador/funciones de soporte de segundo nivel | |||||||
Operador de copia de entidad emisora de certificados | Operadores de copia de entidad emisora de certificados | Operadores de copia de entidad emisora de certificados | Tiene el derecho “Copia de seguridad y restauración” en el servidor de entidad emisora de certificados. | ||||
Propietario de aplicación |
| — | Permite que los usuarios y los equipos se inscriban (o inscriban automáticamente) a un tipo de certificado determinado. Consulte el procedimiento Crear grupos de inscripción a certificados. |
Formar al personal
La formación del personal operativo o de soporte varía considerablemente según su experiencia y sus funciones y responsabilidades individuales. En las siguientes secciones se enumeran los tipos de formación (incluidos los cursos de Microsoft Official Curriculum) adecuados para los distintos niveles de responsabilidad que se encuentran en las organizaciones de TI de mayor tamaño. Para obtener información más detallada de estos cursos, consulte la sección Vínculos relacionados.
Administradores de PKI y soporte de tercer nivel
Lo más probable es que el personal de TI que trabaje en este nivel disponga de certificación Microsoft Certified Systems Engineers (MCSE) en Windows 2000 o Windows Server 2003, o tenga un nivel equivalente de conocimientos y experiencia.
Los siguientes cursos son muy útiles.
| • | Curso 2823: La implementación y administración de la seguridad en una red de Microsoft Windows Server 2003 |
| • | Curso 2821: Designing and Managing a Windows Public Key Infrastructure |
Operadores y soporte de segundo nivel
El personal de TI que proporcione soporte al departamento de asistencia al usuario y lleve a cabo tareas operativas y de supervisión periódicas es probable que disponga de certificación MCSE o conocimientos equivalentes.
El siguiente curso resulta muy útil para una comprensión general de la PKI y otras tecnologías de seguridad en la plataforma Windows Server 2003.
| • | Curso 2823: La implementación y administración de la seguridad en una red de Microsoft Windows Server 2003 |
Departamento de asistencia al usuario
Las necesidades de formación del departamento de asistencia al usuario dependerán de si su personal ofrecerá soporte general o estará dedicado a una determinada aplicación o sistema. El personal de asistencia al usuario que dé soporte a las aplicaciones de PKI debe recibir formación básica sobre la plataforma cliente (Windows XP) y las aplicaciones cliente (Microsoft Office, por ejemplo). Es importante ofrecer al personal de asistencia al usuario preguntas más frecuentes, documentos y soluciones a problemas comunes actualizados periódicamente para que puedan resolver tantas llamadas como sea posible sin tener que reasignarlas al soporte de segundo y tercer nivel.
Usuarios
Aunque normalmente no forma parte de la responsabilidad del departamento de operaciones de TI, con frecuencia se omite la importancia de la formación de los usuarios. Si existe confusión acerca del funcionamiento de una característica de aplicación, inevitablemente se generarán llamadas de soporte. Es importante ofrecer formación acerca del uso correcto de una aplicación o servicio, incluidas las posibilidades de autoayuda que los usuarios pueden intentar antes de llamar al departamento de asistencia al usuario. Los usuarios también deben recibir formación acerca de los aspectos pertinentes de la directiva de seguridad de la organización para que conozcan sus responsabilidades. Por ejemplo, deben conocer los procedimientos para informar de un equipo o tarjeta inteligente perdido o robado, cómo elegir contraseñas correctas, cómo proteger sus datos y credenciales frente al abuso y cómo protegerse frente a los virus.
Tareas para configurar el entorno operativo
En la tabla 2 se muestran las tareas para que la PKI esté operativa. Cada tarea describe cómo configurar un aspecto del sistema de administración de la PKI con el fin de que esté preparada para pasar a un entorno de producción. Se incluye una estimación del número de horas para cada tarea. Para obtener una descripción de cada tarea, consulte Configurar el entorno operativo de la PKI.
Puede que no tenga que realizar todas estas tareas, pero debe consultar los detalles de cada una antes de tomar esta decisión. Es posible que algunas de estas tareas se tengan que repetir; por ejemplo, si una entidad emisora de certificados se reconstruye a partir de una copia de seguridad, puede que tenga que volver a configurar las tareas de copia de seguridad y supervisión de ella.
Nota: el esfuerzo (en horas) es una estimación y varía según los requisitos de seguridad y las prácticas operativas de su organización.
Tabla 2: Tareas de configuración iniciales
| Nombre de tarea | Esfuerzo (horas) |
| General | |
Crear un programa de operaciones | 8 |
Implementar los servicios de soporte de la PKI | 16 |
| Preparar el directorio | |
Preparar una estructura de unidades organizativas de dominio para la administración de Servicios de Certificate Server | 0.5 |
| Administración de la seguridad | |
Crear los grupos de administración de PKI | 1 |
Asignar permisos a los grupos de administración de PKI | 1 |
Delegar los permisos de PKI de empresa | 1 |
Delegar los permisos para instalar una entidad emisora de certificados de empresa | 1 |
Crear los grupos de inscripción de certificados | 1 |
Establecer permisos en el servidor Web para publicar CRL y certificados | 3 |
Configurar la entidad emisora de certificados para publicar CRL en un servidor Web | 1 |
Habilitar la auditoría de la entidad emisora de certificados | 1 |
Impedir que las entidades emisoras de certificados intermedias comprueben el estado de revocación | 1 |
| Administración del sistema | |
Configurar las actualizaciones del sistema operativo | 8 |
| Configurar las opciones de disponibilidad y recuperación | |
Planear una PKI de alta disponibilidad | 16 |
Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados | 4 |
Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados sin conexión | 4 |
| Configurar la supervisión y las alertas | |
Clasificar las alertas de supervisión | 4 |
Supervisar la disponibilidad del servicio | 8 |
Configurar la supervisión de la seguridad de la entidad emisora de certificados | 16 |
Calcular las posibles restricciones de capacidad de la entidad emisora de certificados | 8 |
Configurar las alertas SMTP para las solicitudes de certificado pendientes | 2 |
Supervisar la caducidad de certificado de los clientes |
|
Total de horas | 105.5 |
Total de días | 13 |
Tareas operativas continuadas
En la tabla 3 se muestran las tareas que se tienen que realizar periódicamente para mantener el funcionamiento correcto de la PKI. También se incluye una estimación de la carga de trabajo de soporte posible basada en las cifras de las operaciones de la PKI interna de Microsoft. Para obtener más información acerca de estas tareas, consulte Funcionamiento de la PKI y las secciones posteriores de este documento.
Se incluye una estimación del número de horas para cada tarea, la frecuencia de la misma y el esfuerzo anual total. El esfuerzo de tarea corresponde a una instancia de la tarea, mientras que el número de veces al año es un agregado para todas las entidades emisoras de certificados. Si se multiplican ambos, se obtiene el esfuerzo anual total de la tarea.
Estas tareas están relacionadas con los servicios de infraestructura de PKI y no incluyen una medición del esfuerzo para dar soporte a las aplicaciones de PKI (como tales, son tareas que normalmente lleva a cabo el personal de soporte de tercer y segundo nivel). El esfuerzo de soporte de las aplicaciones de PKI varía considerablemente de una aplicación a otra. Sin embargo, a modo de guía, los recursos de soporte que el grupo de operaciones y tecnología (OTG) de Microsoft utiliza para dar soporte a las aplicaciones de PKI implementadas en los 60.000 usuarios de PKI de Microsoft se ofrecen en Ejemplo: Recursos operativos de PKI de Microsoft OTG.
Nota: el esfuerzo de tarea (en horas) es una estimación y varía según los requisitos de seguridad y las prácticas operativas de su organización.
Tabla 3: Operaciones de la PKI y tareas de soporte
| Nombre de tarea | Esfuerzo de tarea (horas) | Frecuencia | Número de veces al año | Esfuerzo anual(horas) |
| Administración de la seguridad | ||||
Habilitar la inscripción (o la inscripción automática) de un tipo de certificado para un usuario o equipo | 0.25 | Semanal | 52 | 13 |
Deshabilitar la inscripción (o la inscripción automática) de un tipo de certificado para un usuario o equipo | 0.25 | Semanal | 52 | 13 |
Comprobar y aprobar las solicitudes de certificado pendientes | 0.5 | Diaria | 200 | 100 |
Revocar un certificado de entidad final | 0.25 | Diaria (se estiman 50 en un mes) | 600 | 150 |
Recuperar una clave privada archivada | 0.5 | A petición (se estiman 20 en un mes) | 240 | 120 |
Renovar el certificado de entidad emisora de certificados raíz | 4 | 8 veces al año | 0.125 | 0.5 |
Renovar el certificado de una entidad emisora de certificados intermedia | 4 | 4 veces al año | 0.25 | 1 |
Renovar un certificado de entidad emisora de certificados (cada año para permitir la renovación de particiones de CRL) | 4 | Anual | 2 | 8 |
Publicar las CRL de una entidad emisora de certificados sin conexión en el servidor Web | 1 | 6 veces al año (2 por entidad emisora de certificados raíz, 4 por intermedia) | 6 | 6 |
| Supervisar | ||||
Revisar los registros de auditoría | 1 | Semanal | 52 | 52 |
Auditar la PKI | 8 | Anual | 1 | 8 |
Revisar los datos de rendimiento y capacidad | 4 | 3 veces al mes | 4 | 16 |
Generar informes de información de administración | 4 | Mensual | 12 | 48 |
| Administración de la base de datos y la configuración de la entidad emisora de certificados | ||||
Realizar copias de seguridad de una entidad emisora de certificados sin conexión | 1 | Anual | 3 | 3 |
Realizar copias de seguridad de las claves y certificados de la entidad emisora de certificados | 1 | Anual (después de la renovación de la entidad emisora de certificados) | 2.4 | 2.4 |
Probar las copias de seguridad de la base de datos de la entidad emisora de certificados | 8 | 3 veces al mes | 4 | 32 |
Probar las copias de seguridad de las claves de la entidad emisora de certificados | 4 | 6 veces al mes | 2 | 8 |
Archivar los datos de auditoría de seguridad de una entidad emisora de certificados | 1 | Mensual | 12 | 12 |
| Administrar el cambio y la configuración | ||||
Actualizar las versiones de sistema operativo | 8 | 2 veces al año | 0.5 | 4 |
Instalar Service Packs y actualizaciones de seguridad (sólo las entidades emisoras de certificados sin conexión; se supone que las entidades con conexión se actualizan automáticamente) | 8 | 3 veces al mes | 4 | 32 |
Probar actualizaciones (pruebas específicas de la entidad emisora de certificados) | 16 | 3 veces al mes | 4 | 64 |
| Administración de la configuración | ||||
Recopilar información de configuración de la PKI de empresa | 2 | Anual | 1 | 2 |
Recopilar información de configuración de las plantillas de certificado | 2 | Anual | 1 | 2 |
Recopilar información de configuración de la entidad emisora de certificados | 2 | Anual | 1 | 2 |
Recopilar información de los grupos de administración de la entidad emisora de certificados y de la PKI | 2 | Anual | 1 | 2 |
Recopilar información de configuración de los clientes de certificado | 2 | Anual | 1 | 2 |
| Tareas de soporte comunes | ||||
Tareas de soporte |
|
|
|
|
Restaurar la entidad emisora de certificados a partir de una copia de seguridad | 16 | 2 veces al año | 0.5 | 8 |
Restaurar el par de certificado y clave de la entidad emisora de certificados en un equipo temporal | 2 | 2 veces al año | 0.5 | 1 |
Volver a firmar una CRL o certificado para ampliar su validez | 2 | 2 veces al año | 0.5 | 1 |
Revocar un certificado huérfano | 4 | 2 veces al año | 0.5 | 2 |
Revocar y reemplazar un certificado de entidad emisora de certificados | 8 | 4 veces al año | 0.25 | 2 |
Revocar y reemplazar un certificado de entidad emisora de certificados intermedia | 16 | 8 veces al año | 0.125 | 2 |
Revocar y reemplazar un certificado de entidad emisora de certificados raíz | 40 | 10 veces al año | 0.1 | 4 |
Total de horas por año |
|
|
| 720 |
Total de días por año |
|
|
| 90 |
Ejemplo: Recursos operativos de PKI de Microsoft OTG
Tal como se ha indicado anteriormente, en la tabla 3 no se incluyen los requisitos de soporte para las aplicaciones de PKI. Microsoft OTG ha implementado un amplio conjunto de aplicaciones que dependen de certificados digitales. Entre éstas se encuentran:
| • | Autenticación de tarjeta inteligente (para acceso remoto e inicio de sesión en dominio) |
| • | Redes inalámbricas seguras |
| • | Sistema de archivos de cifrado |
| • | Seguridad de correo electrónico |
| • | Seguridad de Protocolo Internet (IPsec) |
En la tabla 4 se muestran los recursos de soporte para estas aplicaciones y la infraestructura de certificados. La administración de tarjetas inteligentes precisa de una cantidad desproporcionada de esfuerzo debido a la sobrecarga de la administración física de las tarjetas y los sistemas de identificación fotográfica y de acceso asociados.
Tabla 4: Recursos de soporte
| Función | Personal de Microsoft OTG (60.000 usuarios) |
Departamento de asistencia al usuario (sin tarjetas inteligentes) | 2 empleados a tiempo completo |
Departamento de asistencia al usuario (tarjetas inteligentes) | 4 empleados a tiempo completo |
Soporte de segundo nivel | 2 empleados a tiempo completo |
Soporte de tercer nivel | 1 empleado a tiempo completo |
Diseño de tercer nivel e ingeniería (normalmente son los mismos empleados de soporte de tercer nivel) | 2 empleados a tiempo completo |
OTG también utiliza un centro de filtro de llamadas independiente que registra las llamadas y las dirige al correspondiente personal de asistencia al usuario. No está incluido en la cifra del departamento de asistencia al usuario.
Si tiene en cuenta los siguientes puntos, puede extrapolar estas cifras a su organización.
| • | Menos aplicaciones reducen la carga de soporte, especialmente el esfuerzo de asistencia al usuario y del soporte de segundo nivel. Estas cifras reflejan un conjunto de aplicaciones relativamente rico. |
| • | Hay un conjunto de tareas básicas que son comunes a PKI de diferentes tamaños; el esfuerzo no se reduce linealmente, en concreto para el soporte de tercer nivel. |
| • | El esfuerzo de diseño e ingeniería de tercer nivel depende de la intensidad con que su organización implemente las nuevas aplicaciones de PKI (Microsoft tiene amplios planes para utilizar la tecnología de PKI y para optimizar su uso actual por lo que, en comparación con la mayoría de organizaciones, se trata de un área con gran cantidad de recursos). Este factor tiene mayor impacto en los recursos necesarios para este elemento que el tamaño de la organización. |
Configurar el entorno operativo de la PKI
La configuración de un entorno operativo de un sistema constituye un paso fundamental en la implementación de un proyecto de TI. Esto implica la implementación de trabajos programados, la configuración de los parámetros de supervisión y alertas, la creación de referencia para medir el rendimiento y la creación de un programa de trabajos de mantenimiento periódicos. Sin este paso, cualquier sistema puesto en producción no cumplirá las expectativas de rendimiento y, finalmente, fracasará.
Esta fase de configuración se aplica por igual tanto a una PKI como a cualquier otro componente de infraestructura. En esta sección se describe la creación de un programa operativo, la preparación del directorio, la preparación de la disponibilidad del sistema, la configuración de la supervisión y las alertas, así como las demás tareas fundamental para pasar la PKI a producción.
Lista de comprobación de tareas de configuración
General
| • | Crear un programa de operaciones |
| • | Implementar los servicios de soporte de la PKI |
Preparar el directorio
| • | Preparar una estructura de unidades organizativas de dominio para la administración de Servicios de Certificate Server |
Administración de la seguridad
| • | Crear los grupos de administración de PKI |
| • | Asignar permisos a los grupos de administración de PKI |
| • | Delegar los permisos de PKI de empresa |
| • | Delegar los permisos para instalar una entidad emisora de certificados de empresa |
| • | Crear los grupos de inscripción de certificados |
| • | Establecer permisos en el servidor Web para publicar CRL y certificados |
| • | Establecer permisos en el servidor Web para publicar CRL y certificados |
| • | Configurar la entidad emisora de certificados para publicar CRL en un servidor Web |
| • | Habilitar la auditoría de la entidad emisora de certificados |
| • | Deshabilitar la comprobación de revocación en las entidades emisoras de certificados intermedias |
Administración del sistema
| • | Configurar las actualizaciones del sistema operativo |
Configurar las opciones de disponibilidad y recuperación
| • | Planear una PKI de alta disponibilidad |
| • | Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados |
| • | Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados sin conexión |
Configurar la supervisión y las alertas
| • | Clasificar las alertas de supervisión |
| • | Supervisar la disponibilidad del servicio |
| • | Configurar la supervisión de la seguridad de la entidad emisora de certificados |
| • | Calcular las posibles restricciones de capacidad de la entidad emisora de certificados |
| • | Configurar las alertas del protocolo simple de transferencia de correo (SMTP) para las solicitudes de certificado pendientes |
| • | Supervisar la caducidad de certificado de los clientes |
Programación de trabajos
| • | Programar trabajos en las entidades emisoras de certificados con conexión |
Crear un programa de operaciones
La creación de un programa de operaciones es uno de los elementos más importantes en la implementación de una PKI. Algunas de las tareas de mantenimiento de la PKI se realizan sólo una vez cada varios meses o años. Por lo tanto, a menos que se programen correctamente, existe el riesgo de olvidarlas cuando realmente se deban llevar a cabo.
Tomando como punto de partida la lista de Tareas operativas continuadas, debe crear un programa de operaciones para la PKI. La programación debe incluir todas las tareas que se deben realizar periódicamente, describir la frecuencia de cada tarea e indicar quién será el responsable de llevar a cabo cada una.
La programación debe disponer de las siguientes características.
| • | Cada entrada de la programación debe especificar las fechas y horas reales de la tarea; en vez de utilizar "realizar semanalmente", emplee "cada lunes a las 10:00 a.m." o "cada 1 de febrero y 1 de agosto". |
| • | Cada entrada de tarea debe describir la acción que se debe llevar a cabo si una tarea no se realiza el día especificado en caso de que, por ejemplo, coincida con un día festivo o la ausencia del responsable. |
| • | Se debe indicar el nombre del responsable de llevar a cabo la tarea junto con un sustituto, en caso de que no esté disponible el propietario de la tarea. Los propietarios de tarea deben tenerlo en cuenta e incorporarlo en sus programaciones. |
| • | La programación puede utilizar un sistema automatizado para notificar al responsable cuando se tenga que realizar la tarea. Puede utilizar un sistema de calendario, como Microsoft Outlook, para registrar, asignar y proporcionar notificaciones acerca de las tareas. |
| • | La programación debe definir el modo en que se registrará la finalización de una tarea (para la realización de auditorías); se puede tratar de un registro electrónico o en papel. |
| • | La lista de programación también debe incluir tareas manuales específicas de las aplicaciones y el entorno así como las básicas de la lista Tareas operativas continuadas. Por ejemplo, si tiene que inscribir servidores Web manualmente que necesiten renovar sus certificados cada año, debe incluirlo en la programación. |
Implementar los servicios de soporte de la PKI
Debe garantizar que los recursos de soporte de la PKI están conectados al implementar la infraestructura y aplicaciones de PKI que dependen de la PKI. Debe escalonar la implementación de la infraestructura (las entidades emisoras de certificados y los servicios de soporte) y las aplicaciones de PKI para permitir que los servicios de soporte evolucionen y se adapten a sus nuevas demandas. En la siguiente secuencia se muestra cómo puede llevar esto a cabo junto con la implementación de la PKI.
1. | Formar al personal operativo y de soporte correspondiente con el fin de prepararlos para la implementación de los servicios de PKI. |
2. | Implementar la infraestructura de la entidad emisora de certificados sin aplicaciones de PKI para realizar una prueba piloto de las tareas de soporte y operativas. |
3. | Revisar y depurar las operaciones y los servicios de soporte. |
4. | Planear la primera implementación de aplicaciones PKI. La clave reside en que será la primera parte de la implementación de PKI que verán los usuarios finales, por lo que se necesitará que el departamento de asistencia al usuario esté preparado para dar soporte a la aplicación. |
5. | Preparar los recursos de soporte, como las preguntas más frecuentes, los diagramas de solución de problemas, los procedimientos de asignación de problemas y los problemas más habituales, que utilizará el departamento de asistencia al usuario y el soporte de segundo nivel. Estos recursos irán evolucionando, por lo que no prevea cubrir todas las eventualidades en esta etapa. |
6. | Formar al personal de asistencia al usuario y al personal de soporte de asignación de problemas en soporte técnico de PKI genérico y específico de la aplicación. |
7. | Realizar una prueba piloto de la aplicación con un grupo de usuarios administrable pero representativo. |
8. | Revisar y depurar los procedimientos de asistencia al usuario y de soporte (la revisión y la mejora periódicas de los servicios de soporte deben continuar a lo largo de la vida de una aplicación). |
9. | Repita los pasos del 4 al 8 para cada aplicación. |
Preparar el directorio
Preparar una estructura de unidades organizativas de dominio para la administración de Servicios de Certificate Server
El propósito de esta tarea es crear una estructura de unidades organizativas adecuada para administrar grupos de seguridad de Servicios de Certificate Server.
Requisitos de seguridad
Cuenta con derechos para crear unidades organizativas en la parte designada de Active Directory
Detalles de la tarea
Esta tarea sólo es una sugerencia del modo en que puede organizar los grupos de seguridad relacionados con PKI. La estructura de unidades organizativas reales dependerá de la existente y de las directivas y procedimientos de administración actuales. En la tabla 5 se ofrece un subárbol de unidades organizativas simples que se puede utilizar para ayudar a organizar los grupos de seguridad creados mediante esta guía y a los que se hace referencia en la misma. Debe otorgar al grupo Administradores de PKI de empresa permisos para crear y eliminar objetos de grupo para estas unidades organizativas.
Tabla 5: Ubicación de los grupos de seguridad en la estructura de unidades organizativas
| Nombre de unidad organizativa | Propósito | Grupos almacenados en la unidad organizativa | ||||||||||||
Administración de Servicios de Certificate Server | Contiene grupos administrativos para administrar entidades emisoras de certificados y configuración de PKI de empresa |
| ||||||||||||
Grupos de inscripción de certificados | Contiene grupos a los que se ha concedido permisos de inscripción o inscripción automática en plantillas del mismo nombre. A continuación, el control de los grupos se puede delegar en el personal adecuado para permitir un régimen de inscripción flexible sin modificar las plantillas. | Ejemplos:
|
Administración de la seguridad
La administración de la seguridad abarca tareas relacionadas con los componentes de seguridad de la infraestructura informática.
Crear los grupos de administración de PKI
Las funciones y las capacidades administrativas se definen mediante cuentas de usuario y grupos de seguridad de dominio.
Nota: la solución define varios grupos de seguridad que corresponden a funciones administrativas independientes. De este modo se obtiene el máximo control sobre el modo de delegar responsabilidades en la administración de la entidad emisora de certificados. Sin embargo, no tiene que utilizar todas o cualquiera de estas funciones si no se corresponden a su modelo de administración. En el caso opuesto, si sólo tiene un único administrador de PKI que se encargue de todos los aspectos del servicio, puede agregar esta cuenta a todos los grupos de funciones de la entidad emisora de certificados. En la práctica, la mayoría de las organizaciones utilizan algún tipo de separación de funciones, pero muy pocas utilizan todas las capacidades de separación de funciones de Servicios de Windows Certificate Server. Para obtener más información, consulte Asignar funciones administrativas de PKI.
Para crear grupos de administración de PKI en el dominio
1. | Inicie la sesión en un miembro de dominio con una cuenta que tenga permisos para crear objetos de usuario y grupo en la unidad organizativa Administración de Servicios de Certificate Server (creada en la tarea anterior). | |||||||||||||||||||||
2. | Cree los grupos de administración de la entidad emisora de certificados de dominio enumerados en la tabla 6. Tabla 6: Nombre y propósito de los grupos de PKI
|
Si necesita grupos independientes de administradores de entidad emisora de certificados, administradores de certificados, auditores y operadores de copia para cada entidad emisora de certificados de empresa, cree grupos de dominio independientes para cada entidad emisora en vez de un solo grupo para cada función tal como se muestra aquí. Asígneles el nombre "Administradores de entidad emisora de certificados deNombreDeEntidad" (donde NombreDeEntidad es el nombre de la entidad emisora de certificados) o uno similar.
Los grupos se crean como universales ya que necesitan alcance (visibilidad) en todo el bosque y pueden tener miembros de varios dominios. Si únicamente necesita miembros de grupo de un solo dominio, puede utilizar grupos globales de dominio en su lugar. Sólo puede crear grupos universales en un dominio que tenga un nivel funcional de dominio de modo nativo de Windows 2000 o superior (para obtener más información acerca de los niveles funcionales de dominio, consulte la sección Vínculos relacionados). Si los dominios están en modo mixto, tiene que utilizar grupos globales.
Puede y debe limitar los usuarios que pueden cambiar la pertenencia a estos grupos. El siguiente procedimiento restringe esta capacidad a los miembros del grupo Administradores de PKI de empresa. Antes de continuar, debe agregar al menos una cuenta de dominio válida al grupo Administradores de PKI de empresa. El siguiente procedimiento utiliza una cuenta denominada PropietarioDeGruposDePKI. Será el propietario de los grupos de administración de PKI, lo que le transfiere la propiedad desde los administradores predeterminados. El nombre no es importante y puede utilizar otro distinto si lo prefiere.
Para restringir los usuarios que pueden cambiar la pertenencia a los grupos de administración de PKI.
1. | Inicie la sesión como miembro de Administradores de dominio (o una cuenta que disponga de permisos para crear cuentas y tenga control total de los objetos de grupo creados en el procedimiento anterior). |
2. | Cree la cuenta PropietarioDeGruposDePKI que se utilizará como el propietario de estos grupos. Esta cuenta sólo se utiliza para transferir la propiedades desde el predeterminado, el grupo Administradores de dominio. No tendrá que utilizar esta cuenta para tareas de administración. |
3. | Conceda permisos de control total a PropietarioDeGruposDePKI para cada uno de estos objetos de grupo. |
4. | Inicie la sesión con la cuenta PropietarioDeGruposDePKI y tome posesión de cada grupo de uno en uno. |
5. | Quite los permisos de Administradores de dominio, Administradores y Administradores de empresa. |
6. | Conceda permisos de control total a AdministradoresDePKIDeEmpresa para cada grupo. |
7. | Cierre la sesión y vuelva a iniciarla con la misma cuenta utilizada en el paso 1. Deshabilite la cuenta PropietarioDeGruposDePKI para impedir que se emplee de modo accidental. |
Nota: no se puede impedir que un administrador de dominio o de empresa modifique estos grupos. Sin embargo, los pasos de este procedimiento, en concreto los correspondientes a quitar la propiedad de los grupos del grupo Administradores integrado, ayudan a garantizar que se pueda auditar cualquier modificación no autorizada y que resulte improbable que se produzca un cambio no autorizado por accidente.
Las entidades emisoras de certificados sin conexión no pueden utilizar grupos de dominio y, por lo tanto, necesitan tener grupos locales equivalentes creados en la propia entidad emisora de certificados. No hay una función local equivalente a los grupos Administradores de PKI de empresa o Editores de PKI de empresa.
Para crear los grupos de administración de entidad emisora de certificados en una entidad emisora sin conexión
1. | Inicie la sesión en la entidad emisora de certificados como miembro del grupo Administradores local. | ||||||||||
2. | Cree los grupos de administración de la entidad emisora de certificados locales enumerados en la tabla 7. Tabla 7: Nombre y propósito de los grupos de entidad emisora de certificados
|
Asignar permisos a los grupos de administración de PKI
Para utilizar las funciones administrativas en la entidad emisora de certificados (como auditor y administrador de certificados), tiene que conceder los permisos adecuados al grupo de seguridad para cada función.
Nota: aunque en este documento se utilizan varias funciones de administración, dispone de libertad para agregar la misma cuenta a varias funciones con el fin de obtener un modelo administrativo más simple. Para obtener más información, consulte Asignar funciones administrativas de PKI.
Detalles de la tarea
La primera tarea establece los permisos para una entidad emisora de certificados con conexión mediante grupos de dominio. La segunda tarea establece los permisos para una entidad emisora de certificados sin conexión mediante grupos locales.
Para configurar las funciones administrativas para una entidad emisora de certificados con conexión
1. | En el complemento Entidad emisora de certificados de MMC, haga clic en Propiedades para editar las propiedades de la entidad. | ||||||||||||
2. | Haga clic en la ficha Seguridad y agregue los grupos de seguridad de dominio enumerados en la tabla 8. Por cada grupo, agregue los permisos mostrados. Tabla 8: Entradas de permiso para agregar
Nota: si piensa forzar la separación de funciones de criterios comunes, también debe quitar los permisos Administrar entidad emisora del grupo Administradores local. Para obtener más información, consulte el apéndice B, Funciones administrativas de criterios comunes. | ||||||||||||
3. | Agregue el grupo Auditores de entidad emisora de certificados al grupo Administradores local. | ||||||||||||
4. | Agregue el grupo Operadores de copia de entidad emisora de certificados al grupo Operadores de copia local. | ||||||||||||
5. | Tiene que conceder derechos de usuario a algunos de los grupos de administración de PKI. Puede hacerlo en un objeto de Directiva de grupo (GPO) de dominio que se aplique a las entidades emisoras de certificados o en el GPO local de cada entidad. Los derechos de usuario se establecen en la parte Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario del GPO. Cree o abra el GPO de dominio elegido en Usuarios y equipos de Active Directory o abra el editor Directiva de seguridad local (en Herramientas administrativas) para editar la asignación de derechos de usuario. | ||||||||||||
6. | Conceda al grupo Auditores de entidad emisora de certificados el derecho de usuario para Administrar registros de seguridad y auditoría. | ||||||||||||
7. | Conceda a los siguientes grupos el derecho de usuario Permitir inicio de sesión local (los administradores y los operadores de copia tienen este derecho de forma predeterminada pero debe incluirlos aquí para evitar que este GPO suplante al predeterminado y quite este derecho de estos grupos de forma accidental).
|
Para configurar las funciones administrativas para una entidad emisora de certificados sin conexión
1. | En el complemento de MMC Entidad emisora de certificados, haga clic en Propiedades para editar las propiedades de la entidad. | ||||||||||
2. | Haga clic en la ficha Seguridad y agregue los grupos de seguridad de dominio enumerados en la tabla 9. Por cada grupo, agregue los permisos mostrados. Tabla 9: Entradas de permiso de entidad emisora de certificados para agregar
Nota: si desea forzar la separación de funciones completa, también debe quitar los permisos Administrar entidad emisora del grupo Administradores local. | ||||||||||
3. | Agregue todos los miembros Auditores de entidad emisora de certificados al grupo Administradores local debido a que únicamente sus miembros pueden abrir el registro de sucesos de seguridad. | ||||||||||
4. | Agregue todos los miembros del grupo Operadores de copia de entidad emisora de certificados al grupo Operadores de copia local. | ||||||||||
5. | Tiene que conceder derechos de usuario a algunos de los grupos de administración de PKI. Debe establecer este GPO local en la entidad emisora de certificados. Los derechos de usuario se establecen en Configuración del equipo\Configuración de seguridad\Configuración de Windows\Directivas locales\Asignación de derechos de usuario. Abra el editor Directiva de seguridad local (Herramientas administrativas). | ||||||||||
6. | Conceda al grupo Auditores de entidad emisora de certificados el derecho de usuario para Administrar registros de seguridad y auditoría. | ||||||||||
7. | Conceda a los siguientes grupos el derecho de usuario Permitir inicio de sesión local (los administradores y los operadores de copia tienen este derecho de forma predeterminada pero debe agregarlos a este derecho para evitar que se suplante el predeterminado).
|
Delegar los permisos de PKI de empresa
La información de configuración de PKI para toda la empresa se almacena en el contenedor Configuración de Active Directory en un subcontenedor denominado Servicios de claves públicas. De forma predeterminada, los permisos de escritura para este contenedor y todos sus subcontenedores están limitados al grupo de seguridad Administradores de empresa.
Esta tarea concede permisos en el contenedor Servicios de claves públicas a los grupos Administradores de PKI de empresa y Editores de PKI de empresa con el fin de permitirle llevar a cabo algunas de las responsabilidades reservadas a los administradores de empresa. A los administradores de PKI de empresa se les concede la capacidad de administrar la mayoría de los aspectos de la configuración de PKI para todo el bosque. Esto incluye la administración de plantillas e identificadores de objeto de directiva (OID) de PKI, la especificación de confianzas de entidades emisoras de certificados raíz, el acceso a la información de entidad emisora (AIA) y los puntos de publicación de CRL en el directorio. La única tarea que los administradores de PKI de empresa no pueden realizar es agregar entidades emisoras de certificados de empresa al bosque (más adelante en este procedimiento se ofrece información detallada acerca de cómo delegarla al grupo Administradores de PKI de empresa). Los editores de PKI de empresa tienen un conjunto más limitado de privilegios y pueden publicar listas de revocación de certificados y certificados de entidad emisora en el directorio.
Precaución: este procedimiento delega el control de una parte muy delicada de Active Directory, la que afecta a los usuarios y los equipos de todo el bosque. Tenga cuidado al conceder el control sobre el contenedor Servicios de claves públicas. Los usuarios con permiso para modificar este contenedor y sus subcontenedores pueden, entre otras acciones, agregar y quitar entidades emisoras de certificados raíz de confianza, agregar y quitar entradas de entidad emisora de certificados de empresa del contenedor NTAuth y, mediante éste, falsificar credenciales de inicio de sesión válidas para cualquier usuario del bosque.
Requisitos de seguridad
Pertenencia a administradores de empresa
Detalles de la tarea
Para conceder permisos a los administradores de PKI de empresa
1. | Inicie la sesión como miembro del grupo de seguridad Administradores de empresa. |
2. | En el complemento Sitios y servicios de Active Directory de MMC, en el menú Ver, seleccione el nodo Servicios. Desplácese al subcontenedor Servicios de claves públicas y abra sus Propiedades. |
3. | En la ficha Seguridad, agregue el grupo de seguridad Administradores de PKI de empresa y concédale control total. |
4. | En la vista Avanzada, edite los permisos de este grupo para garantizar que Control total se aplica a Este objeto y todos los secundarios. |
5. | Seleccione el contenedor Servicios y abra sus propiedades. En la ficha Seguridad, agregue el grupo de seguridad Administradores de PKI de empresa y concédale control total. |
6. | En la vista Avanzada, edite los permisos de este grupo para garantizar que Control total se aplica a Sólo este objeto. |
Para conceder permisos a los editores de PKI de empresa
1. | Inicie la sesión como miembro del grupo de seguridad Administradores de PKI de empresa (Administradores de empresa). | ||||||||
2. | En el complemento Sitios y servicios de Active Directory de MMC, seleccione el nodo Servicios y abra las propiedades del contenedor Servicios de claves públicas\AIA. | ||||||||
3. | En la ficha Seguridad, agregue el grupo de seguridad Editores de PKI de empresa y concédale los siguientes permisos.
| ||||||||
4. | En la vista Avanzada, edite los permisos de este grupo para garantizar que los permisos se aplican a Este objeto y todos los secundarios. | ||||||||
5. | Repita los pasos del 2 al 4 para los siguientes contenedores.
|
Delegar los permisos para instalar una entidad emisora de certificados de empresa
Agregar una entidad emisora de certificados de empresa es una operación muy delicada. Una entidad emisora de certificados de empresa puede emitir credenciales de inicio de sesión para cualquier cuenta del bosque (incluidos los administradores de dominio o de empresa), por lo que sólo la debe instalar un miembro de Administradores de empresa. Microsoft recomienda y admite este enfoque, que se ha probado completamente. No se debe realizar a menos que tenga alguna necesidad específica para delegar esta tarea.
Sin embargo, hay ocasiones en las que puede resultar necesario delegar esta tarea a un administrador que no sea miembro de Administradores de empresa. Esto se puede llevar a cabo si se realizan los dos siguientes procedimientos para conceder los permisos adecuados al grupo Publicadores de certificados y el permiso Restaurar archivos y directorios al grupo Administradores de PKI de empresa.
Importante: al delegar esta tarea no está creando un límite de seguridad reforzado entre Administradores de empresa y Administradores de PKI de empresa; los miembros del último grupo pueden elevar sus privilegios a los del grupo Administradores de empresa. Debe considerar este procedimiento de delegación como un paso para admitir una directiva administrativa y no como un control de seguridad estricto.
Requisitos de seguridad
Pertenencia a administradores del dominio en el que se instalará la entidad emisora de certificados de empresa
Detalles de la tarea
El grupo de seguridad Publicadores de certificados contiene las cuentas de equipo de todas las entidades emisoras de certificados de empresa de un dominio. Este grupo tiene permisos para publicar certificados en objetos de usuario y de equipo, así como para publicar CRL en el contenedor CDP mencionado en el procedimiento anterior. Cuando se instala una entidad emisora de certificados con conexión, se tiene que agregar su cuenta de equipo a este grupo. De forma predeterminada, sólo los grupos Administradores de dominio, Administradores de empresa y Administradores de dominio integrado tienen permisos para modificar la pertenencia de los publicadores de certificados. Para que los miembros de Administradores de PKI de empresa puedan instalar entidades emisoras de certificados, debe agregar este grupo a los permisos en Publicadores de certificados. Debe repetir este procedimiento por cada dominio en el que vaya a instalar entidades emisoras de certificados de empresa.
Para conceder el permiso de modificar la pertenencia en Publicadores de certificados
1. | Inicie sesión como miembro de Administradores de dominio (del dominio en el que se instalará la entidad emisora de certificados). |
2. | Abra el complemento Usuarios y equipos de Active Directory de MMC. |
3. | En el menú Ver, asegúrese de que Características avanzadas está habilitado. |
4. | Busque el grupo Publicadores de certificados (de forma predeterminada, en el contenedor Usuarios) y consulte las propiedades del grupo. |
5. | En la ficha Seguridad, agregue el grupo Administradores de PKI de empresa y, a continuación, haga clic en Opciones avanzadas. |
6. | Seleccione el grupo Administradores de PKI de empresa en la lista y haga clic en Modificar. |
7. | Haga clic en la ficha Propiedades; asegúrese de que Sólo este objeto está seleccionado en el cuadro Aplicar en. |
8. | Desplácese y haga clic en el cuadro Write Members de la columna Permitir. |
9. | Haga clic en Aceptar en cada ventana para guardar los cambios y cerrar las ventanas. |
Para instalar entidades emisoras de certificados de empresa, también tiene que disponer del derecho Restaurar archivos y directorios en el dominio en el que vaya a instalar la entidad emisora de certificados. El proceso de instalación de Servicios de Certificate Server necesita este derecho para instalar plantillas de certificado en el dominio. En concreto, este derecho se necesita para permitir que los descriptores de seguridad de las plantillas y otros objetos de directorio se fusionen y, así, conceder los permisos correctos a los objetos de configuración de PKI almacenados en el directorio. Los grupos de dominio integrados Administradores, Opers. de servidores y Operadores de copia tienen este derecho de forma predeterminada. Normalmente sólo se necesita al instalar la primera entidad emisora de certificados de empresa del bosque. Tiene que repetir este procedimiento por cada dominio en el que vaya a instalar entidades emisoras de certificados de empresa.
Para conceder derechos de restauración a los administradores de PKI de empresa
1. | Inicie sesión como miembro de Administradores de dominio (del dominio en el que se instalará la entidad emisora de certificados). |
2. | Abra el complemento Usuarios y equipos de Active Directory de MMC. |
3. | Seleccione la unidad organizativa Controladores de dominio y abra las propiedades de dicha unidad. |
4. | En la ficha Directiva de grupo, seleccione el GPO Directiva predeterminada de controladores de dominio y haga clic en Modificar. |
5. | Desplácese a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario y haga doble clic en Restaurar archivos y directorios. |
6. | Agregue el grupo Administradores de PKI de empresa a la lista que se muestra. |
7. | Cierre la ventana y el complemento de edición de GPO de MMC. |
Importante: si tiene algún GPO que establece el derecho de usuario Restaurar archivos y directorios en los controladores de dominio, debe realizar el procedimiento anterior en el GPO con la máxima prioridad en vez de la directiva predeterminada de controladores de dominio. La configuración de derechos de usuario no es acumulativa y sólo será efectivo el último GPO aplicado (es decir, el que tiene la máxima prioridad) que tenga este conjunto de derechos.
Crear los grupos de inscripción de certificados
Los grupos de inscripción de certificados facilitan la administración de los usuarios que pueden inscribirse o inscribirse automáticamente a un determinado tipo de certificado. En vez de editar la configuración de seguridad en las plantillas de certificado, puede agregar y quitar usuarios o equipos de un grupo de seguridad. También puede delegar el control de la pertenencia a estos grupos al personal administrativo, que no tiene permiso para editar directamente las propiedades de las plantillas de certificado. Puede hacerlo para permitir que un propietario de aplicación controle los usuarios que pueden inscribirse a un determinado tipo de certificado sin tener que concederles permisos para modificar la plantilla.
Requisitos de seguridad
Pertenencia a administradores de PKI de empresa (para cambiar permisos en plantillas de certificado) y permiso para crear los grupos de seguridad necesarios en la unidad organizativa
Detalles de la tarea
Cree un grupo de inscripción por cada tipo de plantilla de certificado o, como mínimo, todas en las que la aprobación de certificados vaya a ser automática. Es posible que no necesite este mecanismo donde utilice un proceso de registro explícito para un tipo de certificado. Si el tipo de certificado es de inscripción automática, cree un grupo independiente que controle los usuarios y dispositivos que se inscribirán automáticamente al certificado.
Nota: debe utilizar grupos globales o universales de dominio para establecer permisos en las plantillas, ya que son los únicos tipos de grupo que están visibles en todo el bosque. Sin embargo, un grupo global sólo puede contener miembros del dominio en el que se cree. Para utilizar miembros de varios dominios, cree grupos globales para cada dominio (a los que se agregan los usuarios y equipos necesarios de cada dominio) y grupos universales para establecer los permisos de plantilla. A continuación, agregue los grupos globales al grupo universal.
Para crear grupos de inscripción para una plantilla de certificado
1. | Inicie sesión como miembro de Administradores de PKI de empresa y abra el complemento Usuarios y equipos de Active Directory de MMC. | ||||
2. | En la unidad organizativa Grupos de inscripción de certificados, cree los grupos de seguridad de dominio con los nombres siguientes (reemplace NombrePlantillaCertificado por el nombre de la plantilla de certificado; por ejemplo, Inscribirse a certificado Inicio de sesión de tarjeta inteligente).
| ||||
3. | Cargue el complemento Plantillas de certificado en MMC. | ||||
4. | Abra las propiedades de la plantilla para editar la seguridad. | ||||
5. | Agregue el grupo Inscribirse a certificado NombrePlantillaCertificado y concédale permisos de lectura e inscripción. | ||||
6. | Agregue el grupo Inscribirse automáticamente a certificado NombrePlantillaCertificado y concédale permisos de lectura, inscripción e inscripción automática. |
Nota: puede delegar el control de estos grupos de inscripción para permitir que el propietario de la aplicación de certificados especifique los usuarios que pueden inscribirse (o inscribirse automáticamente) para este tipo de certificado.
Establecer permisos en el servidor Web para publicar CRL y certificados
Debe crear un directorio virtual en IIS (u otro servidor Web) para utilizar como ubicación de Protocolo de transferencia de hipertexto (HTTP) para Certificado de entidad emisora (AIA) y publicación de CRL (CDP). Esta tarea es específica de IIS 6.0 (en Windows Server 2003) pero se puede adaptar para versiones anteriores de IIS y para otros servidores Web.
Requisitos de seguridad
Pertenencia a administradores locales en el servidor Web
Detalles de la tarea
Esta tarea crea el directorio virtual y concede al grupo Editores de PKI de empresa y a las entidades emisoras de certificados con conexión permisos para publicar archivos en esta ubicación.
Para crear el punto de distribución de IIS
1. | Inicie sesión en el servidor IIS como miembro del grupo local Administradores. | |||||||||||||||||||||||||||
2. | Cree la carpeta C:\WWWPKIpub que contendrá los certificados de entidad emisora y las CRL. | |||||||||||||||||||||||||||
3. | Establezca la seguridad en la carpeta mediante el Explorador de Windows. En la tabla 10 se indican los permisos que debe aplicar. Las cuatro primeras entradas ya deben estar. Tabla 10: Permisos de carpeta
| |||||||||||||||||||||||||||
4. | Comparta la carpeta como WWWPKIpub. Establezca los permisos del recurso compartido tal como se muestra en la tabla 11. Tabla 11: Permisos del recurso compartido
| |||||||||||||||||||||||||||
5. | En el complemento Servicios de Internet Information Server de MMC, cree un nuevo directorio virtual en el sitio Web predeterminado y asígnele el nombre pki. Especifique C:\WWWPKIpub como la ruta de acceso. | |||||||||||||||||||||||||||
6. | Desactive la opción Ejecutar secuencias de comandos (por ejemplo, ASP) en los permisos de acceso del directorio virtual. | |||||||||||||||||||||||||||
7. | Asegúrese de que la autenticación anónima está habilitada para el directorio virtual. |
Tendrá que repetir esta tarea si ejecuta varios servidores IIS para publicar CRL y certificados de entidad emisora; por ejemplo, si dispone de puntos de publicación de PKI internos y externos en servidores independientes.
Configurar la entidad emisora de certificados para publicar CRL en un servidor Web
Las entidades emisoras de certificados emiten CRL con frecuencia (diariamente o incluso cada hora en el caso de diferencias entre listas CRL). Por lo tanto, es fundamental disponer de un método automático para publicar las CRL en el punto de distribución (CDP). Las entidades emisoras de certificados de empresa publican automáticamente CRL en el directorio pero no en CDP de HTTP en los servidores Web. Sin embargo, si dispone de conectividad entre la entidad emisora de certificados y el servidor Web de destino, puede configurar la entidad emisora para que publique automática y directamente en el servidor Web.
Nota: este método no resulta adecuado para la publicación directa en un servidor Web conectado a Internet ya que precisa conectividad directa y el uso compartido del archivo de bloque de mensajes del servidor (SMB) entre la entidad emisora de certificados y el servidor Web. Para publicar en un servidor de Internet, puede utilizar la técnica descrita en esta tarea para publicar en una ubicación intermedia y, a continuación, utilizar su medio estándar para publicar contenido de forma segura en el servidor Web. No olvide tener en cuenta que la latencia que agrega este paso adicional puede reducir la actualidad de las CRL.
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados
Detalles de la tarea
Nota: es posible que algunos comandos se muestren en varias líneas para facilitar su impresión, pero se deben introducir en una sola línea.
Para automatizar la publicación de CRL
1. | Inicie la sesión en la entidad emisora de certificados con una cuenta que sea miembro del grupo Administradores local. |
2. | Asegúrese de que se puede tener acceso a la carpeta del servidor Web (como un recurso compartido remoto o ruta de acceso local) desde este servidor. (Consulte Establecer permisos en el servidor Web para publicar CRL y certificados.) |
3. | Ejecute el siguiente comando en el símbolo del sistema y reemplace \\pki.contoso.com\WWWPKIpub por la ruta de acceso UNC (convención de nomenclatura universal) a la carpeta de publicación compartida del servidor Web. certutil.exe -setreg CA\CRLPublicationURLs "+65:file://\\pki.contoso.com\WWWPKIpub\%3%8%9.crl\n" |
Importante: si la entidad emisora de certificados no puede tener acceso al recurso compartido del servidor Web de destino, la CRL no se podrá publicar y se puede impedir que las CRL se publiquen en otros CDP (esta situación provoca que se registre un suceso en el registro de sucesos de Windows). Si no se puede garantizar la disponibilidad del servidor Web, puede considerar la posibilidad de utilizar una tarea programada para copiar las CRL de la carpeta de configuración de la entidad emisora de certificados (%systemroot%\system32\certenroll) al destino en vez de realizar esta tarea.
Habilitar la auditoría de la entidad emisora de certificados
Para obtener una descripción completa acerca de la auditoría de la entidad emisora de certificados, consulte la Guía de operaciones de PKI de Windows Server (en inglés) (sección Vínculos relacionados).
Requisitos de seguridad
Pertenencia al grupo Administradores de entidad emisora de certificados
Detalles de la tarea
Para habilitar la auditoría en la entidad emisora de certificados
1. | Habilite Auditar el acceso a objetos en la directiva de auditoría que se aplica a la entidad emisora de certificados. Normalmente se establece en los GPO de dominio para las entidades emisoras de certificados con conexión, pero se debe establecer en el GPO local para las entidades emisoras de certificados sin conexión. | ||||||||||||||
2. | En el complemento Entidad emisora de certificados de MMC, habilite la auditoría para las siguientes categorías.
|
También debe considerar la posibilidad de habilitar la auditoría del sistema de archivos y del Registro en las siguientes ubicaciones para que se registren los intentos no autorizados para modificar los datos o la información de configuración de la entidad emisora de certificados.
| • | La carpeta %systemroot%\system32\certsrv |
| • | Otras carpetas donde almacenan la base de datos y los registros de la entidad emisora de certificados (si no se encuentran en la unidad predeterminada) |
| • | La clave del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration |
Deshabilitar la comprobación de revocación en las entidades emisoras de certificados intermedias
Una entidad emisora de certificados debe poder comprobar el estado de revocación de su propio certificado así como el de los certificados que emite. Aunque éste es el comportamiento deseable para una entidad emisora de certificados, provoca problemas en una entidad emisora sin conexión. Debido a que está sin conexión, no puede acceder a ninguno de los CDP publicados para la entidad emisora de certificados raíz o a ninguno de sus propios CDP. Esto impide que la entidad emisora de certificados inicie y envíe certificados.
Una solución a este problema consiste en publicar CRL desde la entidad emisora de certificados raíz y desde sí misma al almacén de certificados local del equipo. Sin embargo, esto resulta confuso y, en la mayoría de los casos, no aporta una ventaja de seguridad apreciable (esta comprobación de revocación no tiene ninguna relación con la comprobación de revocación de los certificados que realizan los usuarios conectados).
El enfoque utilizado aquí consiste en impedir que la entidad emisora de certificados realice estas comprobaciones de revocación obligatorias. Para ello, se configura la entidad emisora de certificados para que omita la comprobación de revocación si los CDP no están conectados.
Nota: en Windows Server 2003 anterior a Service Pack (SP) 1, el procedimiento siguiente no deshabilita completamente la comprobación de revocación. Aunque el procedimiento provoca que la entidad emisora de certificados omita la comprobación de revocación de los certificados que emite, todavía realiza una comprobación en su propio certificado al iniciarse, por lo tanto, requiere acceso a la CRL desde su entidad emisora principal. También hay disponible una revisión anterior a SP1 para este defecto. Si no puede actualizar la entidad emisora de certificados, tendrá que seguir publicando las CRL de la entidad emisora de certificados raíz en el almacén de certificados de la entidad emisora intermedia.
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados intermedia
Detalles de la tarea
Para deshabilitar la comprobación de revocación en una entidad emisora de certificados intermedia
1. | Inicie la sesión en la entidad emisora de certificados. En el símbolo del sistema, ejecute el siguiente comando. Certutil.exe -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE |
2. | Reinicie la entidad emisora de certificados (el servicio Servicios de Certificate Server). |
3. | Repita este procedimiento para todas las entidades emisoras de certificados intermedias sin conexión. |
Puede anular este cambio mediante el siguiente comando.
Certutil.exe -setreg ca\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE
Administración del sistema
La administración del sistema incluye tareas relacionadas con el mantenimiento del sistema operativo de la entidad emisora de certificados.
Configurar las actualizaciones del sistema operativo
Al igual que la mayoría de los demás equipos, las entidades emisoras de certificados con conexión pueden sufrir ataques de software o personas malintencionadas que intenten aprovechar las vulnerabilidades del sistema. Para reducir el riesgo de tales amenazas, es importante disponer de un medio para implementar las actualizaciones de seguridad en los sistemas de forma puntual. La implementación de un sistema de administración de revisiones queda fuera del alcance de este documento. Para obtener más información acerca de las distintas formas de lograrlo, consulte Acelerador de soluciones de Microsoft para la administración de revisiones (en inglés) (sección Vínculos relacionados).
Las entidades emisoras de certificados sin conexión no tienen que estar tan actualizadas como los sistemas con conexión siempre que no se vayan a conectar a una red (lo que no debería suceder nunca). Sin embargo, como mínimo debe realizar el seguimiento de los Service Packs y las actualizaciones de versión del sistema operativo para que los servidores siempre se ejecuten en una configuración admitida. En este documento también se recomienda estar al día con actualizaciones de seguridad mediante su instalación de forma periódica.
Tabla 12: Resumen de actualizaciones de seguridad
| Tipo de entidad emisora de certificados | Versiones del sistema operativo | Service Packs | Actualizaciones funcionales (no de seguridad) | Actualizaciones de seguridad |
Entidad emisora de certificados con conexión | Actualizar del modo habitual | Actualizar del modo habitual | Sólo si la actualización es fundamental | Instalar actualizaciones de seguridad mediante la implementación automática de revisiones como Microsoft Systems Management Server (SMS) o Servicios de actualización de software de Microsoft (SUS). |
Entidad emisora de certificados sin conexión | Actualizar del modo habitual | Actualizar del modo habitual | Sólo si la actualización es fundamental | Instalar correcciones de seguridad combinadas cada tres meses. |
Importante: aunque Microsoft prueba exhaustivamente las actualizaciones de sistema operativo, siempre debe realizar pruebas antes de implementar las actualizaciones en sus sistemas. Debe utilizar un servidor SUS independiente o un grupo de destino SMS independiente para controlar las actualizaciones de seguridad en la entidad emisora de certificados. Es posible que no pueda probar las actualizaciones en las entidades emisoras de certificados con la misma programación que en los demás sistemas y puede que haya actualizaciones que no sean pertinentes para las entidades emisoras.
Configurar las opciones de disponibilidad y recuperación
Las tareas de esta sección tienen como objetivo garantizar que la PKI tiene una buena resistencia a los errores y que puede recuperar rápidamente los errores que puedan surgir.
Planear una PKI de alta disponibilidad
Los dos aspectos más importantes de la disponibilidad de PKI son:
| • | La disponibilidad de los servicios de inscripción |
| • | La disponibilidad de la información de revocación, normalmente como CRL |
La pérdida de los servicios de inscripción impide que envíe certificados a los usuarios. Esto afectará a los usuarios nuevos y a aquellos cuyos certificados existentes estén a punto de caducar. El comportamiento predeterminado para Windows Server 2003 es renovar automáticamente los certificados de inscripción automática seis semanas antes de que caduquen por lo que, en la práctica, sólo los usuarios nuevos se verán afectados gravemente. Debe determinar el tiempo máximo que su organización se puede permitir el estar sin servicios de inscripción y planear la disponibilidad del servicio y las medidas de recuperación en consecuencia.
La pérdida del acceso a la información de revocación de certificados es potencialmente más grave. Se producirán errores en las aplicaciones que comprueban el estado de revocación de los certificados si la información de revocación actual no está disponible. Esto puede afectar a todos los usuarios de la organización. Por lo tanto, es imprescindible que adopte medidas para garantizar que la información de revocación siempre está disponible. La secuencia de comandos de supervisión adjunta a este documento incluye comprobaciones específicas para CRL caducadas, a punto de caducar y no disponibles. En Tareas de soporte comunes también hay un procedimiento correctivo para ampliar la duración de las CRL. Para obtener más información acerca de los problemas de comprobación de revocación, consulte el documento Solucionar problemas de estado y revocación de certificados (en inglés) (sección Vínculos relacionados).
En el diseño de disponibilidad, debe prestar una atención especial a las siguientes áreas.
| • | Entidades emisoras de certificados redundantes Tener varias entidades emisoras de certificados que puedan emitir cada tipo de certificado permite seguir emitiendo y renovando certificados si se produce un error en una entidad emisora. En cada entidad emisora de certificados deben estar disponibles las mismas plantillas de certificados. Sin embargo, no se mejorará la disponibilidad de la información de revocación, por lo que puede tener un valor limitado. Tendrá que decidir si la mayor disponibilidad de los servicios de inscripción compensa la complicación adicional de duplicar entidades emisoras de certificados. |
| • | CRL redundantes La disponibilidad de la información de revocación se puede mejorar mediante el uso de varios puntos de distribución (DP) de CRL. Esto se puede realizar mediante servidores Web agrupados (equilibrio de la carga de IP) para los puntos de distribución de HTTP y mediante controladores de dominio de Active Directory (que tienen redundancia integrada) para alojar puntos de distribución de LDAP (Protocolo compacto de acceso a directorios). |
| • | Selección de hardware El uso de hardware de servidor resistente reducirá considerablemente la probabilidad de errores de componentes de hardware. Preste una atención especial a los componentes propensos a errores, como discos y fuentes de alimentación. Utilice únicamente una o dos especificaciones de hardware idénticas para todas las entidades emisoras de certificados con el fin de facilitar la recuperación. |
| • | Diseño de discos resistente Si coloca la base de datos de certificados y los registros de base de datos en volúmenes físicos independientes (es decir, conjuntos de discos independientes), dispondrá de mejores posibilidades para recuperar los datos de las entidades emisoras de certificados después de un error de disco muy grave. |
| • | Crear servidores de reserva en frío Para recuperarse de un error lo más rápidamente posible, puede crear un servidor de reserva. Se trata de un servidor con el sistema operativo precargado pero sin servicios de certificados instalados. Un sistema de ese tipo permite recuperar una copia de seguridad de estado del sistema rápidamente. Esto normalmente sólo es necesario para las entidades emisoras de certificados. El servidor debe duplicar la especificación de hardware de las entidades emisoras de certificados que se recuperarán (aunque las diferencias menores, como la cantidad de memoria, por lo general no son importantes). Si utiliza HSM, necesita un HSM duplicado como parte de la configuración de reserva. Debe instalar la misma versión del sistema operativo que la utilizada en las entidades emisoras de certificados. |
| • | Establecer procedimientos de recuperación Tiene que documentar los pasos manuales necesarios para recuperar una o varias entidades emisoras de certificados. El personal de soporte que llevará a cabo los procedimientos de recuperación tiene que estar formado en dichos procedimientos. También debe ensayar el procedimiento por completo para asegurarse de que funciona correctamente y de forma adecuada. |
| • | Contingencia de recuperación También debe asegurarse de que dispone de procedimientos de contingencia de recuperación que permitan que la PKI siga funcionando mientras se llevan a cabo los procedimientos de recuperación. Lo más importante es un medio para ampliar la duración de una CRL si la entidad emisora de certificados no se puede volver a conectar a tiempo para emitir una nueva. Puede ampliar la duración de una CRL mediante el procedimiento Volver a firmar una CRL o certificado para ampliar su validez (para ello, debe tener acceso a la clave privada de la entidad emisora de certificados). Es posible que también tenga que hacer una copia de seguridad de la entidad emisora de certificados para tomar posesión temporalmente de la emisión y la renovación de certificados de la entidad emisora de certificados con error. |
| • | Utilizar HSM Debe establecer procedimientos y controles especiales sobre el hardware HSM, el almacén de claves y las tarjetas de operador y de regeneración de claves. Debe incluir una auditoría periódica de los titulares de tarjeta para saber que puede obtener rápidamente las tarjetas correctas en caso de emergencia. |
Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados
El propósito de esta tarea es hacer una copia de seguridad de las claves privadas y los certificados de la entidad emisora de certificados, la base de datos de certificados y la información de configuración de Servicios de Certificate Server. La información de configuración de Servicios de Certificate Server incluye la configuración del sistema operativo y otra información de estado de la que depende la entidad emisora de certificados. La mejor forma de realizar una copia de estos elementos mediante una copia de seguridad de estado del sistema de Windows. Se admite en la utilidad Copia de seguridad de Windows suministrada con Windows Server 2003 y en varios sistemas de copia de seguridad comerciales. Debe consultar al proveedor de la solución de copia de seguridad si admite la copia de seguridad de estado del sistema de Windows o una funcionalidad equivalente.
Precaución: si no utiliza HSM para proteger las claves de la entidad emisora de certificados, los datos de la copia de seguridad de la entidad emisora son extremadamente confidenciales porque contienen el material de claves privadas de la propia entidad (también pueden contener claves privadas archivadas de los usuarios). Debe transportarlos y almacenarlos con el mismo cuidado y seguridad que la entidad emisora de certificados. En este caso, puede considerar la posibilidad de utilizar un sistema de copia de seguridad para las entidades emisoras de certificados.
Si el sistema corporativo de copia de seguridad no admite la copia de seguridad de estado del sistema de Windows, puede utilizar Copia de seguridad de Windows para guardar una copia de la entidad emisora de certificados en archivo y, a continuación, utilizar el sistema corporativo de copia de seguridad para guardar el archivo. Posteriormente, la restauración de la entidad emisora de certificados requiere que el archivo de copia de seguridad se restaure y que se utilice Copia de seguridad de Windows para restaurar la entidad emisora a partir del archivo de almacenamiento.
Debido a que por lo general no resulta práctico hacer una copia de seguridad completa de la entidad emisora de certificados varias veces al día, también se realiza una copia de seguridad diferencial cada hora. Copia los registros de base de datos, que han registrado todas las transacciones desde la copia de seguridad completa diaria.
Requisitos de seguridad
Administradores locales de la entidad emisora de certificados. Los trabajos de copia de seguridad se pueden ejecutar como sistema local en la entidad emisora, pero puede utilizar otra cuenta para ejecutar la copia de seguridad siempre que sea miembro del grupo Operadores de copia de la entidad emisora de certificados.
Detalles de la tarea
Esta tarea configura un trabajo programado para hacer una copia de seguridad por la noche del servidor de la entidad emisora de certificados.
Nota: si utiliza un HSM, este procedimiento no resultará adecuado para hacer una copia de seguridad de las claves que protege el HSM. Es posible que tenga realizar copia de seguridad de parte del material de claves protegido de la entidad emisora de certificados. Pero también tendrá que asegurarse de que estén disponibles un HSM idéntico y las claves de acceso del HSM necesarias en caso de que tenga que restaurar una entidad emisora de certificados. Siga las instrucciones del proveedor del HSM para hacer una copia de seguridad o proteger el material de claves y las claves de acceso.
Para configurar una copia de seguridad completa diaria de la entidad emisora de certificados
| • | Programe el trabajo de copia de seguridad para que se ejecute cada medianoche. Puede que tenga que cambiar esta hora según la distribución geográfica de su organización. Aunque la entidad emisora de certificados no tiene que estar completamente inactiva durante la copia de seguridad, debe intentar seleccionar un período de poco uso de modo que la copia de seguridad no compita por obtener recursos con las tareas de producción normales. |
Para estimar el período de tiempo que durará, ejecute una copia de seguridad de estado del sistema (con la comprobación activada) en un servidor antes de que empiece a emitir cantidades importantes de certificados. Ejecute la copia de seguridad con el servicio Servicios de Certificate Server cerrado (de este modo se impide que los registros de la entidad emisora de certificados se trunquen debido a esta copia de seguridad de prueba). Se hará una copia de seguridad de aproximadamente 500 megabytes (MB) de datos de estado del sistema. Cronometre esta operación y calcule el tiempo aproximado para una base de datos de entidad emisora de certificados además de una copia de seguridad de estado del sistema del siguiente modo:
TiempoTotal = TiempoEstadoSistema x (500 + ((NúmeroUsuarios + NúmeroEquipos) x NúmeroCertificados x 20KB)) ÷ 500
En esta fórmula se supone el peor de los escenarios, con cinco certificados por usuario y equipo, por año, y muestra el almacenamiento total al cabo de cinco años. Si se asignan 20 kilobytes (KB) por certificado, se obtiene un MB de almacenamiento por usuario cada cinco años. Mediante la fórmula, si el tiempo para hacer una copia de seguridad del estado del sistema únicamente es de cinco minutos, necesitará 105 minutos para una entidad emisora de certificados con 10.000 usuarios (para hacer la copia de seguridad de la base de datos de 10 gigabytes [GB] con 500.000 certificados).
Sólo es una guía aproximada. El tiempo varía según el número de usuarios y equipos, así como el número de certificados emitidos a cada usuario y equipo.
Guarde la copia de seguridad de forma segura. Almacene los datos de la copia de seguridad en un sitio físico distinto al de la entidad emisora de certificados. De este modo podrá recuperar la entidad emisora si se destruyen todos los equipos informáticos del sitio o no se puede tener acceso a ellos.
Una copia de seguridad diferencial guarda toda la información desde que se realizó la última copia completa. La copia de seguridad diferencial emplea la utilidad certutil.exe para copiar los archivos de registro de la base de datos de Servicios de Certificate Server en una carpeta cada hora.
Para configurar una copia de seguridad diferencial cada hora de la entidad emisora de certificados
1. | Cree un directorio donde se almacenarán los archivos temporales de la copia de seguridad diferencial: C:\CABackup. Proteja el directorio; para ello, ejecute el siguiente comando. cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C |
2. | Ejecute la siguiente serie de comandos para programar una copia de seguridad diferencial cada hora (sólo se muestran los cuatro primeros; tendrá que ejecutar este comando para cada hora del día en que quiera ejecutar una copia de seguridad diferencial). Si el día laborable de su organización es de sólo 10 horas, no tiene sentido programar copias de seguridad diferenciales para las otras 14 horas del día. Debe ajustar la programación de copias de seguridad para se ajuste a sus horas de funcionamiento. SCHTASKS /Create /RU system /SC daily /ST 01:00 /TN "CA Differential Backup" /TR "certutil -backupdb c:\CABackup incremental keeplog" SCHTASKS /Create /RU system /SC daily /ST 02:00 /TN "CA Differential Backup" /TR "certutil -backupdb c:\CABackup incremental keeplog" SCHTASKS /Create /RU system /SC daily /ST 03:00 /TN "CA Differential Backup" /TR "certutil -backupdb c:\CABackup incremental keeplog" SCHTASKS /Create /RU system /SC daily /ST 04:00 /TN "CA Differential Backup" /TR "certutil -backupdb c:\CABackup incremental keeplog" |
3. | Programe su solución de copia de seguridad corporativa para que haga una copia de seguridad del contenido de C:\CABackup. Debe ajustar esta frecuencia para que coincida con la copia de seguridad diferencial. |
Nota: evite la programación de una copia de seguridad diferencial demasiado próxima a una completa. Utilice los cálculos del procedimiento anterior para calcular la duración de la copia de seguridad completa y supervísela a medida que crece la base de datos de la entidad emisora de certificados para asegurarse de que no se superpone con un trabajo de copia de seguridad diferencial.
Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados sin conexión
El propósito de esta tarea es preparar las claves privadas y los certificados de la entidad emisora de certificados, la base de datos de certificados y la información de configuración de Servicios de Certificate Server para una copia de seguridad. La información de configuración de Servicios de Certificate Server incluye la configuración del sistema operativo y otra información de estado de la que depende la entidad emisora de certificados. A diferencia de las entidades emisoras de certificados, el procedimiento de copia de seguridad de las entidades emisoras sin conexión se realiza manualmente. Para obtener más información, consulte Realizar copias de seguridad de una entidad emisora de certificados sin conexión.
Requisitos de seguridad
Pertenencia al grupo Administradores local en la entidad emisora de certificados
Detalles de la tarea
La entidad emisora de certificados raíz normalmente sólo emite unos pocos certificados, por lo que su base de datos nunca será grande. Asimismo, los datos cambian con muy poca frecuencia, sólo una vez cada varios meses o incluso años. Lo mismo sucede con otras entidades emisoras de certificados sin conexión, como las intermedias sin conexión.
Debido a que estas entidades emisoras de certificados no están conectadas, se necesita un dispositivo de copia de seguridad local (como una unidad de cinta o una unidad de CD o DVD grabable) donde se almacenará el archivo de copia de seguridad. Si utiliza Copia de seguridad de Windows u otro sistema que pueda realizar una copia de seguridad del estado del sistema, puede utilizarlo para hacer la copia directamente en un medio extraíble. Si el sistema de copia de seguridad elegido no realiza una copia de seguridad de estado del sistema de Windows, debe utilizar Copia de seguridad de Windows para copiar la entidad emisora de certificados y el sistema operativo en un archivo y, a continuación, copiarlo en un medio extraíble.
Precaución: si utiliza un HSM, este procedimiento puede hacer una copia de seguridad del material de claves cifradas (según el modo de funcionamiento del HSM), pero las claves copiadas no se podrán utilizar en un equipo restaurado sin un HSM y claves de acceso al HSM idénticos. Siga las instrucciones del proveedor del HSM para proteger el material de claves y las claves de acceso.
Configurar la supervisión y las alertas
La supervisión de servicios permite al personal de operaciones supervisar el estado de un servicio de TI en tiempo real.
En esta sección se describe cómo configurar un conjunto de herramientas de supervisión del sistema para ofrecer el tipo correcto de alertas e información de estado acerca de la PKI. En este documento se supone que utiliza una herramienta de supervisión del sistema como Microsoft Operations Manager (MOM) que pueda generar alertas a partir de las entradas del registro de sucesos. Para obtener más información acerca de la implementación de MOM, consulte la Guía de implementación del SP1 de Microsoft Operations Manager 2000 (en inglés) en la sección Vínculos relacionados.
Clasificar las alertas de supervisión
El sistema de supervisión sólo debe enviar alertas al personal de operaciones para los sucesos más importantes. Si todos los errores menores producen alertas de incidentes, el personal de operaciones puede no llegar a discernir lo que es urgente.
Detalles de la tarea
Las categorías de alerta de la tabla 13 son un ejemplo de niveles de clasificación de alertas comunes y son los valores predeterminados que utiliza MOM. Las categorías de alerta se enumeran en orden descendente de importancia. De ellas, sólo las tres primeras (Servicio no disponible, Infracción de seguridad y Error crítico) deben producir alertas en la consola del operador para su intervención inmediata. Los errores y las advertencias no se consideran urgentes y se deben dirigir al personal de soporte operativo de la PKI para su resolución.
Tabla 13: Categorías de alerta
| Categoría de alerta | Descripción |
Servicio no disponible | Cuando no se puede tener acceso en absoluto a una aplicación o componente. |
Infracción de seguridad | Cuando se está atacando a la aplicación o está en peligro. |
Error crítico | Cuando se ha producido un error crítico en la aplicación que requiere una acción administrativa rápida (pero no necesariamente inmediata). La aplicación o el componente está funcionando a un nivel inferior de rendimiento pero todavía puede seguir realizando la mayoría de las operaciones fundamentales. |
Error | Cuando se produce un problema temporal en la aplicación que no precisa ninguna acción o resolución inmediata ni posiblemente administrativa. La aplicación o el componente está funcionando a un nivel aceptable de rendimiento y todavía puede seguir realizando todas las operaciones fundamentales. |
Advertencia | Cuando la aplicación genera un mensaje de advertencia que no precisa ninguna acción o resolución inmediata ni posiblemente administrativa. La aplicación o el componente está funcionando a un nivel aceptable de rendimiento pero todavía puede seguir realizando todas las operaciones fundamentales. No obstante, esta situación se puede convertir en Error, Error crítico o Servicio no disponible si el problema continúa. |
Información | Cuando la aplicación genera un suceso de información. La aplicación o el componente está funcionando a un nivel aceptable de rendimiento y está realizando todas las operaciones fundamentales y no fundamentales. |
Correcto | Cuando la aplicación genera un suceso Correcto. La aplicación o el componente está funcionando a un nivel aceptable de rendimiento y está realizando todas las operaciones fundamentales y no fundamentales. |
Supervisar la disponibilidad del servicio
A excepción de la inscripción de certificados, las entidades emisoras de certificados no proporcionan servicios en línea o en tiempo real directamente a los usuarios. Compare esta situación con aplicaciones como Active Directory o Microsoft SQL Server, que tienen que estar continuamente conectadas para proporcionar un servicio útil. No obstante, se tiene que supervisar la disponibilidad de algunos aspectos de un servicio de PKI para que las aplicaciones de PKI funcionen correctamente.
| • | La información de revocación debe estar disponible. Una CRL actualizada debe estar disponible para cualquier usuario de certificado que desee comprobar el estado de revocación de un certificado. Por otra parte, puede implementar OCSP con el apoyo de un asociado de Microsoft. La información de revocación debe estar disponible para las entidades emisoras y las intermedias. |
| • | Todas las entidades emisoras de certificados deben disponer de un certificado válido actualmente. Un certificado de entidad emisora no válido impide la validación de los certificados emitidos por ella o sus secundarias. También impide que se emitan nuevos certificados. |
| • | El servicio de inscripción de certificados debe estar disponible: ningún usuario puede inscribir o renovar un certificado si el servicio de la entidad emisora de certificados no está disponible. |
| • | Una entidad emisora de certificados debe tener un certificado de agente de recuperación de claves (KRA) válido para archivar claves privadas (donde el archivo de claves se especifique en la plantilla de certificado). |
Para la mayoría de las aplicaciones, los dos primeros elementos son más esenciales que los dos últimos.
Requisitos de seguridad
Administrador de MOM (o sistema de supervisión)
Detalles de la tarea
Los incidentes de la tabla 14 son los más importantes para Servicios de Certificate Server. En esta tabla se describe el significado de cada tipo de incidente y la gravedad de alerta (para la consola administrativa) que debe asignar a dicho suceso. En la tabla 15 se enumeran los métodos para detectar estos incidentes; la mayoría se detectan mediante la secuencia de comandos adjunta a este documento.
La columna Gravedad se relaciona con las categorías de alerta definidas anteriormente en el procedimiento "Clasificar las alertas de supervisión".
Tabla 14: Evaluar la gravedad de los incidentes de Servicios de Certificate Server
| Estado de Servicios de Certificate Server | Significado | Gravedad | ||||
Error del servidor de la entidad emisora de certificados | El servidor de la entidad emisora de certificados no aparece en la red; no hay disponible ningún servicio de inscripción o publicación de CRL. | Crítica o Servicio no disponible | ||||
Estado crítico del sistema operativo de la entidad emisora de certificados | Problema importante subyacente en el hardware del servidor o en Windows. | Crítica | ||||
Estado de error/advertencia del sistema operativo de la entidad emisora de certificados | Problemas subyacentes en el hardware del servidor o en Windows que no son críticos. | Error o advertencia | ||||
Servicios de Certificate Server sin conexión
| La interfaz de llamada a procedimiento remoto (RPC) de Servicios de Certificate Server está sin conexión; los certificados no se pueden emitir. | Crítica | ||||
El certificado de entidad emisora de certificados está caducado
| El certificado de la entidad emisora de certificados ha caducado y está provocando la pérdida de servicio para todas las aplicaciones de PKI. | Servicio no disponible | ||||
Al certificado de entidad emisora de certificados le queda menos de un mes de validez | El certificado de entidad emisora de certificados caducará pronto, por lo que se producirá la pérdida de servicio si no se corrige. Actualmente sólo se emiten certificados con una duración muy breve. | Error | ||||
La validez del certificado de entidad emisora de certificados es inferior a la mitad de su duración | Un certificado de entidad emisora de certificados se debe renovar cuando alcanza la mitad de su período de validez. Esto puede significar que se están emitiendo certificados con una duración inferior a la prevista. | Advertencia | ||||
El certificado de entidad emisora de certificados se ha revocado | El certificado de entidad emisora de certificados se ha revocado y está provocando la pérdida de servicio para todas las aplicaciones de PKI. | Servicio no disponible | ||||
CRL caducada | Una CRL publicada ha pasado su fecha "Válido hasta" y no se puede utilizar; es posible que esto provoque una pérdida de servicio para las aplicaciones de PKI que realicen comprobación de revocación. No obstante, en CDP alternativos puede haber disponibles CRL válidas. | Servicio no disponible | ||||
CRL vencida | La CRL aún es válida pero una nueva está vencida y se debe haber publicado. | Crítica | ||||
CRL no disponible
| Una CRL no está disponible en un punto de distribución de CRL. Esto puede estar provocando la pérdida de servicio para una o varias aplicaciones de PKI que efectúan comprobación de revocación. No obstante, en CDP alternativos puede haber disponibles CRL válidas. | Servicio no disponible | ||||
El certificado KRA está caducado | Un certificado KRA de la entidad emisora de certificados ha caducado; esto puede impedir que la entidad emita certificados que requieran el archivo de claves y provoque una pérdida de servicio. | Crítica | ||||
Al certificado KRA le queda menos de un mes de validez | Un certificado KRA caducará pronto, por lo que se producirá una posible pérdida de servicio si no se corrige. | Advertencia | ||||
El certificado KRA se ha revocado | Un certificado KRA se ha revocado; esto puede impedir que la entidad emisora de certificados emita certificados que requieran el archivo de claves y provoque una pérdida de servicio. | Crítica | ||||
El certificado KRA no es de confianza | No se puede construir una cadena desde un certificado KRA hasta un certificado raíz de confianza. | Crítica | ||||
Error en la copia de seguridad de la entidad emisora de certificados | Error en la copia de seguridad de estado del sistema de la entidad emisora de certificados; posible pérdida de información. | Crítica o error |
Puede utilizar la secuencia de comandos CAmonitor.vbs para comprobar estas condiciones. Puede obtener la secuencia de comandos de TechNet Script Center (consulte la sección Vínculos relacionados).
La secuencia de comandos escribirá los elementos de suceso en el registro de aplicación de Windows cuando se produzca un error detectado. A continuación, los agentes de MOM u otra solución de supervisión pueden obtener estos sucesos. Tendrá que configurar reglas de filtro para buscar el origen del suceso y los identificadores de suceso que producen las secuencias de comandos tal como se enumeran en la tabla 15. La secuencia de comandos puede enviar mensajes de correo electrónico como respuesta a las condiciones de alerta así como, o en vez de, crear entradas de registro de sucesos.
La secuencia de comandos sólo funcionará en entidades emisoras de certificados con conexión; no es necesario ejecutarla ni aprovechar su ejecución en entidades emisoras sin conexión. Sin embargo, la secuencia de comandos comprueba automáticamente el certificado de entidad emisora de certificados y el estado de CRL de las entidades emisoras principales (y sus principales hasta la entidad emisora raíz). La secuencia de comandos se debe ejecutar en la propia entidad emisora de certificados. No está diseñada para realizar comprobaciones de forma remota.
Importante: la secuencia de comandos requiere CAPICOM 2.0 o posterior instalado en el servidor.
Si se utiliza MOM (u otro sistema de supervisión basado en agentes), la secuencia de comandos la debe ejecutar el agente cliente de MOM. Donde no haya ningún agente de administración que pueda realizar esta operación, utilice Programador de tareas de Windows para ejecutar estas comprobaciones cada hora como mínimo; las alertas se pueden enviar por correo electrónico o puede utilizar una herramienta de supervisión del registro de sucesos.
En la tabla 15 se enumeran los incidentes de la tabla 14, pero esta vez se muestra el suceso de Windows u otro indicador que puede utilizar para detectar cada tipo de incidente. Los identificadores de suceso que genera la secuencia de comandos de supervisión CAMonitor.vbs se muestran en la tabla junto con cada uno de los problemas que detecta la secuencia de comandos.
Tabla 15: Secuencias de comandos de supervisión de Servicios de Certificate Server
| Suceso | Secuencia de comandos o método de detección de sucesos | Origen del suceso | Identificador de suceso |
Error del servidor de la entidad emisora de certificados | Detección nativa de errores del servidor MOM |
|
|
Estado crítico del sistema operativo de la entidad emisora de certificados | Supervisión nativa de estado del servidor MOM |
|
|
Estado de error/advertencia del sistema operativo de la entidad emisora de certificados | Supervisión nativa de estado del servidor MOM |
|
|
Interfaz RPC de cliente del servicio Servicios de Certificate Server sin conexión | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 1 |
Interfaz RPC de administración del servicio Servicios de Certificate Server sin conexión | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 2 |
El certificado de entidad emisora de certificados está caducado: el certificado de esta entidad emisora o de una principal ha caducado | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 10 |
Al certificado de entidad emisora de certificados le queda menos de un mes de validez | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 11 |
La validez del certificado de entidad emisora de certificados es inferior a la mitad de su duración | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 12 |
El certificado de entidad emisora de certificados se ha revocado | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 13 |
CRL caducada | CAMonitor.vbs (sin diferencias entre listas CRL) | Operaciones de la entidad emisora de certificados | 20 |
CRL vencida | CAMonitor.vbs (sin diferencias entre listas CRL) | Operaciones de la entidad emisora de certificados | 21 |
CRL no disponible: la CRL no se puede recuperar de Active Directory | CAMonitor.vbs (sin diferencias entre listas CRL) | Operaciones de la entidad emisora de certificados | 22 |
CRL no disponible: la CRL no se puede recuperar del servidor Web |
| Operaciones de la entidad emisora de certificados | 23 |
El certificado KRA está caducado | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 30 |
Al certificado KRA le queda menos de un mes de validez | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 31 |
El certificado KRA se ha revocado | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 32 |
El certificado KRA no es de confianza | CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 33 |
Error en la copia de seguridad de la entidad emisora de certificados | El código de error de NTBackup.exe se muestra aquí. Utilice las capacidades de MOM o de otro sistema de supervisión para advertir de los problemas de copia de seguridad (tenga en cuenta que tendrá que comprobar la copia de seguridad de estado del sistema y la corporativa). | Ntbackup | 8019 |
Otro suceso | Error de ejecución de CAMonitor.vbs | Operaciones de la entidad emisora de certificados | 100 |
La sintaxis de CAMonitor.vbs es la siguiente:
cscript CAMonitor.vbs {/CAAlive | /CACertOK | /CACRLOK | /KRAOK} [/smtp /smtpserver:MyServer.Dom _
/smtpto:"recip1@co.dom, recip2@co.dom"] [/noeventlog]
El primer parámetro es el tipo de comprobación o comprobaciones que se ejecutarán (como mínimo se requiere una y se pueden utilizar varias simultáneamente). El segundo parámetro especifica que se van a emitir alertas de correo electrónico SMTP. Si se utiliza, se deben especificar los parámetros SMTPServer y SMTPTo. El primero define el nombre de host o la dirección IP del servidor de correo y el último es una lista de destinatarios separados por comas que recibirán el mensaje de correo electrónico. El parámetro final deshabilita la escritura de alertas en el registro de sucesos de Windows.
La secuencia de comandos está diseñada para ser ilustrativa. Es recomendable que la modifique y mejore para que se adapte mejor a sus necesidades. En su forma actual, tiene varias limitaciones.
| • | Sólo comprueba CRL completas. No comprueba las diferencias entre listas CRL. |
| • | Sólo comprueba puntos de distribución de HTTP y LDAP. No comprueba direcciones URL de tipo FILE o protocolo de transferencia de archivos (FTP). |
| • | Se generan alertas de certificados KRA, aunque una entidad emisora de certificados pueda disponer de suficientes certificados KRA válidos para continuar su funcionamiento. Por ejemplo, si la entidad emisora de certificados tiene dos certificados KRA, uno de los cuales está revocado pero sólo necesita un certificado KRA para cifrar las claves archivadas, la secuencia de comandos alertará del certificado revocado aunque no provoque un error en el servicio. |
Configurar la supervisión de la seguridad de la entidad emisora de certificados
Servicios de Certificate Server genera varias entradas de registro (auditoría) de sucesos de seguridad como respuesta a distintos sucesos de seguridad. La mayoría de estas entradas son el resultado de tareas operativas cotidianas. Sin embargo, algunos sucesos indican cambios importantes en la configuración y puede ser necesario investigarlos con más detenimiento. La siguiente tarea operativa, Revisar los registros de auditoría en busca de incidentes de seguridad, utiliza el trabajo preparatorio de este procedimiento y resalta algunos de los sucesos de seguridad más importantes que se deben vigilar.
Requisitos de seguridad
Pertenencia a Auditores de entidad emisora de certificados (para revisar el registro de seguridad)
Cuenta de supervisión de seguridad designada para supervisar mediante MOM (o similar)
Detalles de la tarea
En la tabla 16 se enumeran los sucesos de auditoría que genera Servicios de Certificate Server junto con una clasificación de alerta recomendada (según las categorías definidas en el procedimiento Clasificar las alertas de supervisión). Configure el sistema de configuración para buscar estos sucesos y generar el nivel de alerta adecuado. Por otro lado, si no dispone de un sistema de supervisión de sucesos centralizado, revise los registros de seguridad del servidor de la entidad emisora de certificados periódicamente (lo ideal sería hacerlo cada día) para buscar estos elementos.
La categoría de alerta predeterminada para los sucesos de auditoría Correcto es Información. Cualquier suceso Correcto que se produce como resultado de posibles cambios en la configuración de la seguridad de la entidad emisora de certificados se trata como Advertencia. Todos los sucesos de nivel Advertencia indican sucesos importantes que normalmente no se prevé que se produzcan en las operaciones cotidianas. Todos los sucesos Advertencia deben corresponder a una solicitud de cambio aprobada. Si no existe dicha correspondencia, trate el suceso como una posible infracción de seguridad e investíguelo inmediatamente.
Los eventos de auditoría de errores normalmente no están previstos durante las operaciones cotidianas o durante los cambios estándar en la entidad emisora de certificados. Casi todos ellos son importantes y requieren investigación (aunque esto puede indicar únicamente una asignación de permisos incorrecta en vez de un ataque malintencionado).
Nota: hay pocas excepciones a esta situación, como el suceso 792, "Servicios de Certificate Server ha denegado una petición de certificado". Se generan sucesos de correcto y de error para una petición, que ha denegado legítimamente un administrador de certificados, pero únicamente un suceso de error cuando la denegación de petición la intenta otro usuario sin el permiso suficiente.
Otro conjunto de excepciones a la lista de la tabla 16 se relaciona con las distintas formas en que puede realizar cambios de configuración en la entidad emisora de certificados. Los sucesos 789 ("Cambio del filtro de auditoría") y 795 y 796 ("Cambio de configuración o propiedad de la entidad emisora de certificados") sólo se registrarán si los cambios se realizan mediante el complemento Entidad emisora de certificados de MMC. No se registrarán si algún usuario intenta editar el Registro de la entidad emisora de certificados directamente (o utiliza el comando certutil -setreg) para cambiar los valores de configuración de la entidad emisora.
Si se ha habilitado la auditoría del Registro (como se recomendó en la tarea Habilitar la auditoría de la entidad emisora de certificados), estos cambios se registrarán como simples entradas de auditoría Suceso 560 Acceso de objetos (consulte la última entrada de la tabla 16). La auditoría se debe habilitar para las subclaves de configuración del Registro de la entidad emisora de certificados y registra los cambios correctos y todos los accesos con error. Para realizar un seguimiento de los cambios en las claves del Registro de la entidad emisora de certificados, utilice el parámetro Nombre del objeto del suceso de auditoría junto con el identificador y el tipo de suceso para crear un filtro que genere las alertas correctas.
Además de auditar los sucesos de Servicios de Certificate Server, también debe supervisar y generar alertas de los sucesos de seguridad estándar del sistema operativo, como los sucesos de inicio de sesión, el uso de privilegios y los accesos de objetos. El Registro y la base de datos de la entidad emisora de certificados, así como los directorios de registro, se deben configurar para generar sucesos de auditoría de seguridad para todos los accesos con error y los cambios correctos. Asimismo, considere la posibilidad de establecer la auditoría en el contenedor Servicios de claves públicas (en Configuración\Servicios) y en los grupos de administración de la PKI, aunque se debe tener en cuenta que los sucesos de auditoría generados de un objeto de directorio se registrarán en el registro de sucesos de seguridad del controlador de dominio donde se efectúe el acceso. Es una tarea compleja establecer la correspondencia de estos tipos de sucesos en los controladores de dominio. Si dispone de un medio (como MOM) para consolidar y filtrar estos registros, habilite la auditoría en todos los contenedores y objetos de configuración de PKI de Active Directory, así como en los grupos de administración de PKI.
Nota: la supervisión de la seguridad del sistema operativo Windows en el que se ejecuta la entidad emisora de certificados queda fuera del alcance de este documento y puede incluir el tratamiento de sucesos de seguridad desde agentes especializados en la detección de intrusos. Si alguno de estos orígenes indica una infracción de seguridad, investigue exhaustivamente los sucesos de auditoría de la entidad emisora de certificados junto con la salida de dichos orígenes.
Las categorías de alerta correcta y con error enumeradas en la tabla 16 se relacionan con las categorías de alerta definidas en el procedimiento "Clasificar las alertas de supervisión". Todas las alertas de categoría "Error" y "Advertencia" se deben investigar en un día para garantizar que todas tienen una causa legítima. Los sucesos "Información" no requieren investigación y se conservan como un seguimiento de auditoría de las operaciones de PKI normales. Un reducido número de sucesos de seguridad son especialmente importantes. Éstos se resaltan en el procedimiento de operaciones Revisar los registros de auditoría en busca de incidentes de seguridad.
Tabla 16: Sucesos de auditoría de Servicios de Certificate Server
| Identificador de suceso | Descripción del suceso | Categoría de alerta Correcto | Categoría de alerta Error |
772 | El administrador de certificados ha denegado una petición de certificado pendiente. | Advertencia | Error |
773 | Servicios de Certificate Server ha recibido una petición de certificado que se ha vuelto a enviar. | Advertencia | Error |
774 | Servicios de Certificate Server ha revocado un certificado. | Información | Error |
775 | Servicios de Certificate Server ha recibido una petición para publicar la CRL. | Información | Advertencia |
776 | Servicios de Certificate Server ha publicado la CRL. | Información | Error |
777 | Una extensión de petición de certificado ha cambiado. | Información | Error |
778 | Uno o varios atributos de petición de certificado han cambiado. | Información | Error |
779 | Servicios de Certificate Server ha recibido una petición para cerrarse. | Advertencia | Error |
780 | Se ha iniciado la copia de seguridad de Servicios de Certificate Server. | Información | – |
781 | Ha terminado la copia de seguridad de Servicios de Certificate Server. | Información | – |
782 | Se ha iniciado la restauración de Servicios de Certificate Server. | Advertencia | – |
783 | Ha terminado la restauración de Servicios de Certificate Server. | Advertencia | – |
784 | Se ha iniciado Servicios de Certificate Server. | Información | – |
785 | Se ha detenido Servicios de Certificate Server. | Advertencia | – |
786 | Los permisos de seguridad para Servicios de Certificate Server han cambiado. | Advertencia | Error |
787 | Servicios de Certificate Server ha recuperado una clave archivada. | Información | Error |
788 | Servicios de Certificate Server ha importado un certificado en su base de datos. | Información | Advertencia |
789 | El filtro de auditoría para Servicios de Certificate Server ha cambiado. | Advertencia | Error |
790 | Servicios de Certificate Server ha recibido una petición de certificado. | Información | Error |
791 | Servicios de Certificate Server ha aprobado una petición de certificado y ha emitido un certificado. | Información | Error |
792 | Servicios de Certificate Server ha denegado una petición de certificado. | Advertencia |
|
793 | Servicios de Certificate Server ha establecido el estado de una petición de certificado en pendiente. | Información |
|
794 | La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado. | Advertencia |
|
795 | Una entrada de configuración ha cambiado en Servicios de Certificate Server (consulte los subtipos). | Advertencia | Error |
| Nodo: Entrada: CRLPeriod, CRLPeriodUnits, CRLDeltaPeriod o CRLDeltaPeriodUnits Describir el cambio en la programación de publicación de CRL. Un valor de 0 para CRLDeltaPeriodUnits significa que se ha deshabilitado la publicación de diferencias entre listas CRL. |
|
|
| Nodo: PolicyModules\CertificateAuthority_MicrosoftDefault.Policy Entrada: RequestDisposition Valor: 1 Configurar la entidad emisora de certificados para que emita las peticiones entrantes a menos que se especifique lo contrario. |
|
|
| Nodo: PolicyModules\CertificateAuthority_MicrosoftDefault.Policy Entrada: RequestDisposition Valor: 257 Configurar la entidad emisora de certificados para que mantenga las peticiones entrantes como pendientes. |
|
|
| Nodo: ExitModules\CertificateAuthority_MicrosoftDefault.Exit Entrada: PublishCertFlags Valor: 1 Permitir que los certificados se publiquen en el sistema de archivos. |
|
|
| Nodo: ExitModules\CertificateAuthority_MicrosoftDefault.Exit Entrada: PublishCertFlags Valor: 0 Prohibir que los certificados se publiquen en el sistema de archivos. |
|
|
| Nodo: ExitModules Entrada: Active Cambio en el módulo de salida activo. El valor especifica el nombre del nuevo módulo. Si está en blanco, significa que no hay ninguno. |
|
|
| Nodo: PolicyModules Entrada: Active Cambio en el módulo de directiva activo. El valor especifica el nombre del nuevo módulo. |
|
|
| Nodo: Entrada: CRLPublicationURLs Cambio en CDP o AIA. El valor especifica el conjunto resultante de CDP. |
|
|
| Nodo: Entrada: CACertPublicationURLs Cambio en AIA o CDP. El valor especifica el conjunto resultante de AIA. |
|
|
796 | Una propiedad de Servicios de Certificate Server ha cambiado (consulte los subtipos). | Advertencia | Error |
| Propiedad:29 Tipo: 4 Agregar o quitar una plantilla de la entidad emisora de certificados. El valor es la lista de las plantillas resultantes por nombre y OID. |
|
|
| Propiedad:26 Tipo: 3 Agregar certificado KRA a la entidad emisora de certificados. El valor es la representación en Base64 del certificado. |
|
|
| Propiedad:25 Tipo: 1 Quitar certificado KRA de la entidad emisora de certificados. El valor es el número total de certificados KRA. |
|
|
| Propiedad:24 Tipo: 1 Agregar o quitar el número de certificados KRA que se utilizarán para archivo de claves. El valor es el número resultante de certificados que se utilizarán. |
|
|
797 | Servicios de Certificate Server ha archivado una clave. | Información | – |
798 | Servicios de Certificate Server ha importado y archivado una clave. | Información | – |
799 | Servicios de Certificate Server ha publicado el certificado de entidad emisora de certificados en Active Directory. | Información |
|
800 | Una o varias filas se han eliminado de la base de datos de certificados. | Advertencia | Error |
801 | Separación de funciones habilitada. | Advertencia | Error |
560 | Acceso de objetos Donde: Tipo de objeto: Clave Nombre de objeto: \REGISTRY\MACHINE\SYSTEM\ ControlSet001\Services\CertSvc\Configuration Information |
| Error |
Calcular las posibles restricciones de capacidad de la entidad emisora de certificados
La detección de las posibles restricciones de capacidad es fundamental para mantener el servicio en un nivel óptimo. A medida que los subsistemas se aproximan a los límites de sus capacidades operativas, el rendimiento se deteriora considerablemente (normalmente de forma no lineal). Por lo tanto, es importante supervisar las tendencias de capacidad e identificar y tratar las tendencias de restricciones futuras por anticipado.
Requisitos de seguridad
El permiso necesario lo indicará la solución de supervisión de rendimiento que se utilice.
Detalles de la tarea
Los siguientes contadores de rendimiento son los más útiles para identificar las restricciones de capacidad en Servicios de Certificate Server. Los recursos Procesador y Disco son los dos que Servicios de Certificate Server utiliza con más frecuencia y, por lo tanto, probablemente indicarán las restricciones en una fase más temprana que Red o Memoria.
Tabla 17: Contadores clave de supervisión de capacidad para Servicios de Certificate Server
| Objeto de rendimiento | Contador de rendimiento | Instancia |
Procesador | % de tiempo de procesador | _Total |
Disco físico | % tiempo de disco | _Total |
Disco físico | Longitud promedio de longitud de cola de lectura de disco | _Total |
Disco físico | Longitud promedio de longitud de cola de escritura de disco | C: (sistema) D: (registros de la entidad emisora de certificados) E: (base de datos de la entidad emisora de certificados) |
Interfaz de red | Total de bytes/s | Adaptador de NW |
Memoria | % de bytes asignados en uso | ––– |
Para obtener información más general acerca de las restricciones de capacidad y los contadores de rendimiento relacionados, consulte la sección Vínculos relacionados.
También es importante supervisar los indicadores de capacidad en cualquier infraestructura de soporte. Los elementos clave son:
| • | Comunicaciones de Servicios de Certificate Server con Active Directory (las entidades emisoras de certificado de empresa utilizan Active Directory para los servicios de autenticación y autorización, para leer y almacenar información de configuración de entidades emisoras y PKI, y, para determinados tipos de certificado, publicar los certificados emitidos en el directorio). |
| • | Comunicaciones relacionadas con los certificados de cliente con Active Directory (los clientes leen la información de la entidad emisora de certificados y de la PKI de Active Directory; esto incluye la descarga de CRL, que puede ocupar varios MB, por cliente, por semana). |
| • | Comunicaciones relacionadas con los certificados de cliente con los servidores Web (los clientes recuperan las CRL y los certificados de entidad emisora del servidor Web, aunque es poco probable que produzca la suficiente carga como para provocar restricciones de capacidad a menos que el servidor ya esté sobrecargado). |
Configurar las alertas del protocolo simple de transferencia de correo (SMTP) para las solicitudes de certificado pendientes
Si tiene algunos tipos de certificado configurados para solicitar la aprobación del administrador de certificados, permanecerán en la cola de la carpeta Peticiones pendientes (del complemento Entidad emisora de certificados de MMC) hasta que la petición se apruebe o deniegue. Puede configurar las alertas de correo electrónico para que se envíen cada vez que una petición se ponga en cola. Las peticiones aprobadas automáticamente no envían alertas de correo electrónico.
Las alertas de correo electrónico también se pueden configurar para otros sucesos de la entidad emisora de certificados. En la ayuda en pantalla de Servicios de Certificate Server se documenta el modo de configurarlos y se incluye una secuencia de comandos de ejemplo detallada en la sección Configurar el "módulo de salida de SMTP" de la Guía de operaciones de PKI de Windows Server 2003 (en inglés) (consulte la sección Vínculos relacionados).
Frecuencia
Tarea de configuración
Requisitos de seguridad
Pertenencia a administradores de entidad emisora de certificados
Detalles de la tarea
Para habilitar las alertas de correo electrónico para las peticiones de certificado pendientes
1. | Decida las direcciones de correo electrónico a las que se deben enviar las alertas e identifique la dirección IP o el nombre de host del servidor SMTP que se utilizará para reenviar el correo electrónico (reemplace los ejemplos "mail.contoso.com" y " Admin@contoso.com, PKIOps@contoso.com" que se utilizan en los siguientes comandos por sus propios valores). |
2. | Ejecute la siguiente serie de comandos para habilitar las alertas de correo electrónico para las peticiones pendientes en cola. certutil –f -setreg exit\smtp\SMTPServer mail.contoso.com certutil –f -setreg exit\smtp\SMTPAuthenticate 0 certutil –f -setreg exit\smtp\eventfilter +EXITEVENT_CERTPENDING |
3. | Ejecute los siguientes comandos para establecer los campos de encabezado de correo electrónico. certutil –f -setreg exit\smtp\Pending\To "Admin@contoso.com, PKIOps@contoso.com" certutil –f -setreg exit\smtp\Pending\From "%COMPUTERNAME%@USERDNSDOMAIN%" certutil –f -setreg exit\smtp\Pending\titleformat "A certificate is pending on %1" |
4. | Ejecute los siguientes comandos para configurar el contenido del mensaje de correo electrónico. certutil –f -setreg exit\smtp\Pending\BodyArg +"Request.RequestID" certutil –f -setreg exit\smtp\Pending\BodyArg +"UPN" certutil –f -setreg exit\smtp\Pending\BodyArg +"Request.RequesterName" certutil –f -setreg exit\smtp\Pending\BodyArg +"Request.SubmittedWhen" certutil –f -setreg exit\smtp\Pending\BodyArg +"Request.DistinguishedName" certutil –f -setreg exit\smtp\Pending\BodyArg +"CertificateTemplate" certutil –f -setreg exit\smtp\Pending\BodyArg +"Request.DispositionMessage" certutil –f -setreg exit\smtp\Pending\BodyArg +"EMail" Certutil –f -setreg exit\smtp\Pending\BodyFormat +"Request ID: %1" Certutil –f -setreg exit\smtp\Pending\BodyFormat +"UPN: %2" Certutil –f -setreg exit\smtp\Pending\BodyFormat +"Requester Name: %3" Certutil –f -setreg exit\smtp\Pending\BodyFormat +"Time submitted: %4" Certutil –f -setreg exit\smtp\Pending\BodyFormat +"Distinguished Name: %5" Certutil –f -setreg exit\smtp\Pending\BodyFormat +"Certificate Template used: %6" Certutil –f -setreg exit\smtp\Pending\BodyFormat +"Request Disposition Message: %7" Certutil –f -setreg exit\smtp\Pending\BodyFormat +"Requester Email: %8" |
Supervisar la caducidad de certificado de los clientes
Normalmente, la supervisión de la caducidad de certificado de clientes individuales no se puede escalar a grandes cantidades. No obstante, debe asegurarse de que no se omiten las renovaciones de certificado. Hay varias opciones disponibles.
| • | Uso de la inscripción automática de certificados. Éste es el medio más simple y efectivo para garantizar que los clientes siempre tienen un certificado válido. La inscripción automática sólo está disponible en clientes de Windows XP y Windows Server 2003 (los sistemas Windows 2000 pueden utilizar los servicios de petición de certificados automática similares, Servicio de petición de certificados automática [ACRS]), para algunos tipos de certificado). Los clientes de inscripción automática deben ser miembros del mismo bosque que las entidades emisoras de certificados. |
| • | Uso de la programación manual del suceso de renovación (esto se debe registrar en la programación de operaciones; consulte la sección Crear un programa de operaciones). Normalmente éste es el único recurso al tratar con sistemas sin conexión (como las entidades emisoras de certificados) o que son difíciles de supervisar de forma centralizada (por ejemplo, servidores Web en un centro de datos de Internet). |
| • | Soluciones de supervisión personalizadas. Puede escribir secuencias de comandos mediante la interfaz CAPICOM, para ejecutarse en los sistemas supervisados, que generarán alertas si un certificado ha caducado o está a punto de caducar. La secuencia de comandos de supervisión de la entidad emisora de certificados utilizada en este documento constituye un ejemplo de esto, que puede adaptar a sus necesidades. |
| • | Iniciado por el usuario. Puede delegar la responsabilidad en los usuarios para que identifiquen si su aplicación o servicio ya no funciona y soliciten un nuevo certificado. |
| • | Sistema de administración de certificados. Microsoft ha desarrollado una herramienta de uso interno como ayuda para realizar el seguimiento y administrar los certificados digitales en todas las entidades emisoras de certificados. Se denomina Certificate Lifetime Management Tool y utiliza un módulo de salida de entidad emisora de certificados personalizado que escribe los detalles de cada certificado en una base de datos a medida que se emite. Se pueden ejecutar informes de los datos para comprobar los certificados que caducan. Aunque esta herramienta no se ha publicado, hay disponible un kit de herramientas para los clientes como parte de un contrato de Servicios de consultoría de Microsoft. |
Programación de trabajos
La programación de trabajos, en el modelo de proceso MOF, implica la organización de trabajos y procesos en una secuencia eficaz para maximizar el rendimiento y la utilización del sistema. Aquí, el objetivo es similar pero algo más simple. Es importante documentar la programación de todos los trabajos automatizados que se ejecutan en un sistema para poder evitar los conflictos posibles entre los trabajos. Los trabajos se pueden programar mediante Programador de tareas de Windows, agentes de administración u otras aplicaciones y servicios (como detectores de virus).
Programar trabajos en las entidades emisoras de certificados con conexión
Se tiene que ejecutar una serie de tareas repetitivas en las entidades emisoras de certificados para mantener la ejecución sin problemas de la PKI. Están automatizadas para reducir la sobrecarga operativa.
Requisitos de seguridad
Administradores locales en la entidad emisora de certificados
Detalles de la tarea
En la tabla 18 se enumeran los trabajos automatizados que se ejecutan en las entidades emisoras de certificados. Estos trabajos están definidos en tareas en cualquier parte de este documento (se muestran en la columna Tarea de referencia); la tabla sólo es de referencia.
Sólo las entidades emisoras de certificados tienen trabajos automatizados en ejecución. Las entidades emisoras de certificados sin conexión pueden estar apagadas durante largos períodos, por lo que es imposible mantener una programación confiable en este equipo.
Tabla 18: Lista de trabajos programados en las entidades emisoras de certificados
| Descripción del trabajo | Programación | Ejecutado por | Tarea de referencia |
Copia de seguridad completa de la base de datos de la entidad emisora de certificados | Diaria | Programador de tareas de Windows o programador del sistema de copia de seguridad | Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados |
Copia de seguridad diferencial de la base de datos de la entidad emisora de certificados | Cada hora | Programador de tareas de Windows | Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados |
Publicar CRL en IIS | Diaria | Servicios de Certificate Server | Configurar la entidad emisora de certificados para publicar CRL en un servidor Web |
Supervisar el estado de la entidad emisora de certificados con conexión | Cada hora | MOM o Programador de tareas de Windows | Supervisar la disponibilidad del servicio |
Supervisar el estado de emisión y publicación de la CRL | Cada hora | MOM o Programador de tareas de Windows | Supervisar la disponibilidad del servicio |
Supervisar la validez del certificado de entidad emisora de certificados | Cada hora | MOM o Programador de tareas de Windows | Supervisar la disponibilidad del servicio |
Supervisar la validez del certificado KRA | Cada hora | MOM o Programador de tareas de Windows | Supervisar la disponibilidad del servicio |
Funcionamiento de la PKI
En esta sección se describen las tareas de mantenimiento necesarias para mantener operativa la PKI. Muchas de estas tareas tienen programaciones concretas mientras que otras sólo se realizan cuando es necesario. Las tareas de esta sección corresponden al cuadrante operativo del modelo de proceso de MOF.
Lista de comprobación de tareas operativas
Administración de la seguridad
| • | Habilitar la inscripción (o la inscripción automática) de un tipo de certificado para un usuario o equipo |
| • | Deshabilitar la inscripción (o la inscripción automática) de un tipo de certificado para un usuario o equipo |
| • | Comprobar y aprobar las solicitudes de certificado pendientes |
| • | Revocar un certificado de entidad final |
| • | Recuperar una clave privada archivada |
| • | Renovar un certificado de entidad emisora de certificados |
| • | Publicar los certificados de entidad emisora de certificados raíz sin conexión |
| • | Publicar los certificados de entidad emisora de certificados intermedia en el servidor Web |
| • | Publicar los certificados de entidad emisora de certificados en el servidor Web |
| • | Publicar las CRL de una entidad emisora de certificados sin conexión en el servidor Web |
| • | Publicar las CRL de la entidad emisora de certificados raíz en las entidades emisoras intermedias sin conexión |
| • | Forzar la emisión de una CRL sin conexión |
Supervisar
| • | Revisar los registros de auditoría en busca de incidentes de seguridad |
| • | Auditar la PKI |
| • | Revisar los datos de rendimiento y capacidad |
Administración de la base de datos y la configuración de la entidad emisora de certificados
| • | Realizar copias de seguridad de una entidad emisora de certificados sin conexión |
| • | Realizar copias de seguridad de las claves y certificados de la entidad emisora de certificados |
| • | Probar las copias de seguridad de la base de datos de la entidad emisora de certificados |
| • | Probar las copias de seguridad de las claves de la entidad emisora de certificados |
| • | Archivar los datos de auditoría de seguridad de una entidad emisora de certificados |
Administración de la seguridad
La administración de la seguridad abarca tareas relacionadas con los componentes de seguridad de la infraestructura informática.
Habilitar la inscripción (o la inscripción automática) de un tipo de certificado para un usuario o equipo
Esta tarea utiliza los grupos de seguridad de inscripción para permitir la inscripción manual o iniciar la inscripción automática de un tipo de certificado para un usuario, un equipo o un grupo de seguridad que contenga usuarios y/o equipos.
Nota: la inscripción automática también se debe haber habilitado en el GPO de los usuarios o equipos de destino. Para obtener más información, consulte el procedimiento “Establecer la directiva de inscripción automática de los usuarios de dominio” del tema "Ejemplo de implementación de Servicios de Certificate Server: Establecer la inscripción automática para certificados de usuario" en la documentación de Windows Server 2003.
Frecuencia
Según se requiera
Requisitos de seguridad
Modificar los permisos de pertenencia del grupo de inscripción de certificados
Detalles de la tarea
Para habilitar la inscripción o la inscripción automática para un usuario o un equipo
1. | En el complemento Usuarios y equipos de Active Directory de MMC, busque el grupo de seguridad Inscripción de plantillas de certificado (o el grupo de inscripción automática para la inscribir automáticamente el certificado) correspondiente al tipo de certificado que se inscribirá. Debe haber iniciado la sesión como usuario con permisos Modificar pertenencia para este grupo. |
2. | Agregue el usuario, el equipo o el grupo de seguridad al grupo de seguridad de plantillas seleccionado. |
Deshabilitar la inscripción (o la inscripción automática) de un tipo de certificado para un usuario o equipo
La emisión de un certificado a un usuario o un equipo normalmente habilita alguna funcionalidad al titular del certificado; es posible que tenga que revocar esta funcionalidad más adelante.
Frecuencia
Según se requiera
Requisitos de seguridad
Permiso para modificar la pertenencia del grupo de inscripción de certificados
Detalles de la tarea
Para deshabilitar la inscripción o la inscripción automática para un usuario o un equipo
1. | En Usuarios y equipos de Active Directory, busque el grupo de seguridad Inscripción (o inscripción automática) de plantillas de certificado correspondiente al tipo de certificado que se deshabilitará. Inicie la sesión como usuario con permisos Modificarpertenencia para este grupo. |
2. | Quite el usuario, el equipo o el grupo de seguridad del grupo de seguridad de plantillas. |
Nota: por cada certificado de usuario que desee deshabilitar, también tendrá que revocar el certificado de dicho usuario. Para revocar un certificado de entidad final, consulte el procedimiento Para revocar un certificado emitido en la documentación de Windows Server 2003.
Comprobar y aprobar las solicitudes de certificado pendientes
Las peticiones de certificado se pueden enviar a las entidades emisoras de certificados en cualquier momento. La mayoría de los certificados se emitirán automáticamente mediante Active Directory como la entidad de registro o mediante un conjunto predefinido de firmas de las entidades de registro designadas. Si ha configurado que cualquier tipo de certificado requiera la aprobación manual de un administrador de certificados, estas peticiones se pondrán en cola hasta que un administrador de certificados las apruebe o las deniegue.
Frecuencia
Diaria
Requisitos de seguridad
Pertenencia a administradores de certificados
Detalles de la tarea
Compruebe diariamente en la carpeta de peticiones si hay alguna en cola. Antes de emitir un certificado, compruebe la petición atentamente para verificar el solicitante y el contenido de la petición. Compruebe que el nombre del sujeto, el nombre alternativo del sujeto, los usos de claves, las directivas y las extensiones son las esperadas. Si tiene dudas, no apruebe la petición.
También puede configurar la entidad emisora de certificados para enviar alertas de correo electrónico para diferentes sucesos. Uno de ellos es la llegada de una petición pendiente. Consulte el procedimiento Configurar las alertas del protocolo simple de transferencia de correo (SMTP) para las solicitudes de certificado pendientes.
Para comprobar las peticiones pendientes
1. | Inicie la sesión en la entidad emisora de certificados como miembro de Administradores de certificados (puede realizar esta tarea de forma remota mediante el complemento Entidad emisora de certificados de MMC en la entidad emisora). |
2. | Abra el complemento Entidad emisora de certificados de MMCy, a continuación, la carpeta Peticiones. |
3. | Para ver los detalles de una petición de la carpeta, haga clic con el botón secundario del mouse (ratón) en la petición y, a continuación, haga clic en Ver atributos/extensiones en el menú Ver. Nota: la ficha Atributos muestra los atributos de petición recibidos como parte de la petición y la ficha Extensiones muestra las extensiones de certificado que se utilizarán en el certificado. Cada entrada de extensión indica si aparece porque estaba incluida en la petición, porque es un valor suministrado por el servidor o porque está definida por el módulo de directiva de entidad emisora de certificados (el último origen normalmente indica que se trata de una extensión definida en la plantilla de certificado). |
4. | Según las directivas de su organización, es posible que espere otra información relativa a la petición, proporcionada en persona, por teléfono, por correo electrónico o un medio similar. Cuando esté satisfecho con la validez de la petición, puede aprobarla si hace clic con el botón secundario del mouse en la petición y hace clic en Emitir del menú Tareas. Si no está satisfecho, puede denegar la petición si hace clic en Denegar. |
Revocar un certificado de entidad final
Puede ser necesario revocar un certificado por varios motivos, como por ejemplo:
| • | La funcionalidad o los privilegios asociados al certificado se han revocado de su titular. |
| • | La clave del certificado se ha puesto en peligro. |
| • | La entidad emisora de certificados que ha emitido el certificado se ha puesto en peligro. |
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia a administradores de certificados en la entidad emisora de certificados
Detalles de la tarea
Consulte Para revocar un certificado emitido en la documentación de Windows Server 2003 el procedimiento utilizado para revocar un certificado de entidad final (es decir, un certificado no emitido a una entidad emisora de certificados). Para revocar un certificado de entidad emisora de certificados, siga los procedimientos de la sección Tareas de soporte.
Precaución: evite el código de motivo de revocación Posesión de certificado. Aunque es tentador pensar que un certificado se puede restablecer más adelante, resulta más sencillo y menos confuso revocar permanentemente un certificado y, después, emitir uno nuevo.
Si intenta revocar un certificado que ya no existe en la base de datos de certificados, consulte la tarea de Revocar un certificado huérfano. Si tiene una base de datos de entidad emisora de certificados grande, el rendimiento del complemento Entidad emisora de certificados de MMC puede ser deficiente, lo que ralentiza la búsqueda del certificado para revocar. En este caso, normalmente es más rápido utilizar certutil.exe para realizar la revocación.
Recuperar una clave privada archivada
Las claves privadas de los certificados de cifrado se pueden archivar en la base de datos de la entidad emisora de certificados. El archivo de claves se habilita para un determinado tipo de certificado si se selecciona una opción en la plantilla de certificado. Si un usuario pierde el acceso a su clave privada y la misma se ha archivado, puede recuperarla y devolvérsela como un archivo PKCS#12 protegido con contraseña.
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia a administradores de entidad emisora de certificados para extraer la clave archivada de la base de datos de la entidad emisora y posesión del certificado KRA (y clave privada) para descifrar la clave archivada.
Detalles de la tarea
Para obtener procedimientos detallados acerca de cómo recuperar claves privadas archivadas mediante la línea de comandos y la herramienta Recuperación de clave, consulte Archivo y administración de claves en Windows Server 2003 (en inglés) en la sección Vínculos relacionados.
Importante: como medida de protección frente a abusos, debe separar las responsabilidades de extraer la clave cifrada de la base de datos y de descifrar la clave extraída.
El proceso de recuperación de clave no fuerza el modo en que la clave se restaura al usuario. Por ejemplo, aunque la plantilla de certificado de la clave original forzara el almacenamiento de claves en una tarjeta inteligente, no hay un medio similar para impedir que el archivo PKCS#12 recuperado se restaure en un almacén de claves CryptoAPI de software. Para impedir la reducción accidental de la seguridad de claves, puede que tenga que adoptar un proceso manual para claves de mayor garantía. Por ejemplo, las claves recuperadas se pueden enviar a un agente de confianza del que los usuarios obtienen sus tarjetas inteligentes y, de ese modo, es posible restaurar las claves y destruir el archivo PKCS#12.
Renovar un certificado de entidad emisora de certificados
Debe renovar los certificados de entidad emisora de certificados periódicamente para permitir que las entidades finales (y las entidades emisoras subordinadas, si las hubiera) sigan inscribiendo certificados con esta entidad emisora. Los certificados que emite una entidad emisora de certificados y sus subordinadas no pueden tener una fecha de caducidad posterior a la fecha de caducidad de este certificado de entidad emisora. Hay otros motivos para renovar el certificado de entidad emisora de certificados antes de su fecha de renovación normal. Los motivos más habituales para hacer esto en una entidad emisora de certificados con conexión son:
| • | Cambiar la clave que utiliza la entidad emisora de certificados (en caso de que se produzca un peligro real o supuesto) |
| • | Agregar directivas de certificado a la entidad emisora de certificados (subordinación cualificada) |
| • | Cambiar las rutas de acceso de CDP o AIA |
| • | Dividir la CRL (éste es el motivo más probable si tiene entidades emisoras de certificados ocupadas) |
Siempre debe cambiar la clave de la entidad emisora de certificados en cada renovación.
Frecuencia
Cada ocho años para la entidad emisora de certificados raíz
Cada cuatro años para las entidades emisoras de certificados intermedias
Cada dos años para las entidades emisoras de certificados (si va a renovar para dividir la CRL, puede decidir hacerlo con más frecuencia, por ejemplo, cada año o cada seis meses)
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados que se va a renovar, pertenencia a administradores de certificados en la entidad emisora principal (sólo para entidades emisoras e intermedias), pertenencia a administradores de PKI de empresa en el dominio
Detalles de la tarea
Cada nivel de la jerarquía de la entidad emisora de certificados tiene una duración de certificado de entidad emisora que es el doble del nivel que está debajo de él; en el escenario de MSA, la raíz es válida durante 16 años, la intermedia durante ocho y las entidades emisoras de certificados durante cuatro años. Cada entidad emisora se renueva después de transcurrida la mitad de su duración. Esto se muestra en la figura 1. Si las entidades emisoras de certificados no se renuevan a la mitad de su período de validez, se limita la validez máxima de los certificados que ellas y sus subordinadas puedan emitir.
Figura 1: Jerarquía de niveles de entidades emisoras de certificados
Tal como se muestra en la figura 1, si no se renueva el certificado (Certificado 2) de la entidad emisora (CA111), no puede emitir un certificado de entidad final (Certificado de EF 2 en el año 5) durante un período de dos años completos. En su lugar, sólo podrá emitir certificados válidos hasta la fecha de caducidad del certificado de entidad emisora Certificado 2 (año 6). La renovación del certificado de entidad emisora (Certificado 3) permite que emita certificados de duración completa a los usuarios. También debe observar que en la figura 1 los puntos de renovación de cada nivel de la jerarquía de entidades emisoras están alineados; de este modo se facilita la administración de las tareas de renovación.
La lista de tareas de renovación de las entidades emisoras de certificados de su organización se parecerá a la de la tabla 19.
Tabla 19: Lista de tareas de renovación
| Período | Tareas | Propósito | ||||||
Cada año (opcional) |
| Para dividir CRL | ||||||
Cada dos años (obligatorio) |
| Ciclo de renovación normal de entidad emisora de certificados | ||||||
Cada cuatro años (obligatorio) |
| Ciclo de renovación normal de entidad emisora de certificados | ||||||
Cada ocho años (obligatorio) |
| Ciclo de renovación normal de entidad emisora de certificados |
El procedimiento para renovar un certificado de entidad emisora de certificados raíz se describe en el artículo "Renovar una entidad emisora de certificados raíz" en la documentación de Servicios de Certificate Server de Windows Server 2003 en la sección Vínculos relacionados. También se debe realizar una serie de tareas complementarias durante la renovación de la entidad emisora de certificados.
Figura 2: Interacciones de la entidad emisora raíz y otros sistemas durante una renovación de entidad emisora de certificados raíz
Para renovar una entidad emisora de certificados raíz
1. | Si es necesario, especifique un nuevo tamaño de clave en CAPolicy.inf. | ||||||
2. | Renovar el certificado de entidad emisora de certificados (consulte el procedimiento en la documentación del producto). | ||||||
3. | Publicar el nuevo certificado de entidad emisora en:
Consulte Publicar la entidad emisora de certificados raíz sin conexión. | ||||||
4. | Emitir una nueva CRL desde la entidad emisora de certificados raíz y publicarla en el punto de publicación CDP del servidor Web. | ||||||
5. | Si no ha actualizado las entidades emisoras de certificados intermedias a Service Pack 1 de Windows Server 2003, tendrá que publicar las CRL de la entidad emisora raíz en el almacén de certificados local de las entidades emisoras intermedias. Consulte Publicar las CRL de la entidad emisora de certificados raíz en las entidades emisoras intermedias sin conexión. |
El procedimiento para renovar un certificado de entidad emisora de certificados intermedia se describe en el artículo "Renovar una entidad emisora de certificados subordinada" de la documentación de Servicios de Certificate Server en la sección Vínculos relacionados (siga la opción "Si la entidad emisora de certificados no está disponible con conexión").
Figura 3: Interacciones durante la renovación de una entidad emisora de certificados intermedia
Para renovar una entidad emisora de certificados intermedia
1. | Si es necesario, especifique un nuevo tamaño de clave en CAPolicy.inf. |
2. | Renovar el certificado de entidad emisora de certificados (consulte el procedimiento en la documentación del producto). |
3. | Opcionalmente, publicar el nuevo certificado de entidad emisora en el almacén de entidades emisoras de certificados de Active Directory. |
4. | Publicar el nuevo certificado de entidad emisora de certificados en el punto de publicación AIA del servidor Web. Consulte Publicar la entidad emisora de certificados intermedia. |
5. | Emitir una nueva CRL desde la entidad emisora de certificados raíz y publicarla en el punto de publicación CDP del servidor Web. Consulte Publicar las CRL de una entidad emisora de certificados sin conexión en el servidor Web. |
El procedimiento para renovar un certificado de entidad emisora de certificados se describe en el artículo "Renovar una entidad emisora de certificados subordinada" de la documentación de Servicios de Certificate Server (siga la opción "Si la entidad emisora de certificados no está disponible con conexión"). Las interacciones durante la renovación de una entidad emisora se muestran en la figura 4.
Figura 4: Renovar una entidad emisora de certificados
Sólo se muestran las interacciones con una entidad emisora de certificados. Estos flujos se repiten para cada entidad emisora de certificados.
Durante la renovación de una entidad emisora de certificados con conexión, su certificado y sus CRL se publican automáticamente en el directorio. Se supone que la entidad emisora de certificados es una entidad emisora de empresa (las independientes no publican necesariamente en el directorio de forma automática). Debe haber configurado las entidades emisoras para publicar automáticamente CRL en el servidor Web en el procedimiento "Configurar la entidad emisora de certificados para publicar CRL en un servidor Web". La única tarea manual necesaria es publicar el certificado de entidad emisora en el servidor Web.
Para todas las entidades emisoras de certificados debe hacer una copia de seguridad de las bases de datos de entidades emisoras una vez terminado todo el ciclo de renovación.
Publicar los certificados de entidad emisora de certificados raíz sin conexión
Debe publicar el certificado de una entidad emisora de certificados raíz sin conexión en:
| • | El bosque de Active Directory para que la PKI sea de confianza para los miembros del bosque |
| • | Las entidades emisoras de certificados intermedias para que confíen en la entidad emisora raíz |
| • | El punto de publicación AIA del servidor Web para que los usuarios de certificado puedan obtener el certificado de entidad emisora raíz con el fin de ayudarles a crear la cadena |
En este procedimiento se supone que la entidad emisora de certificados se ha configurado con una ubicación AIA correspondiente al punto de publicación del servidor Web. Para obtener información acerca de cómo se configura, consulte Prácticas recomendadas para implementar una infraestructura de claves públicas de Microsoft Windows Server 2003 (en inglés) y la guía de generación de Servicios de Certificate Server del Kit de implementación de Microsoft Systems Architecture versión 2.0 (en inglés) en la sección Vínculos relacionados.
Frecuencia
Estos procedimientos sólo son necesarios como parte de la renovación de la entidad emisora de certificados raíz (consulte Renovar un certificado de entidad emisora de certificados).
Requisitos de seguridad
Pertenencia a administradores locales en las entidades emisoras de certificados y editores de PKI de empresa
Detalles de la tarea
Para publicar el certificado de entidad emisora de certificados raíz sin conexión en Active Directory
1. | Copie los certificados de entidad emisora en un disco extraíble vacío (donde d:\rutaAcceso es la ruta de acceso del disco). Copy %systemroot%\system32\certsrv\certenroll\*.crt d:\path |
2. | Lleve el disco a una entidad emisora de certificados u otro miembro de dominio que tenga instalado certutil.exe y publique los certificados en el directorio (sustituya la ruta de acceso correcta al disco extraíble en d:\rutaAcceso). For %i in (d:\path\*.crt) do Certutil –f –dspublish %i RootCA Para publicar el certificado de entidad emisora de certificados raíz sin conexión en las entidades emisoras sin conexión |
3. | Con el disco del procedimiento anterior, publique los certificados de entidad emisora de certificados en el almacén de entidades emisoras raíz de cada entidad emisora intermedia (sustituya la ruta de acceso correcta al disco extraíble en d:\rutaAcceso). For %i in (d:\path\*.crt) do certutil –f –addstore Root %i Para publicar el certificado de entidad emisora de certificados raíz sin conexión en el servidor Web |
4. | Con el disco del procedimiento anterior, publique los certificados de entidad emisora de certificados en el servidor Web (sustituya la ruta de acceso correcta al disco extraíble en d:\rutaAcceso y el nombre del servidor Web en NombreServidorWeb). copy d:\path\*.crt \\WebServerName\WWWPKIpub |
Publicar los certificados de entidad emisora de certificados intermedia en el servidor Web
Debe publicar manualmente el certificado de una entidad emisora de certificados intermedia sin conexión en el punto de publicación AIA del servidor Web para que los usuarios de certificado puedan obtener el certificado de entidad emisora raíz con el fin de ayudarles a crear la cadena. Las entidades emisoras de certificados de empresa publican automáticamente sus entidades emisoras en el directorio.
En este procedimiento se supone que la entidad emisora de certificados se ha configurado con una ubicación AIA correspondiente al punto de publicación del servidor Web. Para obtener información acerca de cómo se configura, consulte Prácticas recomendadas para implementar una infraestructura de claves públicas de Microsoft Windows Server 2003 (en inglés) y la guía de generación de Servicios de Certificate Server del Kit de implementación de Microsoft Systems Architecture versión 2.0 (en inglés) en la sección Vínculos relacionados.
Frecuencia
Estos procedimientos sólo son necesarios como parte de la renovación de la entidad emisora de certificados (consulte Renovar un certificado de entidad emisora de certificados).
Requisitos de seguridad
Pertenencia a administradores locales en las entidades emisoras de certificados y editores de PKI de empresa
Detalles de la tarea
Para publicar el certificado de entidad emisora de certificados en el servidor Web
1. | Copie los certificados de entidad emisora en un disco extraíble vacío (donde d:\rutaAcceso es la ruta de acceso del disco). Copy %systemroot%\system32\certsrv\certenroll\*.crt d:\path |
2. | Desde un servidor con conexión, publique los certificados de entidad emisora de certificados en el servidor Web (sustituya la ruta de acceso correcta al disco extraíble en d:\rutaAcceso y el nombre del servidor Web en NombreServidorWeb). copy d:\path\*.crt \\WebServerName\WWWPKIpub |
Publicar los certificados de entidad emisora de certificados en el servidor Web
Los certificados de entidad emisora se deben publicar en la ubicación AIA de HTTP (protocolo de transferencia de hipertexto) de modo que los usuarios de certificado (en concreto los clientes que no sean de dominio) puedan generar una cadena de confianza desde los certificados de entidad final hasta una entidad emisora de certificados raíz de confianza.
En este procedimiento se supone que la entidad emisora de certificados se ha emitido con una ubicación CDP correspondiente al punto de publicación del servidor Web. Para obtener información acerca de cómo se configura, consulte Prácticas recomendadas para implementar una infraestructura de claves públicas de Microsoft Windows Server 2003 (en inglés) y la guía de generación de Servicios de Certificate Server del Kit de implementación de Microsoft Systems Architecture versión 2.0 (en inglés) en la secciónVínculos relacionados.
Frecuencia
Esta tarea se produce cada dos años para las entidades emisoras de certificados pero sólo se tiene que realizar como parte de la renovación del certificado de dicha entidad (consulte Renovar un certificado de entidad emisora de certificados).
Requisitos de seguridad
Pertenencia a editores PKI de empresa
Detalles de la tarea
El certificado de entidad emisora de certificados se actualiza con muy poca frecuencia, por lo que la publicación en el AIA siempre que se renueva dicho certificado no resulta muy molesta.
Para publicar el certificado de la entidad emisora de certificados en el servidor Web
1. | Inicie la sesión en la entidad emisora de certificados con una cuenta que tenga permisos para escribir en la carpeta del servidor Web publicada (miembro de editores de PKI de empresa). |
2. | Asegúrese de que la carpeta del servidor Web está compartida (consulte Establecer permisos en el servidor Web para publicar CRL y certificados) y anote la ruta de acceso UNC a la carpeta compartida. |
3. | Ejecute el siguiente comando para publicar el certificado de entidad emisora de certificados en el servidor Web (sustituya el nombre del servidor Web en NombreServidorWeb). Copy %systemroot%\system32\certsrv\certenroll\*.crt \\WebServerName\WWWPKIpub |
Publicar las CRL de una entidad emisora de certificados sin conexión en el servidor Web
Debe publicar la CRL de una entidad emisora de certificados sin conexión en una ubicación Web para que los usuarios de certificado puedan comprobar el estado de revocación de toda la cadena de la entidad emisora. Una entidad emisora de certificados puede publicar dos o más CRL según el número de veces que se haya renovado el certificado de dicha entidad. Debe publicar todas las CRL actuales.
En este procedimiento se supone que la entidad emisora de certificados se ha emitido con una ubicación CDP correspondiente al punto de publicación del servidor Web. Para obtener información acerca de cómo se configura, consulte Prácticas recomendadas para implementar una infraestructura de claves públicas de Microsoft Windows Server 2003 (en inglés) y la guía de generación de Servicios de Certificate Server del Kit de implementación de Microsoft Systems Architecture versión 2.0 (en inglés) en la sección Vínculos relacionados.
Frecuencia
Cada seis meses para la entidad emisora de certificados raíz; cada tres meses para una intermedia
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados y editores de PKI de empresa
Detalles de la tarea
Para publicar una CRL sin conexión en Active Directory
1. | Copie las CRL de la entidad emisora en un disco extraíble vacío (donde d:\rutaAcceso es la ruta de acceso del disco). Copy %systemroot%\system32\certsrv\certenroll\*.crl d:\path |
2. | Desde un servidor con conexión, publique las CRL en el servidor Web (sustituya la ruta de acceso correcta al disco extraíble en d:\rutaAcceso y el nombre del servidor Web en NombreServidorWeb). copy d:\path\*.crl \\WebServerName\WWWPKIpub |
Publicar las CRL de la entidad emisora de certificados raíz en las entidades emisoras intermedias sin conexión
Este procedimiento es necesario para las versiones de Windows Server 2003 anteriores a Service Pack, donde haya optado por deshabilitar la comprobación de revocación en la entidad emisora de documentos (consulte Deshabilitar la comprobación de revocación en las entidades emisoras de certificados intermedias).
Debe publicar la CRL de la entidad emisora de certificados raíz en los almacenes de certificados locales de cada entidad emisora subordinada sin conexión. Debido a que estas entidades emisoras están sin conexión, no pueden tener acceso a las ubicaciones CDP publicadas para la entidad emisora raíz y no podrán verificar el estado de revocación de sus propios certificados. Esto impedirá que se inicien.
Frecuencia
Cada seis meses (cada vez que se publique una nueva CRL desde la entidad emisora de certificados raíz)
Requisitos de seguridad
Pertenencia a administradores locales en las entidades emisoras de certificados raíz e intermedias
Detalles de la tarea
Para publicar la CRL de la entidad emisora de certificados raíz en Active Directory
1. | Copie las CRL de la entidad emisora raíz en un disco extraíble vacío (donde d:\rutaAcceso es la ruta de acceso del disco). Copy %systemroot%\system32\certsrv\certenroll\*.crl d:\path |
2. | Publique las CRL en el almacén de certificados local de la entidad emisora de certificados intermedia (sustituya la ruta de acceso correcta al disco extraíble en d:\rutaAcceso). For %i in (d:\path\*.crl) do certutil –addstore –f Root %i |
3. | Repita este último paso para cada uno de las entidades emisoras intermedias. |
Forzar la emisión de una CRL sin conexión
Las CRL de una entidad emisora de certificados de empresa se emiten y publican automáticamente; normalmente no es necesario forzar la emisión de una CRL conexión. Sin embargo, esto puede ser necesario cuando se ha producido una revocación crítica (por ejemplo, todos los certificados emitidos por la entidad emisora de certificados) y es necesario publicar una nueva CRL con el mínimo retardo posible.
Nota: no es posible publicar una nueva CRL en los clientes ya que conservarán sus copias en caché existentes hasta que estas CRL caduquen. Sin embargo, al forzar la publicación de una nueva CRL se garantiza que cualquier cliente que solicite una CRL, a partir de este punto, recibirá la nueva CRL (sin tener en cuenta los retardos de propagación).
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados
Detalles de la tarea
Para emitir y publicar la CRL de la entidad emisora de certificados sin conexión en Active Directory
1. | Inicie la sesión en la entidad emisora como miembro de administradores de entidad emisora de certificados y cargue el complemento Entidad emisora de certificados de MMC. |
2. | Emita una nueva CRL en el menú Tareas de la carpeta Certificados revocados; para ello, haga clic en Publicar. |
3. | Seleccione Lista de revocación de certificados (CRL) nueva para emitir una CRL base o Diferencia CRL sólo para una nueva diferencia CRL. |
Supervisar
Esta sección contiene procedimientos necesarios para supervisar la PKI. Estos procedimientos describen tareas programadas especiales, como la ejecución de una auditoría, en vez de instrucciones acerca de cómo efectuar la supervisión operativa continua de condiciones de alerta y error. Se supone la supervisión continua del estado y el rendimiento de la PKI.
Revisar los registros de auditoría en busca de incidentes de seguridad
Debe revisar los registros de auditoría de las entidades emisoras de certificados periódicamente, en concreto de las entidades emisoras con conexión. Los sucesos registrados que no reflejen los registros de lo que debe haber sucedido en las entidades emisoras de certificados pueden indicar un problema de seguridad.
Frecuencia
Cada semana para las entidades emisoras de certificados con conexión; cada tres meses para las entidades emisoras sin conexión
Requisitos de seguridad
Pertenencia a auditores de entidad emisora de certificados en las entidades emisoras
Detalles de la tarea
Busque en el registro de sucesos de seguridad de cada entidad emisora de certificados cualquier suceso importante para comprobar la existencia de sucesos imprevistos. Algunos de los elementos clave que se deben vigilar se enumeran en la tabla 20 (para obtener una lista completa de los sucesos de seguridad que genera Servicios de Certificate Server, consulte Configurar la supervisión de la seguridad de la entidad emisora de certificados y la Guía de operaciones de PKI de Windows Server 2003 (en inglés) para obtener más información acerca de dichos sucesos).
Tabla 20: Sucesos de seguridad importantes
| Suceso | Identificador de registro de sucesos de seguridad | Descripción del suceso |
Cambios en la directiva de auditoría de la entidad emisora de certificados | Identificador de suceso 789 | El filtro de auditoría para Servicios de Certificate Server ha cambiado. |
Cambios en los permisos de la entidad emisora de certificados | Identificador de suceso 786 | Los permisos de seguridad para Servicios de Certificate Server han cambiado. |
Cambios en los KRA de la entidad emisora de certificados | Identificador de suceso 796, subtipos 1 y 3 | Se han agregado o eliminado certificados KRA. |
Cambios en la configuración del administrador de certificados | Identificador de suceso 794 | La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado. |
Emisión de un certificado de entidad emisora de certificados (Sólo es importante en las entidades emisoras de certificados raíz o intermedias) | Identificador de suceso 791 | Servicios de Certificate Server ha aprobado una petición de certificado y ha emitido un certificado. |
Operaciones de recuperación de claves | Identificador de suceso 787 | Servicios de Certificate Server ha recuperado una clave archivada. |
Restauración inesperada de la copia de seguridad | Identificador de suceso 783 | Ha terminado la restauración de Servicios de Certificate Server. |
Eliminación de filas de la base de datos de la entidad emisora de certificados | Identificador de suceso 800 | Una o varias filas se han eliminado de la base de datos de certificados. |
Cualquier entrada que no coincida con los registros de control de cambios se debe investigar inmediatamente. Investigue los sucesos de error así como los correctos ya que pueden indicar un intento de poner en peligro la seguridad. Puede optar por la creación de alertas que se activen por algunos de estos sucesos para que se indiquen en las consolas de supervisión de operaciones. Por ejemplo, si no tiene previsto cambiar la directiva de auditoría de la entidad emisora de certificados si todo va con normalidad, puede configurar el sistema de supervisión operativa para que genere una alerta si el identificador de suceso 780 se registra alguna vez en una entidad emisora.
Auditar la PKI
Debe llevar a cabo una auditoría periódica de la PKI para garantizar que funciona del modo previsto. Aunque la tarea anterior, Revisar los registros de auditoría en busca de incidentes de seguridad, puede formar parte de esta auditoría, no se deben confundir ambas. Una auditoría está pensada para confirmar que un sistema funciona según la directiva y las directrices que cubren dicho sistema y para descubrir cualquier caso de incumplimiento de la directiva.
No obstante, esta tarea no está pensada para cubrir requisitos de auditoría legales o normativos. Si tiene que atenerse a estándares de auditoría externos, debe consultar a su auditor u otro profesional cualificado para obtener consejo.
Frecuencia
Cada año (la frecuencia puede variar según los requisitos normativos, los estándares específicos de la organización y otros factores)
Requisitos de seguridad
Puede requerir la pertenencia a auditores de entidad emisora de certificados y a administradores locales en las entidades emisoras y a administradores de PKI de empresa en el dominio
Detalles de la tarea
La auditoría de los sistemas de seguridad de la información es una disciplina especializada y en este documento no se puede tratar en profundidad. Sin embargo, en la siguiente lista se detallan algunas cuestiones que una auditoría de PKI debe incluir.
| • | La práctica actual cumple con la directiva de certificados de PKI, la Orden de prácticas de certificación, si dispone de ella, y la directiva de seguridad de información de su organización. |
| • | Los cambios en la configuración de PKI (indicados en el registro de administración de la configuración) tienen una petición de cambio y un registro de aprobación correspondientes. |
| • | Los titulares de certificados KRA siguen siendo válidos y pueden desempeñar su función (por ejemplo, no se han transferido a otro departamento). |
| • | El personal operativo dispone de los conocimientos y la experiencia adecuados para dar soporte a la PKI (revise las necesidades de formación). |
| • | El personal sigue asignado a las funciones administrativas correctas (si el personal cambia de puesto, su capacidad administrativa debe cambiar en consecuencia). |
| • | Los titulares de tarjeta de clave y de operador de HSM son válidos (por ejemplo, no han abandonado la compañía), pueden desempeñar su función y las tarjetas son seguras y funcionales. |
Revisar los datos de rendimiento y capacidad
Las tendencias de capacidad se deben comprobar periódicamente para garantizar que una entidad emisora de certificados tiene recursos suficientes. Esto sólo es importante para entidades emisoras de certificados y, en concreto, para entidades emisoras que se utilizan exhaustivamente.
Frecuencia
Cada año
Requisitos de seguridad
Pertenencia a administradores locales en las entidades emisoras de certificados
Detalles de la tarea
Aunque las alertas de supervisión operativa deben advertirle si se están alcanzando los límites de capacidad de un recurso, como espacio en disco o memoria, con frecuencia no se reciben suficientes advertencias de ellas para planear correctamente las necesidades de capacidad. Por lo tanto, debe revisar periódicamente las tendencias de capacidad de la entidad emisora de certificados. La descripción en profundidad del diseño de la capacidad queda fuera del alcance de este documento. Si dispone de un experto en diseño de la capacidad en su organización, debe utilizarlo como ayuda para administrar las necesidades de recursos de las entidades emisoras de certificados.
Las siguientes directrices le resultarán útiles.
| • | Asegúrese de que las entidades emisoras de certificados disponen de capacidad suficiente para el uso proyectado durante los dos primeros años (consulte Calcular las posibles restricciones de capacidad de la entidad emisora de certificados). |
| • | Utilice la herramienta Registros y alertas de rendimiento de Windows para crear una medida de referencia de las entidades emisoras de certificados antes de ponerlas en producción. |
| • | Efectúe mediciones de rendimiento actualizadas cada tres meses durante el primer año de funcionamiento hasta que perciba las tendencias de crecimiento de los requisitos de recursos. Tras ello, puede reducir la frecuencia. |
| • | Asegúrese de que en el diseño tiene en cuenta las nuevas aplicaciones de certificados que se vayan incorporando. Éstos deben ser los factores de crecimiento más importantes y producirán aumentos repentinos en la demanda de recursos en vez de un crecimiento lineal suave. |
| • | Capacidad de disco, rendimiento de disco y capacidad de memoria son las áreas en las que es más probable padecer restricciones de capacidad. |
| • | Asegúrese de configurar alertas operativas razonables de los recursos físicos de la entidad emisora de certificados para recibir advertencias tempranas de escasez de capacidad, aunque sus previsiones no prevean dicha escasez. |
Administración de la base de datos y la configuración de la entidad emisora de certificados
En esta sección se tratan las tareas de administración del almacenamiento, como la realización de copias de seguridad, la prueba de copias de seguridad y el archivo de registros.
Realizar copias de seguridad de una entidad emisora de certificados sin conexión
El propósito de esta tarea es crear copias de seguridad de las claves privadas y los certificados de la entidad emisora de certificados, la base de datos de certificados y la información de configuración de Servicios de Certificate Server. La información de configuración de Servicios de Certificate Server incluye la configuración del sistema operativo y otra información de estado de la que depende la entidad emisora de certificados.
Frecuencia
Cada vez que se emita un nuevo certificado (entidad emisora de certificados subordinada) o se revoque
Requisitos de seguridad
Pertenencia a operadores de copia de la entidad emisora de certificados
Detalles de la tarea
Una entidad emisora de certificados sin conexión normalmente sólo emite unos pocos certificados, por lo que el tamaño de los datos nunca será grande. Asimismo, los datos cambian con muy poca frecuencia, posiblemente sólo una vez cada varios años. Una entidad emisora de certificados sin conexión también requiere algún dispositivo de copia de seguridad local, como una unidad de cinta o una entidad emisora en la que se pueda escribir.
Precaución: si utiliza un HSM, este procedimiento puede hacer una copia de seguridad del material de claves cifradas (según el modo de funcionamiento del HSM), pero las claves copiadas no se podrán utilizar en un equipo restaurado sin un HSM y claves de acceso al HSM idénticos. Siga las instrucciones del proveedor del HSM para hacer una copia de seguridad y proteger el material de claves y las claves de acceso.
Para hacer una copia de seguridad de una entidad emisora de certificados sin conexión
1. | Ejecute el siguiente comando para hacer una copia de seguridad de los datos de la entidad emisora de certificados en el archivo temporal C:\CABackup\CABackup.bkf, que se puede copiar en un medio extraíble, como un DVD grabable. ntbackup backup systemstate /R:yes /F C:\CABackup\CABackup.bkf /J "CA Full Backup" /L:s /V:yes |
2. | Si va a almacenar los datos en una unidad de cinta local, ejecute el siguiente comando para hacer una copia de seguridad de la entidad emisora en la cinta Copia de seguridad de la entidad emisora de certificados. ntbackup backup systemstate /R:yes /t "CA Backup /J "CA Full Backup" /L:s /V:yes |
Precaución: estos datos de copia de seguridad son extremadamente confidenciales porque contienen el material de claves privadas de la propia entidad emisora de certificados (si no utiliza un HSM). Debe transportarlos y almacenarlos con el mismo cuidado y seguridad que la entidad emisora de certificados. Almacene los datos de la copia de seguridad en un sitio físico distinto al de la entidad emisora de certificados. De este modo podrá recuperar la entidad emisora si se destruyen todos los equipos informáticos del sitio o no se puede tener acceso a ellos.
Realizar copias de seguridad de las claves y certificados de la entidad emisora de certificados
Se debe hacer una copia de seguridad de los certificados y las claves de la entidad emisora de certificados independientemente de la base de datos de certificados así como de ésta. Las claves privadas y los certificados de la entidad emisora de certificados pueden ser necesarios para firmar una CRL si se produce un error en el servidor de la entidad emisora y no se puede recuperar con el tiempo suficiente.
Frecuencia
Anualmente o cada vez que se renueve el certificado de entidad emisora de certificados, lo que se produzca en primer lugar
Requisitos de seguridad
Pertenencia a operadores de copia de la entidad emisora de certificados
Detalles de la tarea
Las claves y los certificados de la entidad emisora de certificados sólo ocupan unos pocos kilobytes de almacenamiento y, por lo tanto, se pueden guardar en un disco. Esta tarea se aplica a la entidad emisora de certificados raíz y a todas las intermedias y emisoras de la organización. Si va a hacer una copia de seguridad de las claves en un medio de almacenamiento de larga duración como un CD o DVD, no tiene que hacerla anualmente. Si utiliza un medio magnético, como disquetes o cintas, debe hacer una copia de seguridad de las claves y los certificados anualmente así como después de una renovación del certificado de entidad emisora de certificados. La señal grabada en medios magnéticos se deteriora con el tiempo, en concreto si se exponen a campos eléctricos. Aunque pueden pasar muchos años antes de que se deterioren hasta el punto de ser ilegibles, es mejor ser precavido.
Precaución: si utiliza un HSM, este procedimiento no funciona del modo indicado. Siga las instrucciones del proveedor del HSM para hacer una copia de seguridad y proteger el material de claves y las claves de acceso.
Para exportar los certificados y las claves a un disco
1. | Inserte un disco extraíble y ejecute el siguiente comando; reemplace Contraseña por una contraseña de alta seguridad y CarpetaDestino por el nombre de la ruta de acceso donde se almacenarán las claves y los certificados guardados. certutil -backupKey -p Password TargetFolder Importante: registre y almacene esta contraseña de forma segura pero en un lugar distinto del que se almacenarán las copias de seguridad de las claves. El registro de contraseña debe indicar de un modo claro la copia de seguridad (etiqueta de disco, fecha y nombre de la entidad emisora de certificados) con la que se relaciona. Pueden pasar muchos meses o años antes de necesitar estas claves y es poco probable que nadie se acuerde de la contraseña que se utilizó. Asegúrese de destruir los demás registros de esta contraseña. No utilice una contraseña común que conozca el personal de administración. |
2. | Haga, como mínimo, dos copias de seguridad independientes en discos distintos (los discos no siempre son completamente confiables). Asigne una etiqueta y una fecha claras a los discos según resulte apropiado, teniendo en cuenta el tiempo que puede pasar antes de que se vuelvan a necesitar. |
3. | Almacene el disco de forma adecuada. Al igual que con las copias de seguridad de la base de datos de la entidad emisora de certificados, trate estas copias de seguridad de claves con la máxima seguridad. Almacene al menos dos copias de seguridad de los certificados y las claves en dos ubicaciones seguras independientes. |
Probar las copias de seguridad de la base de datos de la entidad emisora de certificados
Este procedimiento prueba las copias de seguridad de la entidad emisora de certificados para garantizar que el proceso y la tecnología de copia de seguridad funcionan correctamente. Sólo debe restaurar una entidad emisora de certificados en un equipo que sea de la misma confianza que la entidad emisora. Por ejemplo, no restaure una entidad emisora de certificados sin conexión en un equipo con conexión. El equipo utilizado para la restauración de prueba debe ser físicamente seguro y, lo que sería ideal, permanentemente sin conexión.
Frecuencia
Antes de que la entidad emisora de certificados sea operativa; después, cada tres meses para las entidades emisoras con conexión y una vez para las entidades emisoras sin conexión. Vuelva a realizar la prueba siempre que se produzca un cambio en la tecnología o el proceso de copia de seguridad.
Requisitos de seguridad
Pertenencia a administradores locales u operadores de copia en el equipo de prueba
Detalles de la tarea
Debe restaurar la copia de seguridad de estado del sistema en un sistema con un diseño de discos idéntico. Por ejemplo, Windows se debe instalar en la misma ruta de acceso de directorio que el sistema del que se ha hecho la copia de seguridad y con el mismo diseño de unidades para almacenar los archivos de Windows, como los archivos de paginación. La base de datos y los registros de la entidad emisora de certificados deben ser los mismos que la entidad emisora original de la que se ha hecho la copia de seguridad.
Advertencia: el servidor de prueba restaurado debe permanecer sin conexión desde el momento en que se inicie la restauración del estado del sistema. De este modo se impide que las claves de la entidad emisora de certificados restaurada se expongan innecesariamente y, además, se evita que se produzcan conflictos de nombres y direcciones IP duplicados entre el servidor de prueba y el original. Una entidad emisora de certificados sin conexión nunca se debe probar o restaurar en un servidor con conexión.
Importante: si utiliza un HSM, este procedimiento no será suficiente para restaurar la entidad emisora de certificados por completo. Según el funcionamiento del HSM, el equipo restaurado no se podrá utilizar sin un HSM y claves de acceso de HSM idénticos. Puede ser suficiente para una prueba normal, pero debe realizar periódicamente una restauración completa con recuperación de HSM para garantizar que los procedimientos y la tecnología de copia de seguridad funcionan correctamente. Siga las instrucciones del proveedor del HSM para hacer una copia de seguridad, restaurar y proteger el material de claves y las claves de acceso.
Para restaurar la entidad emisora de certificados
1. | Restaure la copia de seguridad del estado del sistema del medio de copia de seguridad. |
2. | Reinicie el sistema. |
3. | Compruebe que todo se ha realizado del modo previsto. Pruebe con la emisión de un certificado y una CRL. |
4. | Limpie el servidor de prueba (o, como mínimo, las claves de la entidad emisora de certificados) al final de la prueba. |
Importante: si decide eliminar únicamente las claves (en vez de limpiar el servidor), ejecute el comando cipher para borrar las partes no asignadas del disco.
Cipher /W:%AllUsersProfile%
Debe ser miembro del grupo Administradores local para realizar esta operación. Se utiliza la ruta de acceso %allusersprofile% para que el comando cipher funcione en la unidad que contiene el material de claves. No tiene que realizar esta operación si utiliza HSM.
Probar las copias de seguridad de las claves de la entidad emisora de certificados
Compruebe las copias de seguridad de las claves de la entidad emisora de certificados para asegurarse de que son válidas, en caso de que se necesiten alguna vez.
Frecuencia
Cada seis meses para las entidades emisoras de certificados; cada año para las entidades emisoras sin conexión
Requisitos de seguridad
Pertenencia a administradores locales en el equipo de prueba
Detalles de la tarea
Puede instalar las claves y los certificados de la entidad emisora de certificados en cualquier sistema (aunque, debido a la naturaleza extremadamente confidencial de estas claves, se debe realizar en un sistema físicamente seguro y sin conexión). Para garantizar que todos los rastros del material de claves se quitan del equipo, cree una cuenta de usuario local independiente y temporal en el equipo dedicado a este propósito.
Precaución: si utiliza un HSM, este procedimiento no funcionará. Siga las instrucciones del proveedor del HSM para hacer una copia de seguridad, restaurar y proteger el material de claves y las claves de acceso.
Para restaurar las claves de la entidad emisora de certificados
1. | Asegúrese de que el equipo se ha desconectado de la red, inicie la sesión como miembro de administradores locales y, a continuación, cree la cuenta de usuario PruebaClavesCA. |
2. | Inicie sesión con esta cuenta. |
3. | Inserte el disco que contiene la copia de seguridad de las claves de la entidad emisora de certificados que se probarán. |
4. | Utilice el Explorador de Windows para desplazarse al archivo de claves .P12 y haga doble clic en él. Se iniciará el Asistente para importación de certificados. |
5. | Escriba la contraseña cuando se le pida y no active las casillas de verificación para asignar una alta protección a las claves ni convertirlas en exportables. |
6. | Haga clic en Colocar todos los certificados en el siguiente almacén, haga clic en Examinar y, a continuación, seleccione Almacén personal como la ubicación donde se restaurarán las claves de la entidad emisora de certificados. |
7. | Abra el complemento Certificados de MMC y busque Almacén personal. Busque el certificado de la entidad emisora de certificados restaurada y, a continuación, ábralo para comprobar que dispone de una clave privada correspondiente. Debe aparecer indicado en la parte inferior de la ficha General. |
Repita este proceso para cada clave y certificado de la entidad emisora de certificados actual.
Para probar las claves restauradas
1. | Obtenga una CRL o un certificado emitido por la entidad emisora de certificados que está probando. La CRL o el certificado deben corresponder a la clave y certificado de entidad emisora que está probando cuando restaure varias claves. |
2. | En función de si ha elegido una CRL o un certificado en el paso anterior, ejecute el comando correspondiente de los siguientes y sustituya el nombre del archivo obtenido en el paso 1 en NombreArchivoCRL o NombreArchivoCertificado. Certutil -sign CRLFileName.crl NewCRL.crl Certutil -sign CertFileName.cer NewCertFile.cer |
3. | Cuando se le pida, seleccione el certificado de entidad emisora de certificados (importado en el procedimiento anterior) como el certificado de firma. |
4. | Después de haber ejecutado el comando certutil apropiado, compruebe que la operación de firma se ha realizado correctamente. El resultado debe ser similar al siguiente: C:\>certutil -sign "Contoso Issuing CA 111.crl" "Contoso Issuing CA 111xxs.crl" ThisUpdate: 2/10/2003 10:52 PM NextUpdate: 2/25/2003 3:11 PM CRL Entries: 0 Signing certificate Subject: CN=Contoso Issuing CA 111 DC=contoso, DC=com Output Length = 970 CertUtil: -sign command completed successfully. |
Repita este proceso para cada clave y certificado de entidad emisora de certificados que vaya a probar, mediante una CRL o un certificado firmado por dicha clave.
Debe limpiar las claves del sistema de prueba.
Para limpiar las claves del sistema
1. | Inicie la sesión como miembro de administradores locales y elimine el perfil de usuario de la cuenta PruebaClavesCA mediante Propiedades avanzadas en Mi PC. |
2. | Elimine la cuenta PruebaClavesCA. |
3. | Borre de forma segura las áreas no asignadas del disco para quitar permanentemente los rastros de las claves; para ello, ejecute el siguiente comando. Cipher /W:%AllUsersProfile% |
Nota: al especificar %allusersprofile% como la ruta de acceso, se garantiza que el comando cipher.exe funciona en la unidad que contiene los perfiles de usuario. Borra toda la unidad, no sólo la ruta de acceso indicada.
Archivar los datos de auditoría de seguridad de una entidad emisora de certificados
Archive y almacene los registros de auditoría para cumplir los requisitos legales o normativos, o bien para cumplir la directiva de seguridad interna. Si dispone de un sistema de consolidación de sucesos de auditoría, como MOM o Windows Audit Collection System, ya tiene el medio para recopilar y archivar automáticamente los registros de auditoría. Para obtener información acerca de cómo configurar el sistema para hacerlo, consulte la documentación.
Frecuencia
Mensualmente en la entidad emisora de certificados; cada seis meses en las entidades emisoras raíz e intermedias
Requisitos de seguridad
Pertenencia a auditores de entidad emisora de certificados y administradores locales en la entidad emisora
Detalles de la tarea
Para archivar el registro de sucesos de seguridad
1. | Inicie la sesión en la entidad emisora con una cuenta que sea miembro de auditores de entidad emisora de certificados y administradores locales (cree una cuenta que sea miembro de ambos grupos). |
2. | Abra Visor de sucesos; para ello, haga clic en Inicio, Todos los programas y, a continuación, Herramientas administrativas. |
3. | Seleccione la carpeta de registro Seguridad. |
4. | Haga clic con el botón secundario del mouse para mostrar el menú desplegable y, a continuación, haga clic en Guardar archivo de registro como. |
5. | Guarde el registro en un archivo temporal. |
6. | Cópielo en un medio extraíble (como CD-R) y, a continuación, elimine el archivo temporal. |
Planear y optimizar la capacidad
La administración de la capacidad es el proceso de diseño, cuantificación y control de la capacidad de la solución de servicio, para que la demanda del usuario se satisfaga dentro de los niveles de rendimiento acordados. Las tareas de esta sección corresponden al cuadrante de optimización del modelo de proceso de MOF.
Determinar la carga máxima en la entidad emisora de certificados
En esta sección se proporciona información acerca de cómo calcular la carga máxima probable en las entidades emisoras de certificados.
Aunque las entidades emisoras de certificados normalmente no tienen una carga alta, hay ocasiones en que las cargas pueden aumentar considerablemente. La mayor carga en una entidad emisora de certificados normalmente se produce en el momento de máximo uso de inicio de sesión o inicio durante la implementación de un nuevo tipo de certificado. De la misma forma, aunque con mucha menos frecuencia, si ha habido una revocación de certificados masiva o una revocación de certificado de entidad emisora de certificados, los usuarios y los equipos que se vuelvan a inscribir provocarán un uso máximo anómalo.
Detalles de la tarea
Las pruebas internas de Microsoft han mostrado que, para una entidad emisora de certificados de empresa típica, el cuello de botella de rendimiento en los momentos de carga alta se debe a la interacción con Active Directory. La tarea de firmar y emitir certificados es relativamente ligera en comparación con la sobrecarga de realizar búsquedas en el directorio para recuperar información de sujetos de certificado y, a continuación, publicar posiblemente el certificado en Active Directory.
En un escenario típico de carga máxima, se ha habilitado un nuevo tipo de certificado y todos los usuarios y equipos tienen que inscribir certificados de este tipo.
| • | Número de usuarios: 10,000 |
| • | Número de equipos: 10,000 |
| • | Velocidad de emisión máxima aproximada de una entidad emisora de certificados de empresa: 30 certificados por segundo o 1.800 certificados por minuto. |
Esto da como resultado un tiempo de inscripción mínimo total de 11 minutos para 10.000 usuarios y 10.000 equipos.
Importante: si el certificado que se está emitiendo también se publica en el directorio (no es el comportamiento predeterminado y normalmente se requiere para los certificados de cifrado de correo electrónico), la velocidad de emisión máxima desciende a 15 certificados por segundo, lo que duplica el tiempo total de inscripción para dicho tipo de certificado.
Puede determinar cuál podrá ser la carga máxima de inscripción para su organización mediante estas cifras y, a continuación, calcular la duración total de inscripción. Si el tiempo es inaceptablemente largo y no puede escalonar la inscripción en modo alguno, considere la posibilidad de implementar entidades emisoras de certificados adicionales para distribuir la carga. Se deben implementar como sitios de Active Directory independientes para que utilicen controladores de dominio independientes.
Determinar los requisitos de almacenamiento y copia de seguridad para una entidad emisora de certificados
Esta tarea permite calcular los requisitos de almacenamiento futuros para el almacenamiento en discos en línea y copia de seguridad sin conexión. Para instalaciones grandes, proporcionar almacenamiento con el tamaño y el rendimiento adecuados supone el mayor reto de administración de capacidad para las entidades emisoras de certificados de Windows.
Detalles de la tarea
Las cifras de capacidad indicadas en esta tarea se basan en los siguientes supuestos.
| • | Una población de 10.000 usuarios, 10.000 equipos y 500 servidores. |
| • | Se emiten cinco certificados al año para cada usuario y equipo; cada certificado tiene un período de validez de un año. |
| • | Hay picos ocasionales cuando un nuevo tipo de certificado aparece en línea y se inscriben prácticamente todos los usuarios (o equipos) en un solo día. |
| • | Se emiten certificados de correo electrónico seguros a los usuarios; éste es el único tipo de certificado que se publica en Active Directory. |
| • | La inmensa mayoría de los certificados se emiten durante los días laborables. |
| • | Cada día se realiza una copia de seguridad completa de la base de datos, lo que trunca los registros de base de datos. |
| • | Cada entrada de certificado ocupa un promedio de 20 KB en la base de datos de la entidad emisora de certificados; el tamaño promedio es de 32 KB si la clave privada se archiva con el certificado. |
| • | Cada certificado publicado en el directorio ocupa aproximadamente 1,5 KB en la base de datos de Active Directory, mediante claves de 1024 bits. |
| • | Una entrada de CRL ocupa aproximadamente 30 bytes. Como máximo, se revocará aproximadamente el 10 por ciento de los certificados emitidos. Los certificados revocados fuera de su período de validez no se incluyen en la CRL. |
En la tabla 21 se muestran las cifras de capacidad previstas para el mismo tamaño de organización. Algunas de las cifras máximas representan el peor de los casos, o casi, en el que todos los usuarios se inscriben automáticamente en un único tipo de certificado en un solo día. Puede reducir estos picos si distribuye la inscripción de certificados en un período mayor.
Tabla 21: Cifras de capacidad para almacenamiento y copia de seguridad
| Elemento de capacidad | Certificados | Requisito de almacenamiento | Notas |
Tamaño de la base de datos de la entidad emisora de certificados | Cada año se agregan 100.000 certificados a la base de datos. | La base de datos de certificados crecerá 2 GB por año y alcanzará 10 GB al cabo de 5 años. | Conocer el tamaño de la base de datos de la entidad emisora de certificados es fundamental en el diseño de los requisitos de almacenamiento en disco y copia de seguridad. |
Tamaño del registro de la base de datos de la entidad emisora de certificados | Cada día se emite un promedio de 4.000 certificados; el valor máximo es 10.000 certificados en un día. | Los registros crecerán hasta un máximo de 200 MB durante los períodos de máximo uso, pero el promedio es de 8 MB cada día antes de que los trunque la copia de seguridad. | Es poco probable que vea una distribución sin problemas a lo largo del año, por lo que debe tener en cuenta los períodos de máximo uso. |
Tamaño de CRL | En un momento determinado, 100.000 certificados están en su período de validez; 10.000 certificados estarán en la CRL. | El tamaño de la CRL completa será de 300 KB (normalmente se emite una vez a la semana). Las diferencias entre listas CRL diarias tendrán un tamaño máximo de 6 KB. | El tamaño y la frecuencia de publicación de la CRL son importantes debido a que cada cliente tiene que recuperar una copia de una ubicación de red. Esto resulta muy importante para los clientes remotos conectados mediante líneas lentas. |
Tamaño de la base de datos de Active Directory | Cada año se emiten 10.000 certificados de correo electrónico. | Esto aumenta el tamaño de la base de datos del directorio en 15 MB. | Los certificados sólo afectan al tamaño de la base de datos de Active Directory y al tráfico de replicación si se publican en el directorio. |
Tráfico de replicación de Active Directory | Se supone el peor de los casos en que se produce un pico de 10.000 certificados en un día durante 8 horas. | Esto provoca 15 MB de tráfico de replicación en todos los controladores de dominio, un promedio de 4 Kbps. | El único factor importante que contribuye al tráfico de replicación es la publicación de certificados en el directorio. |
El tamaño de la base de datos de la entidad emisora de certificados y el de los registros de base de datos ofrecen una guía para el almacenamiento necesario para las copias de seguridad completas y diferenciales. En la tarea Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados se proporcionan cálculos de ejemplo del tiempo necesario para hacer la copia de seguridad.
Administrar el cambio y la configuración
Es importante administrar el cambio de la infraestructura de TI. Administrar el cambio significa seguir un ciclo controlado de diseño y preparación, documentación y, finalmente, publicación del cambio. Seguir este ciclo ayuda a minimizar las consecuencias imprevistas de un cambio en el entorno y, además, permite invertir el cambio más fácilmente si tiene que hacerlo. Grabar los cambios que realice en la PKI en una base de datos de administración de configuración ayuda a mantener el entorno en un estado conocido.
En esta sección son importantes tres funciones. Se definen con más detalle en la documentación del modelo de MOF correspondiente al cuadrante de cambios.
| • | La administración de cambios es el proceso de planear el cambio y preparar el entorno. |
| • | La administración de versiones es la implementación del cambio en el entorno. |
| • | La administración de la configuración es la grabación exacta del estado del entorno de TI. |
Administración de cambios y de versiones
Administración de cambios
La administración de cambios resulta fundamental para el funcionamiento sin problemas del entorno de TI. Un cambio normalmente se define como algo que modificará el entorno de TI de un modo sustancial; por ejemplo, la implementación de un nuevo tipo de certificado, la actualización de un sistema operativo o la retirada de una entidad emisora de certificados. Por otro lado, una operación como la realización de una copia de seguridad programada, aunque técnicamente cambia el entorno, normalmente no se considera un cambio según estos términos. Otros elementos resultan más controvertidos: agregar una cuenta de usuario al dominio se puede considerar una operación rutinaria, pero conceder privilegios administrativos a una cuenta con toda probabilidad debe pasar por un proceso de administración de cambios.
Un objetivo clave del proceso de administración de cambios es garantizar que todas las partes afectadas por un determinado cambio sean conscientes del efecto del cambio inminente y lo comprendan. Como los sistemas de TI están fuertemente interrelacionados, cualesquiera cambios que experimente una parte de un sistema pueden tener un profundo impacto sobre otros. Con el fin de mitigar o eliminar los efectos adversos, la administración de cambios intenta identificar todos los sistemas y procesos afectados antes de que se implemente el cambio. Normalmente, el entorno de “destino” o administrado es el entorno de producción, pero también debería incluir a los entornos clave de integración, de prueba y de ensayo.
Todos los cambios de la PKI deben seguir el proceso de administración de cambios de MOF estándar del siguiente modo:
1. | Solicitud del cambio Inicio formal de un cambio mediante el envío de una solicitud de cambio (RFC). |
2. | Clasificación del cambio Asignación de una prioridad y una categoría al cambio, basándose en criterios de urgencia e impacto en la infraestructura o en los usuarios. Esta asignación afecta a la rapidez y ruta de implementación. |
3. | Autorización del cambio Consideración y aprobación (o rechazo) del cambio por parte del administrador de cambios y la junta de aprobación de cambios (junta que contiene representantes de TI y comerciales). |
4. | Desarrollo del cambio Diseño y desarrollo del cambio; proceso que puede variar considerablemente en alcance e incluye revisiones en hitos intermedios clave. |
5. | Publicación del cambio Publicación e implementación del cambio en el entorno de producción (consulte Administración de versiones). |
6. | Revisión del cambio Proceso posterior a la implementación en el que se revisa si el cambio ha alcanzado los objetivos que tenía establecidos y en el que se determina si se mantendrá el cambio o se deshará. |
Administración de versiones
El principal interés de la administración de versiones es facilitar la introducción de versiones de software y hardware en entornos administrados de TI. Normalmente, incluye el entorno de producción y los entornos administrados previos a la producción. La administración de versiones es el punto de coordinación entre el desarrollo de la versión y equipo del proyecto, y los grupos de operaciones responsables de la implementación de la versión para la producción.
La administración de versiones es responsable de lo siguiente:
1. | Determinar la preparación de un cambio para su implementación mediante la evaluación de si ha cumplido todos los criterios de versión requeridos para la organización. |
2. | Preparar la versión: garantizar que se dispone de los recursos correctos, por ejemplo, el equipo de TI correcto, personal preparado adecuadamente y suficiente capacidad de red. |
3. | Coordinar la implementación de un cambio, que puede incluir una implementación progresiva a un número limitado de usuarios. |
4. | Deshacer el cambio si algo funciona mal. |
Cambios importantes para una PKI
A continuación se ofrecen algunos de los cambios que pueden ser necesarios realizar en la PKI y que deben estar sujetos a los procesos formales de administración de cambios y de versiones. Tenga en cuenta que no se trata de una lista exhaustiva.
| • | Instalar una nueva entidad emisora de certificados |
| • | Cambiar las directivas de la entidad emisora de certificados |
| • | Cambiar las ubicaciones de publicación CDP y AIA de una entidad emisora de certificados |
| • | Cambiar el personal de administración de la PKI |
| • | Agregar, quitar o modificar una plantilla de certificado (incluido el cambio de los permisos de plantilla) |
| • | Cambiar el período de publicación de CRL |
| • | Cambiar los KRA de una entidad emisora de certificados |
| • | Cambiar la configuración de auditoría o los permisos de una entidad emisora de certificados |
| • | Agregar un certificado raíz o cruzado de confianza al directorio |
| • | Revocar el certificado de una entidad emisora de certificados |
| • | Actualizar el sistema operativo de la entidad emisora de certificados |
| • | Cambiar el método o la programación de copias de seguridad |
| • | Volver a configurar el hardware de la entidad emisora de certificados |
Administración de la configuración
La administración de la configuración es la identificación, el registro, el seguimiento y el informe de los componentes o activos de TI clave denominados elementos de configuración (CI). La información obtenida y registrada dependerá del elemento de configuración específico pero, con frecuencia, incluirá una descripción del mismo, la versión, los componentes constituyentes, las relaciones con otros elementos de configuración, la ubicación o asignación, y el estado actual.
La administración de la configuración de la PKI se puede agrupar en cinco áreas principales.
| • | Configuración de PKI de empresa: información común almacenada en Active Directory |
| • | Configuración de plantillas de certificado: detalles de configuración de todas las plantillas activas |
| • | Configuración de la entidad emisora de certificados: detalles de configuración específicos de la entidad emisora |
| • | Grupos de administración de entidad emisora de certificados y de PKI: detalles de los grupos de seguridad y usuarios de administración de la PKI y los permisos que tienen |
| • | Configuración de cliente: configuración de valores de usuario y equipo mediante Directiva de grupo (u otro método) |
En las siguientes secciones se describe cada uno de estos elementos con más detalle y se incluyen comandos que muestran información de configuración relacionada con dicha área. Es posible que ya disponga de una base de datos de administración de configuración en su organización. Puede llenar dicho sistema con el resultado de estos comandos (aunque puede que tenga que cambiar el formato del resultado). Se puede crear una base de datos de administración de configuración básica para la PKI si se redirige el resultado de estos comandos a archivos de texto. Puede utilizar herramientas de comparación de texto, como Windiff del Kit de recursos de Windows, para comparar el contenido de la nueva configuración con los registros anteriores y facilitar la detección de anomalías.
Para obtener más información acerca de la administración de configuración, consulte la sección Vínculos relacionados.
Recopilar información de configuración de la PKI de empresa
La información de configuración de toda la empresa está almacenada en Active Directory. Se incluye la publicación de entidades emisoras de certificados raíz de confianza, configuración de entidades emisoras de empresa e información de anuncios. También se incluyen las plantillas de certificado, pero se tratan aparte en Recopilar información de configuración de las plantillas de certificado.
Frecuencia
Anualmente o según se requiera
Requisitos de seguridad
Pertenencia a usuarios del dominio
Detalles de la tarea
Mantener registros de la siguiente información almacenada en Active Directory.
| • | Entidades emisoras de certificados raíz de confianza |
| • | Almacén NTAuth |
| • | Servicios de inscripción (entidades emisoras de certificados de empresa) |
| • | Certificados cruzados |
| • | CRL publicadas |
En los procedimientos siguientes se ofrecen los comandos para recopilar esta información. En algunos de estos comandos, debe reemplazar el nombre completo (DN) de dominio raíz de ejemplo (DC=contoso, DC=com) por el DN de su dominio raíz del bosque.
Nota: algunos de los siguientes comandos se muestran en varias líneas para facilitar su impresión, pero se deben introducir en una sola línea.
Para mostrar las entidades emisoras de certificados raíz de confianza
certutil -store -enterprise Root
Para mostrar los almacenes NTAuth
certutil -store -enterprise NTAuth
Para mostrar las entidades emisoras de certificados de empresa
certutil -dump
Para mostrar los certificados de las entidades emisoras de certificados de empresa actuales
certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration, DC=contoso, DC=com?cACertificate?one? objectClass=pkiEnrollmentService"
Para mostrar los certificados intermedios y cruzados
certutil -store -enterprise CA
Para mostrar únicamente los certificados de las entidades emisoras intermedias
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, DC=contoso, DC=com?cACertificate?one? objectClass=certificationAuthority"
Para mostrar únicamente los certificados cruzados
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, DC=contoso, DC=com?cRossCertificatePair?one? objectClass=certificationAuthority"
Para mostrar las CRL publicadas actualmente
1. | Este comando muestra los nombres de servidor de todas las entidades emisoras de certificados que han publicado CDP en el contenedor CDP de Active Directory. dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,DC=contoso, DC=com" -attr cn -scope onelevel |
2. | Este comando muestra los nombres comunes de todas las entidades emisoras de certificados que han publicado CDP en el contenedor CDP de Active Directory (son los objetos secundarios de la lista anterior). Tenga en cuenta que una entidad emisora de certificados creará un nuevo CDP por cada versión de entidad emisora, que se incrementa cada que la entidad se renueva. Se almacenan como "CACommonName(X)" donde X el número de versión de la entidad emisora.
dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, DC=contoso, DC=com" _
-attr cn –filter (objectclass=crlDistributionPoint)
|
3. | Con la información anterior, puede mostrar la CRL para un determinado CDP mediante los nombres comunes de entidad emisora del paso 2 y los nombres de servidor de entidad emisora del paso 1. Reemplace CA raíz Contoso 1 por el nombre común de la entidad emisora, RT-CA-01 por el nombre de host de la entidad emisora y DC=contoso, DC=com por el DN de su dominio raíz del bosque.
certutil -store -enterprise "ldap:///cn=Contoso Root CA 1,cn=RT-CA-01,cn=CDP,CN=Public _
Key Services,CN=Services,CN=Configuration, DC=contoso, DC=com?certificateRevocationList?base?objectClass=cRlDistributionPoint"
|
Puede escribir un archivo de comandos (por lotes) para automatizar estos comandos con el fin de simplificar su ejecución.
Recopilar información de configuración de las plantillas de certificado
Las plantillas de certificado se almacenan en Active Directory. Conserve un registro de la configuración de cada plantilla y los permisos de inscripción de certificado que se utilizan para cada una.
Frecuencia
Anualmente o según se requiera
Requisitos de seguridad
Usuarios del dominio
Detalles de la tarea
Los siguientes comandos se utilizan para recopilar esta información.
Nota: es posible que algunos comandos se muestren en varias líneas para facilitar su impresión, pero se deben introducir en una sola línea.
Para generar una lista de las plantillas configuradas en Active Directory
Certutil -template
Para volcar la configuración de estas plantillas
Certutil –dsTemplate
Para volcar los permisos de una plantilla
Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,DC=contoso, DC=com"
No existe ninguna herramienta que exporte los permisos de plantilla completos en un formato de fácil lectura. Dsacls.exe muestra los permisos de una plantilla. Sin embargo, la versión actual no muestra el permiso "Inscripción automática" de los derechos extendidos, aunque sí muestra "Inscripción" y los demás permisos de los derechos extendidos. Esto significa que debe mantener un registro de los permisos "Inscripción automática" manualmente. Por otro lado, puede escribir una secuencia de comandos o una herramienta con la Interfaz de servicios de Active Directory (ADSI) para leer y mostrar todos los permisos correctamente.
Recopilar información de configuración de la entidad emisora de certificados
En esta sección se trata la información de configuración almacenada en cada entidad emisora de certificados y, en el caso de las entidades emisoras de empresa, la información almacenada en Active Directory.
Frecuencia
Anualmente o según se requiera
Requisitos de seguridad
Administradores locales de la entidad emisora de certificados
Detalles de la tarea
Mantener registros de la siguiente información.
| • | Información del Registro de la entidad emisora de certificados |
| • | Información del certificado de entidad emisora de certificados |
| • | Permisos de la entidad emisora de certificados |
| • | Plantillas asignadas a la entidad emisora de certificados |
| • | Orden de prácticas de certificación (CPS) de entidad emisora de certificados |
Los siguientes comandos se utilizan para recopilar esta información.
Para mostrar la información del Registro de la entidad emisora de certificados
certutil -getreg certutil -getreg CA
Para mostrar el certificado de entidad emisora de certificados actual (más reciente)
certutil -f -ca.cert %temp%\CAcert.cer > nul && certutil -dump %temp%\CACert.cer
No hay ninguna herramienta que vuelque los permisos de la entidad emisora de certificados en una forma que pueda ser utilizable. Mantenga un registro de esta información manualmente.
Para mostrar las plantillas asignadas actualmente a esta entidad emisora de certificados
certutil -CATemplates
El archivo de CPS de la entidad emisora de certificados se debe mantener con el control de versión adecuado para que resulte fácil identificar y recuperar la CPS que estaba efectiva en un determinado momento.
Recopilar información de los grupos de administración de la entidad emisora de certificados y de la PKI
La pertenencia a los grupos de administración de la PKI es una información de configuración importante ya que estos grupos tienen control sobre todos los aspectos de las entidades emisoras de certificados y la información de PKI de empresa.
Frecuencia
Anualmente o según se requiera
Requisitos de seguridad
Usuario de dominio
Detalles de la tarea
Por cada grupo de administración de la PKI y la entidad emisora de certificados, enumere y registre los miembros actuales. Si alguno de los miembros es un grupo (se indica mediante un asterisco antes del nombre), enumere los miembros de dichos grupos de uno en uno hasta que tenga una lista de usuarios de todos los miembros de los grupos de la PKI.
Los grupos predeterminados son:
| • | Administradores de PKI de empresa |
| • | Editores de PKI de empresa |
| • | Administradores de entidad emisora de certificados |
| • | Administradores de certificados |
| • | Auditores de entidad emisora de certificados |
| • | Operadores de copia de entidad emisora de certificados |
| • | Puede incluir Administradores de empresa en esta lista ya que los miembros de este grupo pueden desempeñar todas las funciones de los administradores de PKI de empresa. Si ha creado grupos de administración adicionales, inclúyalos también. |
Para enumerar los miembros de cada grupo
1. | Ejecute el siguiente comando en un equipo del dominio y reemplace nombreGrupo por el grupo cuyos miembros se enumerarán. net groups groupname /domain |
2. | Ejecute el siguiente comando en cada entidad emisora de certificados sin conexión y reemplace nombreGrupo por el grupo cuyos miembros se enumerarán. net localgroup groupname |
Recopilar información de configuración de los clientes de certificado
Esta tarea hace referencia a la información de configuración de cliente implementada mediante Directiva de grupo. Si utiliza otro mecanismo (por ejemplo, SMS o secuencias de comandos de inicio de sesión) para implementar configuración de cliente relacionada con la PKI, documéntelo aquí también.
Frecuencia
Anualmente o según se requiera
Requisitos de seguridad
Active Directory con permisos para administrar GPO
Detalles de la tarea
Utilice la Consola de administración de directivas de grupo (GPMC) o el GPO Conjunto resultante de directivas de MMC para recopilar y enumerar la información de configuración de clientes de PKI. Para obtener más información acerca de cómo obtener y utilizar GMPC, consulte la sección Vínculos relacionados.
Tareas de soporte comunes
La solución de problemas y el soporte se incluyen en el cuadrante de soporte de MOF. Los procedimientos de soporte son tareas reactivas diseñadas para restaurar el servicio de PKI a los niveles previstos. La solución de problemas forma parte de la administración de problemas de MOF, que tiene por objetivo realizar el seguimiento del origen de los errores y solucionarlos donde se produzcan. Las interrupciones de servicio importantes casi siempre implican ambas funciones de administración de servicios.
El cuadrante de soporte de MOF también trata el funcionamiento del servicio de asistencia al usuario, que recibe los informes de errores e inicia los procedimientos de soporte adecuados. La organización de un servicio de asistencia al usuario no se trata en este documento. Para obtener más información, consulte la descripción del servicio de atención al usuario en la documentación del modelo de proceso de Microsoft Operations Framework.
En esta sección se enumera una serie de incidentes de soporte comunes o de gran impacto que pueden afectar a una PKI. Además, se incluyen procedimientos de soporte que le ayudarán a tratar algunos de ellos y que no están documentados en ninguna otra parte.
Esta sección está estrechamente relacionada con Configurar la supervisión y las alertas. La supervisión del servicio proporciona la información esencial que la que el personal operativo y de soporte puede detectar problemas. En concreto, los sucesos de alerta descritos en Supervisar la disponibilidad del servicio indican errores de servicio reales o inminentes que se tratan en esta sección.
En la tabla 22 se describen muchos de los incidentes de soporte importantes que se pueden producir al administrar la PKI. La columna Tarea de soporte o referencia enumera uno de los siguientes elementos:
| • | Una tarea de soporte que se debe realizar (como restaurar la entidad emisora de certificados a partir de una copia de seguridad). Estas tareas se describen en Tareas de soporte. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| • | Un procedimiento operativo estándar (la aparición de este tipo de alerta normalmente indica que falta una tarea de soporte programada). Estas tareas se describen en Funcionamiento de la PKI. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| • | Una referencia a solución de problemas o documentación de soporte adicional que le ayudarán a diagnosticar y resolver el problema. Tabla 22: Incidentes de soporte principales
|
Tareas de soporte
Esta sección contiene información detallada de algunas tareas de soporte de PKI que no están documentadas completamente en ninguna otra parte.
Restaurar la entidad emisora de certificados a partir de una copia de seguridad
Si no puede iniciar una entidad emisora de certificados debido a un daño grave de software o hardware, tendrá que restaurar el servidor y el material de claves a partir de una copia de seguridad. Esto significa restaurar una copia de seguridad del estado del sistema y puede requerir la reinstalación de Windows.
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados (o a operadores de copia de la entidad emisora para realizar únicamente la restauración)
Detalles de la tarea
Realice los siguientes pasos para restaurar una entidad emisora de certificados a partir de una copia de seguridad.
Precaución: si utiliza un HSM, este procedimiento no funciona del modo descrito. Siga las instrucciones del proveedor del HSM para hacer una copia de seguridad, restaurar y proteger el material de claves y las claves de acceso.
Para restaurar una entidad emisora de certificados a partir de una copia de seguridad
1. | El sistema operativo se tiene que recuperar en el punto donde sea viable volver a ejecutar Servicios de Certificate Server. Esto puede significar la reinstalación de Windows. Asegúrese de que aplica todos los Service Pack y actualizaciones de seguridad actuales. Durante la restauración del estado del sistema se recuperará la configuración de seguridad y de otro software. Advertencia: si la base de datos y los registros de la entidad emisora de certificados no estaban almacenados en la unidad del sistema, puede que estén intactos aunque no se pueda recuperar el sistema operativo. Cuando reinstale Windows, no vuelva a crear particiones en las demás unidades del equipo ni las vuelva a formatear; de este modo, dispondrá de la posibilidad de recuperar los datos creados después de la última copia de seguridad. |
2. | Si es posible, conserve la base de datos y los registros de la entidad emisora de certificados. Cree una copia de seguridad en archivo de estas carpetas antes de restaurar la copia de seguridad del estado del sistema. Es posible que el error del sistema no haya afectado a la base de datos ni a los registros. Los registros contienen la información necesaria para volver a ejecutar todas las transacciones en la entidad emisora de certificados que se han producido entre la última copia de seguridad y el error del servidor. Sin embargo, la restauración de una copia de seguridad del estado del sistema puede sobrescribir los registros y la base de datos existentes, por lo tanto, consérvelos antes de iniciar una restauración del sistema. Si estos archivos aún siguen intactos, puede intentar copiarlos sobre los archivos de la entidad emisora de certificados antes del paso 3 y, a continuación, reiniciar el sistema. Si esto no funciona debido a que la base de datos está dañada, vuelva a ejecutar la restauración del estado del sistema y continúe con el paso 4. |
3. | Inserte el medio de copia de seguridad con la copia más reciente de la entidad emisora de certificados y restaure el estado del sistema del servidor. |
4. | Una vez terminada la operación de restauración, reinicie el servidor y compruebe que funciona del modo previsto. |
5. | Si dispone de una copia de seguridad diferencial de la entidad emisora de certificados (sólo con entidades emisoras con conexión), ahora puede restaurar el archivo de copia de seguridad diferencial más reciente (es posible que los archivos de la copia de seguridad diferencial más recientes todavía se encuentren en la carpeta C:\CABackup si el disco no se ha destruido). Una vez copiados los archivos de la copia de seguridad diferencial en el servidor (cree una carpeta, por ejemplo C:\CARestore, y cópielos desde el medio de copia de seguridad en esta carpeta), puede restaurar los registros diferenciales en la base de datos de la entidad emisora de certificados. Ejecute el siguiente comando en el símbolo del sistema y reemplace la ruta de acceso C:\CARestore por la ruta de acceso que contiene los archivos de la copia de seguridad diferencial recuperada. Certutil –restore C:\CARestore |
Restaurar el par de certificado y clave de la entidad emisora de certificados en un equipo temporal
Si una entidad emisora de certificados con error no se puede recuperar a tiempo para que emita una nueva CRL (o renueve un certificado fundamental), tendrá que instalar el certificado y las claves de la entidad emisora en un equipo temporal. A continuación, en este equipo puede utilizarlos para volver a firmar y ampliar el período de validez de una CRL existente o los certificados emitidos por la entidad emisora de certificados con error.
Precaución: si utiliza un HSM, este procedimiento no funciona del modo indicado. Siga las instrucciones del proveedor del HSM para hacer una copia de seguridad, restaurar y proteger el material de claves y las claves de acceso.
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia a administradores locales en el equipo temporal
Detalles de la tarea
Esta tarea describe cómo restaurar el certificado y la clave privada de la entidad emisora de certificados en un equipo local.
Importante: mientras este equipo tenga instalada la clave de la entidad emisora de certificados, adopte las mismas precauciones que con la entidad emisora. Si va a restaurar la clave de una entidad emisora de certificados sin conexión, asegúrese de que el equipo no está conectado. Considere la posibilidad de volver a formatear los discos del equipo para eliminar los datos de claves después de finalizar esta tarea.
Para restaurar la clave y el certificado de la entidad emisora de certificados en un equipo temporal
1. | Asegúrese de que el equipo se ha desconectado de la red. Inicie la sesión como miembro de administradores locales y, a continuación, cree una cuenta de usuario local, FirmanteClaveCA. |
2. | Inicie sesión con esta cuenta. |
3. | Inserte un disco que contenga la copia de seguridad de las claves de la entidad emisora de certificados que se probarán. |
4. | Utilice el Explorador de Windows para desplazarse al archivo de claves .P12 y haga doble clic en él para abrir el Asistente para importación de certificados. |
5. | Escriba la contraseña cuando se le pida y no active las casillas de verificación para asignar una alta protección a las claves ni convertirlas en exportables. |
6. | Seleccione Almacén personal como la ubicación donde se restaurarán las claves de la entidad emisora de certificados. |
7. | Abra el complemento Certificados de MMC y busque Almacén personal. Busque el certificado de la entidad emisora de certificados restaurada y, a continuación, ábralo para comprobar que dispone de una clave privada correspondiente. |
Ahora puede llevar a cabo las tareas de nueva firma necesarias con las claves de la entidad emisora de certificados restaurada. Consulte Volver a firmar una CRL o certificado para ampliar su validez. Cuando termine, limpie las claves del equipo mediante el siguiente procedimiento (no tiene que realizar esta operación si utiliza un HSM).
Para limpiar las claves del sistema
1. | Inicie la sesión como miembro de administradores locales y elimine el perfil de usuario de la cuenta FirmanteClaveCA mediante Propiedades avanzadas en Mi PC. |
2. | Elimine la cuenta FirmanteClaveCA. |
3. | Borre de forma segura las áreas no asignadas del disco para quitar permanentemente los rastros de las claves; para ello, ejecute el siguiente comando. Cipher /W:%AllUsersProfile% |
Nota: al especificar %allusersprofile% como la ruta de acceso, se garantiza que Cipher.exe funciona en la unidad que contiene los perfiles de usuario. Borra toda la unidad, no sólo la ruta de acceso indicada.
Volver a firmar una CRL o certificado para ampliar su validez
Si una entidad emisora de certificados no está disponible debido a algún tipo de error del servidor, puede ampliar la duración de las CRL o los certificados si vuelve a firmar el archivo de CRL o certificado. Esto puede resultar esencial para que el servicio o la aplicación siga funcionando.
Frecuencia
Según se requiera
Requisitos de seguridad
Cuenta temporal creada durante la restauración de claves de entidad emisora de certificados
Detalles de la tarea
Volver a firmar un certificado o CRL para ampliar su período de validez. De forma predeterminada, se utiliza el período de validez existente y se reinicia desde la fecha de firma (por ejemplo, si el período de validez original de la CRL era de un mes, el nuevo será de un mes a partir del momento de la nueva firma). Si se requiere otro período de validez, se puede especificar en el comando certutil.
Para volver a firmar una CRL o un certificado
1. | Obtenga una copia de la CRL o del certificado que se tiene que volver a firmar. |
2. | Inicie la sesión en un equipo donde se hayan restaurado la clave y el certificado de la entidad emisora utilizados para firmar la CRL o el certificado originalmente (consulte Restaurar el par de certificado y clave de la entidad emisora de certificados en un equipo temporal). Inicie sesión con la cuenta creada en este procedimiento. |
3. | Ejecute el siguiente comando y reemplace ArchivoAntiguo.ext por el nombre del archivo de CRL o certificado y ArchivoNuevo.ext por el nombre de salida requerido. Certutil -sign OldFile.ext NewFile.ext |
4. | Cuando se le pida el certificado con el que se firmará el archivo, seleccione el certificado de entidad emisora de certificados. |
En el caso de una CRL, se debe publicar ahora en los CDP (consulte los procedimientos de publicación de CRL en Funcionamiento de la PKI). También se tendrá que publicar un certificado entidad emisora de certificados en el directorio, en el servidor Web y, posiblemente, en las entidades emisoras intermedias. Consulte Renovar un certificado de entidad emisora de certificados para obtener información acerca de dónde se tiene que publicar cada certificado de entidad emisora.
Revocar un certificado huérfano
Cuando se restaura una entidad emisora de certificados a partir de una copia de seguridad después de algún tipo de error del servidor, es posible que los certificados emitidos entre la última copia de seguridad y el error no estén en la base de datos de certificados. Aquí se denominan certificados "huérfanos". Esto puede suceder si los registros de la entidad emisora de certificados se han destruido y no se han podido volver a ejecutar en la base de datos de la entidad emisora después de la restauración a partir de la copia de seguridad. En este caso, es imposible revocar ninguno de estos certificados "huérfanos" mediante el procedimiento normal.
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia a administradores de certificados
Detalles de la tarea
Para revocar un certificado huérfano es necesario obtener una copia del certificado que se revocará o el número de serie de dicho certificado.
Para revocar un certificado huérfano
1. | Inicie la sesión en la entidad emisora que ha emitido el certificado que se revocará como miembro de Administradores de certificados. |
2. | Si no se puede obtener una copia del certificado, ejecute el siguiente comando para crear un certificado ficticio y guardarlo como CertificadoParaRevocar.cer. Reemplace NúmeroSerie por el número de serie del certificado que se revocará. Certutil -sign SerialNumber CertToRevoke.cer |
3. | Cuando se le pida, seleccione el certificado de entidad emisora actual para firmar el certificado ficticio. |
4. | Después de crear un certificado ficticio, o si ha podido obtener una copia del certificado real que se revocará, tiene que importarlo en la base de datos de la entidad emisora de certificados. Ejecute el siguiente comando para importar el certificado en la base de datos de certificados. CertificadoParaRevocar es una copia del certificado real que se revocará o el ficticio creado en los pasos anteriores. Certutil -importcert CertToRevoke.cer |
5. | Siga el procedimiento estándar para revocar un certificado (consulte Revocar un certificado de entidad final). |
Importante: hay un problema con certutil que impide que se realice la operación de creación del certificado ficticio en Windows Server 2003 anterior a Service Pack 1. En previsión de que esta funcionalidad se corrija en el futuro, en este documento se incluye este procedimiento. Mientras tanto, si no puede encontrar una copia del certificado original, un enfoque alternativo consiste en tomar un certificado existente y, mediante un editor binario, reemplazar el número de serie por el del certificado que se revocará. Este certificado modificado se puede volver a firmar con la siguiente sintaxis.
Certutil -sign ModifiedCert.cer CertToRevoke.cer
A continuación, el certificado recién creado se puede importar en la base de datos según las indicaciones del paso 4.
Revocar y reemplazar un certificado de entidad emisora de certificados
Si la clave privada de una entidad emisora de certificados está en peligro (o se sospecha que pueda estarlo), revoque el certificado de entidad emisora y emita uno nuevo con un nuevo par de claves.
Advertencia: la revocación de una entidad emisora de certificados puede constituir un suceso muy perturbador, que invalida los certificados emitidos por dicha entidad emisora y sus subordinadas. Sin embargo, si se sigue un procedimiento cuidadoso puede contribuir a minimizar la interrupción.
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia al grupo Administradores de certificados en la entidad emisora de certificados y su entidad principal (intermedia). La pertenencia al grupo Administradores local en la entidad emisora de certificados es necesaria para renovar el certificado de entidad emisora.
Detalles de la tarea
Debido a que una entidad emisora de certificados intermedia tiene un período de publicación CRL largo, la revocación del certificado de entidad emisora y la publicación de una nueva CRL dará lugar a que se produzca un gran retraso entre la revocación y el momento en que los usuarios de certificado reciben la notificación de dicha revocación. Para garantizar que todos los certificados emitidos anteriormente por la entidad emisora en peligro se rechazan lo más pronto posible, todos los certificados que ha emitido esta entidad emisora también se revocan individualmente.
Importante: todos los usuarios de certificados de la entidad emisora revocada tendrán que volver a inscribirse a nuevos certificados tras este procedimiento.
Para revocar un certificado de entidad emisora y sus certificados emitidos
1. | Inicie la sesión en la entidad emisora de certificados como miembro de administradores de certificados y abra el complemento Entidad emisora de certificados de MMC. |
2. | Seleccione todos los certificados de la carpeta Certificados emitidos y, a continuación, en el menú Todas las tareas haga clic en Revocar certificado. Seleccione Compromiso de entidad emisora de certificados para el código de motivo. Es una tarea que exige mucho tiempo si tiene una gran cantidad de certificados emitidos. |
3. | En las propiedades de la carpeta Certificados revocados de MMC, aumente el valor de Intervalo de publicación CRL para que coincida con la duración restante del certificado de entidad emisora de certificados. De este modo se asegurará de que será mayor que la duración restante de todos los certificados que ha emitido la entidad emisora. Desactive la casilla de verificación Publicar diferencias CRL si está activada. |
4. | En el menú Todas las tareas de la carpeta Certificados revocados, haga clic en Publicar y, a continuación, en Lista de revocación de certificados (CRL) nueva. |
5. | Inicie la sesión en la entidad emisora de certificados principal como miembro de administradores de certificados y abra el complemento Entidad emisora de certificados de MMC. |
6. | Busque el certificado de entidad emisora que se revocará en la carpeta Certificados emitidos y, en el menú Todas las tareas, haga clic en Revocar certificado. Seleccione Compromiso clave para el código de motivo. |
7. | Siga el procedimiento de operaciones de Publicar las CRL de una entidad emisora de certificados sin conexión en el servidor Web para publicar la CRL de la entidad emisora intermedia. |
8. | Vuelva a la entidad emisora de certificados y siga el procedimiento de operaciones de Renovar un certificado de entidad emisora de certificados. |
Los usuarios de certificado ahora pueden volver a inscribirse con la entidad emisora renovada. Los certificados de inscripción automática se inscribirán automáticamente.
Revocar y reemplazar un certificado de entidad emisora de certificados intermedia
Si la clave privada de una entidad emisora de certificados está en peligro (o se sospecha que pueda estarlo), revoque el certificado de entidad emisora y emita uno nuevo con un nuevo par de claves.
Advertencia: la revocación de una entidad emisora de certificados puede constituir un suceso muy perturbador, que invalida los certificados emitidos por dicha entidad emisora y sus subordinadas. Sin embargo, si se sigue un procedimiento cuidadoso puede contribuir a minimizar la interrupción.
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia al grupo Administradores de certificados en la entidad emisora de certificados intermedia y su entidad principal (raíz). La pertenencia al grupo Administradores local en la entidad emisora de certificados intermedia es necesaria para renovar el certificado de entidad emisora.
Detalles de la tarea
Debido a que una entidad emisora de certificados raíz tiene un período de publicación CRL largo, la revocación del certificado de entidad emisora intermedia y la publicación de una nueva CRL dará lugar a que se produzca un gran retraso entre la revocación y el momento en que los usuarios de certificado reciben la notificación de dicha revocación. Para garantizar que todos los certificados emitidos anteriormente por las entidades emisoras subordinadas de la entidad emisora en peligro se rechazan lo más pronto posible, todos los certificados que han emitido las entidades emisoras subordinadas también se revocan individualmente.
Importante: todos los usuarios de certificados de la entidad emisora revocada tendrán que volver a inscribirse a nuevos certificados tras este procedimiento.
Para revocar un certificado de entidad emisora intermedia y sus certificados emitidos
1. | Identifique todas las entidades emisoras de certificados que están subordinadas a la entidad emisora intermedia. Revoque dichas entidades emisoras mediante el procedimiento Revocar y reemplazar un certificado de entidad emisora de certificados, pero no renueve los certificados de las subordinadas y todavía no vuelva a emitir las CRL de las entidades emisoras intermedias. |
2. | Inicie la sesión en la entidad emisora de certificados raíz (principal) como miembro de administradores de certificados y abra el complemento Entidad emisora de certificados de MMC. |
3. | Busque el certificado de entidad emisora intermedia que se revocará en la carpeta Certificados emitidos. En el menú Todas las tareas, haga clic en Revocar certificado y, a continuación, seleccione Compromiso clave para el código de motivo. |
4. | Siga el procedimiento de operaciones de Publicar las CRL de una entidad emisora de certificados sin conexión en el servidor Web para publicar la CRL de la entidad emisora raíz. |
5. | Vuelva a la entidad emisora de certificados intermedia y renueve su certificado según el procedimiento de operaciones Renovar un certificado de entidad emisora de certificados. |
6. | Vuelva a cada entidad emisora de certificados y renueve sus certificados según el procedimiento de operaciones Renovar un certificado de entidad emisora de certificados. |
Los usuarios de certificado ahora pueden volver a inscribirse con las entidades emisoras renovadas. Los certificados de inscripción automática se inscribirán automáticamente.
Revocar y reemplazar un certificado de entidad emisora de certificados raíz
Si la clave privada de una entidad emisora de certificados raíz está en peligro (o se sospecha que pueda estarlo), debe quitar el certificado de entidad emisora de su punto de confianza y revocar todos los certificados que ella o cualquiera de sus subordinadas hayan emitido. Debe renovar el certificado de entidad emisora raíz y los certificados de todas sus entidades emisoras subordinadas con nuevas claves y, a continuación, publicarlos en Active Directory.
Advertencia: la revocación de la entidad emisora de certificados raíz puede constituir un suceso muy perturbador, que invalida los certificados emitidos por dicha entidad emisora y sus subordinadas. Sin embargo, si se sigue un procedimiento cuidadoso puede contribuir a minimizar la interrupción.
En realidad, no es posible revocar un certificado de entidad emisora raíz como tal. A menudo, como sucede aquí, el certificado de entidad emisora raíz no incluye un CDP y, lo que es más importante, no tiene sentido que una entidad emisora dé fe de su propia revocación. Tendría que firmar la CRL que contiene su propio certificado mediante la clave en peligro de dicho certificado.
Frecuencia
Según se requiera
Requisitos de seguridad
Pertenencia al grupo Administradores de certificados en la entidad emisora de certificados raíz. La pertenencia al grupo Administradores local en la entidad emisora de certificados raíz es necesaria para renovar el certificado de entidad emisora.
Detalles de la tarea
Nota: todos los usuarios de certificado tendrán que volver a inscribirse a nuevos certificados después de terminar este procedimiento.
Para revocar un certificado de entidad emisora de certificados
1. | Identifique todas las entidades emisoras de certificados intermedias que están subordinadas a la entidad emisora raíz. Revoque dichas entidades emisoras mediante los procedimientos Revocar y reemplazar un certificado de entidad emisora de certificados intermedia y Revocar y reemplazar un certificado de entidad emisora de certificados, pero no renueve los certificados de dichas entidades emisoras y todavía no vuelva a emitir las CRL de la entidad emisora raíz. |
2. | Inicie la sesión en la entidad emisora de certificados raíz como miembro de administradores de certificados y abra el complemento Entidad emisora de certificados de MMC. |
3. | Seleccione todos los certificados de la carpeta Certificados emitidos. En el menú Todas las tareas, haga clic en Revocar certificado y, a continuación, seleccione Compromiso de entidad emisora de certificados (CA) para el código de motivo. |
4. | Aumente el intervalo de publicación de CRL para que coincida con la duración restante del certificado de entidad emisora. De este modo se asegurará de que será mayor que la duración restante de todos los certificados que ha emitido la entidad emisora. |
5. | Desactive la casilla de verificación Publicar diferencias CRL si está activada. |
6. | Siga el procedimiento de operaciones de Publicar las CRL de una entidad emisora de certificados sin conexión en el servidor Web para publicar la CRL de la entidad emisora raíz. |
7. | Realice el procedimiento de operaciones Renovar un certificado de entidad emisora de certificados. |
8. | Vuelva a cada entidad emisora de certificados intermedia y renueve sus certificados según el procedimiento de operaciones Renovar un certificado de entidad emisora de certificados. |
9. | Vuelva a cada entidad emisora de certificados y renueve sus certificados según el procedimiento de operaciones Renovar un certificado de entidad emisora de certificados. |
Los usuarios de certificado ahora pueden volver a inscribirse con la nueva entidad emisora. Los certificados de inscripción automática se inscribirán automáticamente.
Resumen
En Administrar una PKI de Windows Server 2003 se ha descrito el modo de establecer y ejecutar un entorno operativo de una PKI de Windows Server 2003. En la primera parte del documento se ha tratado el diseño y la implementación del marco de operaciones en las secciones:
| • | Planear los recursos para administrar la PKI de Windows |
| • | Configurar el entorno operativo de la PKI |
La segunda parte se ha centrado en las tareas esenciales para mantener el funcionamiento de la PKI sin problemas, tal como se describe en las secciones:
| • | Funcionamiento de la PKI |
| • | Planear y optimizar la capacidad |
| • | Administrar el cambio y la configuración |
| • | Tareas de soporte comunes |
Cada entorno de TI es único; ninguna guía genérica puede atender completamente las características operativas de cada organización. No obstante, este documento puede servir como una base sólida a partir de la que puede crear su propio manual de operaciones de PKI personalizado.
Si utiliza este documento como punto de partida, estará preparado para adaptarlo a medida que implemente y mejore su PKI. Tendrá que agregar operaciones y procedimientos de soporte que cubran los usos específicos de PKI en su propia organización. También puede optimizar los procedimientos de este documento si crea secuencias de comandos para algunos de los pasos manuales. Y lo que es más importante, examine la eficacia con que los procedimientos funcionan con las prácticas y cultura de su organización de TI y esté preparado para modificarlos con el fin de que se adapten mejor. Si las operaciones son las adecuadas, funcionarán bien, como también lo hará su PKI.
Vínculos relacionados
Consulte los siguientes recursos para obtener más información.
| • | Prácticas recomendadas para implementar una infraestructura de claves públicas de Microsoft Windows Server 2003 (en inglés) en |
| • | Kit de implementación de Microsoft Systems Architecture versión 2.0 (en inglés) en |
| • | Guía de generación de Microsoft Systems Architecture 2.0 (en inglés) en |
| • | El capítulo de diseño de Servicios de Certificate Server de MSA 2.0 en |
| • | El capítulo de generación de Servicios de Certificate Server de MSA 2.0 en |
| • | Modelo de proceso y modelo de equipo de Microsoft Operations Framework en |
| • | Guía de operaciones de PKI de Windows Server 2003 (en inglés) en |
| • | La versión actual del perfil de protección de criterios comunes para los componentes de emisión y administración de certificados (en inglés) en |
| • | Archivo y administración de claves en Windows Server 2003 (en inglés) en |
| • | Implementación y administración de plantillas de certificado en Windows Server 2003 (en inglés) en |
| • | Para obtener más información acerca de los problemas de publicación de CRL, consulte Solucionar problemas de estado y revocación de certificados (en inglés) en |
| • | Para obtener instrucciones de solución de problemas de Certutil, consulte Utilizar Certutil.exe para administrar y solucionar problemas de Servicios de Certificate Server (en inglés) en |
| • | Para obtener la guía definitiva para comprender y solucionar problemas de la inscripción automática, consulte Inscripción automática de certificados en Windows XP (en inglés) en |
| • | Para obtener más información acerca de escenarios avanzados que utilizan páginas de inscripción en Web, consulte Configurar y solucionar problemas de Windows 2000 e Inscripción en Web de Servicios de Certificate Server de Windows Server 2003 (en inglés) en http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/webenroll.mspx |
| • | Descargue la secuencia de comandos CAMonitor.vbs de TechNet Script Center en |
| • | Para obtener más información acerca de las restricciones de capacidad de Servicios de Certificate Server y los contadores de rendimiento relacionados, consulte el artículo Q146005 de Microsoft Knowledge Base (en inglés) en |
| • | Solución de Microsoft para proteger LAN inalámbricas: una solución de Servicios de Certificate Server de Windows Server 2003 (en inglés) está disponible en |
| • | Para obtener información acerca de la implementación de MOM, consulte la Guía de implementación del SP1 de Microsoft Operations Manager 2000 (en inglés) en |
| • | Para obtener más información acerca de tareas operativas adicionales, consulte la documentación en pantalla de Servicios de Certificate Server de Windows Server 2003 en |
| • | Acelerador de soluciones de Microsoft para la administración de revisiones (en inglés) en |
| • | Para obtener más información acerca de cómo obtener y utilizar la consola de administración de directivas de grupo, consulte |
| • | Para obtener una descripción de los niveles funcionales de dominio de Active Directory, consulte Funcionalidad de dominio y bosque en la documentación de Windows Server en: http://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/proddocs/en-us/sag_levels.asp |
| • | Para obtener las herramientas de estado de PKI (PKIView.msc) y de recuperación de claves (krt.exe), descargue las herramientas del Kit de recursos de Windows Server 2003 en |
| • | Para obtener la información más reciente acerca de Windows Server 2003, consulte el sitio Web de Windows Server 2003 en |
| • | En http://www.microsoft.com/learning/training/default.asp se encuentra información detallada acerca de los cursos de formación de Microsoft Official Curriculum. |
Apéndice A: Descripción general del diseño de PKI
Este documento se basa en la PKI descrita en el Kit de implementación de Microsoft System Architecture versión 2.0 y el documento Prácticas recomendadas para implementar una infraestructura de claves públicas de Microsoft Windows Server 2003 (en inglés). El diseño de PKI está basado en el de una compañía ficticia, Contoso.
El escenario de Contoso se describe brevemente aquí. Para obtener una descripción más detallada del diseño y la generación de la PKI de Contoso, consulte estos documentos. En la siguiente sección se enumera la configuración específica de la implementación, que se utiliza en los ejemplos de este documento.
Diseño de la PKI de Contoso
Contoso es una compañía internacional que ha implementado Active Directory y una PKI de Windows Server 2003. Contoso tiene una amplia variedad de clientes que ejecutan un miembro de la familia Windows 2000 o Windows XP Professional. Utiliza una serie de aplicaciones integradas que pueden aprovechar la PKI de Windows Server 2003, incluida la seguridad de correo electrónico basada en Extensiones seguras multipropósito de correo Internet (S/MIME), EFS, conexiones VPN de L2TP/IPsec, acceso inalámbrico 802.1X y servidores Web habilitados para Secure Sockets Layer (SSL). El bosque Active Directory de Contoso tiene varios dominios y se ejecuta en modo funcional de bosque de Windows Server 2003. Cada dominio se ejecuta en modo funcional de dominio de Windows Server 2003.
Contoso utiliza una topología de PKI de tres niveles ya que es la que mejor se adapta a sus necesidades de seguridad. La guía de operaciones de este documento está modelada a partir de esta topología. No obstante, las operaciones son prácticamente idénticas para una jerarquía de dos niveles más simple, por lo que este documento resultará útil para un amplio espectro de organizaciones.
En la figura 5 se muestra la arquitectura de Servicios de Certificate Server para Contoso S.A.
Figura 5: Diseño de la PKI de Contoso
La entidad emisora de certificados raíz independiente de Contoso nunca se conecta a una red y permanece sin conexión y físicamente segura. La entidad emisora raíz emite y revoca certificados para las entidades emisoras intermedias de la jerarquía. El certificado y CRL de la entidad emisora de certificados se publican manualmente y están disponibles mediante un punto de distribución HTTP en su servidor Web de IIS:
La entidad emisora de certificados intermedia está protegida físicamente y funciona sin conexión, igual que la raíz. En la figura 5 sólo se muestra la entidad emisora intermedia, aunque se pueden utilizar otras en una jerarquía más completa. Las entidades emisoras de certificados raíz e intermedias pueden ser Windows Server 2003, Standard Edition o Enterprise Edition.
Las entidades emisoras de certificados son las responsables de la inscripción de certificados para las entidades finales y están instaladas como entidades emisoras de empresa. Estos servidores de entidad emisora están conectados y disponibles para atender peticiones en cualquier momento. Las entidades emisoras de certificados son Windows Server 2003, Enterprise Edition.
La administración de los HSM no se trata en este documento porque los procedimientos varían considerablemente de un proveedor a otro. Sin embargo, se espera que todas las entidades emisoras de certificados de la jerarquía estén equipadas con HSM.
Active Directory
Active Directory se utiliza para varias funciones.
| • | Para publicar información de confianzas de la PKI de empresa (entidades emisoras raíz de confianza, certificados cruzados, entidades emisoras intermedias) |
| • | Para almacenar información de configuración de la PKI de empresa (por ejemplo, plantillas de certificado) |
| • | Para publicar listas de revocación de certificados para las entidades emisoras de certificados |
| • | Para actuar como entidad de registro que autoriza los certificados que se emitirán según la pertenencia a grupos y las listas de control de acceso (ACL) basadas en directorio |
| • | Para, opcionalmente, publicar certificados de entidad final |
Servidor Web de IIS
IIS se utiliza para publicar información de AIA (certificados de entidades emisoras intermedias requeridos durante la generación de la cadena) y listas CRL. Un servidor Web también es el mejor lugar para publicar la Orden de prácticas de certificación si necesita hacerlo. En función de dónde se encuentren los clientes de certificado, puede necesitar un servidor Web de Internet así como uno interno para publicar la información de PKI.
Diferencias con la orientación de MSA
Aunque la orientación de este documento se basa en la PKI de referencia descrita en MSA 2.0, hay algunas diferencias sutiles, principalmente estéticas. La diferencia funcional más importante es que los certificados de entidad emisora de certificados tienen un período de validez de cuatro años. Las entidades emisoras de MSA tienen un período de validez de dos años, lo que limita el período de validez de los certificados emitidos para dichas entidades a tan sólo un año. Debido a que la renovación de certificados puede resultar un proceso caro en algunos escenarios, por ejemplo renovaciones de tarjetas inteligentes, normalmente es aconsejable utilizar períodos de renovación de dos o más años.
Las otras diferencias menores de este documento son:
| • | Los nombres de servidor tienen una nomenclatura más simple (por ejemplo, RT-CA-01 para la entidad emisora raíz 1, SA-CA-01 para la entidad emisora independiente 1 y EN-CA-01 para la entidad emisora de empresa 1). |
| • | Los nombres comunes de entidad emisora de certificados incluyen la función jerárquica (raíz, intermedia, emisora) para facilitar la identificación, pero siguen manteniendo la convención de MSA para utilizar el esquema de números (1 = raíz, 11 = entidad emisora de segundo nivel 1 de raíz 1, 123 = entidad emisora de tercer nivel 3 de entidad emisora de segundo nivel 2 de entidad emisora raíz 1). |
| • | Los nombres de grupo de seguridad utilizan un formato expandido para facilitar la lectura (por ejemplo, Editores de PKI de empresa en vez de EditoresPKIEmpresa01). |
Configuración detallada de la PKI
Las siguientes tablas contienen los parámetros de implementación que utiliza la PKI de Contoso. Los procedimientos de este documento utilizan dichos valores. Los parámetros están divididos en dos tablas. En la tabla 23 se enumeran los valores específicos de la instalación. Tendrá que sustituir los detalles de su organización siempre que aparezcan en los procedimientos. En la tabla 24 se enumeran los valores específicos de la solución. Se basan en la configuración recomendada de los escenarios de MSA y prácticas recomendadas. Sólo tendrá que cambiarlos si utiliza otros valores en su implementación. En estas tablas sólo se enumeran los valores pertinentes para los procedimientos de este documento y son un subconjunto de la lista de parámetros completa de la implementación de la PKI. Para obtener la lista completa, consulte el apéndice 14.16 del capítulo “Servicios de Certificate Server” de la Guía de generación de Microsoft Systems Architecture 2.0 (en inglés) en la sección Vínculos relacionados.
Tabla 23: Elementos de configuración específicos de la organización
| Elemento de configuración | Configuración |
Nombre DNS (sistema de nombres de dominio) del dominio raíz del bosque de Active Directory | contoso.com |
Nombre completo de la raíz del bosque | DC=contoso, DC=com |
Nombre de la entidad emisora de certificados raíz | Nombre de servidor: RT-CA-01 Nombre común: Entidad emisora de certificados raíz 1 de Contoso |
Nombre de la entidad emisora de certificados intermedia | Nombre de servidor: SA-CA-01 Nombre común: Entidad emisora de certificados intermedia 11 de Contoso |
Nombre de la entidad emisora de certificados 1 | Nombre de servidor: EN-CA-01 Nombre común: Entidad emisora de certificados 111 de Contoso |
Nombre de la entidad emisora de certificados 1 | Nombre de servidor: EN-CA-02 Nombre común: Entidad emisora de certificados 112 de Contoso |
Nombre de host completo del servidor Web utilizado para publicar el certificado de entidad emisora e información de revocación | pki.contoso.com |
Tabla 24: Elementos de configuración genéricos
| Elemento de configuración | Configuración |
| Grupos de seguridad administrativos: entidades emisoras de certificados de dominio | |
Grupo de seguridad: administradores de servicios de claves públicas de empresa | Nombre de grupo: Administradores de PKI de empresa Tipo de grupo: Universal |
Grupo de seguridad: cuentas que pueden publicar CRL y certificados de entidad emisora en el contenedor de configuración Empresa | Nombre de grupo: Editores de PKI de empresa Tipo de grupo: Universal |
Grupo de seguridad: grupo administrativo que configura y mantiene las entidades emisoras de certificados; también controla la capacidad para asignar otras funciones de entidad emisora y renovar el certificado de entidad emisora | Nombre de grupo: Administradores de entidad emisora de certificados Tipo de grupo: Universal |
Grupo administrativo que aprueba las peticiones de inscripción y revocación de certificados; una función de agente de entidad emisora de certificados | Nombre de grupo: Administradores de certificados Tipo de grupo: Universal |
Grupo administrativo que administra los registros de auditoría y seguridad de entidad emisora de certificados | Nombre de grupo: Auditores de entidad emisora de certificados Tipo de grupo: Universal |
Grupo administrativo que administra las copias de seguridad de entidad emisora de certificados | Nombre de grupo: Operadores de copia de entidad emisora de certificados Tipo de grupo: Universal |
| Grupos de seguridad administrativos: entidades emisoras de certificados independientes | |
Grupo de seguridad: grupo administrativo que configura y mantiene las entidades emisoras de certificados; también controla la capacidad para asignar otras funciones de entidad emisora y renovar el certificado de entidad emisora | Nombre de grupo: Administradores de entidad emisora de certificados Tipo de grupo: Local |
Grupo administrativo que aprueba las peticiones de inscripción y revocación de certificados; una función de agente de entidad emisora de certificados | Nombre de grupo: Administradores de certificados Tipo de grupo: Local |
Grupo administrativo que administra los registros de auditoría y seguridad de entidad emisora de certificados | Nombre de grupo: Auditores de entidad emisora de certificados Tipo de grupo: Local |
Grupo administrativo que administra las copias de seguridad de entidad emisora de certificados | Nombre de grupo: Operadores de copia de entidad emisora de certificados Tipo de grupo: Local |
| Diseño de archivos de entidad emisora de certificados | |
Unidad y ruta de acceso para almacenar los archivos de solicitud de Servicios de Certificate Server | C:\CAConfig |
Unidad y ruta de acceso para almacenar la base de datos y los registros de Servicios de Certificate Server para las entidades emisoras de certificados raíz e intermedias | %systemroot%\System32\CertLog |
Unidad y ruta de acceso para almacenar los registros de la base de datos de Servicios de Certificate Server para las entidades emisoras de certificados | D:\CertLog |
Unidad y ruta de acceso para almacenar la base de datos de Servicios de Certificate Server para las entidades emisoras de certificados | E:\CertLog |
| Configuración del servidor Web | |
Nombre del directorio virtual IIS utilizado para publicar el certificado de entidad emisora y la información de CRL | pki |
Carpeta NTFS del servidor IIS asignada al directorio virtual | C:\WWWPKIpub |
Nombre de recurso compartido de la carpeta del servidor IIS | WWWPKIpub |
Apéndice B: Funciones administrativas de criterios comunes
El perfil de protección de criterios comunes (CC) para los componentes de emisión y administración de certificados (sección Vínculos relacionados) define cuatro funciones clave en el nivel de seguridad más alto: administrador, agente, operador y auditor. Estas funciones de criterios comunes están implementadas en Servicios de Certificate Server de Windows Server 2000, que permite forzar la separación entre funciones de modo que una cuenta no se puede configurar en varias funciones. Para obtener información acerca de las funciones y capacidades de Servicios de Certificate Server de Windows Server 2003, consulte la sección "PKI de Windows Server 2003 y administración basada en funciones" de la Guía de operaciones de Windows Server 2003 (en inglés) (sección Vínculos relacionados).
No obstante, con frecuencia las funciones de criterios comunes no proporcionan un alcance suficiente. Estas funciones de criterios comunes se relacionan con las capacidades en el nivel de entidad emisora de certificados. Sin embargo, las entidades emisoras de certificados de empresa de Windows almacenan la información de configuración en objetos de configuración de toda la empresa. Debido a esto, una PKI de Windows también necesita funciones administrativas en toda la empresa para administrar esta información. Asimismo, resulta habitual que las grandes organizaciones deseen delegar una parte de las responsabilidades de una determinada función. Por ejemplo, pueden permitir que un propietario de aplicación determine los usuarios que pueden inscribir un certificado para dicha aplicación en vez de delegar la responsabilidad en una función de agente o administrador de certificados de toda la empresa. En la tabla 25 se incluyen definiciones para este conjunto ampliado de funciones y cómo se asignan a las funciones de criterios comunes.
Es improbable que estas funciones se asignen de forma precisa a los puestos de trabajo de su organización de TI. Lo más probable es que las personas se ajusten a varias de estas funciones. Además, algunas de estas funciones se pueden asignar a procesos del sistema en vez de personas; por ejemplo, la cuenta de un agente de copia de seguridad que ejecuta la entidad emisora de certificados.
Tabla 25: Funciones básicas de Servicios de Certificate Server
| Función de criterios comunes | Nombre de función expandida | Ámbito | Descripción | ||||||||
Administrador | Administrador empresarial | Empresa | Responsable de la instalación de las entidades emisoras de certificados de empresa | ||||||||
| Administrador de PKI de empresa | Empresa | Responsable de toda la PKI; define tipos de certificado, directivas de aplicación y rutas de acceso de confianza para todas las entidades emisoras de certificados del bosque (subconjunto de permisos de administrador empresarial) | ||||||||
| Editor de PKI de empresa | Empresa | Responsable de publicar certificados raíz de confianza, certificados de subentidad emisora y CRL en el directorio (subconjunto de permisos de administrador de PKI de empresa) | ||||||||
| Administrador de entidad emisora de certificados | Entidad emisora de certificados | Responsable de la configuración de entidad emisora de certificados y de la asignación de funciones en la entidad emisora; normalmente son las mismas personas que los administradores de PKI de empresa Puede haber distintos administradores de entidad emisora de certificados encargados de diferentes entidades emisoras si el uso del certificado lo indica así. | ||||||||
| Administrador | Entidad emisora de certificados | Administrador del sistema operativo del servidor de la entidad emisora de certificados; responsable de la configuración del servidor (como la instalación de la entidad emisora); con frecuencia son las mismas personas que las de la función Administradores de entidad emisora de certificados Puede haber distintos administradores encargados de diferentes entidades emisoras si el uso del certificado lo indica así. | ||||||||
Auditor | Auditor de entidad emisora de certificados | Entidad emisora de certificados | Responsable de administrar los registros y la directiva de auditoría en las entidades emisoras de certificados; lleva a cabo revisiones periódicas de los registros de auditoría de entidad emisora y del registro de control de cambios de PKI | ||||||||
Agente | Administrador de certificados | Entidad emisora de certificados -O bien- Subconjunto de usuarios de entidad emisora de certificados | Aprueba las peticiones de certificado que requieren aprobación manual y revoca certificados Puede haber varios administradores de certificados encargados de las aprobaciones en diferentes entidades emisoras si el uso del certificado lo indica así. | ||||||||
| Entidad de registro | Perfil de certificado | Extensión de la función de administrador de certificados; responsable de aprobar y firmar peticiones de certificado después de la comprobación de la identidad del sujeto del certificado Puede ser una persona, un proceso de TI o un dispositivo (como un escáner y una base de datos de huellas digitales) Se pueden especificar distintas entidades de registro para diferentes perfiles (plantillas) de certificado y pueden abarcar varias entidades emisoras de certificados | ||||||||
| Agente de recuperación de claves | Entidad emisora de certificados | Posee la clave para descifrar las claves privadas archivadas en la base de datos de la entidad emisora de certificados Debe haber dos o más KRA. Pueden ser distintos para diferentes entidades emisoras. | ||||||||
| Propietario de aplicación | Aplicación o tipo de certificado | Responsable de la administración de una aplicación que utiliza certificados digitales (por ejemplo, administrador de correo electrónico); controla qué usuarios pueden o no pueden inscribirse a un tipo de certificado específico | ||||||||
Operador | Operador de copia de entidad emisora de certificados (función de criterios comunes) | Entidad emisora de certificados | Responsable de la copia de seguridad y recuperación de los servidores de entidad emisora de certificados y del almacenamiento seguro de los medios de copia de seguridad | ||||||||
| Soporte operativo | Empresa | Las responsabilidades son:
| ||||||||
| Servicio de asistencia al usuario | Empresa | Las responsabilidades son:
|
Si utiliza un HSM en la entidad emisora de certificados, también habrá funciones específicas definidas para dicho componente, como titulares de tarjetas de claves y de operador. En esta lista no se tratan otras funciones relacionadas con otras áreas tecnológicas que interactúan y dan soporte a la PKI, como la supervisión de la consola de operaciones y la administración de Active Directory.