Documente Academic
Documente Profesional
Documente Cultură
Este documento acompaa a la Gua de operaciones de PKI de Windows Server 2003 (en ingls), que
es una coleccin de tcnicas y prcticas recomendadas que ayudan a administrar la PKI. No obstante,
este documento se ha diseado posteriormente como un manual de referencia de operaciones. Debe
poder implementar directamente las orientaciones de este documento como parte de sus operaciones
de TI. Tendr que utilizar la Gua de operaciones de PKI de Windows Server 2003 (en ingls) y la
seccin "Infraestructura de claves pblicas" de la documentacin de Windows Server 2003 para
complementar la informacin de este documento (consulte la seccin Vnculos relacionados). Para
reducir al mximo la duplicidad y las posibles incoherencias, no se incluyen los detalles completos de
algunas tareas. En su lugar, se hace referencia al documento donde la tarea se describe de forma
completa.
Las directrices de este documento se basan en el diseo de PKI de empresa definido en el Kit de
implementacin de Microsoft Systems Architecture versin 2.0 (en ingls) y en el documento Prcticas
recomendadas para implementar una infraestructura de claves pblicas de Microsoft Windows Server
2003 (en ingls) (ambos documentos describen el diseo y la creacin de prcticamente la misma PKI)
mediante Windows Server 2003 con clientes Windows XP. Sin embargo, las orientaciones de este
documento resultan igual de importantes o se pueden adaptar fcilmente a otros diseos de PKI.
La mayor parte del contenido de este documento se desarroll originalmente para Solucin de
Microsoft para proteger LAN inalmbricas. Los conceptos y el marco de esta gua se basan en Microsoft
Operations Framework (MOF) y Soluciones Microsoft para la administracin (MSM). Para obtener
referencias a todos estos documentos, consulte la seccin Vnculos relacionados.
Introduccin
Este documento se divide en seis secciones principales. En las dos primeras se trata el diseo y la
configuracin inicial, y las cuatro restantes se concentran en el funcionamiento de la PKI.
Planear los recursos para administrar la PKI de Windows se centra en las tareas de
preparacin y diseo e incluye una gua que le ayudar a evaluar los costos de administrar una PKI
de Windows. En esta seccin se trata la asignacin de funciones de equipo y la formacin del
personal de operaciones. Tambin contiene una lista de las tareas para configurar una PKI bien
administrada y las tareas que se deben realizar peridicamente para mantener el sistema. Se incluye
una estimacin del esfuerzo necesario para llevar a cabo cada tarea. Conjuntamente ofrecen una
base adecuada para planear los recursos continuos necesarios para la PKI.
En Configurar el entorno operativo de la PKI se trata de la preparacin de la PKI para un
entorno de produccin e incluye procedimientos detallados para crear grupos administrativos,
configurar copias de seguridad y configurar la supervisin. La organizacin de esta seccin se basa
en las categoras que se utilizan en el modelo de proceso de MOF.
En Funcionamiento de la PKI se incluyen todas las tareas relacionadas con el mantenimiento
normal de la PKI. Se incluye la renovacin de las entidades emisoras de certificados (CA), la
publicacin de las listas de revocacin de certificados (CRL), las tareas de supervisin, auditora y
revisin, y el mantenimiento de la base de datos de entidades emisoras de certificados.
Planear y optimizar la capacidad se centra en las tareas fundamentales para ayudar a administrar
la capacidad y el rendimiento de la PKI.
En Administrar cambio y configuracin se incluyen procedimientos genricos para ayudar a
administrar los cambios de la PKI as como para recopilar y mantener la informacin de configuracin
fundamental acerca de la PKI.
Tareas de soporte comunes se concentra en procedimientos para recuperar problemas del
sistema, incluida la restauracin de una entidad emisora de certificados a partir de una copia de
las tareas descritas en este documento resultan adecuadas para configuraciones ms simples (dos
niveles o, incluso, un solo nivel) sin cambios o slo con modificaciones menores.
Principio de la pgina
Planear los recursos para administrar la PKI de Windows
En esta seccin se trata el diseo de los recursos de personal para administrar una PKI de Windows. Se
supone una PKI de empresa segn se describe en la introduccin y en el apndice A, Descripcin
general del diseo de PKI. Aunque este proceso ser similar para instalaciones de PKI ms simples, la
estructura del equipo y, en concreto, las cifras del esfuerzo estimado para las tareas necesarias se
tienen que adaptar de forma adecuada.
Existen cuatro reas principales que se deben tener en cuenta. Las dos primeras corresponden a la
asignacin de funciones administrativas y el diseo de la formacin que necesita el personal de
soporte. La tercera corresponde al esfuerzo necesario para que la PKI est operativa. Se incluyen la
configuracin de copias de seguridad, la asignacin de permisos administrativos, el plan de
recuperacin y la programacin de tareas operativas. La cuarta rea corresponde al esfuerzo continuo
en relacin con las operaciones, el soporte y el personal de asistencia al usuario necesarios para
mantener un funcionamiento correcto de la PKI.
En esta seccin no se trata el planeamiento, el diseo, la instalacin y la configuracin de los
servidores de PKI o de otra infraestructura.
Asignar funciones administrativas de PKI
Existen varias funciones en la administracin de una PKI y cada una representa un conjunto concreto
de capacidades en lo que respecta a la PKI. Por ejemplo, la aprobacin de una solicitud de certificado,
la auditora de una CA y la administracin de copias de seguridad y almacenamiento son
responsabilidades de distintas funciones administrativas. En un entorno de alta seguridad, cada funcin
se puede asignar a distintas personas como un mtodo de proteccin frente a los abusos de privilegio.
En otras organizaciones, slo un administrador puede ser responsable de todas las tareas de PKI,
aunque la mayora de las organizaciones estn entre ambos extremos.
Existe un perfil de criterios comunes para las funciones administrativas para una entidad emisora de
certificados. En el apndice B, Funciones administrativas de criterios comunes, se describe su relacin
con el modelo administrativo utilizado en este documento.
Decidir la granularidad del modelo administrativo
El modelo administrativo utilizado en este documento se adapta a una variedad de necesidades
organizativas, desde funciones administrativas detalladas hasta divisiones ms simples de las
responsabilidades. Las capacidades administrativas con respecto a la PKI se han dividido en grupos de
funciones y cada uno corresponde a un grupo de seguridad de dominio o local. En todos los
procedimientos del documento se indica la pertenencia a grupos de seguridad administrativa que es
necesaria para llevarlos a cabo.
Este enfoque permite que las distintas organizaciones alcancen el grado necesario de granularidad de
funciones mediante la incorporacin de cuentas de personal de TI a los grupos necesarios. Por ejemplo,
una organizacin con un solo administrador para todas las tareas operativas y de soporte de la PKI
agregara la cuenta de dicha persona a todos los grupos de funciones de PKI. Una organizacin ms
compleja que necesitara dividir la responsabilidad entre administradores de PKI, operadores de copia,
auditores y propietarios de aplicacin agregara las cuentas de dichas personas slo a los grupos de
funciones administrativas de PKI necesarios para su trabajo.
Si todava no ha asignado las responsabilidades administrativas de la PKI, tendr que hacerlo antes de
que la PKI pase a produccin. Utilice la tabla 1 para determinar las capacidades que desea asignar al
personal administrativo de PKI. El primer conjunto de tareas de Configurar el entorno operativo de la
PKI implica crear y llenar los grupos de funciones administrativas de PKI y asignar los permisos
adecuados a dichos grupos.
Asignar funciones a grupos de seguridad
En la tabla 1 se describen las funciones de cada funcin administrativa de PKI en toda la entidad
emisora de certificados y en toda la empresa, as como el grupo de seguridad que se utiliza para
implementar dicha funcin. Estos grupos de seguridad se utilizan para describir los requisitos de
seguridad de los procedimientos de este documento. Cada procedimiento dispone de una seccin
Requisitos de seguridad que enumera los grupos de seguridad a los que debe pertenecer una persona
para llevar a cabo el procedimiento.
La tabla tambin est dividida en secciones que corresponden a lmites administrativos comunes.
Aunque es comn, esta divisin no significa que sea universal, por lo que es posible que no coincida
con su organizacin de forma exacta. Por ejemplo, un "propietario de aplicacin" puede ser una
persona de la lnea de negocios en vez de la organizacin de soporte.
Las entidades emisoras de certificados sin conexin (la raz y las intermedias) no pueden utilizar
grupos de dominio, slo grupos de seguridad locales. Para dichas entidades, se deben crear cuentas
locales individuales en la propia entidad emisora de certificados y se deben utilizan para llenar los
grupos administrativos locales. Para las entidades emisoras de certificados con conexin (que son
miembros de dominio), se utilizan grupos de seguridad de dominio para aplicar los permisos
correspondientes a cada funcin. Las cuentas de dominio se utilizan para llenar los grupos de
funciones.
Tabla 1: Asignar funciones de Servicios de Certificate Server a grupos de seguridad
Nombre de funcin
administrativa
Grupo de seguridad
de
dominio(entidades
emisoras de
certificados con
conexin)
Grupo de seguridad
local(entidades
emisoras de
certificados sin
conexin)
Capacidades
Administradores
Administrador/funcione
s de soporte de tercer
nivel
Administrador empresarial
empresariales
recursos de Active
Directory del bosque,
incluido el contenedor
Servicios de claves
pblicas; por lo tanto,
incluye el control de
plantillas, publicacin
de confianzas y otros
elementos de
configuracin en toda
la empresa (bosque).
Nombre de funcin
administrativa
Grupo de seguridad
de
dominio(entidades
emisoras de
certificados con
conexin)
Grupo de seguridad
local(entidades
emisoras de
certificados sin
conexin)
Capacidades
Administrador de PKI de
Administradores de
empresa
PKI de empresa
Servicios de claves
pblicas de Active
Directory; por lo tanto,
controla plantillas,
publicacin de
confianzas y otros
elementos de
configuracin en toda
la empresa (bosque).
Editores de PKI de
Puede publicar
empresa
certificados raz de
confianza de empresa,
certificados de
subentidad emisora y
CRL en el directorio.
Administrador de entidad
Administradores de
Administradores de
Tiene permisos
emisora de certificados
entidad emisora de
entidad emisora de
"Administrar entidad
certificados
certificados
emisora" en la entidad
emisora, controla las
funciones de la
entidad, tambin tiene
permisos para cambiar
las propiedades de la
entidad, normalmente
se combina con el
administrador local en
el servidor de entidad
emisora a menos que
se exija la separacin
de funciones.
Administrador
Administradores
Administrador de
Administradores de
Administradores de
certificados
certificados
certificados
y administrar
certificados" en la
Nombre de funcin
administrativa
Grupo de seguridad
de
dominio(entidades
emisoras de
certificados con
conexin)
Grupo de seguridad
local(entidades
emisoras de
certificados sin
conexin)
Capacidades
entidad emisora; se
pueden configurar
varios administradores
de certificados en cada
entidad emisora y cada
uno gestiona
certificados para un
subconjunto de
usuarios u otras
entidades finales.
Funcin de auditor
Auditor de entidad emisora
Auditores de entidad
Auditores de entidad
Tiene el derecho de
de certificados
Operador/funciones de
soporte de segundo
nivel
Operador de copia de
Operadores de copia
Operadores de copia
Tiene el derecho
entidad emisora de
de entidad emisora de
de entidad emisora de
Copia de seguridad y
certificados
certificados
certificados
restauracin en el
servidor de entidad
emisora de
certificados.
Propietario de aplicacin
Inscripcin
nombreDePlantilla
Inscripcin
automtica
nombreDePlantilla
Formar al personal
La formacin del personal operativo o de soporte vara considerablemente segn su experiencia y sus
funciones y responsabilidades individuales. En las siguientes secciones se enumeran los tipos de
formacin (incluidos los cursos de Microsoft Official Curriculum) adecuados para los distintos niveles de
responsabilidad que se encuentran en las organizaciones de TI de mayor tamao. Para obtener
informacin ms detallada de estos cursos, consulte la seccin Vnculos relacionados.
Administradores de PKI y soporte de tercer nivel
Lo ms probable es que el personal de TI que trabaje en este nivel disponga de certificacin Microsoft
Certified Systems Engineers (MCSE) en Windows 2000 o Windows Server 2003, o tenga un nivel
equivalente de conocimientos y experiencia.
Los siguientes cursos son muy tiles.
Curso 2823: La implementacin y administracin de la seguridad en una red de Microsoft Windows
Server 2003
Curso 2821: Designing and Managing a Windows Public Key Infrastructure
Operadores y soporte de segundo nivel
El personal de TI que proporcione soporte al departamento de asistencia al usuario y lleve a cabo
tareas operativas y de supervisin peridicas es probable que disponga de certificacin MCSE o
conocimientos equivalentes.
El siguiente curso resulta muy til para una comprensin general de la PKI y otras tecnologas de
seguridad en la plataforma Windows Server 2003.
Curso 2823: La implementacin y administracin de la seguridad en una red de Microsoft Windows
Server 2003
Departamento de asistencia al usuario
Las necesidades de formacin del departamento de asistencia al usuario dependern de si su personal
ofrecer soporte general o estar dedicado a una determinada aplicacin o sistema. El personal de
asistencia al usuario que d soporte a las aplicaciones de PKI debe recibir formacin bsica sobre la
plataforma cliente (Windows XP) y las aplicaciones cliente (Microsoft Office, por ejemplo). Es
importante ofrecer al personal de asistencia al usuario preguntas ms frecuentes, documentos y
soluciones a problemas comunes actualizados peridicamente para que puedan resolver tantas
llamadas como sea posible sin tener que reasignarlas al soporte de segundo y tercer nivel.
Usuarios
Aunque normalmente no forma parte de la responsabilidad del departamento de operaciones de TI, con
frecuencia se omite la importancia de la formacin de los usuarios. Si existe confusin acerca del
funcionamiento de una caracterstica de aplicacin, inevitablemente se generarn llamadas de soporte.
Es importante ofrecer formacin acerca del uso correcto de una aplicacin o servicio, incluidas las
posibilidades de autoayuda que los usuarios pueden intentar antes de llamar al departamento de
asistencia al usuario. Los usuarios tambin deben recibir formacin acerca de los aspectos pertinentes
de la directiva de seguridad de la organizacin para que conozcan sus responsabilidades. Por ejemplo,
deben conocer los procedimientos para informar de un equipo o tarjeta inteligente perdido o robado,
cmo elegir contraseas correctas, cmo proteger sus datos y credenciales frente al abuso y cmo
protegerse frente a los virus.
Tareas para configurar el entorno operativo
En la tabla 2 se muestran las tareas para que la PKI est operativa. Cada tarea describe cmo
configurar un aspecto del sistema de administracin de la PKI con el fin de que est preparada para
pasar a un entorno de produccin. Se incluye una estimacin del nmero de horas para cada tarea.
Para obtener una descripcin de cada tarea, consulte Configurar el entorno operativo de la PKI.
Puede que no tenga que realizar todas estas tareas, pero debe consultar los detalles de cada una antes
de tomar esta decisin. Es posible que algunas de estas tareas se tengan que repetir; por ejemplo, si
una entidad emisora de certificados se reconstruye a partir de una copia de seguridad, puede que
tenga que volver a configurar las tareas de copia de seguridad y supervisin de ella.
Nota: el esfuerzo (en horas) es una estimacin y vara segn los requisitos de seguridad y las
prcticas operativas de su organizacin.
Tabla 2: Tareas de configuracin iniciales
Nombre de tarea
Esfuerzo (horas)
General
Crear un programa de operaciones
16
Preparar el directorio
Preparar una estructura de unidades organizativas de dominio para la
0.5
empresa
Crear los grupos de inscripcin de certificados
servidor Web
Habilitar la auditora de la entidad emisora de certificados
el estado de revocacin
Administracin del sistema
Configurar las actualizaciones del sistema operativo
16
de certificados
Configurar la copia de seguridad de la base de datos de la entidad emisora
Nombre de tarea
Esfuerzo (horas)
16
certificados
Calcular las posibles restricciones de capacidad de la entidad emisora de
certificados
Configurar las alertas SMTP para las solicitudes de certificado pendientes
105.5
Total de das
13
Esfuerzo Frecuencia
de tarea
(horas)
Nmero Esfuerzo
de veces anual(horas)
al ao
0.25
Semanal
52
13
0.25
Semanal
52
13
0.5
Diaria
200
100
Administracin de la seguridad
Habilitar la inscripcin (o la inscripcin
automtica) de un tipo de certificado para un
usuario o equipo
Deshabilitar la inscripcin (o la inscripcin
automtica) de un tipo de certificado para un
usuario o equipo
Comprobar y aprobar las solicitudes de
certificado pendientes
10
Nombre de tarea
Esfuerzo Frecuencia
de tarea
(horas)
Nmero Esfuerzo
de veces anual(horas)
al ao
0.25
600
150
120
Diaria (se
estiman 50
en un mes)
0.5
estiman 20
en un mes)
Renovar el certificado de entidad emisora de
certificados raz
Renovar el certificado de una entidad emisora
0.125
0.5
0.25
ao
4
de certificados intermedia
Renovar un certificado de entidad emisora de
8 veces al
4 veces al
ao
Anual
6 veces al
ao (2 por
entidad
emisora de
certificados
raz, 4 por
intermedia)
Supervisar
Revisar los registros de auditora
Semanal
52
52
Auditar la PKI
Anual
3 veces al
16
mes
Generar informes de informacin de
Mensual
12
48
Anual
Anual
2.4
2.4
administracin
Administracin de la base de datos y la
configuracin de la entidad emisora de
certificados
Realizar copias de seguridad de una entidad
emisora de certificados sin conexin
Realizar copias de seguridad de las claves y
certificados de la entidad emisora de
(despus de
certificados
la renovacin
de la entidad
emisora de
certificados)
11
Nombre de tarea
Esfuerzo Frecuencia
de tarea
(horas)
Nmero Esfuerzo
de veces anual(horas)
al ao
32
mes
4
3 veces al
6 veces al
mes
Mensual
12
12
2 veces al
0.5
32
64
ao
Instalar Service Packs y actualizaciones de
3 veces al
mes
16
3 veces al
mes
Administracin de la configuracin
Recopilar informacin de configuracin de la
Anual
Anual
Anual
Anual
Anual
16
2 veces al
0.5
0.5
0.5
PKI de empresa
Recopilar informacin de configuracin de las
plantillas de certificado
Recopilar informacin de configuracin de la
entidad emisora de certificados
Recopilar informacin de los grupos de
administracin de la entidad emisora de
certificados y de la PKI
Recopilar informacin de configuracin de los
clientes de certificado
Tareas de soporte comunes
Tareas de soporte
Restaurar la entidad emisora de certificados a
partir de una copia de seguridad
Restaurar el par de certificado y clave de la
ao
2
2 veces al
ao
temporal
Volver a firmar una CRL o certificado para
ampliar su validez
2 veces al
ao
12
Nombre de tarea
Esfuerzo Frecuencia
de tarea
(horas)
Nmero Esfuerzo
de veces anual(horas)
al ao
0.5
0.25
0.125
0.1
2 veces al
ao
emisora de certificados
Revocar y reemplazar un certificado de entidad
ao
16
4 veces al
8 veces al
ao
40
10 veces al
ao
720
90
Personal de Microsoft
OTG (60.000 usuarios)
2 empleados a tiempo
completo
4 empleados a tiempo
completo
2 empleados a tiempo
completo
1 empleado a tiempo
completo
2 empleados a tiempo
completo
OTG tambin utiliza un centro de filtro de llamadas independiente que registra las llamadas y las dirige
al correspondiente personal de asistencia al usuario. No est incluido en la cifra del departamento de
asistencia al usuario.
Si tiene en cuenta los siguientes puntos, puede extrapolar estas cifras a su organizacin.
13
14
15
. parte de la implementacin de PKI que vern los usuarios finales, por lo que se necesitar que el
departamento de asistencia al usuario est preparado para dar soporte a la aplicacin.
5 Preparar los recursos de soporte, como las preguntas ms frecuentes, los diagramas de solucin
. de problemas, los procedimientos de asignacin de problemas y los problemas ms habituales,
que utilizar el departamento de asistencia al usuario y el soporte de segundo nivel. Estos
recursos irn evolucionando, por lo que no prevea cubrir todas las eventualidades en esta etapa.
6 Formar al personal de asistencia al usuario y al personal de soporte de asignacin de problemas
. en soporte tcnico de PKI genrico y especfico de la aplicacin.
7 Realizar una prueba piloto de la aplicacin con un grupo de usuarios administrable pero
. representativo.
8 Revisar y depurar los procedimientos de asistencia al usuario y de soporte (la revisin y la
. mejora peridicas de los servicios de soporte deben continuar a lo largo de la vida de una
aplicacin).
9 Repita los pasos del 4 al 8 para cada aplicacin.
.
Preparar el directorio
Preparar una estructura de unidades organizativas de dominio para la administracin de
Servicios de Certificate Server
El propsito de esta tarea es crear una estructura de unidades organizativas adecuada para administrar
grupos de seguridad de Servicios de Certificate Server.
Requisitos de seguridad
Cuenta con derechos para crear unidades organizativas en la parte designada de Active Directory
Detalles de la tarea
Esta tarea slo es una sugerencia del modo en que puede organizar los grupos de seguridad
relacionados con PKI. La estructura de unidades organizativas reales depender de la existente y de las
directivas y procedimientos de administracin actuales. En la tabla 5 se ofrece un subrbol de unidades
organizativas simples que se puede utilizar para ayudar a organizar los grupos de seguridad creados
mediante esta gua y a los que se hace referencia en la misma. Debe otorgar al grupo Administradores
de PKI de empresa permisos para crear y eliminar objetos de grupo para estas unidades organizativas.
Tabla 5: Ubicacin de los grupos de seguridad en la estructura de unidades organizativas
Nombre de unidad
organizativa
Propsito
Administracin de Servicios de
Certificate Server
Grupos almacenados en la
unidad organizativa
Administradores de PKI de
empresa
Editores de PKI de empresa
Administradores de entidad
emisora de certificados
Auditores de entidad emisora
de certificados
Administradores de
certificados
Operadores de copia de
entidad emisora de
certificados
16
Nombre de unidad
organizativa
Propsito
Grupos almacenados en la
unidad organizativa
Grupos de inscripcin de
Ejemplos:
certificados
concedido permisos de
inscripcin o inscripcin
automtica en plantillas del
mismo nombre. A continuacin,
el control de los grupos se puede
delegar en el personal adecuado
para permitir un rgimen de
Inscribir certificado de
usuario
Inscribir automticamente
certificado de usuario
Inscribir certificado con firma
por correo electrnico
Tipo de
grupo
Administradores de
PKI de empresa
Propsito
claves pblicas.
Este grupo tiene capacidades eficaces. Dispondr de control
completo sobre la PKI mediante el bosque de Active Directory,
incluida la capacidad de instalar y reemplazar entidades
emisoras de certificados raz y de empresa, crear confianzas de
raz e instalar certificados cruzados. Adopte las mismas
17
Nombre de grupo
Tipo de
grupo
Propsito
precauciones que con el grupo Administradores de empresa.
Editores de PKI de
empresa
Administradores de
entidad emisora de
certificados
Administradores de
certificados
Auditores de
entidad emisora de
certificados
Operadores de
copia de entidad
emisora de
certificados.
certificados
Si necesita grupos independientes de administradores de entidad emisora de certificados,
administradores de certificados, auditores y operadores de copia para cada entidad emisora de
certificados de empresa, cree grupos de dominio independientes para cada entidad emisora en vez de
un solo grupo para cada funcin tal como se muestra aqu. Asgneles el nombre "Administradores de
entidad emisora de certificados deNombreDeEntidad" (donde NombreDeEntidad es el nombre de la
entidad emisora de certificados) o uno similar.
Los grupos se crean como universales ya que necesitan alcance (visibilidad) en todo el bosque y
pueden tener miembros de varios dominios. Si nicamente necesita miembros de grupo de un solo
dominio, puede utilizar grupos globales de dominio en su lugar. Slo puede crear grupos universales en
un dominio que tenga un nivel funcional de dominio de modo nativo de Windows 2000 o superior (para
obtener ms informacin acerca de los niveles funcionales de dominio, consulte la seccin Vnculos
relacionados). Si los dominios estn en modo mixto, tiene que utilizar grupos globales.
Puede y debe limitar los usuarios que pueden cambiar la pertenencia a estos grupos. El siguiente
procedimiento restringe esta capacidad a los miembros del grupo Administradores de PKI de empresa.
Antes de continuar, debe agregar al menos una cuenta de dominio vlida al grupo Administradores de
PKI de empresa. El siguiente procedimiento utiliza una cuenta denominada PropietarioDeGruposDePKI.
Ser el propietario de los grupos de administracin de PKI, lo que le transfiere la propiedad desde los
administradores predeterminados. El nombre no es importante y puede utilizar otro distinto si lo
prefiere.
Para restringir los usuarios que pueden cambiar la pertenencia a los grupos de
administracin de PKI.
18
1 Inicie la sesin como miembro de Administradores de dominio (o una cuenta que disponga de
. permisos para crear cuentas y tenga control total de los objetos de grupo creados en el
procedimiento anterior).
2 Cree la cuenta PropietarioDeGruposDePKI que se utilizar como el propietario de estos grupos.
. Esta cuenta slo se utiliza para transferir la propiedades desde el predeterminado, el grupo
Administradores de dominio. No tendr que utilizar esta cuenta para tareas de administracin.
3 Conceda permisos de control total a PropietarioDeGruposDePKI para cada uno de estos objetos
. de grupo.
4 Inicie la sesin con la cuenta PropietarioDeGruposDePKI y tome posesin de cada grupo de uno
. en uno.
5 Quite los permisos de Administradores de dominio, Administradores y Administradores de
. empresa.
6 Conceda permisos de control total a AdministradoresDePKIDeEmpresa para cada grupo.
.
7 Cierre la sesin y vuelva a iniciarla con la misma cuenta utilizada en el paso 1. Deshabilite la
. cuenta PropietarioDeGruposDePKI para impedir que se emplee de modo accidental.
Nota: no se puede impedir que un administrador de dominio o de empresa modifique estos grupos. Sin
embargo, los pasos de este procedimiento, en concreto los correspondientes a quitar la propiedad de
los grupos del grupo Administradores integrado, ayudan a garantizar que se pueda auditar cualquier
modificacin no autorizada y que resulte improbable que se produzca un cambio no autorizado por
accidente.
Las entidades emisoras de certificados sin conexin no pueden utilizar grupos de dominio y, por lo
tanto, necesitan tener grupos locales equivalentes creados en la propia entidad emisora de certificados.
No hay una funcin local equivalente a los grupos Administradores de PKI de empresa o Editores de
PKI de empresa.
Para crear los grupos de administracin de entidad emisora de certificados en una entidad
emisora sin conexin
1 Inicie la sesin en la entidad emisora de certificados como miembro del grupo Administradores
. local.
2 Cree los grupos de administracin de la entidad emisora de certificados locales enumerados en la
. tabla 7.
Tabla 7: Nombre y propsito de los grupos de entidad emisora de certificados
Nombre de grupo
Propsito
Administradores de
entidad emisora de
certificados
funciones.
Administradores de
certificados
Auditores de entidad Administran los datos de auditora para la entidad emisora de
emisora de
certificados.
certificados
Operadores de copia Tienen permisos para realizar una copia de seguridad y restaurar las
de entidad emisora
de certificados
Asignar permisos a los grupos de administracin de PKI
19
Para utilizar las funciones administrativas en la entidad emisora de certificados (como auditor y
administrador de certificados), tiene que conceder los permisos adecuados al grupo de seguridad para
cada funcin.
Nota: aunque en este documento se utilizan varias funciones de administracin, dispone de libertad
para agregar la misma cuenta a varias funciones con el fin de obtener un modelo administrativo ms
simple. Para obtener ms informacin, consulte Asignar funciones administrativas de PKI.
Detalles de la tarea
La primera tarea establece los permisos para una entidad emisora de certificados con conexin
mediante grupos de dominio. La segunda tarea establece los permisos para una entidad emisora de
certificados sin conexin mediante grupos locales.
Para configurar las funciones administrativas para una entidad emisora de certificados con
conexin
1 En el complemento Entidad emisora de certificados de MMC, haga clic en Propiedades para
. editar las propiedades de la entidad.
2 Haga clic en la ficha Seguridad y agregue los grupos de seguridad de dominio enumerados en la
. tabla 8. Por cada grupo, agregue los permisos mostrados.
Tabla 8: Entradas de permiso para agregar
Nombre de grupo
Permiso
Permitir/denegar
Administradores de entidad
Permitir
Permitir
Permitir
emisora de certificados
Administradores de PKI de
empresa
Administradores de certificados
Nota: si piensa forzar la separacin de funciones de criterios comunes, tambin debe quitar los
permisos Administrar entidad emisora del grupo Administradores local. Para obtener ms
informacin, consulte el apndice B, Funciones administrativas de criterios comunes.
3 Agregue el grupo Auditores de entidad emisora de certificados al grupo Administradores local.
.
4 Agregue el grupo Operadores de copia de entidad emisora de certificados al grupo Operadores de
. copia local.
5 Tiene que conceder derechos de usuario a algunos de los grupos de administracin de PKI. Puede
. hacerlo en un objeto de Directiva de grupo (GPO) de dominio que se aplique a las entidades
emisoras de certificados o en el GPO local de cada entidad. Los derechos de usuario se
establecen en la parte Configuracin del equipo\Configuracin de Windows\Configuracin de
seguridad\Directivas locales\Asignacin de derechos de usuario del GPO. Cree o abra el GPO de
dominio elegido en Usuarios y equipos de Active Directory o abra el editor Directiva de
seguridad local (en Herramientas administrativas) para editar la asignacin de derechos de
usuario.
6 Conceda al grupo Auditores de entidad emisora de certificados el derecho de usuario para
. Administrar registros de seguridad y auditora.
7 Conceda a los siguientes grupos el derecho de usuario Permitir inicio de sesin local (los
. administradores y los operadores de copia tienen este derecho de forma predeterminada pero
debe incluirlos aqu para evitar que este GPO suplante al predeterminado y quite este derecho de
estos grupos de forma accidental).
Administradores (grupo local)
20
Permiso
Permitir/denegar
Administradores de entidad
Permitir
Permitir
emisora de certificados
Administradores de
certificados
Nota: si desea forzar la separacin de funciones completa, tambin debe quitar los permisos
Administrar entidad emisora del grupo Administradores local.
3 Agregue todos los miembros Auditores de entidad emisora de certificados al grupo
. Administradores local debido a que nicamente sus miembros pueden abrir el registro de sucesos
de seguridad.
4 Agregue todos los miembros del grupo Operadores de copia de entidad emisora de certificados al
. grupo Operadores de copia local.
5 Tiene que conceder derechos de usuario a algunos de los grupos de administracin de PKI. Debe
. establecer este GPO local en la entidad emisora de certificados. Los derechos de usuario se
establecen en Configuracin del equipo\Configuracin de seguridad\Configuracin de
Windows\Directivas locales\Asignacin de derechos de usuario. Abra el editor Directiva de
seguridad local (Herramientas administrativas).
6 Conceda al grupo Auditores de entidad emisora de certificados el derecho de usuario para
. Administrar registros de seguridad y auditora.
7 Conceda a los siguientes grupos el derecho de usuario Permitir inicio de sesin local (los
. administradores y los operadores de copia tienen este derecho de forma predeterminada pero
debe agregarlos a este derecho para evitar que se suplante el predeterminado).
Administradores
Operadores de copia
Administradores de entidad emisora de certificados
Auditores de entidad emisora de certificados
Administradores de certificados
Delegar los permisos de PKI de empresa
La informacin de configuracin de PKI para toda la empresa se almacena en el contenedor
Configuracin de Active Directory en un subcontenedor denominado Servicios de claves pblicas. De
forma predeterminada, los permisos de escritura para este contenedor y todos sus subcontenedores
estn limitados al grupo de seguridad Administradores de empresa.
Esta tarea concede permisos en el contenedor Servicios de claves pblicas a los grupos
Administradores de PKI de empresa y Editores de PKI de empresa con el fin de permitirle llevar a cabo
algunas de las responsabilidades reservadas a los administradores de empresa. A los administradores
de PKI de empresa se les concede la capacidad de administrar la mayora de los aspectos de la
21
configuracin de PKI para todo el bosque. Esto incluye la administracin de plantillas e identificadores
de objeto de directiva (OID) de PKI, la especificacin de confianzas de entidades emisoras de
certificados raz, el acceso a la informacin de entidad emisora (AIA) y los puntos de publicacin de
CRL en el directorio. La nica tarea que los administradores de PKI de empresa no pueden realizar es
agregar entidades emisoras de certificados de empresa al bosque (ms adelante en este procedimiento
se ofrece informacin detallada acerca de cmo delegarla al grupo Administradores de PKI de
empresa). Los editores de PKI de empresa tienen un conjunto ms limitado de privilegios y pueden
publicar listas de revocacin de certificados y certificados de entidad emisora en el directorio.
Precaucin: este procedimiento delega el control de una parte muy delicada de Active Directory, la
que afecta a los usuarios y los equipos de todo el bosque. Tenga cuidado al conceder el control sobre el
contenedor Servicios de claves pblicas. Los usuarios con permiso para modificar este contenedor y
sus subcontenedores pueden, entre otras acciones, agregar y quitar entidades emisoras de certificados
raz de confianza, agregar y quitar entradas de entidad emisora de certificados de empresa del
contenedor NTAuth y, mediante ste, falsificar credenciales de inicio de sesin vlidas para cualquier
usuario del bosque.
Requisitos de seguridad
Pertenencia a administradores de empresa
Detalles de la tarea
Para conceder permisos a los administradores de PKI de empresa
1 Inicie la sesin como miembro del grupo de seguridad Administradores de empresa.
.
2 En el complemento Sitios y servicios de Active Directory de MMC, en el men Ver,
. seleccione el nodo Servicios. Desplcese al subcontenedor Servicios de claves pblicas y
abra sus Propiedades.
3 En la ficha Seguridad, agregue el grupo de seguridad Administradores de PKI de empresa y
. concdale control total.
4 En la vista Avanzada, edite los permisos de este grupo para garantizar que Control total se
. aplica a Este objeto y todos los secundarios.
5 Seleccione el contenedor Servicios y abra sus propiedades. En la ficha Seguridad, agregue el
. grupo de seguridad Administradores de PKI de empresa y concdale control total.
6 En la vista Avanzada, edite los permisos de este grupo para garantizar que Control total se
. aplica a Slo este objeto.
Para conceder permisos a los editores de PKI de empresa
1 Inicie la sesin como miembro del grupo de seguridad Administradores de PKI de empresa
. (Administradores de empresa).
2 En el complemento Sitios y servicios de Active Directory de MMC, seleccione el nodo Servicios y
. abra las propiedades del contenedor Servicios de claves pblicas\AIA.
3 En la ficha Seguridad, agregue el grupo de seguridad Editores de PKI de empresa y concdale los
. siguientes permisos.
Lectura
Escritura
Crear todos los objetos secundarios
Eliminar todos los objetos secundarios
4 En la vista Avanzada, edite los permisos de este grupo para garantizar que los permisos se
. aplican a Este objeto y todos los secundarios.
5 Repita los pasos del 2 al 4 para los siguientes contenedores.
. Servicios de claves pblicas\CDP
Servicios de claves pblicas\Entidades emisoras de certificados
22
Delegar los permisos para instalar una entidad emisora de certificados de empresa
Agregar una entidad emisora de certificados de empresa es una operacin muy delicada. Una entidad
emisora de certificados de empresa puede emitir credenciales de inicio de sesin para cualquier cuenta
del bosque (incluidos los administradores de dominio o de empresa), por lo que slo la debe instalar un
miembro de Administradores de empresa. Microsoft recomienda y admite este enfoque, que se ha
probado completamente. No se debe realizar a menos que tenga alguna necesidad especfica para
delegar esta tarea.
Sin embargo, hay ocasiones en las que puede resultar necesario delegar esta tarea a un administrador
que no sea miembro de Administradores de empresa. Esto se puede llevar a cabo si se realizan los dos
siguientes procedimientos para conceder los permisos adecuados al grupo Publicadores de certificados
y el permiso Restaurar archivos y directorios al grupo Administradores de PKI de empresa.
Importante: al delegar esta tarea no est creando un lmite de seguridad reforzado entre
Administradores de empresa y Administradores de PKI de empresa; los miembros del ltimo grupo
pueden elevar sus privilegios a los del grupo Administradores de empresa. Debe considerar este
procedimiento de delegacin como un paso para admitir una directiva administrativa y no como un
control de seguridad estricto.
Requisitos de seguridad
Pertenencia a administradores del dominio en el que se instalar la entidad emisora de certificados de
empresa
Detalles de la tarea
El grupo de seguridad Publicadores de certificados contiene las cuentas de equipo de todas las
entidades emisoras de certificados de empresa de un dominio. Este grupo tiene permisos para publicar
certificados en objetos de usuario y de equipo, as como para publicar CRL en el contenedor CDP
mencionado en el procedimiento anterior. Cuando se instala una entidad emisora de certificados con
conexin, se tiene que agregar su cuenta de equipo a este grupo. De forma predeterminada, slo los
grupos Administradores de dominio, Administradores de empresa y Administradores de dominio
integrado tienen permisos para modificar la pertenencia de los publicadores de certificados. Para que
los miembros de Administradores de PKI de empresa puedan instalar entidades emisoras de
certificados, debe agregar este grupo a los permisos en Publicadores de certificados. Debe repetir este
procedimiento por cada dominio en el que vaya a instalar entidades emisoras de certificados de
empresa.
Para conceder el permiso de modificar la pertenencia en Publicadores de certificados
1 Inicie sesin como miembro de Administradores de dominio (del dominio en el que se instalar la
. entidad emisora de certificados).
2 Abra el complemento Usuarios y equipos de Active Directory de MMC.
.
3 En el men Ver, asegrese de que Caractersticas avanzadas est habilitado.
.
4 Busque el grupo Publicadores de certificados (de forma predeterminada, en el contenedor
. Usuarios) y consulte las propiedades del grupo.
5 En la ficha Seguridad, agregue el grupo Administradores de PKI de empresa y, a continuacin,
. haga clic en Opciones avanzadas.
6 Seleccione el grupo Administradores de PKI de empresa en la lista y haga clic en Modificar.
.
7 Haga clic en la ficha Propiedades; asegrese de que Slo este objeto est seleccionado en el
. cuadro Aplicar en.
23
24
Detalles de la tarea
Cree un grupo de inscripcin por cada tipo de plantilla de certificado o, como mnimo, todas en las que
la aprobacin de certificados vaya a ser automtica. Es posible que no necesite este mecanismo donde
utilice un proceso de registro explcito para un tipo de certificado. Si el tipo de certificado es de
inscripcin automtica, cree un grupo independiente que controle los usuarios y dispositivos que se
inscribirn automticamente al certificado.
Nota: debe utilizar grupos globales o universales de dominio para establecer permisos en las plantillas,
ya que son los nicos tipos de grupo que estn visibles en todo el bosque. Sin embargo, un grupo
global slo puede contener miembros del dominio en el que se cree. Para utilizar miembros de varios
dominios, cree grupos globales para cada dominio (a los que se agregan los usuarios y equipos
necesarios de cada dominio) y grupos universales para establecer los permisos de plantilla. A
continuacin, agregue los grupos globales al grupo universal.
Para crear grupos de inscripcin para una plantilla de certificado
1 Inicie sesin como miembro de Administradores de PKI de empresa y abra el complemento
. Usuarios y equipos de Active Directory de MMC.
2 En la unidad organizativa Grupos de inscripcin de certificados, cree los grupos de seguridad
. de dominio con los nombres siguientes (reemplace NombrePlantillaCertificado por el nombre de
la plantilla de certificado; por ejemplo, Inscribirse a certificado Inicio de sesin de tarjeta
inteligente).
Inscribirse a certificado NombrePlantillaCertificado
Inscribirse automticamente a certificado NombrePlantillaCertificado (si es necesario)
3 Cargue el complemento Plantillas de certificado en MMC.
.
4 Abra las propiedades de la plantilla para editar la seguridad.
.
5 Agregue el grupo Inscribirse a certificado NombrePlantillaCertificado y concdale permisos
. de lectura e inscripcin.
6
Agregue el grupo Inscribirse automticamente a certificado NombrePlantillaCertificado
. y concdale permisos de lectura, inscripcin e inscripcin automtica.
Nota: puede delegar el control de estos grupos de inscripcin para permitir que el propietario de la
aplicacin de certificados especifique los usuarios que pueden inscribirse (o inscribirse
automticamente) para este tipo de certificado.
Establecer permisos en el servidor Web para publicar CRL y certificados
Debe crear un directorio virtual en IIS (u otro servidor Web) para utilizar como ubicacin de Protocolo
de transferencia de hipertexto (HTTP) para Certificado de entidad emisora (AIA) y publicacin de CRL
(CDP). Esta tarea es especfica de IIS 6.0 (en Windows Server 2003) pero se puede adaptar para
versiones anteriores de IIS y para otros servidores Web.
Requisitos de seguridad
Pertenencia a administradores locales en el servidor Web
Detalles de la tarea
Esta tarea crea el directorio virtual y concede al grupo Editores de PKI de empresa y a las entidades
emisoras de certificados con conexin permisos para publicar archivos en esta ubicacin.
Para crear el punto de distribucin de IIS
1 Inicie sesin en el servidor IIS como miembro del grupo local Administradores.
.
2 Cree la carpeta C:\WWWPKIpub que contendr los certificados de entidad emisora y las CRL.
.
25
Permiso
Permitir/denegar
Administradores
Control total
Permitir
Sistema
Control total
Permitir
Propietarios de creacin
Permitir
archivos)
Usuarios
Lectura
Permitir
Modificar
Permitir
Publicadores de certificados
Modificar
Permitir
IIS_WPG
Lectura
Permitir
Escritura
Denegar
4 Comparta la carpeta como WWWPKIpub. Establezca los permisos del recurso compartido tal
. como se muestra en la tabla 11.
Tabla 11: Permisos del recurso compartido
Usuario/grupo
Permiso
Permitir/denegar
Cambiar
Permitir
Publicadores de certificados
Cambiar
Permitir
26
de Internet, puede utilizar la tcnica descrita en esta tarea para publicar en una ubicacin intermedia y,
a continuacin, utilizar su medio estndar para publicar contenido de forma segura en el servidor Web.
No olvide tener en cuenta que la latencia que agrega este paso adicional puede reducir la actualidad de
las CRL.
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados
Detalles de la tarea
Nota: es posible que algunos comandos se muestren en varias lneas para facilitar su impresin, pero
se deben introducir en una sola lnea.
Para automatizar la publicacin de CRL
1 Inicie la sesin en la entidad emisora de certificados con una cuenta que sea miembro del grupo
. Administradores local.
2 Asegrese de que se puede tener acceso a la carpeta del servidor Web (como un recurso
. compartido remoto o ruta de acceso local) desde este servidor. (Consulte Establecer permisos en
el servidor Web para publicar CRL y certificados.)
3 Ejecute el siguiente comando en el smbolo del sistema y
. reemplace \\pki.contoso.com\WWWPKIpub por la ruta de acceso UNC (convencin de
nomenclatura universal) a la carpeta de publicacin compartida del servidor Web.
certutil.exe -setreg CA\CRLPublicationURLs "+65:file://\\pki.contoso.com\WWWPKIpub\
%3%8%9.crl\n"
Importante: si la entidad emisora de certificados no puede tener acceso al recurso compartido del
servidor Web de destino, la CRL no se podr publicar y se puede impedir que las CRL se publiquen en
otros CDP (esta situacin provoca que se registre un suceso en el registro de sucesos de Windows). Si
no se puede garantizar la disponibilidad del servidor Web, puede considerar la posibilidad de utilizar
una tarea programada para copiar las CRL de la carpeta de configuracin de la entidad emisora de
certificados (%systemroot%\system32\certenroll) al destino en vez de realizar esta tarea.
Habilitar la auditora de la entidad emisora de certificados
Para obtener una descripcin completa acerca de la auditora de la entidad emisora de certificados,
consulte la Gua de operaciones de PKI de Windows Server (en ingls) (seccin Vnculos relacionados).
Requisitos de seguridad
Pertenencia al grupo Administradores de entidad emisora de certificados
Detalles de la tarea
Para habilitar la auditora en la entidad emisora de certificados
1 Habilite Auditar el acceso a objetos en la directiva de auditora que se aplica a la entidad
. emisora de certificados. Normalmente se establece en los GPO de dominio para las entidades
emisoras de certificados con conexin, pero se debe establecer en el GPO local para las
entidades emisoras de certificados sin conexin.
2 En el complemento Entidad emisora de certificados de MMC, habilite la auditora para las
. siguientes categoras.
27
Tambin debe considerar la posibilidad de habilitar la auditora del sistema de archivos y del Registro
en las siguientes ubicaciones para que se registren los intentos no autorizados para modificar los datos
o la informacin de configuracin de la entidad emisora de certificados.
La carpeta %systemroot%\system32\certsrv
Otras carpetas donde almacenan la base de datos y los registros de la entidad emisora de
certificados (si no se encuentran en la unidad predeterminada)
La clave del Registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration
Deshabilitar la comprobacin de revocacin en las entidades emisoras de certificados
intermedias
Una entidad emisora de certificados debe poder comprobar el estado de revocacin de su propio
certificado as como el de los certificados que emite. Aunque ste es el comportamiento deseable para
una entidad emisora de certificados, provoca problemas en una entidad emisora sin conexin. Debido a
que est sin conexin, no puede acceder a ninguno de los CDP publicados para la entidad emisora de
certificados raz o a ninguno de sus propios CDP. Esto impide que la entidad emisora de certificados
inicie y enve certificados.
Una solucin a este problema consiste en publicar CRL desde la entidad emisora de certificados raz y
desde s misma al almacn de certificados local del equipo. Sin embargo, esto resulta confuso y, en la
mayora de los casos, no aporta una ventaja de seguridad apreciable (esta comprobacin de revocacin
no tiene ninguna relacin con la comprobacin de revocacin de los certificados que realizan los
usuarios conectados).
El enfoque utilizado aqu consiste en impedir que la entidad emisora de certificados realice estas
comprobaciones de revocacin obligatorias. Para ello, se configura la entidad emisora de certificados
para que omita la comprobacin de revocacin si los CDP no estn conectados.
Nota: en Windows Server 2003 anterior a Service Pack (SP) 1, el procedimiento siguiente no
deshabilita completamente la comprobacin de revocacin. Aunque el procedimiento provoca que la
entidad emisora de certificados omita la comprobacin de revocacin de los certificados que emite,
todava realiza una comprobacin en su propio certificado al iniciarse, por lo tanto, requiere acceso a la
CRL desde su entidad emisora principal. Tambin hay disponible una revisin anterior a SP1 para este
defecto. Si no puede actualizar la entidad emisora de certificados, tendr que seguir publicando las CRL
de la entidad emisora de certificados raz en el almacn de certificados de la entidad emisora
intermedia.
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados intermedia
Detalles de la tarea
Para deshabilitar la comprobacin de revocacin en una entidad emisora de certificados
intermedia
1 Inicie la sesin en la entidad emisora de certificados. En el smbolo del sistema, ejecute el
. siguiente comando.
Certutil.exe -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
2 Reinicie la entidad emisora de certificados (el servicio Servicios de Certificate Server).
.
3 Repita este procedimiento para todas las entidades emisoras de certificados intermedias sin
. conexin.
Puede anular este cambio mediante el siguiente comando.
Certutil.exe -setreg ca\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE
28
Versiones
del sistema
operativo
Entidad
Service Packs
Actualizaciones
funcionales (no
de seguridad)
Actualizaciones de seguridad
Slo si la
Instalar actualizaciones de
emisora de
modo
actualizacin es
seguridad mediante la
certificados
habitual
fundamental
implementacin automtica de
modo habitual
con
conexin
Entidad
Slo si la
Instalar correcciones de
emisora de
modo
actualizacin es
certificados
habitual
fundamental
meses.
modo habitual
sin conexin
Importante: aunque Microsoft prueba exhaustivamente las actualizaciones de sistema operativo,
siempre debe realizar pruebas antes de implementar las actualizaciones en sus sistemas. Debe utilizar
un servidor SUS independiente o un grupo de destino SMS independiente para controlar las
actualizaciones de seguridad en la entidad emisora de certificados. Es posible que no pueda probar las
actualizaciones en las entidades emisoras de certificados con la misma programacin que en los dems
sistemas y puede que haya actualizaciones que no sean pertinentes para las entidades emisoras.
Configurar las opciones de disponibilidad y recuperacin
Las tareas de esta seccin tienen como objetivo garantizar que la PKI tiene una buena resistencia a los
errores y que puede recuperar rpidamente los errores que puedan surgir.
29
30
seguridad de estado del sistema rpidamente. Esto normalmente slo es necesario para las entidades
emisoras de certificados. El servidor debe duplicar la especificacin de hardware de las entidades
emisoras de certificados que se recuperarn (aunque las diferencias menores, como la cantidad de
memoria, por lo general no son importantes). Si utiliza HSM, necesita un HSM duplicado como parte
de la configuracin de reserva. Debe instalar la misma versin del sistema operativo que la utilizada
en las entidades emisoras de certificados.
Establecer procedimientos de recuperacin Tiene que documentar los pasos manuales
necesarios para recuperar una o varias entidades emisoras de certificados. El personal de soporte
que llevar a cabo los procedimientos de recuperacin tiene que estar formado en dichos
procedimientos. Tambin debe ensayar el procedimiento por completo para asegurarse de que
funciona correctamente y de forma adecuada.
Contingencia de recuperacin Tambin debe asegurarse de que dispone de procedimientos de
contingencia de recuperacin que permitan que la PKI siga funcionando mientras se llevan a cabo los
procedimientos de recuperacin. Lo ms importante es un medio para ampliar la duracin de una
CRL si la entidad emisora de certificados no se puede volver a conectar a tiempo para emitir una
nueva. Puede ampliar la duracin de una CRL mediante el procedimiento Volver a firmar una CRL o
certificado para ampliar su validez (para ello, debe tener acceso a la clave privada de la entidad
emisora de certificados). Es posible que tambin tenga que hacer una copia de seguridad de la
entidad emisora de certificados para tomar posesin temporalmente de la emisin y la renovacin de
certificados de la entidad emisora de certificados con error.
Utilizar HSM Debe establecer procedimientos y controles especiales sobre el hardware HSM, el
almacn de claves y las tarjetas de operador y de regeneracin de claves. Debe incluir una auditora
peridica de los titulares de tarjeta para saber que puede obtener rpidamente las tarjetas correctas
en caso de emergencia.
Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados
El propsito de esta tarea es hacer una copia de seguridad de las claves privadas y los certificados de
la entidad emisora de certificados, la base de datos de certificados y la informacin de configuracin de
Servicios de Certificate Server. La informacin de configuracin de Servicios de Certificate Server
incluye la configuracin del sistema operativo y otra informacin de estado de la que depende la
entidad emisora de certificados. La mejor forma de realizar una copia de estos elementos mediante
una copia de seguridad de estado del sistema de Windows. Se admite en la utilidad Copia de seguridad
de Windows suministrada con Windows Server 2003 y en varios sistemas de copia de seguridad
comerciales. Debe consultar al proveedor de la solucin de copia de seguridad si admite la copia de
seguridad de estado del sistema de Windows o una funcionalidad equivalente.
Precaucin: si no utiliza HSM para proteger las claves de la entidad emisora de certificados, los datos
de la copia de seguridad de la entidad emisora son extremadamente confidenciales porque contienen el
material de claves privadas de la propia entidad (tambin pueden contener claves privadas archivadas
de los usuarios). Debe transportarlos y almacenarlos con el mismo cuidado y seguridad que la entidad
emisora de certificados. En este caso, puede considerar la posibilidad de utilizar un sistema de copia de
seguridad para las entidades emisoras de certificados.
Si el sistema corporativo de copia de seguridad no admite la copia de seguridad de estado del sistema
de Windows, puede utilizar Copia de seguridad de Windows para guardar una copia de la entidad
emisora de certificados en archivo y, a continuacin, utilizar el sistema corporativo de copia de
seguridad para guardar el archivo. Posteriormente, la restauracin de la entidad emisora de certificados
31
requiere que el archivo de copia de seguridad se restaure y que se utilice Copia de seguridad de
Windows para restaurar la entidad emisora a partir del archivo de almacenamiento.
Debido a que por lo general no resulta prctico hacer una copia de seguridad completa de la entidad
emisora de certificados varias veces al da, tambin se realiza una copia de seguridad diferencial cada
hora. Copia los registros de base de datos, que han registrado todas las transacciones desde la copia
de seguridad completa diaria.
Requisitos de seguridad
Administradores locales de la entidad emisora de certificados. Los trabajos de copia de seguridad se
pueden ejecutar como sistema local en la entidad emisora, pero puede utilizar otra cuenta para
ejecutar la copia de seguridad siempre que sea miembro del grupo Operadores de copia de la entidad
emisora de certificados.
Detalles de la tarea
Esta tarea configura un trabajo programado para hacer una copia de seguridad por la noche del
servidor de la entidad emisora de certificados.
Nota: si utiliza un HSM, este procedimiento no resultar adecuado para hacer una copia de seguridad
de las claves que protege el HSM. Es posible que tenga realizar copia de seguridad de parte del
material de claves protegido de la entidad emisora de certificados. Pero tambin tendr que asegurarse
de que estn disponibles un HSM idntico y las claves de acceso del HSM necesarias en caso de que
tenga que restaurar una entidad emisora de certificados. Siga las instrucciones del proveedor del HSM
para hacer una copia de seguridad o proteger el material de claves y las claves de acceso.
Para configurar una copia de seguridad completa diaria de la entidad emisora de certificados
Programe el trabajo de copia de seguridad para que se ejecute cada medianoche. Puede que tenga
que cambiar esta hora segn la distribucin geogrfica de su organizacin. Aunque la entidad
emisora de certificados no tiene que estar completamente inactiva durante la copia de seguridad,
debe intentar seleccionar un perodo de poco uso de modo que la copia de seguridad no compita por
obtener recursos con las tareas de produccin normales.
Para estimar el perodo de tiempo que durar, ejecute una copia de seguridad de estado del sistema
(con la comprobacin activada) en un servidor antes de que empiece a emitir cantidades importantes
de certificados. Ejecute la copia de seguridad con el servicio Servicios de Certificate Server cerrado (de
este modo se impide que los registros de la entidad emisora de certificados se trunquen debido a esta
copia de seguridad de prueba). Se har una copia de seguridad de aproximadamente 500 megabytes
(MB) de datos de estado del sistema. Cronometre esta operacin y calcule el tiempo aproximado para
una base de datos de entidad emisora de certificados adems de una copia de seguridad de estado del
sistema del siguiente modo:
TiempoTotal = TiempoEstadoSistema x (500 + ((NmeroUsuarios + NmeroEquipos) x
NmeroCertificados x 20KB)) 500
En esta frmula se supone el peor de los escenarios, con cinco certificados por usuario y equipo, por
ao, y muestra el almacenamiento total al cabo de cinco aos. Si se asignan 20 kilobytes (KB) por
certificado, se obtiene un MB de almacenamiento por usuario cada cinco aos. Mediante la frmula, si
el tiempo para hacer una copia de seguridad del estado del sistema nicamente es de cinco minutos,
necesitar 105 minutos para una entidad emisora de certificados con 10.000 usuarios (para hacer la
copia de seguridad de la base de datos de 10 gigabytes [GB] con 500.000 certificados).
Slo es una gua aproximada. El tiempo vara segn el nmero de usuarios y equipos, as como el
nmero de certificados emitidos a cada usuario y equipo.
32
Guarde la copia de seguridad de forma segura. Almacene los datos de la copia de seguridad en un sitio
fsico distinto al de la entidad emisora de certificados. De este modo podr recuperar la entidad
emisora si se destruyen todos los equipos informticos del sitio o no se puede tener acceso a ellos.
Una copia de seguridad diferencial guarda toda la informacin desde que se realiz la ltima copia
completa. La copia de seguridad diferencial emplea la utilidad certutil.exe para copiar los archivos de
registro de la base de datos de Servicios de Certificate Server en una carpeta cada hora.
Para configurar una copia de seguridad diferencial cada hora de la entidad emisora de
certificados
1 Cree un directorio donde se almacenarn los archivos temporales de la copia de seguridad
. diferencial: C:\CABackup. Proteja el directorio; para ello, ejecute el siguiente comando.
cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C
2 Ejecute la siguiente serie de comandos para programar una copia de seguridad diferencial cada
. hora (slo se muestran los cuatro primeros; tendr que ejecutar este comando para cada hora
del da en que quiera ejecutar una copia de seguridad diferencial). Si el da laborable de su
organizacin es de slo 10 horas, no tiene sentido programar copias de seguridad diferenciales
para las otras 14 horas del da. Debe ajustar la programacin de copias de seguridad para se
ajuste a sus horas de funcionamiento.
SCHTASKS /Create /RU system /SC daily /ST 01:00 /TN "CA Differential Backup" /TR "certutil
-backupdb c:\CABackup incremental keeplog"
SCHTASKS /Create /RU system /SC daily /ST 02:00 /TN "CA Differential Backup" /TR "certutil
-backupdb c:\CABackup incremental keeplog"
SCHTASKS /Create /RU system /SC daily /ST 03:00 /TN "CA Differential Backup" /TR "certutil
-backupdb c:\CABackup incremental keeplog"
SCHTASKS /Create /RU system /SC daily /ST 04:00 /TN "CA Differential Backup" /TR "certutil
-backupdb c:\CABackup incremental keeplog"
3 Programe su solucin de copia de seguridad corporativa para que haga una copia de seguridad
. del contenido de C:\CABackup. Debe ajustar esta frecuencia para que coincida con la copia de
seguridad diferencial.
Nota: evite la programacin de una copia de seguridad diferencial demasiado prxima a una completa.
Utilice los clculos del procedimiento anterior para calcular la duracin de la copia de seguridad
completa y supervsela a medida que crece la base de datos de la entidad emisora de certificados para
asegurarse de que no se superpone con un trabajo de copia de seguridad diferencial.
Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados
sin conexin
El propsito de esta tarea es preparar las claves privadas y los certificados de la entidad emisora de
certificados, la base de datos de certificados y la informacin de configuracin de Servicios de
Certificate Server para una copia de seguridad. La informacin de configuracin de Servicios de
Certificate Server incluye la configuracin del sistema operativo y otra informacin de estado de la que
depende la entidad emisora de certificados. A diferencia de las entidades emisoras de certificados, el
procedimiento de copia de seguridad de las entidades emisoras sin conexin se realiza manualmente.
Para obtener ms informacin, consulte Realizar copias de seguridad de una entidad emisora de
certificados sin conexin.
Requisitos de seguridad
Pertenencia al grupo Administradores local en la entidad emisora de certificados
33
Detalles de la tarea
La entidad emisora de certificados raz normalmente slo emite unos pocos certificados, por lo que su
base de datos nunca ser grande. Asimismo, los datos cambian con muy poca frecuencia, slo una vez
cada varios meses o incluso aos. Lo mismo sucede con otras entidades emisoras de certificados sin
conexin, como las intermedias sin conexin.
Debido a que estas entidades emisoras de certificados no estn conectadas, se necesita un dispositivo
de copia de seguridad local (como una unidad de cinta o una unidad de CD o DVD grabable) donde se
almacenar el archivo de copia de seguridad. Si utiliza Copia de seguridad de Windows u otro sistema
que pueda realizar una copia de seguridad del estado del sistema, puede utilizarlo para hacer la copia
directamente en un medio extrable. Si el sistema de copia de seguridad elegido no realiza una copia
de seguridad de estado del sistema de Windows, debe utilizar Copia de seguridad de Windows para
copiar la entidad emisora de certificados y el sistema operativo en un archivo y, a continuacin,
copiarlo en un medio extrable.
Precaucin: si utiliza un HSM, este procedimiento puede hacer una copia de seguridad del material de
claves cifradas (segn el modo de funcionamiento del HSM), pero las claves copiadas no se podrn
utilizar en un equipo restaurado sin un HSM y claves de acceso al HSM idnticos. Siga las instrucciones
del proveedor del HSM para proteger el material de claves y las claves de acceso.
Configurar la supervisin y las alertas
La supervisin de servicios permite al personal de operaciones supervisar el estado de un servicio de TI
en tiempo real.
En esta seccin se describe cmo configurar un conjunto de herramientas de supervisin del sistema
para ofrecer el tipo correcto de alertas e informacin de estado acerca de la PKI. En este documento se
supone que utiliza una herramienta de supervisin del sistema como Microsoft Operations Manager
(MOM) que pueda generar alertas a partir de las entradas del registro de sucesos. Para obtener ms
informacin acerca de la implementacin de MOM, consulte la Gua de implementacin del SP1 de
Microsoft Operations Manager 2000 (en ingls) en la seccin Vnculos relacionados.
Clasificar las alertas de supervisin
El sistema de supervisin slo debe enviar alertas al personal de operaciones para los sucesos ms
importantes. Si todos los errores menores producen alertas de incidentes, el personal de operaciones
puede no llegar a discernir lo que es urgente.
Detalles de la tarea
Las categoras de alerta de la tabla 13 son un ejemplo de niveles de clasificacin de alertas comunes y
son los valores predeterminados que utiliza MOM. Las categoras de alerta se enumeran en orden
descendente de importancia. De ellas, slo las tres primeras (Servicio no disponible, Infraccin de
seguridad y Error crtico) deben producir alertas en la consola del operador para su intervencin
inmediata. Los errores y las advertencias no se consideran urgentes y se deben dirigir al personal de
soporte operativo de la PKI para su resolucin.
Tabla 13: Categoras de alerta
Categora de alerta Descripcin
Servicio no
disponible
Infraccin de
seguridad
34
Error
Advertencia
Informacin
Correcto
35
Detalles de la tarea
Los incidentes de la tabla 14 son los ms importantes para Servicios de Certificate Server. En esta
tabla se describe el significado de cada tipo de incidente y la gravedad de alerta (para la consola
administrativa) que debe asignar a dicho suceso. En la tabla 15 se enumeran los mtodos para
detectar estos incidentes; la mayora se detectan mediante la secuencia de comandos adjunta a este
documento.
La columna Gravedad se relaciona con las categoras de alerta definidas anteriormente en el
procedimiento "Clasificar las alertas de supervisin".
Tabla 14: Evaluar la gravedad de los incidentes de Servicios de Certificate Server
Estado de Servicios de
Certificate Server
Significado
Gravedad
Crtica o
emisora de certificados
Servicio no
disponible
Crtica
de certificados
Estado de error/advertencia del
Error o
advertencia
emisora de certificados
Servicios de Certificate Server sin La interfaz de llamada a procedimiento remoto
conexin
Interfaz de cliente sin
Crtica
conexin
Interfaz de administracin sin
conexin
El certificado de entidad emisora
disponible
emisora ha caducado
El certificado de entidad
emisora principal ha
caducado
Al certificado de entidad emisora
de un mes de validez
Error
es inferior a la mitad de su
Advertencia
36
Estado de Servicios de
Certificate Server
Significado
duracin
Gravedad
inferior a la prevista.
El certificado de entidad emisora
Servicio no
de certificados se ha revocado
disponible
Servicio no
disponible
CRL no disponible
La CRL no se puede recuperar
de Active Directory
La CRL no se puede recuperar
del servidor Web
El certificado KRA est caducado
Servicio no
disponible
Crtica
Advertencia
corrige.
El certificado KRA se ha revocado Un certificado KRA se ha revocado; esto puede
Crtica
confianza
Crtica
confianza.
Error en la copia de seguridad de
Crtica o error
37
Secuencia de
comandos o mtodo de
deteccin de sucesos
Origen del
suceso
Identificador
de suceso
Operaciones
Supervisin nativa de
Supervisin nativa de
certificados
Interfaz RPC de cliente del servicio
CAMonitor.vbs
de la entidad
conexin
emisora de
certificados
Operaciones
de la entidad
conexin
emisora de
certificados
38
Suceso
Secuencia de
comandos o mtodo de
deteccin de sucesos
Origen del
suceso
Identificador
de suceso
CAMonitor.vbs
Operaciones
10
de la entidad
emisora de
ha caducado
certificados
CAMonitor.vbs
Operaciones
de la entidad
validez
emisora de
11
certificados
La validez del certificado de entidad
CAMonitor.vbs
Operaciones
de la entidad
mitad de su duracin
emisora de
12
certificados
El certificado de entidad emisora de
CAMonitor.vbs
certificados se ha revocado
Operaciones
13
de la entidad
emisora de
certificados
CRL caducada
CAMonitor.vbs (sin
Operaciones
de la entidad
CRL)
emisora de
20
certificados
CRL vencida
CAMonitor.vbs (sin
Operaciones
de la entidad
CRL)
emisora de
21
certificados
CRL no disponible: la CRL no se puede
CAMonitor.vbs (sin
Operaciones
de la entidad
CRL)
emisora de
22
certificados
CRL no disponible: la CRL no se puede
Operaciones
de la entidad
23
emisora de
certificados
El certificado KRA est caducado
CAMonitor.vbs
Operaciones
30
de la entidad
emisora de
certificados
Al certificado KRA le queda menos de un
mes de validez
CAMonitor.vbs
Operaciones
31
de la entidad
emisora de
39
Suceso
Secuencia de
comandos o mtodo de
deteccin de sucesos
Origen del
suceso
Identificador
de suceso
certificados
El certificado KRA se ha revocado
CAMonitor.vbs
Operaciones
32
de la entidad
emisora de
certificados
El certificado KRA no es de confianza
CAMonitor.vbs
Operaciones
33
de la entidad
emisora de
certificados
Error en la copia de seguridad de la
El cdigo de error de
Ntbackup
8019
NTBackup.exe se muestra
Error de ejecucin de
Operaciones
100
CAMonitor.vbs
de la entidad
emisora de
certificados
La sintaxis de CAMonitor.vbs es la siguiente:
cscript CAMonitor.vbs {/CAAlive | /CACertOK | /CACRLOK | /KRAOK} [/smtp /smtpserver:MyServer.Dom _
/smtpto:"recip1@co.dom, recip2@co.dom"] [/noeventlog]
El primer parmetro es el tipo de comprobacin o comprobaciones que se ejecutarn (como mnimo se
requiere una y se pueden utilizar varias simultneamente). El segundo parmetro especifica que se van
a emitir alertas de correo electrnico SMTP. Si se utiliza, se deben especificar los parmetros
SMTPServer y SMTPTo. El primero define el nombre de host o la direccin IP del servidor de correo y el
ltimo es una lista de destinatarios separados por comas que recibirn el mensaje de correo
electrnico. El parmetro final deshabilita la escritura de alertas en el registro de sucesos de Windows.
La secuencia de comandos est diseada para ser ilustrativa. Es recomendable que la modifique y
mejore para que se adapte mejor a sus necesidades. En su forma actual, tiene varias limitaciones.
Slo comprueba CRL completas. No comprueba las diferencias entre listas CRL.
Slo comprueba puntos de distribucin de HTTP y LDAP. No comprueba direcciones URL de tipo FILE
o protocolo de transferencia de archivos (FTP).
Se generan alertas de certificados KRA, aunque una entidad emisora de certificados pueda disponer
40
de suficientes certificados KRA vlidos para continuar su funcionamiento. Por ejemplo, si la entidad
emisora de certificados tiene dos certificados KRA, uno de los cuales est revocado pero slo necesita
un certificado KRA para cifrar las claves archivadas, la secuencia de comandos alertar del certificado
revocado aunque no provoque un error en el servicio.
Configurar la supervisin de la seguridad de la entidad emisora de certificados
Servicios de Certificate Server genera varias entradas de registro (auditora) de sucesos de seguridad
como respuesta a distintos sucesos de seguridad. La mayora de estas entradas son el resultado de
tareas operativas cotidianas. Sin embargo, algunos sucesos indican cambios importantes en la
configuracin y puede ser necesario investigarlos con ms detenimiento. La siguiente tarea operativa,
Revisar los registros de auditora en busca de incidentes de seguridad, utiliza el trabajo preparatorio de
este procedimiento y resalta algunos de los sucesos de seguridad ms importantes que se deben
vigilar.
Requisitos de seguridad
Pertenencia a Auditores de entidad emisora de certificados (para revisar el registro de seguridad)
Cuenta de supervisin de seguridad designada para supervisar mediante MOM (o similar)
Detalles de la tarea
En la tabla 16 se enumeran los sucesos de auditora que genera Servicios de Certificate Server junto
con una clasificacin de alerta recomendada (segn las categoras definidas en el procedimiento
Clasificar las alertas de supervisin). Configure el sistema de configuracin para buscar estos sucesos y
generar el nivel de alerta adecuado. Por otro lado, si no dispone de un sistema de supervisin de
sucesos centralizado, revise los registros de seguridad del servidor de la entidad emisora de
certificados peridicamente (lo ideal sera hacerlo cada da) para buscar estos elementos.
La categora de alerta predeterminada para los sucesos de auditora Correcto es Informacin.
Cualquier suceso Correcto que se produce como resultado de posibles cambios en la configuracin de la
seguridad de la entidad emisora de certificados se trata como Advertencia. Todos los sucesos de nivel
Advertencia indican sucesos importantes que normalmente no se prev que se produzcan en las
operaciones cotidianas. Todos los sucesos Advertencia deben corresponder a una solicitud de cambio
aprobada. Si no existe dicha correspondencia, trate el suceso como una posible infraccin de seguridad
e investguelo inmediatamente.
Los eventos de auditora de errores normalmente no estn previstos durante las operaciones cotidianas
o durante los cambios estndar en la entidad emisora de certificados. Casi todos ellos son importantes
y requieren investigacin (aunque esto puede indicar nicamente una asignacin de permisos
incorrecta en vez de un ataque malintencionado).
Nota: hay pocas excepciones a esta situacin, como el suceso 792, "Servicios de Certificate Server ha
denegado una peticin de certificado". Se generan sucesos de correcto y de error para una peticin,
que ha denegado legtimamente un administrador de certificados, pero nicamente un suceso de error
cuando la denegacin de peticin la intenta otro usuario sin el permiso suficiente.
Otro conjunto de excepciones a la lista de la tabla 16 se relaciona con las distintas formas en que
puede realizar cambios de configuracin en la entidad emisora de certificados. Los sucesos 789
("Cambio del filtro de auditora") y 795 y 796 ("Cambio de configuracin o propiedad de la entidad
emisora de certificados") slo se registrarn si los cambios se realizan mediante el complemento
Entidad emisora de certificados de MMC. No se registrarn si algn usuario intenta editar el Registro de
la entidad emisora de certificados directamente (o utiliza el comando certutil -setreg) para cambiar los
valores de configuracin de la entidad emisora.
41
Categora
de alerta
Correcto
772
Categora
de alerta
Error
Error
de certificado pendiente.
773
Error
Error
775
Advertencia
Informacin
42
Identificado
r de suceso
Categora
de alerta
Correcto
Categora
de alerta
Error
Informacin
Error
777
Informacin
Error
778
Informacin
Error
Advertencia
Error
Informacin
Informacin
Advertencia
Advertencia
cambiado.
779
780
781
782
783
784
Informacin
785
Advertencia
786
Advertencia
Error
Informacin
Error
Informacin
Advertencia
Advertencia
Error
Error
788
789
790
certificado.
791
Informacin
Error
Advertencia
de certificado.
793
794
Advertencia
Advertencia
Error
43
Identificado
r de suceso
Categora
de alerta
Correcto
Categora
de alerta
Error
44
Identificado
r de suceso
Categora
de alerta
Correcto
Categora
de alerta
Error
Advertencia
Error
Nodo: PolicyModules
Entrada: Active
Cambio en el mdulo de directiva activo. El valor
especifica el nombre del nuevo mdulo.
Nodo:
Entrada: CRLPublicationURLs
Cambio en CDP o AIA. El valor especifica el conjunto
resultante de CDP.
Nodo:
Entrada: CACertPublicationURLs
Cambio en AIA o CDP. El valor especifica el conjunto
resultante de AIA.
796
797
Informacin
798
Informacin
una clave.
799
Informacin
Error
certificados.
801
Advertencia
Error
45
Identificado
r de suceso
560
Acceso de objetos
Categora
de alerta
Correcto
Categora
de alerta
Error
Error
Contador de rendimiento
Instancia
Procesador
% de tiempo de procesador
_Total
Disco fsico
% tiempo de disco
_Total
Disco fsico
_Total
C: (sistema)
D: (registros de la entidad
emisora de certificados)
E: (base de datos de la entidad
emisora de certificados)
Interfaz de red
Total de bytes/s
Adaptador de NW
Memoria
Para obtener informacin ms general acerca de las restricciones de capacidad y los contadores de
rendimiento relacionados, consulte la seccin Vnculos relacionados.
Tambin es importante supervisar los indicadores de capacidad en cualquier infraestructura de soporte.
Los elementos clave son:
Comunicaciones de Servicios de Certificate Server con Active Directory (las entidades emisoras de
certificado de empresa utilizan Active Directory para los servicios de autenticacin y autorizacin,
para leer y almacenar informacin de configuracin de entidades emisoras y PKI, y, para
determinados tipos de certificado, publicar los certificados emitidos en el directorio).
Comunicaciones relacionadas con los certificados de cliente con Active Directory (los clientes leen la
46
47
48
para comprobar los certificados que caducan. Aunque esta herramienta no se ha publicado, hay
disponible un kit de herramientas para los clientes como parte de un contrato de Servicios de
consultora de Microsoft.
Programacin de trabajos
La programacin de trabajos, en el modelo de proceso MOF, implica la organizacin de trabajos y
procesos en una secuencia eficaz para maximizar el rendimiento y la utilizacin del sistema. Aqu, el
objetivo es similar pero algo ms simple. Es importante documentar la programacin de todos los
trabajos automatizados que se ejecutan en un sistema para poder evitar los conflictos posibles entre
los trabajos. Los trabajos se pueden programar mediante Programador de tareas de Windows, agentes
de administracin u otras aplicaciones y servicios (como detectores de virus).
Programar trabajos en las entidades emisoras de certificados con conexin
Se tiene que ejecutar una serie de tareas repetitivas en las entidades emisoras de certificados para
mantener la ejecucin sin problemas de la PKI. Estn automatizadas para reducir la sobrecarga
operativa.
Requisitos de seguridad
Administradores locales en la entidad emisora de certificados
Detalles de la tarea
En la tabla 18 se enumeran los trabajos automatizados que se ejecutan en las entidades emisoras de
certificados. Estos trabajos estn definidos en tareas en cualquier parte de este documento (se
muestran en la columna Tarea de referencia); la tabla slo es de referencia.
Slo las entidades emisoras de certificados tienen trabajos automatizados en ejecucin. Las entidades
emisoras de certificados sin conexin pueden estar apagadas durante largos perodos, por lo que es
imposible mantener una programacin confiable en este equipo.
Tabla 18: Lista de trabajos programados en las entidades emisoras de certificados
Descripcin del
trabajo
Programacin
Ejecutado por
Tarea de referencia
Copia de seguridad
Diaria
Programador de tareas
Configurar la copia de
completa de la base de
de Windows o
seguridad de la base de
datos de la entidad
programador del
datos de la entidad
emisora de certificados
sistema de copia de
emisora de certificados
seguridad
Copia de seguridad
Cada hora
diferencial de la base de
Programador de tareas
Configurar la copia de
de Windows
seguridad de la base de
datos de la entidad
datos de la entidad
emisora de certificados
emisora de certificados
Diaria
Servicios de Certificate
Configurar la entidad
Server
emisora de certificados
para publicar CRL en un
servidor Web
Supervisar el estado de
la entidad emisora de
certificados con
Cada hora
MOM o Programador de
Supervisar la
tareas de Windows
disponibilidad del
servicio
conexin
49
Descripcin del
trabajo
Programacin
Ejecutado por
Tarea de referencia
Supervisar el estado de
Cada hora
MOM o Programador de
Supervisar la
tareas de Windows
disponibilidad del
emisin y publicacin de
la CRL
servicio
MOM o Programador de
Supervisar la
certificado de entidad
tareas de Windows
disponibilidad del
emisora de certificados
servicio
MOM o Programador de
Supervisar la
certificado KRA
tareas de Windows
disponibilidad del
servicio
Principio de la pgina
Funcionamiento de la PKI
En esta seccin se describen las tareas de mantenimiento necesarias para mantener operativa la PKI.
Muchas de estas tareas tienen programaciones concretas mientras que otras slo se realizan cuando es
necesario. Las tareas de esta seccin corresponden al cuadrante operativo del modelo de proceso de
MOF.
Lista de comprobacin de tareas operativas
Administracin de la seguridad
Habilitar la inscripcin (o la inscripcin automtica) de un tipo de certificado para un usuario o equipo
Deshabilitar la inscripcin (o la inscripcin automtica) de un tipo de certificado para un usuario o
equipo
Comprobar y aprobar las solicitudes de certificado pendientes
Revocar un certificado de entidad final
Recuperar una clave privada archivada
Renovar un certificado de entidad emisora de certificados
Publicar los certificados de entidad emisora de certificados raz sin conexin
Publicar los certificados de entidad emisora de certificados intermedia en el servidor Web
Publicar los certificados de entidad emisora de certificados en el servidor Web
Publicar las CRL de una entidad emisora de certificados sin conexin en el servidor Web
Publicar las CRL de la entidad emisora de certificados raz en las entidades emisoras intermedias sin
conexin
Forzar la emisin de una CRL sin conexin
Supervisar
Revisar los registros de auditora en busca de incidentes de seguridad
Auditar la PKI
Revisar los datos de rendimiento y capacidad
Administracin de la base de datos y la configuracin de la entidad emisora de certificados
Administracin de la seguridad
La administracin de la seguridad abarca tareas relacionadas con los componentes de seguridad de la
infraestructura informtica.
Habilitar la inscripcin (o la inscripcin automtica) de un tipo de certificado para un
usuario o equipo
50
Esta tarea utiliza los grupos de seguridad de inscripcin para permitir la inscripcin manual o iniciar la
inscripcin automtica de un tipo de certificado para un usuario, un equipo o un grupo de seguridad
que contenga usuarios y/o equipos.
Nota: la inscripcin automtica tambin se debe haber habilitado en el GPO de los usuarios o equipos
de destino. Para obtener ms informacin, consulte el procedimiento Establecer la directiva de
inscripcin automtica de los usuarios de dominio del tema "Ejemplo de implementacin de Servicios
de Certificate Server: Establecer la inscripcin automtica para certificados de usuario" en la
documentacin de Windows Server 2003.
Frecuencia
Segn se requiera
Requisitos de seguridad
Modificar los permisos de pertenencia del grupo de inscripcin de certificados
Detalles de la tarea
Para habilitar la inscripcin o la inscripcin automtica para un usuario o un equipo
1 En el complemento Usuarios y equipos de Active Directory de MMC, busque el grupo de
. seguridad Inscripcin de plantillas de certificado (o el grupo de inscripcin automtica para
la inscribir automticamente el certificado) correspondiente al tipo de certificado que se
inscribir. Debe haber iniciado la sesin como usuario con permisos Modificar pertenencia para
este grupo.
2 Agregue el usuario, el equipo o el grupo de seguridad al grupo de seguridad de plantillas
. seleccionado.
Deshabilitar la inscripcin (o la inscripcin automtica) de un tipo de certificado para un
usuario o equipo
La emisin de un certificado a un usuario o un equipo normalmente habilita alguna funcionalidad al
titular del certificado; es posible que tenga que revocar esta funcionalidad ms adelante.
Frecuencia
Segn se requiera
Requisitos de seguridad
Permiso para modificar la pertenencia del grupo de inscripcin de certificados
Detalles de la tarea
Para deshabilitar la inscripcin o la inscripcin automtica para un usuario o un equipo
1 En Usuarios y equipos de Active Directory, busque el grupo de seguridad Inscripcin (o
. inscripcin automtica) de plantillas de certificado correspondiente al tipo de certificado que se
deshabilitar. Inicie la sesin como usuario con permisos Modificarpertenencia para este
grupo.
2 Quite el usuario, el equipo o el grupo de seguridad del grupo de seguridad de plantillas.
.
Nota: por cada certificado de usuario que desee deshabilitar, tambin tendr que revocar el certificado
de dicho usuario. Para revocar un certificado de entidad final, consulte el procedimiento Para revocar
un certificado emitido en la documentacin de Windows Server 2003.
Comprobar y aprobar las solicitudes de certificado pendientes
Las peticiones de certificado se pueden enviar a las entidades emisoras de certificados en cualquier
momento. La mayora de los certificados se emitirn automticamente mediante Active Directory como
la entidad de registro o mediante un conjunto predefinido de firmas de las entidades de registro
designadas. Si ha configurado que cualquier tipo de certificado requiera la aprobacin manual de un
administrador de certificados, estas peticiones se pondrn en cola hasta que un administrador de
certificados las apruebe o las deniegue.
51
Frecuencia
Diaria
Requisitos de seguridad
Pertenencia a administradores de certificados
Detalles de la tarea
Compruebe diariamente en la carpeta de peticiones si hay alguna en cola. Antes de emitir un
certificado, compruebe la peticin atentamente para verificar el solicitante y el contenido de la peticin.
Compruebe que el nombre del sujeto, el nombre alternativo del sujeto, los usos de claves, las
directivas y las extensiones son las esperadas. Si tiene dudas, no apruebe la peticin.
Tambin puede configurar la entidad emisora de certificados para enviar alertas de correo electrnico
para diferentes sucesos. Uno de ellos es la llegada de una peticin pendiente. Consulte el
procedimiento Configurar las alertas del protocolo simple de transferencia de correo (SMTP) para las
solicitudes de certificado pendientes.
Para comprobar las peticiones pendientes
1 Inicie la sesin en la entidad emisora de certificados como miembro de Administradores de
. certificados (puede realizar esta tarea de forma remota mediante el complemento Entidad
emisora de certificados de MMC en la entidad emisora).
2 Abra el complemento Entidad emisora de certificados de MMCy, a continuacin, la carpeta
. Peticiones.
3 Para ver los detalles de una peticin de la carpeta, haga clic con el botn secundario del mouse
. (ratn) en la peticin y, a continuacin, haga clic en Ver atributos/extensiones en el men
Ver.
Nota: la ficha Atributos muestra los atributos de peticin recibidos como parte de la peticin y
la ficha Extensiones muestra las extensiones de certificado que se utilizarn en el certificado.
Cada entrada de extensin indica si aparece porque estaba incluida en la peticin, porque es un
valor suministrado por el servidor o porque est definida por el mdulo de directiva de entidad
emisora de certificados (el ltimo origen normalmente indica que se trata de una extensin
definida en la plantilla de certificado).
4 Segn las directivas de su organizacin, es posible que espere otra informacin relativa a la
. peticin, proporcionada en persona, por telfono, por correo electrnico o un medio similar.
Cuando est satisfecho con la validez de la peticin, puede aprobarla si hace clic con el botn
secundario del mouse en la peticin y hace clic en Emitir del men Tareas. Si no est
satisfecho, puede denegar la peticin si hace clic en Denegar.
Revocar un certificado de entidad final
Puede ser necesario revocar un certificado por varios motivos, como por ejemplo:
La funcionalidad o los privilegios asociados al certificado se han revocado de su titular.
La clave del certificado se ha puesto en peligro.
La entidad emisora de certificados que ha emitido el certificado se ha puesto en peligro.
Frecuencia
Segn se requiera
Requisitos de seguridad
Pertenencia a administradores de certificados en la entidad emisora de certificados
Detalles de la tarea
Consulte Para revocar un certificado emitido en la documentacin de Windows Server 2003 el
procedimiento utilizado para revocar un certificado de entidad final (es decir, un certificado no emitido
a una entidad emisora de certificados). Para revocar un certificado de entidad emisora de certificados,
siga los procedimientos de la seccin Tareas de soporte.
52
53
Dividir la CRL (ste es el motivo ms probable si tiene entidades emisoras de certificados ocupadas)
Siempre debe cambiar la clave de la entidad emisora de certificados en cada renovacin.
Frecuencia
Cada ocho aos para la entidad emisora de certificados raz
Cada cuatro aos para las entidades emisoras de certificados intermedias
Cada dos aos para las entidades emisoras de certificados (si va a renovar para dividir la CRL, puede
decidir hacerlo con ms frecuencia, por ejemplo, cada ao o cada seis meses)
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados que se va a renovar,
pertenencia a administradores de certificados en la entidad emisora principal (slo para entidades
emisoras e intermedias), pertenencia a administradores de PKI de empresa en el dominio
Detalles de la tarea
Cada nivel de la jerarqua de la entidad emisora de certificados tiene una duracin de certificado de
entidad emisora que es el doble del nivel que est debajo de l; en el escenario de MSA, la raz es
vlida durante 16 aos, la intermedia durante ocho y las entidades emisoras de certificados durante
cuatro aos. Cada entidad emisora se renueva despus de transcurrida la mitad de su duracin. Esto
se muestra en la figura 1. Si las entidades emisoras de certificados no se renuevan a la mitad de su
perodo de validez, se limita la validez mxima de los certificados que ellas y sus subordinadas puedan
emitir.
Tareas
Renovar entidades emisoras
Propsito
Para dividir CRL
de certificados
Cada dos aos (obligatorio)
de certificados intermedias
54
Perodo
Tareas
Propsito
de certificados intermedias
Figura 2: Interacciones de la entidad emisora raz y otros sistemas durante una renovacin
de entidad emisora de certificados raz
Para renovar una entidad emisora de certificados raz
1 Si es necesario, especifique un nuevo tamao de clave en CAPolicy.inf.
.
2 Renovar el certificado de entidad emisora de certificados (consulte el procedimiento en la
. documentacin del producto).
3 Publicar el nuevo certificado de entidad emisora en:
. El almacn de entidades emisoras de certificados de confianza de Active Directory
El punto de publicacin AIA del servidor Web
El almacn local de entidades emisoras de certificados raz de confianza en cada entidad
emisora intermedia
Consulte Publicar la entidad emisora de certificados raz sin conexin.
4 Emitir una nueva CRL desde la entidad emisora de certificados raz y publicarla en el punto de
. publicacin CDP del servidor Web.
5 Si no ha actualizado las entidades emisoras de certificados intermedias a Service Pack 1 de
. Windows Server 2003, tendr que publicar las CRL de la entidad emisora raz en el almacn de
certificados local de las entidades emisoras intermedias. Consulte Publicar las CRL de la entidad
emisora de certificados raz en las entidades emisoras intermedias sin conexin.
El procedimiento para renovar un certificado de entidad emisora de certificados intermedia se describe
en el artculo "Renovar una entidad emisora de certificados subordinada" de la documentacin de
Servicios de Certificate Server en la seccin Vnculos relacionados (siga la opcin "Si la entidad emisora
de certificados no est disponible con conexin").
55
56
57
58
59
garantiza que cualquier cliente que solicite una CRL, a partir de este punto, recibir la nueva CRL (sin
tener en cuenta los retardos de propagacin).
Frecuencia
Segn se requiera
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados
Detalles de la tarea
Para emitir y publicar la CRL de la entidad emisora de certificados sin conexin en Active
Directory
1 Inicie la sesin en la entidad emisora como miembro de administradores de entidad emisora de
. certificados y cargue el complemento Entidad emisora de certificados de MMC.
2 Emita una nueva CRL en el men Tareas de la carpeta Certificados revocados; para ello, haga
. clic en Publicar.
3 Seleccione Lista de revocacin de certificados (CRL) nueva para emitir una CRL base o
. Diferencia CRL slo para una nueva diferencia CRL.
Supervisar
Esta seccin contiene procedimientos necesarios para supervisar la PKI. Estos procedimientos
describen tareas programadas especiales, como la ejecucin de una auditora, en vez de instrucciones
acerca de cmo efectuar la supervisin operativa continua de condiciones de alerta y error. Se supone
la supervisin continua del estado y el rendimiento de la PKI.
Revisar los registros de auditora en busca de incidentes de seguridad
Debe revisar los registros de auditora de las entidades emisoras de certificados peridicamente, en
concreto de las entidades emisoras con conexin. Los sucesos registrados que no reflejen los registros
de lo que debe haber sucedido en las entidades emisoras de certificados pueden indicar un problema
de seguridad.
Frecuencia
Cada semana para las entidades emisoras de certificados con conexin; cada tres meses para las
entidades emisoras sin conexin
Requisitos de seguridad
Pertenencia a auditores de entidad emisora de certificados en las entidades emisoras
Detalles de la tarea
Busque en el registro de sucesos de seguridad de cada entidad emisora de certificados cualquier
suceso importante para comprobar la existencia de sucesos imprevistos. Algunos de los elementos
clave que se deben vigilar se enumeran en la tabla 20 (para obtener una lista completa de los sucesos
de seguridad que genera Servicios de Certificate Server, consulte Configurar la supervisin de la
seguridad de la entidad emisora de certificados y la Gua de operaciones de PKI de Windows Server
2003 (en ingls) para obtener ms informacin acerca de dichos sucesos).
Tabla 20: Sucesos de seguridad importantes
Suceso
Identificador de
registro de
sucesos de
seguridad
Cambios en la directiva de
Identificador de
suceso 789
Identificador de
de certificados
Cambios en los permisos de la
60
Suceso
Identificador de
registro de
sucesos de
seguridad
suceso 786
Identificador de
suceso 796,
subtipos 1 y 3
Identificador de
administrador de certificados
suceso 794
Emisin de un certificado de
Identificador de
suceso 791
certificado.
entidades emisoras de
certificados raz o intermedias)
Operaciones de recuperacin de
Identificador de
claves
suceso 787
Restauracin inesperada de la
Identificador de
copia de seguridad
suceso 783
Certificate Server.
Identificador de
suceso 800
de datos de certificados.
de certificados
Cualquier entrada que no coincida con los registros de control de cambios se debe investigar
inmediatamente. Investigue los sucesos de error as como los correctos ya que pueden indicar un
intento de poner en peligro la seguridad. Puede optar por la creacin de alertas que se activen por
algunos de estos sucesos para que se indiquen en las consolas de supervisin de operaciones. Por
ejemplo, si no tiene previsto cambiar la directiva de auditora de la entidad emisora de certificados si
todo va con normalidad, puede configurar el sistema de supervisin operativa para que genere una
alerta si el identificador de suceso 780 se registra alguna vez en una entidad emisora.
Auditar la PKI
Debe llevar a cabo una auditora peridica de la PKI para garantizar que funciona del modo previsto.
Aunque la tarea anterior, Revisar los registros de auditora en busca de incidentes de seguridad, puede
formar parte de esta auditora, no se deben confundir ambas. Una auditora est pensada para
confirmar que un sistema funciona segn la directiva y las directrices que cubren dicho sistema y para
descubrir cualquier caso de incumplimiento de la directiva.
No obstante, esta tarea no est pensada para cubrir requisitos de auditora legales o normativos. Si
tiene que atenerse a estndares de auditora externos, debe consultar a su auditor u otro profesional
cualificado para obtener consejo.
Frecuencia
Cada ao (la frecuencia puede variar segn los requisitos normativos, los estndares especficos de la
organizacin y otros factores)
Requisitos de seguridad
61
62
Asegrese de configurar alertas operativas razonables de los recursos fsicos de la entidad emisora de
certificados para recibir advertencias tempranas de escasez de capacidad, aunque sus previsiones no
prevean dicha escasez.
Administracin de la base de datos y la configuracin de la entidad emisora de certificados
En esta seccin se tratan las tareas de administracin del almacenamiento, como la realizacin de
copias de seguridad, la prueba de copias de seguridad y el archivo de registros.
Realizar copias de seguridad de una entidad emisora de certificados sin conexin
El propsito de esta tarea es crear copias de seguridad de las claves privadas y los certificados de la
entidad emisora de certificados, la base de datos de certificados y la informacin de configuracin de
Servicios de Certificate Server. La informacin de configuracin de Servicios de Certificate Server
incluye la configuracin del sistema operativo y otra informacin de estado de la que depende la
entidad emisora de certificados.
Frecuencia
Cada vez que se emita un nuevo certificado (entidad emisora de certificados subordinada) o se revoque
Requisitos de seguridad
Pertenencia a operadores de copia de la entidad emisora de certificados
Detalles de la tarea
Una entidad emisora de certificados sin conexin normalmente slo emite unos pocos certificados, por
lo que el tamao de los datos nunca ser grande. Asimismo, los datos cambian con muy poca
frecuencia, posiblemente slo una vez cada varios aos. Una entidad emisora de certificados sin
conexin tambin requiere algn dispositivo de copia de seguridad local, como una unidad de cinta o
una entidad emisora en la que se pueda escribir.
Precaucin: si utiliza un HSM, este procedimiento puede hacer una copia de seguridad del material de
claves cifradas (segn el modo de funcionamiento del HSM), pero las claves copiadas no se podrn
utilizar en un equipo restaurado sin un HSM y claves de acceso al HSM idnticos. Siga las instrucciones
del proveedor del HSM para hacer una copia de seguridad y proteger el material de claves y las claves
de acceso.
Para hacer una copia de seguridad de una entidad emisora de certificados sin conexin
1 Ejecute el siguiente comando para hacer una copia de seguridad de los datos de la entidad
. emisora de certificados en el archivo temporal C:\CABackup\CABackup.bkf, que se puede copiar
en un medio extrable, como un DVD grabable.
ntbackup backup systemstate /R:yes /F C:\CABackup\CABackup.bkf /J "CA Full Backup" /L:s /V:yes
2 Si va a almacenar los datos en una unidad de cinta local, ejecute el siguiente comando para
. hacer una copia de seguridad de la entidad emisora en la cinta Copia de seguridad de la
entidad emisora de certificados.
ntbackup backup systemstate /R:yes /t "CA Backup /J "CA Full Backup" /L:s /V:yes
Precaucin: estos datos de copia de seguridad son extremadamente confidenciales porque contienen
el material de claves privadas de la propia entidad emisora de certificados (si no utiliza un HSM). Debe
transportarlos y almacenarlos con el mismo cuidado y seguridad que la entidad emisora de certificados.
Almacene los datos de la copia de seguridad en un sitio fsico distinto al de la entidad emisora de
certificados. De este modo podr recuperar la entidad emisora si se destruyen todos los equipos
informticos del sitio o no se puede tener acceso a ellos.
Realizar copias de seguridad de las claves y certificados de la entidad emisora de
certificados
63
Se debe hacer una copia de seguridad de los certificados y las claves de la entidad emisora de
certificados independientemente de la base de datos de certificados as como de sta. Las claves
privadas y los certificados de la entidad emisora de certificados pueden ser necesarios para firmar una
CRL si se produce un error en el servidor de la entidad emisora y no se puede recuperar con el tiempo
suficiente.
Frecuencia
Anualmente o cada vez que se renueve el certificado de entidad emisora de certificados, lo que se
produzca en primer lugar
Requisitos de seguridad
Pertenencia a operadores de copia de la entidad emisora de certificados
Detalles de la tarea
Las claves y los certificados de la entidad emisora de certificados slo ocupan unos pocos kilobytes de
almacenamiento y, por lo tanto, se pueden guardar en un disco. Esta tarea se aplica a la entidad
emisora de certificados raz y a todas las intermedias y emisoras de la organizacin. Si va a hacer una
copia de seguridad de las claves en un medio de almacenamiento de larga duracin como un CD o
DVD, no tiene que hacerla anualmente. Si utiliza un medio magntico, como disquetes o cintas, debe
hacer una copia de seguridad de las claves y los certificados anualmente as como despus de una
renovacin del certificado de entidad emisora de certificados. La seal grabada en medios magnticos
se deteriora con el tiempo, en concreto si se exponen a campos elctricos. Aunque pueden pasar
muchos aos antes de que se deterioren hasta el punto de ser ilegibles, es mejor ser precavido.
Precaucin: si utiliza un HSM, este procedimiento no funciona del modo indicado. Siga las
instrucciones del proveedor del HSM para hacer una copia de seguridad y proteger el material de
claves y las claves de acceso.
Para exportar los certificados y las claves a un disco
1 Inserte un disco extrable y ejecute el siguiente comando; reemplace Contrasea por una
. contrasea de alta seguridad y CarpetaDestino por el nombre de la ruta de acceso donde se
almacenarn las claves y los certificados guardados.
certutil -backupKey -p Password TargetFolder
Importante: registre y almacene esta contrasea de forma segura pero en un lugar distinto del
que se almacenarn las copias de seguridad de las claves. El registro de contrasea debe indicar
de un modo claro la copia de seguridad (etiqueta de disco, fecha y nombre de la entidad emisora
de certificados) con la que se relaciona. Pueden pasar muchos meses o aos antes de necesitar
estas claves y es poco probable que nadie se acuerde de la contrasea que se utiliz. Asegrese
de destruir los dems registros de esta contrasea. No utilice una contrasea comn que
conozca el personal de administracin.
2 Haga, como mnimo, dos copias de seguridad independientes en discos distintos (los discos no
. siempre son completamente confiables). Asigne una etiqueta y una fecha claras a los discos
segn resulte apropiado, teniendo en cuenta el tiempo que puede pasar antes de que se vuelvan
a necesitar.
3 Almacene el disco de forma adecuada. Al igual que con las copias de seguridad de la base de
. datos de la entidad emisora de certificados, trate estas copias de seguridad de claves con la
mxima seguridad. Almacene al menos dos copias de seguridad de los certificados y las claves
en dos ubicaciones seguras independientes.
Probar las copias de seguridad de la base de datos de la entidad emisora de certificados
64
Este procedimiento prueba las copias de seguridad de la entidad emisora de certificados para
garantizar que el proceso y la tecnologa de copia de seguridad funcionan correctamente. Slo debe
restaurar una entidad emisora de certificados en un equipo que sea de la misma confianza que la
entidad emisora. Por ejemplo, no restaure una entidad emisora de certificados sin conexin en un
equipo con conexin. El equipo utilizado para la restauracin de prueba debe ser fsicamente seguro y,
lo que sera ideal, permanentemente sin conexin.
Frecuencia
Antes de que la entidad emisora de certificados sea operativa; despus, cada tres meses para las
entidades emisoras con conexin y una vez para las entidades emisoras sin conexin. Vuelva a realizar
la prueba siempre que se produzca un cambio en la tecnologa o el proceso de copia de seguridad.
Requisitos de seguridad
Pertenencia a administradores locales u operadores de copia en el equipo de prueba
Detalles de la tarea
Debe restaurar la copia de seguridad de estado del sistema en un sistema con un diseo de discos
idntico. Por ejemplo, Windows se debe instalar en la misma ruta de acceso de directorio que el
sistema del que se ha hecho la copia de seguridad y con el mismo diseo de unidades para almacenar
los archivos de Windows, como los archivos de paginacin. La base de datos y los registros de la
entidad emisora de certificados deben ser los mismos que la entidad emisora original de la que se ha
hecho la copia de seguridad.
Advertencia: el servidor de prueba restaurado debe permanecer sin conexin desde el momento en
que se inicie la restauracin del estado del sistema. De este modo se impide que las claves de la
entidad emisora de certificados restaurada se expongan innecesariamente y, adems, se evita que se
produzcan conflictos de nombres y direcciones IP duplicados entre el servidor de prueba y el original.
Una entidad emisora de certificados sin conexin nunca se debe probar o restaurar en un servidor con
conexin.
Importante: si utiliza un HSM, este procedimiento no ser suficiente para restaurar la entidad emisora
de certificados por completo. Segn el funcionamiento del HSM, el equipo restaurado no se podr
utilizar sin un HSM y claves de acceso de HSM idnticos. Puede ser suficiente para una prueba normal,
pero debe realizar peridicamente una restauracin completa con recuperacin de HSM para garantizar
que los procedimientos y la tecnologa de copia de seguridad funcionan correctamente. Siga las
instrucciones del proveedor del HSM para hacer una copia de seguridad, restaurar y proteger el
material de claves y las claves de acceso.
Para restaurar la entidad emisora de certificados
1 Restaure la copia de seguridad del estado del sistema del medio de copia de seguridad.
.
2 Reinicie el sistema.
.
3 Compruebe que todo se ha realizado del modo previsto. Pruebe con la emisin de un certificado
. y una CRL.
4 Limpie el servidor de prueba (o, como mnimo, las claves de la entidad emisora de certificados)
. al final de la prueba.
Importante: si decide eliminar nicamente las claves (en vez de limpiar el servidor), ejecute el
comando cipher para borrar las partes no asignadas del disco.
Cipher /W:%AllUsersProfile%
65
Debe ser miembro del grupo Administradores local para realizar esta operacin. Se utiliza la ruta de
acceso %allusersprofile% para que el comando cipher funcione en la unidad que contiene el
material de claves. No tiene que realizar esta operacin si utiliza HSM.
Probar las copias de seguridad de las claves de la entidad emisora de certificados
Compruebe las copias de seguridad de las claves de la entidad emisora de certificados para asegurarse
de que son vlidas, en caso de que se necesiten alguna vez.
Frecuencia
Cada seis meses para las entidades emisoras de certificados; cada ao para las entidades emisoras sin
conexin
Requisitos de seguridad
Pertenencia a administradores locales en el equipo de prueba
Detalles de la tarea
Puede instalar las claves y los certificados de la entidad emisora de certificados en cualquier sistema
(aunque, debido a la naturaleza extremadamente confidencial de estas claves, se debe realizar en un
sistema fsicamente seguro y sin conexin). Para garantizar que todos los rastros del material de claves
se quitan del equipo, cree una cuenta de usuario local independiente y temporal en el equipo dedicado
a este propsito.
Precaucin: si utiliza un HSM, este procedimiento no funcionar. Siga las instrucciones del proveedor
del HSM para hacer una copia de seguridad, restaurar y proteger el material de claves y las claves de
acceso.
Para restaurar las claves de la entidad emisora de certificados
1 Asegrese de que el equipo se ha desconectado de la red, inicie la sesin como miembro de
. administradores locales y, a continuacin, cree la cuenta de usuario PruebaClavesCA.
2 Inicie sesin con esta cuenta.
.
3 Inserte el disco que contiene la copia de seguridad de las claves de la entidad emisora de
. certificados que se probarn.
4 Utilice el Explorador de Windows para desplazarse al archivo de claves .P12 y haga doble clic en
. l. Se iniciar el Asistente para importacin de certificados.
5 Escriba la contrasea cuando se le pida y no active las casillas de verificacin para asignar una
. alta proteccin a las claves ni convertirlas en exportables.
6 Haga clic en Colocar todos los certificados en el siguiente almacn, haga clic en Examinar
. y, a continuacin, seleccione Almacn personal como la ubicacin donde se restaurarn las
claves de la entidad emisora de certificados.
7 Abra el complemento Certificados de MMC y busque Almacn personal. Busque el certificado
. de la entidad emisora de certificados restaurada y, a continuacin, bralo para comprobar que
dispone de una clave privada correspondiente. Debe aparecer indicado en la parte inferior de la
ficha General.
Repita este proceso para cada clave y certificado de la entidad emisora de certificados actual.
Para probar las claves restauradas
1 Obtenga una CRL o un certificado emitido por la entidad emisora de certificados que est
. probando. La CRL o el certificado deben corresponder a la clave y certificado de entidad emisora
que est probando cuando restaure varias claves.
2 En funcin de si ha elegido una CRL o un certificado en el paso anterior, ejecute el comando
. correspondiente de los siguientes y sustituya el nombre del archivo obtenido en el paso 1 en
NombreArchivoCRL o NombreArchivoCertificado.
66
67
Detalles de la tarea
Para archivar el registro de sucesos de seguridad
1 Inicie la sesin en la entidad emisora con una cuenta que sea miembro de auditores de entidad
. emisora de certificados y administradores locales (cree una cuenta que sea miembro de ambos
grupos).
2 Abra Visor de sucesos; para ello, haga clic en Inicio, Todos los programas y, a continuacin,
. Herramientas administrativas.
3 Seleccione la carpeta de registro Seguridad.
.
4 Haga clic con el botn secundario del mouse para mostrar el men desplegable y, a continuacin,
. haga clic en Guardar archivo de registro como.
5 Guarde el registro en un archivo temporal.
.
6 Cpielo en un medio extrable (como CD-R) y, a continuacin, elimine el archivo temporal.
.
Principio de la pgina
Planear y optimizar la capacidad
La administracin de la capacidad es el proceso de diseo, cuantificacin y control de la capacidad de la
solucin de servicio, para que la demanda del usuario se satisfaga dentro de los niveles de rendimiento
acordados. Las tareas de esta seccin corresponden al cuadrante de optimizacin del modelo de
proceso de MOF.
Determinar la carga mxima en la entidad emisora de certificados
En esta seccin se proporciona informacin acerca de cmo calcular la carga mxima probable en las
entidades emisoras de certificados.
Aunque las entidades emisoras de certificados normalmente no tienen una carga alta, hay ocasiones en
que las cargas pueden aumentar considerablemente. La mayor carga en una entidad emisora de
certificados normalmente se produce en el momento de mximo uso de inicio de sesin o inicio durante
la implementacin de un nuevo tipo de certificado. De la misma forma, aunque con mucha menos
frecuencia, si ha habido una revocacin de certificados masiva o una revocacin de certificado de
entidad emisora de certificados, los usuarios y los equipos que se vuelvan a inscribir provocarn un uso
mximo anmalo.
Detalles de la tarea
Las pruebas internas de Microsoft han mostrado que, para una entidad emisora de certificados de
empresa tpica, el cuello de botella de rendimiento en los momentos de carga alta se debe a la
interaccin con Active Directory. La tarea de firmar y emitir certificados es relativamente ligera en
comparacin con la sobrecarga de realizar bsquedas en el directorio para recuperar informacin de
sujetos de certificado y, a continuacin, publicar posiblemente el certificado en Active Directory.
En un escenario tpico de carga mxima, se ha habilitado un nuevo tipo de certificado y todos los
usuarios y equipos tienen que inscribir certificados de este tipo.
Nmero de usuarios: 10,000
Nmero de equipos: 10,000
Velocidad de emisin mxima aproximada de una entidad emisora de certificados de empresa: 30
certificados por segundo o 1.800 certificados por minuto.
Esto da como resultado un tiempo de inscripcin mnimo total de 11 minutos para 10.000 usuarios y
10.000 equipos.
Importante: si el certificado que se est emitiendo tambin se publica en el directorio (no es el
comportamiento predeterminado y normalmente se requiere para los certificados de cifrado de correo
68
electrnico), la velocidad de emisin mxima desciende a 15 certificados por segundo, lo que duplica el
tiempo total de inscripcin para dicho tipo de certificado.
Puede determinar cul podr ser la carga mxima de inscripcin para su organizacin mediante estas
cifras y, a continuacin, calcular la duracin total de inscripcin. Si el tiempo es inaceptablemente largo
y no puede escalonar la inscripcin en modo alguno, considere la posibilidad de implementar entidades
emisoras de certificados adicionales para distribuir la carga. Se deben implementar como sitios de
Active Directory independientes para que utilicen controladores de dominio independientes.
Determinar los requisitos de almacenamiento y copia de seguridad para una entidad emisora
de certificados
Esta tarea permite calcular los requisitos de almacenamiento futuros para el almacenamiento en discos
en lnea y copia de seguridad sin conexin. Para instalaciones grandes, proporcionar almacenamiento
con el tamao y el rendimiento adecuados supone el mayor reto de administracin de capacidad para
las entidades emisoras de certificados de Windows.
Detalles de la tarea
Las cifras de capacidad indicadas en esta tarea se basan en los siguientes supuestos.
Una poblacin de 10.000 usuarios, 10.000 equipos y 500 servidores.
Se emiten cinco certificados al ao para cada usuario y equipo; cada certificado tiene un perodo de
validez de un ao.
Hay picos ocasionales cuando un nuevo tipo de certificado aparece en lnea y se inscriben
prcticamente todos los usuarios (o equipos) en un solo da.
Se emiten certificados de correo electrnico seguros a los usuarios; ste es el nico tipo de
certificado que se publica en Active Directory.
La inmensa mayora de los certificados se emiten durante los das laborables.
Cada da se realiza una copia de seguridad completa de la base de datos, lo que trunca los registros
de base de datos.
Cada entrada de certificado ocupa un promedio de 20 KB en la base de datos de la entidad emisora
de certificados; el tamao promedio es de 32 KB si la clave privada se archiva con el certificado.
Cada certificado publicado en el directorio ocupa aproximadamente 1,5 KB en la base de datos de
Active Directory, mediante claves de 1024 bits.
Una entrada de CRL ocupa aproximadamente 30 bytes. Como mximo, se revocar
aproximadamente el 10 por ciento de los certificados emitidos. Los certificados revocados fuera de su
perodo de validez no se incluyen en la CRL.
En la tabla 21 se muestran las cifras de capacidad previstas para el mismo tamao de organizacin.
Algunas de las cifras mximas representan el peor de los casos, o casi, en el que todos los usuarios se
inscriben automticamente en un nico tipo de certificado en un solo da. Puede reducir estos picos si
distribuye la inscripcin de certificados en un perodo mayor.
Tabla 21: Cifras de capacidad para almacenamiento y copia de seguridad
Elemento de
capacidad
Certificados
Requisito de
almacenamiento
Notas
Tamao de la base
Cada ao se agregan
La base de datos de
de datos de la
de datos de la entidad
certificados
al cabo de 5 aos.
fundamental en el diseo de
los requisitos de
almacenamiento en disco y
copia de seguridad.
69
Elemento de
capacidad
Certificados
Requisito de
almacenamiento
Notas
Tamao del
Cada da se emite un
registro de la base
promedio de 4.000
de datos de la
certificados; el valor
mximo uso.
trunque la copia de
seguridad.
Tamao de CRL
En un momento
El tamao de la CRL
El tamao y la frecuencia de
certificados estn en
(normalmente se emite
10.000 certificados
estarn en la CRL.
Tamao de la base
Cada ao se emiten
de datos de Active
al tamao de la base de
Directory
correo electrnico.
directorio en 15 MB.
trfico de replicacin si se
publican en el directorio.
Trfico de
Se supone el peor de
Esto provoca 15 MB de
replicacin de
trfico de replicacin en
Active Directory
produce un pico de
de certificados en el
un da durante 8
directorio.
4 Kbps.
horas.
El tamao de la base de datos de la entidad emisora de certificados y el de los registros de base de
datos ofrecen una gua para el almacenamiento necesario para las copias de seguridad completas y
diferenciales. En la tarea Configurar la copia de seguridad de la base de datos de la entidad emisora de
certificados se proporcionan clculos de ejemplo del tiempo necesario para hacer la copia de seguridad.
Principio de la pgina
Administrar el cambio y la configuracin
Es importante administrar el cambio de la infraestructura de TI. Administrar el cambio significa seguir
un ciclo controlado de diseo y preparacin, documentacin y, finalmente, publicacin del cambio.
Seguir este ciclo ayuda a minimizar las consecuencias imprevistas de un cambio en el entorno y,
adems, permite invertir el cambio ms fcilmente si tiene que hacerlo. Grabar los cambios que realice
en la PKI en una base de datos de administracin de configuracin ayuda a mantener el entorno en un
estado conocido.
70
En esta seccin son importantes tres funciones. Se definen con ms detalle en la documentacin del
modelo de MOF correspondiente al cuadrante de cambios.
La administracin de cambios es el proceso de planear el cambio y preparar el entorno.
La administracin de versiones es la implementacin del cambio en el entorno.
La administracin de la configuracin es la grabacin exacta del estado del entorno de TI.
Administracin de cambios y de versiones
Administracin de cambios
La administracin de cambios resulta fundamental para el funcionamiento sin problemas del entorno de
TI. Un cambio normalmente se define como algo que modificar el entorno de TI de un modo
sustancial; por ejemplo, la implementacin de un nuevo tipo de certificado, la actualizacin de un
sistema operativo o la retirada de una entidad emisora de certificados. Por otro lado, una operacin
como la realizacin de una copia de seguridad programada, aunque tcnicamente cambia el entorno,
normalmente no se considera un cambio segn estos trminos. Otros elementos resultan ms
controvertidos: agregar una cuenta de usuario al dominio se puede considerar una operacin rutinaria,
pero conceder privilegios administrativos a una cuenta con toda probabilidad debe pasar por un
proceso de administracin de cambios.
Un objetivo clave del proceso de administracin de cambios es garantizar que todas las partes
afectadas por un determinado cambio sean conscientes del efecto del cambio inminente y lo
comprendan. Como los sistemas de TI estn fuertemente interrelacionados, cualesquiera cambios que
experimente una parte de un sistema pueden tener un profundo impacto sobre otros. Con el fin de
mitigar o eliminar los efectos adversos, la administracin de cambios intenta identificar todos los
sistemas y procesos afectados antes de que se implemente el cambio. Normalmente, el entorno de
destino o administrado es el entorno de produccin, pero tambin debera incluir a los entornos clave
de integracin, de prueba y de ensayo.
Todos los cambios de la PKI deben seguir el proceso de administracin de cambios de MOF estndar del
siguiente modo:
1 Solicitud del cambio Inicio formal de un cambio mediante el envo de una solicitud de cambio
. (RFC).
2 Clasificacin del cambio Asignacin de una prioridad y una categora al cambio, basndose en
. criterios de urgencia e impacto en la infraestructura o en los usuarios. Esta asignacin afecta a la
rapidez y ruta de implementacin.
3 Autorizacin del cambio Consideracin y aprobacin (o rechazo) del cambio por parte del
. administrador de cambios y la junta de aprobacin de cambios (junta que contiene
representantes de TI y comerciales).
4 Desarrollo del cambio Diseo y desarrollo del cambio; proceso que puede variar
. considerablemente en alcance e incluye revisiones en hitos intermedios clave.
5 Publicacin del cambio Publicacin e implementacin del cambio en el entorno de produccin
. (consulte Administracin de versiones).
6 Revisin del cambio Proceso posterior a la implementacin en el que se revisa si el cambio ha
. alcanzado los objetivos que tena establecidos y en el que se determina si se mantendr el
cambio o se deshar.
Administracin de versiones
El principal inters de la administracin de versiones es facilitar la introduccin de versiones de
software y hardware en entornos administrados de TI. Normalmente, incluye el entorno de produccin
y los entornos administrados previos a la produccin. La administracin de versiones es el punto de
coordinacin entre el desarrollo de la versin y equipo del proyecto, y los grupos de operaciones
responsables de la implementacin de la versin para la produccin.
71
plantilla)
Cambiar el perodo de publicacin de CRL
Cambiar los KRA de una entidad emisora de certificados
Cambiar la configuracin de auditora o los permisos de una entidad emisora de certificados
Agregar un certificado raz o cruzado de confianza al directorio
Revocar el certificado de una entidad emisora de certificados
Actualizar el sistema operativo de la entidad emisora de certificados
Cambiar el mtodo o la programacin de copias de seguridad
Volver a configurar el hardware de la entidad emisora de certificados
Administracin de la configuracin
La administracin de la configuracin es la identificacin, el registro, el seguimiento y el informe de los
componentes o activos de TI clave denominados elementos de configuracin (CI). La informacin
obtenida y registrada depender del elemento de configuracin especfico pero, con frecuencia, incluir
una descripcin del mismo, la versin, los componentes constituyentes, las relaciones con otros
elementos de configuracin, la ubicacin o asignacin, y el estado actual.
La administracin de la configuracin de la PKI se puede agrupar en cinco reas principales.
Configuracin de PKI de empresa: informacin comn almacenada en Active Directory
Configuracin de plantillas de certificado: detalles de configuracin de todas las plantillas activas
Configuracin de la entidad emisora de certificados: detalles de configuracin especficos de la
entidad emisora
Grupos de administracin de entidad emisora de certificados y de PKI: detalles de los grupos de
seguridad y usuarios de administracin de la PKI y los permisos que tienen
Configuracin de cliente: configuracin de valores de usuario y equipo mediante Directiva de grupo
(u otro mtodo)
En las siguientes secciones se describe cada uno de estos elementos con ms detalle y se incluyen
comandos que muestran informacin de configuracin relacionada con dicha rea. Es posible que ya
disponga de una base de datos de administracin de configuracin en su organizacin. Puede llenar
dicho sistema con el resultado de estos comandos (aunque puede que tenga que cambiar el formato
del resultado). Se puede crear una base de datos de administracin de configuracin bsica para la PKI
si se redirige el resultado de estos comandos a archivos de texto. Puede utilizar herramientas de
comparacin de texto, como Windiff del Kit de recursos de Windows, para comparar el contenido de la
nueva configuracin con los registros anteriores y facilitar la deteccin de anomalas.
72
73
objectClass=certificationAuthority"
Para mostrar las CRL publicadas actualmente
1 Este comando muestra los nombres de servidor de todas las entidades emisoras de
. certificados que han publicado CDP en el contenedor CDP de Active Directory.
dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,DC=contoso,
DC=com" -attr cn -scope onelevel
2 Este comando muestra los nombres comunes de todas las entidades emisoras de certificados
. que han publicado CDP en el contenedor CDP de Active Directory (son los objetos secundarios de
la lista anterior). Tenga en cuenta que una entidad emisora de certificados crear un nuevo CDP
por cada versin de entidad emisora, que se incrementa cada que la entidad se renueva. Se
almacenan como "CACommonName(X)" donde X el nmero de versin de la entidad emisora.
dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, DC=contoso,
DC=com" _
-attr cn filter (objectclass=crlDistributionPoint)
3 Con la informacin anterior, puede mostrar la CRL para un determinado CDP mediante los
. nombres comunes de entidad emisora del paso 2 y los nombres de servidor de entidad emisora
del paso 1. Reemplace CA raz Contoso 1 por el nombre comn de la entidad emisora, RT-CA-01
por el nombre de host de la entidad emisora y DC=contoso, DC=com por el DN de su dominio
raz del bosque.
certutil -store -enterprise "ldap:///cn=Contoso Root CA 1,cn=RT-CA-01,cn=CDP,CN=Public _
Key Services,CN=Services,CN=Configuration, DC=contoso, DC=com?certificateRevocationList?
base?objectClass=cRlDistributionPoint"
Puede escribir un archivo de comandos (por lotes) para automatizar estos comandos con el fin de
simplificar su ejecucin.
Recopilar informacin de configuracin de las plantillas de certificado
Las plantillas de certificado se almacenan en Active Directory. Conserve un registro de la configuracin
de cada plantilla y los permisos de inscripcin de certificado que se utilizan para cada una.
Frecuencia
Anualmente o segn se requiera
Requisitos de seguridad
Usuarios del dominio
Detalles de la tarea
Los siguientes comandos se utilizan para recopilar esta informacin.
Nota: es posible que algunos comandos se muestren en varias lneas para facilitar su impresin, pero
se deben introducir en una sola lnea.
Para generar una lista de las plantillas configuradas en Active Directory
Certutil -template
Para volcar la configuracin de estas plantillas
Certutil dsTemplate
Para volcar los permisos de una plantilla
Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key
Services,cn=Services,cn=Configuration,DC=contoso, DC=com"
74
No existe ninguna herramienta que exporte los permisos de plantilla completos en un formato de fcil
lectura. Dsacls.exe muestra los permisos de una plantilla. Sin embargo, la versin actual no muestra el
permiso "Inscripcin automtica" de los derechos extendidos, aunque s muestra "Inscripcin" y los
dems permisos de los derechos extendidos. Esto significa que debe mantener un registro de los
permisos "Inscripcin automtica" manualmente. Por otro lado, puede escribir una secuencia de
comandos o una herramienta con la Interfaz de servicios de Active Directory (ADSI) para leer y
mostrar todos los permisos correctamente.
Recopilar informacin de configuracin de la entidad emisora de certificados
En esta seccin se trata la informacin de configuracin almacenada en cada entidad emisora de
certificados y, en el caso de las entidades emisoras de empresa, la informacin almacenada en Active
Directory.
Frecuencia
Anualmente o segn se requiera
Requisitos de seguridad
Administradores locales de la entidad emisora de certificados
Detalles de la tarea
Mantener registros de la siguiente informacin.
Informacin del Registro de la entidad emisora de certificados
Informacin del certificado de entidad emisora de certificados
Permisos de la entidad emisora de certificados
Plantillas asignadas a la entidad emisora de certificados
Orden de prcticas de certificacin (CPS) de entidad emisora de certificados
Los siguientes comandos se utilizan para recopilar esta informacin.
Para mostrar la informacin del Registro de la entidad emisora de certificados
certutil -getreg
certutil -getreg CA
Para mostrar el certificado de entidad emisora de certificados actual (ms reciente)
certutil -f -ca.cert %temp%\CAcert.cer > nul && certutil -dump %temp%\CACert.cer
No hay ninguna herramienta que vuelque los permisos de la entidad emisora de certificados en una
forma que pueda ser utilizable. Mantenga un registro de esta informacin manualmente.
Para mostrar las plantillas asignadas actualmente a esta entidad emisora de certificados
certutil -CATemplates
El archivo de CPS de la entidad emisora de certificados se debe mantener con el control de versin
adecuado para que resulte fcil identificar y recuperar la CPS que estaba efectiva en un determinado
momento.
Recopilar informacin de los grupos de administracin de la entidad emisora de certificados
y de la PKI
La pertenencia a los grupos de administracin de la PKI es una informacin de configuracin
importante ya que estos grupos tienen control sobre todos los aspectos de las entidades emisoras de
certificados y la informacin de PKI de empresa.
Frecuencia
Anualmente o segn se requiera
Requisitos de seguridad
Usuario de dominio
Detalles de la tarea
75
Por cada grupo de administracin de la PKI y la entidad emisora de certificados, enumere y registre los
miembros actuales. Si alguno de los miembros es un grupo (se indica mediante un asterisco antes del
nombre), enumere los miembros de dichos grupos de uno en uno hasta que tenga una lista de usuarios
de todos los miembros de los grupos de la PKI.
Los grupos predeterminados son:
76
consulte la descripcin del servicio de atencin al usuario en la documentacin del modelo de proceso
de Microsoft Operations Framework.
En esta seccin se enumera una serie de incidentes de soporte comunes o de gran impacto que pueden
afectar a una PKI. Adems, se incluyen procedimientos de soporte que le ayudarn a tratar algunos de
ellos y que no estn documentados en ninguna otra parte.
Esta seccin est estrechamente relacionada con Configurar la supervisin y las alertas. La supervisin
del servicio proporciona la informacin esencial que la que el personal operativo y de soporte puede
detectar problemas. En concreto, los sucesos de alerta descritos en Supervisar la disponibilidad del
servicio indican errores de servicio reales o inminentes que se tratan en esta seccin.
En la tabla 22 se describen muchos de los incidentes de soporte importantes que se pueden producir al
administrar la PKI. La columna Tarea de soporte o referencia enumera uno de los siguientes
elementos:
Una tarea de soporte que se debe realizar (como restaurar la entidad emisora de certificados a partir
de una copia de seguridad). Estas tareas se describen en Tareas de soporte.
Un procedimiento operativo estndar (la aparicin de este tipo de alerta normalmente indica que
falta una tarea de soporte programada). Estas tareas se describen en Funcionamiento de la PKI.
77
Descripcin
CRL caducada
prdida de servicio.
servidor Web
Publicar las CRL de una entidad
emisora de certificados sin conexin
en el servidor Web
Forzar la emisin de una CRL sin
conexin
Consulte el documento Solucionar
problemas de estado y revocacin de
certificados (en ingls).
CRL vencida
CRL no disponible:
La CRL no se puede
recuperar de Active
Directory
servidor Web
La CRL no se puede
recuperar del
servidor Web
en el servidor Web
Forzar la emisin de una CRL sin
conexin
Consulte el documento Solucionar
problemas de estado y revocacin de
certificados (en ingls).
El certificado de entidad
El certificado de la entidad
78
Incidente
Descripcin
emisora de certificados
emisora de certificados ha
est caducado
Este certificado de
la prdida de servicio.
entidad emisora ha
caducado
El certificado de
entidad emisora
principal ha
caducado
Al certificado de entidad
El certificado de entidad
emisora de certificados
emisora de certificados
le queda menos de 1
mes de validez
se producir la prdida de
servicio si no se corrige.
Actualmente slo se emiten
certificados con una duracin
muy breve.
La validez del certificado
Un certificado de entidad
de entidad emisora de
emisora de certificados se
certificados es inferior a
la mitad de su duracin
la mitad de su perodo de
Un certificado KRA de la
caducado
entidad emisora de
certificados ha caducado;
de validez
de servicio si no se corrige.
Error en la copia de
seguridad de la entidad
emisora de certificados
entidad emisora de
79
Incidente
Descripcin
de informacin.
El cliente no puede
Error en la peticin de
inscribirse al certificado
inscripcin de cliente.
El cliente no puede
Error en la peticin de
inscribirse
inscripcin automtica de
automticamente al
cliente.
XP (en ingls).
entidad emisora de
la red.
certificado
certificados
hardware.
Consulte las tareas en la documentacin
de Windows para:
Reiniciar el servicio de la entidad
emisora de certificados
Reiniciar el servidor de la entidad
emisora de certificados
Sistema operativo de la
Problema importante
entidad emisora de
subyacente en el hardware
certificados en estado
hardware.
crtico
Estado de
Problemas subyacentes en el
error/advertencia del
sistema operativo de la
hardware.
entidad emisora de
certificados
de Windows para:
Reiniciar el servicio de la entidad
emisora de certificados
Reiniciar el servidor de la entidad
emisora de certificados
Servicios de Certificate
hardware.
80
Incidente
Interfaz de cliente
Descripcin
se pueden emitir.
sin conexin
Interfaz de
emisora de certificados
administracin sin
conexin
permanente
El certificado hurfano
Tras la restauracin de la
entidad emisora de
certificados a partir de la
copia de seguridad, los
certificados emitidos desde la
ltima copia de seguridad no
estarn en la base de datos.
No se pueden revocar de la
forma habitual.
El servidor no se puede
La CRL o el certificado se
la emisin de CRL o
certificados
en un equipo temporal
El certificado de entidad
certificado se ha perdido,
emisora de certificados
certificado de entidad
est en peligro
emisora se ha perdido,
emisora de certificados
certificado de entidad
intermedia est en
emisora se ha perdido,
peligro
intermedia
de algn modo.
81
Incidente
Descripcin
El certificado de entidad
emisora de certificados
certificado de entidad
emisora se ha perdido,
La clave privada de un
archivada
usuario se ha perdido o
daado y se tiene que
cadena a un certificado
conexin
raz de confianza
El certificado de entidad
final no es de confianza
para autenticar en el
dominio
Server 2003.
El cliente no se puede
inscribir mediante
pginas de inscripcin
en Web
Tareas de soporte
Esta seccin contiene informacin detallada de algunas tareas de soporte de PKI que no estn
documentadas completamente en ninguna otra parte.
Restaurar la entidad emisora de certificados a partir de una copia de seguridad
Si no puede iniciar una entidad emisora de certificados debido a un dao grave de software o
hardware, tendr que restaurar el servidor y el material de claves a partir de una copia de seguridad.
Esto significa restaurar una copia de seguridad del estado del sistema y puede requerir la reinstalacin
de Windows.
Frecuencia
Segn se requiera
82
Requisitos de seguridad
Pertenencia a administradores locales en la entidad emisora de certificados (o a operadores de copia de
la entidad emisora para realizar nicamente la restauracin)
Detalles de la tarea
Realice los siguientes pasos para restaurar una entidad emisora de certificados a partir de una copia de
seguridad.
Precaucin: si utiliza un HSM, este procedimiento no funciona del modo descrito. Siga las
instrucciones del proveedor del HSM para hacer una copia de seguridad, restaurar y proteger el
material de claves y las claves de acceso.
Para restaurar una entidad emisora de certificados a partir de una copia de seguridad
1 El sistema operativo se tiene que recuperar en el punto donde sea viable volver a ejecutar
. Servicios de Certificate Server. Esto puede significar la reinstalacin de Windows. Asegrese de
que aplica todos los Service Pack y actualizaciones de seguridad actuales. Durante la
restauracin del estado del sistema se recuperar la configuracin de seguridad y de otro
software.
Advertencia: si la base de datos y los registros de la entidad emisora de certificados no estaban
almacenados en la unidad del sistema, puede que estn intactos aunque no se pueda recuperar
el sistema operativo. Cuando reinstale Windows, no vuelva a crear particiones en las dems
unidades del equipo ni las vuelva a formatear; de este modo, dispondr de la posibilidad de
recuperar los datos creados despus de la ltima copia de seguridad.
2 Si es posible, conserve la base de datos y los registros de la entidad emisora de certificados.
. Cree una copia de seguridad en archivo de estas carpetas antes de restaurar la copia de
seguridad del estado del sistema. Es posible que el error del sistema no haya afectado a la base
de datos ni a los registros. Los registros contienen la informacin necesaria para volver a
ejecutar todas las transacciones en la entidad emisora de certificados que se han producido entre
la ltima copia de seguridad y el error del servidor. Sin embargo, la restauracin de una copia de
seguridad del estado del sistema puede sobrescribir los registros y la base de datos existentes,
por lo tanto, consrvelos antes de iniciar una restauracin del sistema. Si estos archivos an
siguen intactos, puede intentar copiarlos sobre los archivos de la entidad emisora de certificados
antes del paso 3 y, a continuacin, reiniciar el sistema. Si esto no funciona debido a que la base
de datos est daada, vuelva a ejecutar la restauracin del estado del sistema y contine con el
paso 4.
3 Inserte el medio de copia de seguridad con la copia ms reciente de la entidad emisora de
. certificados y restaure el estado del sistema del servidor.
4 Una vez terminada la operacin de restauracin, reinicie el servidor y compruebe que funciona
. del modo previsto.
5 Si dispone de una copia de seguridad diferencial de la entidad emisora de certificados (slo con
. entidades emisoras con conexin), ahora puede restaurar el archivo de copia de seguridad
diferencial ms reciente (es posible que los archivos de la copia de seguridad diferencial ms
recientes todava se encuentren en la carpeta C:\CABackup si el disco no se ha destruido). Una
vez copiados los archivos de la copia de seguridad diferencial en el servidor (cree una carpeta,
por ejemplo C:\CARestore, y cpielos desde el medio de copia de seguridad en esta carpeta),
puede restaurar los registros diferenciales en la base de datos de la entidad emisora de
certificados. Ejecute el siguiente comando en el smbolo del sistema y reemplace la ruta de
acceso C:\CARestore por la ruta de acceso que contiene los archivos de la copia de seguridad
83
diferencial recuperada.
Certutil restore C:\CARestore
Restaurar el par de certificado y clave de la entidad emisora de certificados en un equipo
temporal
Si una entidad emisora de certificados con error no se puede recuperar a tiempo para que emita una
nueva CRL (o renueve un certificado fundamental), tendr que instalar el certificado y las claves de la
entidad emisora en un equipo temporal. A continuacin, en este equipo puede utilizarlos para volver a
firmar y ampliar el perodo de validez de una CRL existente o los certificados emitidos por la entidad
emisora de certificados con error.
Precaucin: si utiliza un HSM, este procedimiento no funciona del modo indicado. Siga las
instrucciones del proveedor del HSM para hacer una copia de seguridad, restaurar y proteger el
material de claves y las claves de acceso.
Frecuencia
Segn se requiera
Requisitos de seguridad
Pertenencia a administradores locales en el equipo temporal
Detalles de la tarea
Esta tarea describe cmo restaurar el certificado y la clave privada de la entidad emisora de
certificados en un equipo local.
Importante: mientras este equipo tenga instalada la clave de la entidad emisora de certificados,
adopte las mismas precauciones que con la entidad emisora. Si va a restaurar la clave de una entidad
emisora de certificados sin conexin, asegrese de que el equipo no est conectado. Considere la
posibilidad de volver a formatear los discos del equipo para eliminar los datos de claves despus de
finalizar esta tarea.
Para restaurar la clave y el certificado de la entidad emisora de certificados en un equipo
temporal
1 Asegrese de que el equipo se ha desconectado de la red. Inicie la sesin como miembro de
. administradores locales y, a continuacin, cree una cuenta de usuario local, FirmanteClaveCA.
2 Inicie sesin con esta cuenta.
.
3 Inserte un disco que contenga la copia de seguridad de las claves de la entidad emisora de
. certificados que se probarn.
4 Utilice el Explorador de Windows para desplazarse al archivo de claves .P12 y haga doble clic en
. l para abrir el Asistente para importacin de certificados.
5 Escriba la contrasea cuando se le pida y no active las casillas de verificacin para asignar una
. alta proteccin a las claves ni convertirlas en exportables.
6 Seleccione Almacn personal como la ubicacin donde se restaurarn las claves de la entidad
. emisora de certificados.
7 Abra el complemento Certificados de MMC y busque Almacn personal. Busque el certificado
. de la entidad emisora de certificados restaurada y, a continuacin, bralo para comprobar
que dispone de una clave privada correspondiente.
Ahora puede llevar a cabo las tareas de nueva firma necesarias con las claves de la entidad emisora de
certificados restaurada. Consulte Volver a firmar una CRL o certificado para ampliar su validez. Cuando
termine, limpie las claves del equipo mediante el siguiente procedimiento (no tiene que realizar esta
operacin si utiliza un HSM).
Para limpiar las claves del sistema
1 Inicie la sesin como miembro de administradores locales y elimine el perfil de usuario de la
84
85
Frecuencia
Segn se requiera
Requisitos de seguridad
Pertenencia a administradores de certificados
Detalles de la tarea
Para revocar un certificado hurfano es necesario obtener una copia del certificado que se revocar o el
nmero de serie de dicho certificado.
Para revocar un certificado hurfano
1 Inicie la sesin en la entidad emisora que ha emitido el certificado que se revocar como
. miembro de Administradores de certificados.
2 Si no se puede obtener una copia del certificado, ejecute el siguiente comando para crear un
. certificado ficticio y guardarlo como CertificadoParaRevocar.cer. Reemplace NmeroSerie por
el nmero de serie del certificado que se revocar.
Certutil -sign SerialNumber CertToRevoke.cer
3 Cuando se le pida, seleccione el certificado de entidad emisora actual para firmar el certificado
. ficticio.
4 Despus de crear un certificado ficticio, o si ha podido obtener una copia del certificado real que
. se revocar, tiene que importarlo en la base de datos de la entidad emisora de certificados.
Ejecute el siguiente comando para importar el certificado en la base de datos de certificados.
CertificadoParaRevocar es una copia del certificado real que se revocar o el ficticio creado en los
pasos anteriores.
Certutil -importcert CertToRevoke.cer
5 Siga el procedimiento estndar para revocar un certificado (consulte Revocar un certificado de
. entidad final).
Importante: hay un problema con certutil que impide que se realice la operacin de creacin del
certificado ficticio en Windows Server 2003 anterior a Service Pack 1. En previsin de que esta
funcionalidad se corrija en el futuro, en este documento se incluye este procedimiento. Mientras tanto,
si no puede encontrar una copia del certificado original, un enfoque alternativo consiste en tomar un
certificado existente y, mediante un editor binario, reemplazar el nmero de serie por el del certificado
que se revocar. Este certificado modificado se puede volver a firmar con la siguiente sintaxis.
Certutil -sign ModifiedCert.cer CertToRevoke.cer
A continuacin, el certificado recin creado se puede importar en la base de datos segn las
indicaciones del paso 4.
Revocar y reemplazar un certificado de entidad emisora de certificados
Si la clave privada de una entidad emisora de certificados est en peligro (o se sospecha que pueda
estarlo), revoque el certificado de entidad emisora y emita uno nuevo con un nuevo par de claves.
Advertencia: la revocacin de una entidad emisora de certificados puede constituir un suceso muy
perturbador, que invalida los certificados emitidos por dicha entidad emisora y sus subordinadas. Sin
embargo, si se sigue un procedimiento cuidadoso puede contribuir a minimizar la interrupcin.
Frecuencia
Segn se requiera
Requisitos de seguridad
Pertenencia al grupo Administradores de certificados en la entidad emisora de certificados y su entidad
principal (intermedia). La pertenencia al grupo Administradores local en la entidad emisora de
certificados es necesaria para renovar el certificado de entidad emisora.
86
Detalles de la tarea
Debido a que una entidad emisora de certificados intermedia tiene un perodo de publicacin CRL largo,
la revocacin del certificado de entidad emisora y la publicacin de una nueva CRL dar lugar a que se
produzca un gran retraso entre la revocacin y el momento en que los usuarios de certificado reciben
la notificacin de dicha revocacin. Para garantizar que todos los certificados emitidos anteriormente
por la entidad emisora en peligro se rechazan lo ms pronto posible, todos los certificados que ha
emitido esta entidad emisora tambin se revocan individualmente.
Importante: todos los usuarios de certificados de la entidad emisora revocada tendrn que volver a
inscribirse a nuevos certificados tras este procedimiento.
Para revocar un certificado de entidad emisora y sus certificados emitidos
1 Inicie la sesin en la entidad emisora de certificados como miembro de administradores de
. certificados y abra el complemento Entidad emisora de certificados de MMC.
2 Seleccione todos los certificados de la carpeta Certificados emitidos y, a continuacin, en el men
. Todas las tareas haga clic en Revocar certificado. Seleccione Compromiso de entidad
emisora de certificados para el cdigo de motivo. Es una tarea que exige mucho tiempo si
tiene una gran cantidad de certificados emitidos.
3 En las propiedades de la carpeta Certificados revocados de MMC, aumente el valor de
. Intervalo de publicacin CRL para que coincida con la duracin restante del certificado de
entidad emisora de certificados. De este modo se asegurar de que ser mayor que la duracin
restante de todos los certificados que ha emitido la entidad emisora. Desactive la casilla de
verificacin Publicar diferencias CRL si est activada.
4 En el men Todas las tareas de la carpeta Certificados revocados, haga clic en Publicar y, a
. continuacin, en Lista de revocacin de certificados (CRL) nueva.
5 Inicie la sesin en la entidad emisora de certificados principal como miembro de administradores
. de certificados y abra el complemento Entidad emisora de certificados de MMC.
6 Busque el certificado de entidad emisora que se revocar en la carpeta Certificados emitidos y,
. en el men Todas las tareas, haga clic en Revocar certificado. Seleccione Compromiso
clave para el cdigo de motivo.
7 Siga el procedimiento de operaciones de Publicar las CRL de una entidad emisora de certificados
. sin conexin en el servidor Web para publicar la CRL de la entidad emisora intermedia.
8 Vuelva a la entidad emisora de certificados y siga el procedimiento de operaciones de Renovar un
. certificado de entidad emisora de certificados.
Los usuarios de certificado ahora pueden volver a inscribirse con la entidad emisora renovada. Los
certificados de inscripcin automtica se inscribirn automticamente.
Revocar y reemplazar un certificado de entidad emisora de certificados intermedia
Si la clave privada de una entidad emisora de certificados est en peligro (o se sospecha que pueda
estarlo), revoque el certificado de entidad emisora y emita uno nuevo con un nuevo par de claves.
Advertencia: la revocacin de una entidad emisora de certificados puede constituir un suceso muy
perturbador, que invalida los certificados emitidos por dicha entidad emisora y sus subordinadas. Sin
embargo, si se sigue un procedimiento cuidadoso puede contribuir a minimizar la interrupcin.
Frecuencia
Segn se requiera
Requisitos de seguridad
Pertenencia al grupo Administradores de certificados en la entidad emisora de certificados intermedia y
su entidad principal (raz). La pertenencia al grupo Administradores local en la entidad emisora de
certificados intermedia es necesaria para renovar el certificado de entidad emisora.
Detalles de la tarea
87
Debido a que una entidad emisora de certificados raz tiene un perodo de publicacin CRL largo, la
revocacin del certificado de entidad emisora intermedia y la publicacin de una nueva CRL dar lugar
a que se produzca un gran retraso entre la revocacin y el momento en que los usuarios de certificado
reciben la notificacin de dicha revocacin. Para garantizar que todos los certificados emitidos
anteriormente por las entidades emisoras subordinadas de la entidad emisora en peligro se rechazan lo
ms pronto posible, todos los certificados que han emitido las entidades emisoras subordinadas
tambin se revocan individualmente.
Importante: todos los usuarios de certificados de la entidad emisora revocada tendrn que volver a
inscribirse a nuevos certificados tras este procedimiento.
Para revocar un certificado de entidad emisora intermedia y sus certificados emitidos
1 Identifique todas las entidades emisoras de certificados que estn subordinadas a la entidad
. emisora intermedia. Revoque dichas entidades emisoras mediante el procedimiento Revocar y
reemplazar un certificado de entidad emisora de certificados, pero no renueve los certificados de
las subordinadas y todava no vuelva a emitir las CRL de las entidades emisoras intermedias.
2 Inicie la sesin en la entidad emisora de certificados raz (principal) como miembro de
. administradores de certificados y abra el complemento Entidad emisora de certificados de
MMC.
3 Busque el certificado de entidad emisora intermedia que se revocar en la carpeta Certificados
. emitidos. En el men Todas las tareas, haga clic en Revocar certificado y, a continuacin,
seleccione Compromiso clave para el cdigo de motivo.
4 Siga el procedimiento de operaciones de Publicar las CRL de una entidad emisora de certificados
. sin conexin en el servidor Web para publicar la CRL de la entidad emisora raz.
5 Vuelva a la entidad emisora de certificados intermedia y renueve su certificado segn el
. procedimiento de operaciones Renovar un certificado de entidad emisora de certificados.
6 Vuelva a cada entidad emisora de certificados y renueve sus certificados segn el procedimiento
. de operaciones Renovar un certificado de entidad emisora de certificados.
Los usuarios de certificado ahora pueden volver a inscribirse con las entidades emisoras renovadas. Los
certificados de inscripcin automtica se inscribirn automticamente.
Revocar y reemplazar un certificado de entidad emisora de certificados raz
Si la clave privada de una entidad emisora de certificados raz est en peligro (o se sospecha que
pueda estarlo), debe quitar el certificado de entidad emisora de su punto de confianza y revocar todos
los certificados que ella o cualquiera de sus subordinadas hayan emitido. Debe renovar el certificado de
entidad emisora raz y los certificados de todas sus entidades emisoras subordinadas con nuevas claves
y, a continuacin, publicarlos en Active Directory.
Advertencia: la revocacin de la entidad emisora de certificados raz puede constituir un suceso muy
perturbador, que invalida los certificados emitidos por dicha entidad emisora y sus subordinadas. Sin
embargo, si se sigue un procedimiento cuidadoso puede contribuir a minimizar la interrupcin.
En realidad, no es posible revocar un certificado de entidad emisora raz como tal. A menudo, como
sucede aqu, el certificado de entidad emisora raz no incluye un CDP y, lo que es ms importante, no
tiene sentido que una entidad emisora d fe de su propia revocacin. Tendra que firmar la CRL que
contiene su propio certificado mediante la clave en peligro de dicho certificado.
Frecuencia
Segn se requiera
Requisitos de seguridad
88
89
Si utiliza este documento como punto de partida, estar preparado para adaptarlo a medida que
implemente y mejore su PKI. Tendr que agregar operaciones y procedimientos de soporte que cubran
los usos especficos de PKI en su propia organizacin. Tambin puede optimizar los procedimientos de
este documento si crea secuencias de comandos para algunos de los pasos manuales. Y lo que es ms
importante, examine la eficacia con que los procedimientos funcionan con las prcticas y cultura de su
organizacin de TI y est preparado para modificarlos con el fin de que se adapten mejor. Si las
operaciones son las adecuadas, funcionarn bien, como tambin lo har su PKI.
Principio de la pgina
Vnculos relacionados
Consulte los siguientes recursos para obtener ms informacin.
Prcticas recomendadas para implementar una infraestructura de claves pblicas de Microsoft
Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.
mspx
Kit de implementacin de Microsoft Systems Architecture versin 2.0 (en ingls) en
http://www.microsoft.com/resources/documentation/msa/2/all/solution/enus/msa20ik/vmhtm1.mspx
Gua de generacin de Microsoft Systems Architecture 2.0 (en ingls) en
http://www.microsoft.com/resources/documentation/msa/2/all/solution/enus/msa20ik/vmhtm229.mspx
El captulo de diseo de Servicios de Certificate Server de MSA 2.0 en
http://www.microsoft.com/resources/documentation/msa/2/all/solution/enus/msa20ik/vmhtm97.mspx
El captulo de generacin de Servicios de Certificate Server de MSA 2.0 en
http://www.microsoft.com/resources/documentation/msa/2/all/solution/enus/msa20ik/vmhtm229.mspx
Modelo de proceso y modelo de equipo de Microsoft Operations Framework en
http://www.microsoft.com/technet/itsolutions/techguide/mof/mofpm.mspx y
http://www.microsoft.com/technet/itsolutions/techguide/mof/moftml.mspx
Gua de operaciones de PKI de Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03pkog.
mspx
La versin actual del perfil de proteccin de criterios comunes para los componentes de emisin y
administracin de certificados (en ingls) en
http://niap.nist.gov/cc-scheme/pp/PP_CIMCPP_SL1-4_V1.0.pdf
Archivo y administracin de claves en Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kyacws03.
mspx
Implementacin y administracin de plantillas de certificado en Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.
mspx
Para obtener ms informacin acerca de los problemas de publicacin de CRL, consulte Solucionar
problemas de estado y revocacin de certificados (en ingls) en
http://www.microsoft.com/technet/prodtechnol/WinXPPro/support/tshtcrl.mspx
Para obtener instrucciones de solucin de problemas de Certutil, consulte Utilizar Certutil.exe para
administrar y solucionar problemas de Servicios de Certificate Server (en ingls) en
http://www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp
90
Para obtener la gua definitiva para comprender y solucionar problemas de la inscripcin automtica,
consulte Inscripcin automtica de certificados en Windows XP (en ingls) en
http://www.microsoft.com/WindowsXP/pro/techinfo/administration/autoenroll/default.asp
Para obtener ms informacin acerca de escenarios avanzados que utilizan pginas de inscripcin en
Web, consulte Configurar y solucionar problemas de Windows 2000 e Inscripcin en Web de Servicios
de Certificate Server de Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/webenroll.
mspx
Descargue la secuencia de comandos CAMonitor.vbs de TechNet Script Center en
http://www.microsoft.com/technet/community/scriptcenter/default.mspx
Para obtener ms informacin acerca de las restricciones de capacidad de Servicios de Certificate
Server y los contadores de rendimiento relacionados, consulte el artculo Q146005 de Microsoft
Knowledge Base (en ingls) en
http://support.microsoft.com/default.aspx?scid=146005
Solucin de Microsoft para proteger LAN inalmbricas: una solucin de Servicios de Certificate Server
de Windows Server 2003 (en ingls) est disponible en
http://go.microsoft.com/fwlink/?LinkId=14843
Para obtener informacin acerca de la implementacin de MOM, consulte la Gua de implementacin
del SP1 de Microsoft Operations Manager 2000 (en ingls) en
http://www.microsoft.com/resources/documentation/mom/2000sp1/all/deployguide/enus/10_d0wu1.mspx
Para obtener ms informacin acerca de tareas operativas adicionales, consulte la documentacin en
pantalla de Servicios de Certificate Server de Windows Server 2003 en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_CS_pro
cs_admin.mspx
Acelerador de soluciones de Microsoft para la administracin de revisiones (en ingls) en
http://go.microsoft.com/fwlink/?LinkId=16284
Para obtener ms informacin acerca de cmo obtener y utilizar la consola de administracin de
directivas de grupo, consulte
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
Para obtener una descripcin de los niveles funcionales de dominio de Active Directory, consulte
Funcionalidad de dominio y bosque en la documentacin de Windows Server en:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/proddocs/enus/sag_levels.asp
Para obtener las herramientas de estado de PKI (PKIView.msc) y de recuperacin de claves (krt.exe),
descargue las herramientas del Kit de recursos de Windows Server 2003 en
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96eeb18c4790cffd&DisplayLang=en
Para obtener la informacin ms reciente acerca de Windows Server 2003, consulte el sitio Web de
Windows Server 2003 en
http://www.microsoft.com/windowsserver2003
En http://www.microsoft.com/learning/training/default.asp se encuentra informacin detallada acerca
de los cursos de formacin de Microsoft Official Curriculum.
Principio de la pgina
Apndice A: Descripcin general del diseo de PKI
Este documento se basa en la PKI descrita en el Kit de implementacin de Microsoft System
Architecture versin 2.0 y el documento Prcticas recomendadas para implementar una infraestructura
91
de claves pblicas de Microsoft Windows Server 2003 (en ingls). El diseo de PKI est basado en el de
una compaa ficticia, Contoso.
El escenario de Contoso se describe brevemente aqu. Para obtener una descripcin ms detallada del
diseo y la generacin de la PKI de Contoso, consulte estos documentos. En la siguiente seccin se
enumera la configuracin especfica de la implementacin, que se utiliza en los ejemplos de este
documento.
Diseo de la PKI de Contoso
Contoso es una compaa internacional que ha implementado Active Directory y una PKI de Windows
Server 2003. Contoso tiene una amplia variedad de clientes que ejecutan un miembro de la familia
Windows 2000 o Windows XP Professional. Utiliza una serie de aplicaciones integradas que pueden
aprovechar la PKI de Windows Server 2003, incluida la seguridad de correo electrnico basada en
Extensiones seguras multipropsito de correo Internet (S/MIME), EFS, conexiones VPN de L2TP/IPsec,
acceso inalmbrico 802.1X y servidores Web habilitados para Secure Sockets Layer (SSL). El bosque
Active Directory de Contoso tiene varios dominios y se ejecuta en modo funcional de bosque de
Windows Server 2003. Cada dominio se ejecuta en modo funcional de dominio de Windows Server
2003.
Contoso utiliza una topologa de PKI de tres niveles ya que es la que mejor se adapta a sus
necesidades de seguridad. La gua de operaciones de este documento est modelada a partir de esta
topologa. No obstante, las operaciones son prcticamente idnticas para una jerarqua de dos niveles
ms simple, por lo que este documento resultar til para un amplio espectro de organizaciones.
En la figura 5 se muestra la arquitectura de Servicios de Certificate Server para Contoso S.A.
92
certificado)
Para publicar listas de revocacin de certificados para las entidades emisoras de certificados
Para actuar como entidad de registro que autoriza los certificados que se emitirn segn la
pertenencia a grupos y las listas de control de acceso (ACL) basadas en directorio
Para, opcionalmente, publicar certificados de entidad final
Servidor Web de IIS
IIS se utiliza para publicar informacin de AIA (certificados de entidades emisoras intermedias
requeridos durante la generacin de la cadena) y listas CRL. Un servidor Web tambin es el mejor lugar
para publicar la Orden de prcticas de certificacin si necesita hacerlo. En funcin de dnde se
encuentren los clientes de certificado, puede necesitar un servidor Web de Internet as como uno
interno para publicar la informacin de PKI.
Diferencias con la orientacin de MSA
Aunque la orientacin de este documento se basa en la PKI de referencia descrita en MSA 2.0, hay
algunas diferencias sutiles, principalmente estticas. La diferencia funcional ms importante es que los
certificados de entidad emisora de certificados tienen un perodo de validez de cuatro aos. Las
entidades emisoras de MSA tienen un perodo de validez de dos aos, lo que limita el perodo de
validez de los certificados emitidos para dichas entidades a tan slo un ao. Debido a que la renovacin
de certificados puede resultar un proceso caro en algunos escenarios, por ejemplo renovaciones de
tarjetas inteligentes, normalmente es aconsejable utilizar perodos de renovacin de dos o ms aos.
Las otras diferencias menores de este documento son:
Los nombres de servidor tienen una nomenclatura ms simple (por ejemplo, RT-CA-01 para la
entidad emisora raz 1, SA-CA-01 para la entidad emisora independiente 1 y EN-CA-01 para la
entidad emisora de empresa 1).
Los nombres comunes de entidad emisora de certificados incluyen la funcin jerrquica (raz,
intermedia, emisora) para facilitar la identificacin, pero siguen manteniendo la convencin de MSA
para utilizar el esquema de nmeros (1 = raz, 11 = entidad emisora de segundo nivel 1 de raz 1,
123 = entidad emisora de tercer nivel 3 de entidad emisora de segundo nivel 2 de entidad emisora
raz 1).
Los nombres de grupo de seguridad utilizan un formato expandido para facilitar la lectura (por
ejemplo, Editores de PKI de empresa en vez de EditoresPKIEmpresa01).
Configuracin detallada de la PKI
Las siguientes tablas contienen los parmetros de implementacin que utiliza la PKI de Contoso. Los
procedimientos de este documento utilizan dichos valores. Los parmetros estn divididos en dos
tablas. En la tabla 23 se enumeran los valores especficos de la instalacin. Tendr que sustituir los
detalles de su organizacin siempre que aparezcan en los procedimientos. En la tabla 24 se enumeran
los valores especficos de la solucin. Se basan en la configuracin recomendada de los escenarios de
MSA y prcticas recomendadas. Slo tendr que cambiarlos si utiliza otros valores en su
implementacin. En estas tablas slo se enumeran los valores pertinentes para los procedimientos de
este documento y son un subconjunto de la lista de parmetros completa de la implementacin de la
PKI. Para obtener la lista completa, consulte el apndice 14.16 del captulo Servicios de Certificate
Server de la Gua de generacin de Microsoft Systems Architecture 2.0 (en ingls) en la seccin
Vnculos relacionados.
Tabla 23: Elementos de configuracin especficos de la organizacin
Elemento de configuracin
Configuracin
contoso.com
93
Elemento de configuracin
Configuracin
DC=contoso, DC=com
Configuracin
de empresa
Tipo de grupo: Universal
empresa
configuracin Empresa
certificados
emisora de certificados
Tipo de grupo: Universal
94
Elemento de configuracin
Configuracin
certificados
emisora de certificados
Tipo de grupo: Local
C:\CAConfig
D:\CertLog
C:\WWWPKIpub
virtual
Nombre de recurso compartido de la carpeta del servidor
WWWPKIpub
IIS
Principio de la pgina
Apndice B: Funciones administrativas de criterios comunes
95
El perfil de proteccin de criterios comunes (CC) para los componentes de emisin y administracin de
certificados (seccin Vnculos relacionados) define cuatro funciones clave en el nivel de seguridad ms
alto: administrador, agente, operador y auditor. Estas funciones de criterios comunes estn
implementadas en Servicios de Certificate Server de Windows Server 2000, que permite forzar la
separacin entre funciones de modo que una cuenta no se puede configurar en varias funciones. Para
obtener informacin acerca de las funciones y capacidades de Servicios de Certificate Server de
Windows Server 2003, consulte la seccin "PKI de Windows Server 2003 y administracin basada en
funciones" de la Gua de operaciones de Windows Server 2003 (en ingls) (seccin Vnculos
relacionados).
No obstante, con frecuencia las funciones de criterios comunes no proporcionan un alcance suficiente.
Estas funciones de criterios comunes se relacionan con las capacidades en el nivel de entidad emisora
de certificados. Sin embargo, las entidades emisoras de certificados de empresa de Windows
almacenan la informacin de configuracin en objetos de configuracin de toda la empresa. Debido a
esto, una PKI de Windows tambin necesita funciones administrativas en toda la empresa para
administrar esta informacin. Asimismo, resulta habitual que las grandes organizaciones deseen
delegar una parte de las responsabilidades de una determinada funcin. Por ejemplo, pueden permitir
que un propietario de aplicacin determine los usuarios que pueden inscribir un certificado para dicha
aplicacin en vez de delegar la responsabilidad en una funcin de agente o administrador de
certificados de toda la empresa. En la tabla 25 se incluyen definiciones para este conjunto ampliado de
funciones y cmo se asignan a las funciones de criterios comunes.
Es improbable que estas funciones se asignen de forma precisa a los puestos de trabajo de su
organizacin de TI. Lo ms probable es que las personas se ajusten a varias de estas funciones.
Adems, algunas de estas funciones se pueden asignar a procesos del sistema en vez de personas; por
ejemplo, la cuenta de un agente de copia de seguridad que ejecuta la entidad emisora de certificados.
Tabla 25: Funciones bsicas de Servicios de Certificate Server
Funcin de
criterios
comunes
Nombre de funcin
expandida
mbito
Descripcin
Administrador
Administrador
Empresa
empresarial
Administrador de PKI
Empresa
de empresa
Editor de PKI de
empresa
Empresa
96
Funcin de
criterios
comunes
Nombre de funcin
expandida
mbito
Descripcin
Administrador de
Entidad
entidad emisora de
emisora de
certificados
certificados
Administrador
Entidad
emisora de
certificados
Auditor
Auditor de entidad
Entidad
emisora de
emisora de
certificados
certificados
Agente
Administrador de
Entidad
certificados
emisora de
certificados
certificados
-O bien-
Subconjunt
o de
usuarios de
entidad
emisora de
certificados
Entidad de registro
Perfil de
certificado
97
Funcin de
criterios
comunes
Nombre de funcin
expandida
mbito
Descripcin
Entidad
recuperacin de
emisora de
claves
certificados
Propietario de
Aplicacin o
aplicacin
tipo de
certificado
Operador
Operador de copia de
Entidad
entidad emisora de
emisora de
certificados (funcin
certificados
de criterios comunes)
Soporte operativo
Empresa
98
Funcin de
criterios
comunes
Nombre de funcin
expandida
mbito
Descripcin
Servicio de asistencia
Empresa
al usuario
Si utiliza un HSM en la entidad emisora de certificados, tambin habr funciones especficas definidas
para dicho componente, como titulares de tarjetas de claves y de operador. En esta lista no se tratan
otras funciones relacionadas con otras reas tecnolgicas que interactan y dan soporte a la PKI, como
la supervisin de la consola de operaciones y la administracin de Active Directory.
99