Administrar Una Infraestructura de Claves Públicas de Windows Server 2003

Administrar una infraestructura de claves pblicas de Windows Server 2003
Publicado: julio 13, 2004

Por Ian Hellen
Una infraestructura de claves pblicas (PKI) requiere planear las operaciones y el mantenimiento de su
implementacin inicial. En este documento se ofrece una gua acerca de cmo planear e implementar
la administracin y las operaciones para una PKI de Microsoft Windows Server. Se incluyen detalles
acerca de la estimacin de los recursos necesarios para administrar la PKI y orientacin acerca de la
asignacin de funciones administrativas y la programacin de tareas operativas. La mayor parte del
documento describe las tareas operativas y de soporte cotidianas necesarias para mantener un estado
ptimo de la PKI. El documento se basa y complementa la implementacin de la Microsoft System
Architecture (MSA) de Servicios de Certificate Server.
En esta pgina
Introduccin
Planear los recursos para administrar la PKI de Windows
Configurar el entorno operativo de la PKI
Funcionamiento de la PKI
Planear y optimizar la capacidad
Administrar el cambio y la configuracin
Tareas de soporte comunes
Resumen
Vnculos relacionados
Apndice A: Descripcin general del diseo de PKI
Apndice B: Funciones administrativas de criterios comunes
Introduccin
Administrar una infraestructura de claves pblicas de Windows Server 2003 constituye una gua para el
funcionamiento y la administracin de una PKI de Windows. Windows Server 2003 con clientes
Windows XP proporciona una de las tecnologas de PKI ms fciles de implementar y administrar;
aunque an es necesario administrarla. Sin un soporte operativo adecuado, se acabarn produciendo
errores incluso en infraestructuras de claves pblicas de complejidad moderada.
Este documento est diseado para atender la necesidad de una referencia sencilla de la
administracin, la supervisin y las tareas de soporte para mantener un funcionamiento correcto de la
PKI. Tambin contiene directrices con el fin de planear los recursos para administrar la PKI y asignar
las funciones administrativas de forma adecuada, as como referencias a otros documentos de
Microsoft relacionados.
Este documento acompaa a la Gua de operaciones de PKI de Windows Server 2003 (en ingls), que
es una coleccin de tcnicas y prcticas recomendadas que ayudan a administrar la PKI. No obstante,
este documento se ha diseado posteriormente como un manual de referencia de operaciones. Debe
poder implementar directamente las orientaciones de este documento como parte de sus operaciones
de TI. Tendr que utilizar la Gua de operaciones de PKI de Windows Server 2003 (en ingls) y la
seccin "Infraestructura de claves pblicas" de la documentacin de Windows Server 2003 para
complementar la informacin de este documento (consulte la seccin Vnculos relacionados). Para
reducir al mximo la duplicidad y las posibles incoherencias, no se incluyen los detalles completos de
algunas tareas. En su lugar, se hace referencia al documento donde la tarea se describe de forma
completa.
Las directrices de este documento se basan en el diseo de PKI de empresa definido en el Kit de
implementacin de Microsoft Systems Architecture versin 2.0 (en ingls) y en el documento Prcticas
recomendadas para implementar una infraestructura de claves pblicas de Microsoft Windows Server
2003 (en ingls) (ambos documentos describen el diseo y la creacin de prcticamente la misma PKI)
mediante Windows Server 2003 con clientes Windows XP. Sin embargo, las orientaciones de este
documento resultan igual de importantes o se pueden adaptar fcilmente a otros diseos de PKI.
La mayor parte del contenido de este documento se desarroll originalmente para Solucin de
Microsoft para proteger LAN inalmbricas. Los conceptos y el marco de esta gua se basan en Microsoft
Operations Framework (MOF) y Soluciones Microsoft para la administracin (MSM). Para obtener
referencias a todos estos documentos, consulte la seccin Vnculos relacionados.
Introduccin
Este documento se divide en seis secciones principales. En las dos primeras se trata el diseo y la
configuracin inicial, y las cuatro restantes se concentran en el funcionamiento de la PKI.
Planear los recursos para administrar la PKI de Windows se centra en las tareas de
preparacin y diseo e incluye una gua que le ayudar a evaluar los costos de administrar una PKI
de Windows. En esta seccin se trata la asignacin de funciones de equipo y la formacin del
personal de operaciones. Tambin contiene una lista de las tareas para configurar una PKI bien
administrada y las tareas que se deben realizar peridicamente para mantener el sistema. Se incluye
una estimacin del esfuerzo necesario para llevar a cabo cada tarea. Conjuntamente ofrecen una
base adecuada para planear los recursos continuos necesarios para la PKI.
En Configurar el entorno operativo de la PKI se trata de la preparacin de la PKI para un
entorno de produccin e incluye procedimientos detallados para crear grupos administrativos,
configurar copias de seguridad y configurar la supervisin. La organizacin de esta seccin se basa
en las categoras que se utilizan en el modelo de proceso de MOF.
En Funcionamiento de la PKI se incluyen todas las tareas relacionadas con el mantenimiento
normal de la PKI. Se incluye la renovacin de las entidades emisoras de certificados (CA), la
publicacin de las listas de revocacin de certificados (CRL), las tareas de supervisin, auditora y
revisin, y el mantenimiento de la base de datos de entidades emisoras de certificados.
Planear y optimizar la capacidad se centra en las tareas fundamentales para ayudar a administrar
la capacidad y el rendimiento de la PKI.
En Administrar cambio y configuracin se incluyen procedimientos genricos para ayudar a
administrar los cambios de la PKI as como para recopilar y mantener la informacin de configuracin
fundamental acerca de la PKI.
Tareas de soporte comunes se concentra en procedimientos para recuperar problemas del
sistema, incluida la restauracin de una entidad emisora de certificados a partir de una copia de
seguridad, la revocacin de certificados de entidad emisora de certificados y la ampliacin de la

duracin de las CRL durante un error de entidad emisora de certificados. En esta seccin tambin se
incluye una tabla de problemas de soporte comunes con referencias a otros documentos que
contienen informacin de solucin de problemas y soporte que le ayudarn a resolver el problema.
En Vnculos relacionados se enumeran los documentos a los que se hace referencia en este
documento y el modo de encontrarlos.
Nota: a menos que se indique lo contrario, las referencias estn vinculadas a las secciones de este
documento.
mbito
Este documento no incluye orientacin acerca de las siguientes cuestiones:
El planeamiento, el diseo y la instalacin de la PKI. Esto se trata de forma adecuada en documentos
como el documento de prcticas recomendadas y el kit de implementacin de MSA.
El uso de mdulos de seguridad de hardware (HSM) para proteger las claves de CA. No obstante, en
el documento se indica dnde se modificara de forma significativa un determinado procedimiento
mediante el uso de HSM.
El uso de componentes de software adicionales de un proveedor que no sea Microsoft, por ejemplo,
un componente de complemento de entidad de registro (RA) o un componente de protocolo de
estado de certificado con conexin (OCSP).
Los procedimientos especficos de una aplicacin de certificados digitales, como el correo electrnico
seguro, las tarjetas inteligentes y el sistema de archivos de cifrado (EFS).
Qu necesita saber
Debe estar familiarizado con los conceptos de PKI y con los Servicios de Microsoft Certificate Server en
concreto. Tambin es preciso estar familiarizado con Windows Server 2003 (y con Windows XP, donde
resulte pertinente) en las siguientes reas:
Operaciones bsicas y mantenimiento de Windows Server 2003, incluido el uso de herramientas
como Visor de sucesos, Administracin de equipos y Copia de seguridad de Windows.
Active Directory, incluida la estructura y las herramientas de Active Directorio, la manipulacin de
usuarios, grupos y otros objetos de Active Directory y el uso de Directiva de grupo.
Seguridad del sistema de Windows: conceptos de seguridad como usuarios, grupos, auditora y listas
de control de acceso (ACL), el uso de plantillas de seguridad, la aplicacin de plantillas de seguridad
mediante Directiva de grupo o herramientas de la lnea de comandos.
Administracin de Servicios de Internet Information Server (IIS)
Conocimiento de Windows Scripting Host y del lenguaje Microsoft Visual Basic Scripting Editing
(VBScript) (esto resulta til para comprender las secuencias de comandos suministradas pero no es
fundamental).
Antes de continuar, se recomienda consultar los captulos acerca del diseo y creacin de Servicios de
Certificate Server del Kit de implementacin de Microsoft Systems Architecture 2.0 (en ingls) y el
documento Prcticas recomendadas para implementar una infraestructura de claves pblicas de
Microsoft Windows Server 2003 (en ingls) (consulte la seccin Vnculos relacionados) para conocer la
arquitectura y el diseo de la solucin en la que se basa este documento. En muchas de las
operaciones descritas en este documento se supone una PKI diseada y creada segn las mismas
especificaciones de dichos documentos, por lo que resulta importante que comprenda estos supuestos.
Diseo de PKI utilizado en este documento:
El diseo de PKI utilizado en este documento se describe brevemente en el apndice A, Descripcin
general del diseo de PKI. Se trata de una jerarqua de PKI de tres niveles con una raz sin conexin y
entidades emisoras de certificados intermedias en la plataforma Windows Server 2003. La mayora de
las tareas descritas en este documento resultan adecuadas para configuraciones ms simples (dos
niveles o, incluso, un solo nivel) sin cambios o slo con modificaciones menores.
Principio de la pgina
En esta seccin se trata el diseo de los recursos de personal para administrar una PKI de Windows. Se
supone una PKI de empresa segn se describe en la introduccin y en el apndice A, Descripcin
general del diseo de PKI. Aunque este proceso ser similar para instalaciones de PKI ms simples, la
estructura del equipo y, en concreto, las cifras del esfuerzo estimado para las tareas necesarias se
tienen que adaptar de forma adecuada.
Existen cuatro reas principales que se deben tener en cuenta. Las dos primeras corresponden a la
asignacin de funciones administrativas y el diseo de la formacin que necesita el personal de
soporte. La tercera corresponde al esfuerzo necesario para que la PKI est operativa. Se incluyen la
configuracin de copias de seguridad, la asignacin de permisos administrativos, el plan de
recuperacin y la programacin de tareas operativas. La cuarta rea corresponde al esfuerzo continuo
en relacin con las operaciones, el soporte y el personal de asistencia al usuario necesarios para
mantener un funcionamiento correcto de la PKI.
En esta seccin no se trata el planeamiento, el diseo, la instalacin y la configuracin de los
servidores de PKI o de otra infraestructura.
Asignar funciones administrativas de PKI
Existen varias funciones en la administracin de una PKI y cada una representa un conjunto concreto
de capacidades en lo que respecta a la PKI. Por ejemplo, la aprobacin de una solicitud de certificado,
la auditora de una CA y la administracin de copias de seguridad y almacenamiento son
responsabilidades de distintas funciones administrativas. En un entorno de alta seguridad, cada funcin
se puede asignar a distintas personas como un mtodo de proteccin frente a los abusos de privilegio.
En otras organizaciones, slo un administrador puede ser responsable de todas las tareas de PKI,
aunque la mayora de las organizaciones estn entre ambos extremos.
Existe un perfil de criterios comunes para las funciones administrativas para una entidad emisora de
certificados. En el apndice B, Funciones administrativas de criterios comunes, se describe su relacin
con el modelo administrativo utilizado en este documento.
Decidir la granularidad del modelo administrativo
El modelo administrativo utilizado en este documento se adapta a una variedad de necesidades
organizativas, desde funciones administrativas detalladas hasta divisiones ms simples de las
responsabilidades. Las capacidades administrativas con respecto a la PKI se han dividido en grupos de
funciones y cada uno corresponde a un grupo de seguridad de dominio o local. En todos los
procedimientos del documento se indica la pertenencia a grupos de seguridad administrativa que es
necesaria para llevarlos a cabo.
Este enfoque permite que las distintas organizaciones alcancen el grado necesario de granularidad de
funciones mediante la incorporacin de cuentas de personal de TI a los grupos necesarios. Por ejemplo,
una organizacin con un solo administrador para todas las tareas operativas y de soporte de la PKI
agregara la cuenta de dicha persona a todos los grupos de funciones de PKI. Una organizacin ms
compleja que necesitara dividir la responsabilidad entre administradores de PKI, operadores de copia,
auditores y propietarios de aplicacin agregara las cuentas de dichas personas slo a los grupos de
funciones administrativas de PKI necesarios para su trabajo.
Si todava no ha asignado las responsabilidades administrativas de la PKI, tendr que hacerlo antes de
que la PKI pase a produccin. Utilice la tabla 1 para determinar las capacidades que desea asignar al
personal administrativo de PKI. El primer conjunto de tareas de Configurar el entorno operativo de la
PKI implica crear y llenar los grupos de funciones administrativas de PKI y asignar los permisos
adecuados a dichos grupos.
Asignar funciones a grupos de seguridad
En la tabla 1 se describen las funciones de cada funcin administrativa de PKI en toda la entidad
emisora de certificados y en toda la empresa, as como el grupo de seguridad que se utiliza para
implementar dicha funcin. Estos grupos de seguridad se utilizan para describir los requisitos de
seguridad de los procedimientos de este documento. Cada procedimiento dispone de una seccin
Requisitos de seguridad que enumera los grupos de seguridad a los que debe pertenecer una persona
para llevar a cabo el procedimiento.
La tabla tambin est dividida en secciones que corresponden a lmites administrativos comunes.
Aunque es comn, esta divisin no significa que sea universal, por lo que es posible que no coincida
con su organizacin de forma exacta. Por ejemplo, un "propietario de aplicacin" puede ser una
persona de la lnea de negocios en vez de la organizacin de soporte.
Las entidades emisoras de certificados sin conexin (la raz y las intermedias) no pueden utilizar
grupos de dominio, slo grupos de seguridad locales. Para dichas entidades, se deben crear cuentas
locales individuales en la propia entidad emisora de certificados y se deben utilizan para llenar los
grupos administrativos locales. Para las entidades emisoras de certificados con conexin (que son
miembros de dominio), se utilizan grupos de seguridad de dominio para aplicar los permisos
correspondientes a cada funcin. Las cuentas de dominio se utilizan para llenar los grupos de
funciones.
Tabla 1: Asignar funciones de Servicios de Certificate Server a grupos de seguridad
Nombre de funcin
administrativa
Grupo de seguridad
de
dominio(entidades
emisoras de
certificados con
conexin)
Grupo de seguridad
local(entidades
emisoras de
certificados sin
conexin)
Capacidades
Administradores
Controla todos los
Administrador/funcione
s de soporte de tercer
nivel
Administrador empresarial
empresariales
recursos de Active
Directory del bosque,
incluido el contenedor
Servicios de claves
pblicas; por lo tanto,
incluye el control de
plantillas, publicacin
de confianzas y otros
elementos de
configuracin en toda
la empresa (bosque).
Nombre de funcin
administrativa
Grupo de seguridad
de
dominio(entidades
emisoras de
certificados con
conexin)
Grupo de seguridad
local(entidades
emisoras de
certificados sin
conexin)
Capacidades
Administrador de PKI de
Administradores de
Control del contenedor
empresa
PKI de empresa
Servicios de claves
pblicas de Active
Directory; por lo tanto,
controla plantillas,
publicacin de
confianzas y otros
elementos de
configuracin en toda
la empresa (bosque).
Editor de PKI de empresa
Editores de PKI de
Puede publicar
empresa
certificados raz de
confianza de empresa,
certificados de
subentidad emisora y
CRL en el directorio.
Administrador de entidad
Administradores de
Administradores de
Tiene permisos
emisora de certificados
entidad emisora de
entidad emisora de
"Administrar entidad
certificados
certificados
emisora" en la entidad
emisora, controla las
funciones de la
entidad, tambin tiene
permisos para cambiar
las propiedades de la
entidad, normalmente
se combina con el
administrador local en
el servidor de entidad
emisora a menos que
se exija la separacin
de funciones.
Administrador
Administradores
Administrador local del

servidor de entidad
emisora.
Administrador de
Administradores de
Administradores de
Tiene permiso "Emitir
certificados
certificados
certificados
y administrar
certificados" en la
Nombre de funcin
administrativa
Grupo de seguridad
de
dominio(entidades
emisoras de
certificados con
conexin)
Grupo de seguridad
local(entidades
emisoras de
certificados sin
conexin)
Capacidades
entidad emisora; se
pueden configurar
varios administradores
de certificados en cada
entidad emisora y cada
uno gestiona
certificados para un
subconjunto de
usuarios u otras
entidades finales.
Funcin de auditor
Auditor de entidad emisora
Auditores de entidad
Auditores de entidad
Tiene el derecho de
de certificados
emisora de certificados emisora de certificados usuario "Administrar

registros de seguridad
y auditora" en una
entidad emisora de
certificados.
Operador/funciones de
soporte de segundo
nivel
Operador de copia de
Operadores de copia
Operadores de copia
Tiene el derecho
entidad emisora de
de entidad emisora de
Copia de seguridad y
certificados
certificados
certificados
restauracin en el
servidor de entidad
emisora de
certificados.
Propietario de aplicacin
Inscripcin
nombreDePlantilla
Inscripcin
automtica
nombreDePlantilla
Permite que los

usuarios y los equipos
se inscriban (o
inscriban
automticamente) a
un tipo de certificado
determinado. Consulte
el procedimiento Crear
grupos de inscripcin a
certificados.
Formar al personal
La formacin del personal operativo o de soporte vara considerablemente segn su experiencia y sus
funciones y responsabilidades individuales. En las siguientes secciones se enumeran los tipos de
formacin (incluidos los cursos de Microsoft Official Curriculum) adecuados para los distintos niveles de
responsabilidad que se encuentran en las organizaciones de TI de mayor tamao. Para obtener
informacin ms detallada de estos cursos, consulte la seccin Vnculos relacionados.
Administradores de PKI y soporte de tercer nivel
Lo ms probable es que el personal de TI que trabaje en este nivel disponga de certificacin Microsoft
Certified Systems Engineers (MCSE) en Windows 2000 o Windows Server 2003, o tenga un nivel
equivalente de conocimientos y experiencia.
Los siguientes cursos son muy tiles.
Curso 2823: La implementacin y administracin de la seguridad en una red de Microsoft Windows
Server 2003
Curso 2821: Designing and Managing a Windows Public Key Infrastructure
Operadores y soporte de segundo nivel
El personal de TI que proporcione soporte al departamento de asistencia al usuario y lleve a cabo
tareas operativas y de supervisin peridicas es probable que disponga de certificacin MCSE o
conocimientos equivalentes.
El siguiente curso resulta muy til para una comprensin general de la PKI y otras tecnologas de
seguridad en la plataforma Windows Server 2003.
Curso 2823: La implementacin y administracin de la seguridad en una red de Microsoft Windows
Server 2003
Departamento de asistencia al usuario
Las necesidades de formacin del departamento de asistencia al usuario dependern de si su personal
ofrecer soporte general o estar dedicado a una determinada aplicacin o sistema. El personal de
asistencia al usuario que d soporte a las aplicaciones de PKI debe recibir formacin bsica sobre la
plataforma cliente (Windows XP) y las aplicaciones cliente (Microsoft Office, por ejemplo). Es
importante ofrecer al personal de asistencia al usuario preguntas ms frecuentes, documentos y
soluciones a problemas comunes actualizados peridicamente para que puedan resolver tantas
llamadas como sea posible sin tener que reasignarlas al soporte de segundo y tercer nivel.
Usuarios
Aunque normalmente no forma parte de la responsabilidad del departamento de operaciones de TI, con
frecuencia se omite la importancia de la formacin de los usuarios. Si existe confusin acerca del
funcionamiento de una caracterstica de aplicacin, inevitablemente se generarn llamadas de soporte.
Es importante ofrecer formacin acerca del uso correcto de una aplicacin o servicio, incluidas las
posibilidades de autoayuda que los usuarios pueden intentar antes de llamar al departamento de
asistencia al usuario. Los usuarios tambin deben recibir formacin acerca de los aspectos pertinentes
de la directiva de seguridad de la organizacin para que conozcan sus responsabilidades. Por ejemplo,
deben conocer los procedimientos para informar de un equipo o tarjeta inteligente perdido o robado,
cmo elegir contraseas correctas, cmo proteger sus datos y credenciales frente al abuso y cmo
protegerse frente a los virus.
Tareas para configurar el entorno operativo
En la tabla 2 se muestran las tareas para que la PKI est operativa. Cada tarea describe cmo
configurar un aspecto del sistema de administracin de la PKI con el fin de que est preparada para
pasar a un entorno de produccin. Se incluye una estimacin del nmero de horas para cada tarea.
Para obtener una descripcin de cada tarea, consulte Configurar el entorno operativo de la PKI.
Puede que no tenga que realizar todas estas tareas, pero debe consultar los detalles de cada una antes
de tomar esta decisin. Es posible que algunas de estas tareas se tengan que repetir; por ejemplo, si
una entidad emisora de certificados se reconstruye a partir de una copia de seguridad, puede que
tenga que volver a configurar las tareas de copia de seguridad y supervisin de ella.
Nota: el esfuerzo (en horas) es una estimacin y vara segn los requisitos de seguridad y las
prcticas operativas de su organizacin.
Tabla 2: Tareas de configuracin iniciales
Nombre de tarea
Esfuerzo (horas)
General
Crear un programa de operaciones
Implementar los servicios de soporte de la PKI
16
Preparar el directorio
Preparar una estructura de unidades organizativas de dominio para la
0.5
administracin de Servicios de Certificate Server

Administracin de la seguridad
Crear los grupos de administracin de PKI
Asignar permisos a los grupos de administracin de PKI
Delegar los permisos de PKI de empresa
Delegar los permisos para instalar una entidad emisora de certificados de
empresa
Crear los grupos de inscripcin de certificados
Establecer permisos en el servidor Web para publicar CRL y certificados
Configurar la entidad emisora de certificados para publicar CRL en un
servidor Web
Habilitar la auditora de la entidad emisora de certificados
Impedir que las entidades emisoras de certificados intermedias comprueben
el estado de revocacin
Administracin del sistema
Configurar las actualizaciones del sistema operativo
Configurar las opciones de disponibilidad y recuperacin

Planear una PKI de alta disponibilidad
16
Configurar la copia de seguridad de la base de datos de la entidad emisora
de certificados
Configurar la copia de seguridad de la base de datos de la entidad emisora
de certificados sin conexin

Configurar la supervisin y las alertas
Clasificar las alertas de supervisin
Supervisar la disponibilidad del servicio
Nombre de tarea
Esfuerzo (horas)
Configurar la supervisin de la seguridad de la entidad emisora de
16
certificados
Calcular las posibles restricciones de capacidad de la entidad emisora de
certificados
Configurar las alertas SMTP para las solicitudes de certificado pendientes
Supervisar la caducidad de certificado de los clientes

Total de horas
105.5
Total de das
13
Tareas operativas continuadas

En la tabla 3 se muestran las tareas que se tienen que realizar peridicamente para mantener el
funcionamiento correcto de la PKI. Tambin se incluye una estimacin de la carga de trabajo de
soporte posible basada en las cifras de las operaciones de la PKI interna de Microsoft. Para obtener
ms informacin acerca de estas tareas, consulte Funcionamiento de la PKI y las secciones posteriores
de este documento.
Se incluye una estimacin del nmero de horas para cada tarea, la frecuencia de la misma y el
esfuerzo anual total. El esfuerzo de tarea corresponde a una instancia de la tarea, mientras que el
nmero de veces al ao es un agregado para todas las entidades emisoras de certificados. Si se
multiplican ambos, se obtiene el esfuerzo anual total de la tarea.
Estas tareas estn relacionadas con los servicios de infraestructura de PKI y no incluyen una medicin
del esfuerzo para dar soporte a las aplicaciones de PKI (como tales, son tareas que normalmente lleva
a cabo el personal de soporte de tercer y segundo nivel). El esfuerzo de soporte de las aplicaciones de
PKI vara considerablemente de una aplicacin a otra. Sin embargo, a modo de gua, los recursos de
soporte que el grupo de operaciones y tecnologa (OTG) de Microsoft utiliza para dar soporte a las
aplicaciones de PKI implementadas en los 60.000 usuarios de PKI de Microsoft se ofrecen en Ejemplo:
Recursos operativos de PKI de Microsoft OTG.
Nota: el esfuerzo de tarea (en horas) es una estimacin y vara segn los requisitos de seguridad y las
prcticas operativas de su organizacin.
Tabla 3: Operaciones de la PKI y tareas de soporte
Nombre de tarea
Esfuerzo Frecuencia
de tarea
(horas)
Nmero Esfuerzo
de veces anual(horas)
al ao
0.25
Semanal
52
13
0.25
Semanal
52
13
0.5
Diaria
200
100
Habilitar la inscripcin (o la inscripcin
automtica) de un tipo de certificado para un
usuario o equipo
Deshabilitar la inscripcin (o la inscripcin
automtica) de un tipo de certificado para un
usuario o equipo
Comprobar y aprobar las solicitudes de
certificado pendientes
10
Nombre de tarea
Esfuerzo Frecuencia
de tarea
(horas)
Nmero Esfuerzo
al ao
Revocar un certificado de entidad final
0.25
600
150
A peticin (se 240
120
Diaria (se
estiman 50
en un mes)
Recuperar una clave privada archivada
0.5
estiman 20
en un mes)
Renovar el certificado de entidad emisora de
certificados raz
Renovar el certificado de una entidad emisora
0.125
0.5
0.25
ao
4
de certificados intermedia
Renovar un certificado de entidad emisora de
8 veces al
4 veces al
ao
Anual
6 veces al
certificados (cada ao para permitir la

renovacin de particiones de CRL)
Publicar las CRL de una entidad emisora de
certificados sin conexin en el servidor Web
ao (2 por
entidad
emisora de
certificados
raz, 4 por
intermedia)
Supervisar
Revisar los registros de auditora
Semanal
52
52
Auditar la PKI
Anual
Revisar los datos de rendimiento y capacidad
3 veces al
16
mes
Generar informes de informacin de
Mensual
12
48
Anual
Anual
2.4
2.4
administracin
Administracin de la base de datos y la
configuracin de la entidad emisora de
certificados
Realizar copias de seguridad de una entidad
emisora de certificados sin conexin
Realizar copias de seguridad de las claves y
certificados de la entidad emisora de
(despus de
certificados
la renovacin
de la entidad
emisora de
certificados)
11
Nombre de tarea
Esfuerzo Frecuencia
de tarea
(horas)
Nmero Esfuerzo
al ao
Probar las copias de seguridad de la base de
32
datos de la entidad emisora de certificados

Probar las copias de seguridad de las claves de
mes
4
la entidad emisora de certificados

Archivar los datos de auditora de seguridad de
3 veces al
6 veces al
mes
Mensual
12
12
2 veces al
0.5
32
64
una entidad emisora de certificados

Actualizar las versiones de sistema operativo
ao
Instalar Service Packs y actualizaciones de
seguridad (slo las entidades emisoras de
3 veces al
mes
certificados sin conexin; se supone que las

entidades con conexin se actualizan
automticamente)
Probar actualizaciones (pruebas especficas de
16
la entidad emisora de certificados)
3 veces al
mes
Administracin de la configuracin
Recopilar informacin de configuracin de la
Anual
Anual
Anual
Anual
Anual
16
2 veces al
0.5
0.5
0.5
PKI de empresa
Recopilar informacin de configuracin de las
plantillas de certificado
Recopilar informacin de configuracin de la
entidad emisora de certificados
Recopilar informacin de los grupos de
administracin de la entidad emisora de
certificados y de la PKI
Recopilar informacin de configuracin de los
clientes de certificado
Tareas de soporte
Restaurar la entidad emisora de certificados a
partir de una copia de seguridad
Restaurar el par de certificado y clave de la
ao
2
entidad emisora de certificados en un equipo
2 veces al
ao
temporal
Volver a firmar una CRL o certificado para
ampliar su validez
2 veces al
ao
12
Nombre de tarea
Esfuerzo Frecuencia
de tarea
(horas)
Nmero Esfuerzo
al ao
Revocar un certificado hurfano
0.5
0.25
0.125
0.1
2 veces al
ao
Revocar y reemplazar un certificado de entidad
ao
16
emisora de certificados intermedia

4 veces al
8 veces al
ao
40
emisora de certificados raz
10 veces al
ao
Total de horas por ao
720
Total de das por ao
90
Ejemplo: Recursos operativos de PKI de Microsoft OTG

Tal como se ha indicado anteriormente, en la tabla 3 no se incluyen los requisitos de soporte para las
aplicaciones de PKI. Microsoft OTG ha implementado un amplio conjunto de aplicaciones que dependen
de certificados digitales. Entre stas se encuentran:
Autenticacin de tarjeta inteligente (para acceso remoto e inicio de sesin en dominio)
Redes inalmbricas seguras
Sistema de archivos de cifrado
Seguridad de correo electrnico
Seguridad de Protocolo Internet (IPsec)
En la tabla 4 se muestran los recursos de soporte para estas aplicaciones y la infraestructura de
certificados. La administracin de tarjetas inteligentes precisa de una cantidad desproporcionada de
esfuerzo debido a la sobrecarga de la administracin fsica de las tarjetas y los sistemas de
identificacin fotogrfica y de acceso asociados.
Tabla 4: Recursos de soporte
Funcin
Personal de Microsoft
OTG (60.000 usuarios)
Departamento de asistencia al usuario (sin tarjetas inteligentes)
2 empleados a tiempo
completo
Departamento de asistencia al usuario (tarjetas inteligentes)
completo
Soporte de segundo nivel
completo
Soporte de tercer nivel
1 empleado a tiempo
completo
Diseo de tercer nivel e ingeniera (normalmente son los mismos
empleados de soporte de tercer nivel)
completo
OTG tambin utiliza un centro de filtro de llamadas independiente que registra las llamadas y las dirige
al correspondiente personal de asistencia al usuario. No est incluido en la cifra del departamento de
asistencia al usuario.
Si tiene en cuenta los siguientes puntos, puede extrapolar estas cifras a su organizacin.
13
Menos aplicaciones reducen la carga de soporte, especialmente el esfuerzo de asistencia al usuario y

del soporte de segundo nivel. Estas cifras reflejan un conjunto de aplicaciones relativamente rico.
Hay un conjunto de tareas bsicas que son comunes a PKI de diferentes tamaos; el esfuerzo no se
reduce linealmente, en concreto para el soporte de tercer nivel.
El esfuerzo de diseo e ingeniera de tercer nivel depende de la intensidad con que su organizacin
implemente las nuevas aplicaciones de PKI (Microsoft tiene amplios planes para utilizar la tecnologa
de PKI y para optimizar su uso actual por lo que, en comparacin con la mayora de organizaciones,
se trata de un rea con gran cantidad de recursos). Este factor tiene mayor impacto en los recursos
necesarios para este elemento que el tamao de la organizacin.
La configuracin de un entorno operativo de un sistema constituye un paso fundamental en la
implementacin de un proyecto de TI. Esto implica la implementacin de trabajos programados, la
configuracin de los parmetros de supervisin y alertas, la creacin de referencia para medir el
rendimiento y la creacin de un programa de trabajos de mantenimiento peridicos. Sin este paso,
cualquier sistema puesto en produccin no cumplir las expectativas de rendimiento y, finalmente,
fracasar.
Esta fase de configuracin se aplica por igual tanto a una PKI como a cualquier otro componente de
infraestructura. En esta seccin se describe la creacin de un programa operativo, la preparacin del
directorio, la preparacin de la disponibilidad del sistema, la configuracin de la supervisin y las
alertas, as como las dems tareas fundamental para pasar la PKI a produccin.
Lista de comprobacin de tareas de configuracin
General
Preparar una estructura de unidades organizativas de dominio para la administracin de Servicios de
Certificate Server
Delegar los permisos para instalar una entidad emisora de certificados de empresa
Configurar la entidad emisora de certificados para publicar CRL en un servidor Web
Deshabilitar la comprobacin de revocacin en las entidades emisoras de certificados intermedias
Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados
Configurar la copia de seguridad de la base de datos de la entidad emisora de certificados sin
conexin
Configurar la supervisin de la seguridad de la entidad emisora de certificados
14
Calcular las posibles restricciones de capacidad de la entidad emisora de certificados

Configurar las alertas del protocolo simple de transferencia de correo (SMTP) para las solicitudes de
certificado pendientes
Programacin de trabajos
Programar trabajos en las entidades emisoras de certificados con conexin
La creacin de un programa de operaciones es uno de los elementos ms importantes en la
implementacin de una PKI. Algunas de las tareas de mantenimiento de la PKI se realizan slo una vez
cada varios meses o aos. Por lo tanto, a menos que se programen correctamente, existe el riesgo de
olvidarlas cuando realmente se deban llevar a cabo.
Tomando como punto de partida la lista de Tareas operativas continuadas, debe crear un programa de
operaciones para la PKI. La programacin debe incluir todas las tareas que se deben realizar
peridicamente, describir la frecuencia de cada tarea e indicar quin ser el responsable de llevar a
cabo cada una.
La programacin debe disponer de las siguientes caractersticas.
Cada entrada de la programacin debe especificar las fechas y horas reales de la tarea; en vez de
utilizar "realizar semanalmente", emplee "cada lunes a las 10:00 a.m." o "cada 1 de febrero y 1 de
agosto".
Cada entrada de tarea debe describir la accin que se debe llevar a cabo si una tarea no se realiza el
da especificado en caso de que, por ejemplo, coincida con un da festivo o la ausencia del
responsable.
Se debe indicar el nombre del responsable de llevar a cabo la tarea junto con un sustituto, en caso
de que no est disponible el propietario de la tarea. Los propietarios de tarea deben tenerlo en
cuenta e incorporarlo en sus programaciones.
La programacin puede utilizar un sistema automatizado para notificar al responsable cuando se
tenga que realizar la tarea. Puede utilizar un sistema de calendario, como Microsoft Outlook, para
registrar, asignar y proporcionar notificaciones acerca de las tareas.
La programacin debe definir el modo en que se registrar la finalizacin de una tarea (para la
realizacin de auditoras); se puede tratar de un registro electrnico o en papel.
La lista de programacin tambin debe incluir tareas manuales especficas de las aplicaciones y el
entorno as como las bsicas de la lista Tareas operativas continuadas. Por ejemplo, si tiene que
inscribir servidores Web manualmente que necesiten renovar sus certificados cada ao, debe incluirlo
en la programacin.
Debe garantizar que los recursos de soporte de la PKI estn conectados al implementar la
infraestructura y aplicaciones de PKI que dependen de la PKI. Debe escalonar la implementacin de la
infraestructura (las entidades emisoras de certificados y los servicios de soporte) y las aplicaciones de
PKI para permitir que los servicios de soporte evolucionen y se adapten a sus nuevas demandas. En la
siguiente secuencia se muestra cmo puede llevar esto a cabo junto con la implementacin de la PKI.
1 Formar al personal operativo y de soporte correspondiente con el fin de prepararlos para la
. implementacin de los servicios de PKI.
2 Implementar la infraestructura de la entidad emisora de certificados sin aplicaciones de PKI para
. realizar una prueba piloto de las tareas de soporte y operativas.
3 Revisar y depurar las operaciones y los servicios de soporte.
.
4 Planear la primera implementacin de aplicaciones PKI. La clave reside en que ser la primera
15
. parte de la implementacin de PKI que vern los usuarios finales, por lo que se necesitar que el
departamento de asistencia al usuario est preparado para dar soporte a la aplicacin.
5 Preparar los recursos de soporte, como las preguntas ms frecuentes, los diagramas de solucin
. de problemas, los procedimientos de asignacin de problemas y los problemas ms habituales,
que utilizar el departamento de asistencia al usuario y el soporte de segundo nivel. Estos
recursos irn evolucionando, por lo que no prevea cubrir todas las eventualidades en esta etapa.
6 Formar al personal de asistencia al usuario y al personal de soporte de asignacin de problemas
. en soporte tcnico de PKI genrico y especfico de la aplicacin.
7 Realizar una prueba piloto de la aplicacin con un grupo de usuarios administrable pero
. representativo.
8 Revisar y depurar los procedimientos de asistencia al usuario y de soporte (la revisin y la
. mejora peridicas de los servicios de soporte deben continuar a lo largo de la vida de una
aplicacin).
9 Repita los pasos del 4 al 8 para cada aplicacin.
.
Preparar una estructura de unidades organizativas de dominio para la administracin de
Servicios de Certificate Server
El propsito de esta tarea es crear una estructura de unidades organizativas adecuada para administrar
grupos de seguridad de Servicios de Certificate Server.
Requisitos de seguridad
Cuenta con derechos para crear unidades organizativas en la parte designada de Active Directory
Detalles de la tarea
Esta tarea slo es una sugerencia del modo en que puede organizar los grupos de seguridad
relacionados con PKI. La estructura de unidades organizativas reales depender de la existente y de las
directivas y procedimientos de administracin actuales. En la tabla 5 se ofrece un subrbol de unidades
organizativas simples que se puede utilizar para ayudar a organizar los grupos de seguridad creados
mediante esta gua y a los que se hace referencia en la misma. Debe otorgar al grupo Administradores
de PKI de empresa permisos para crear y eliminar objetos de grupo para estas unidades organizativas.
Tabla 5: Ubicacin de los grupos de seguridad en la estructura de unidades organizativas
Nombre de unidad
organizativa
Propsito
Administracin de Servicios de
Contiene grupos administrativos
Certificate Server
para administrar entidades

emisoras de certificados y
configuracin de PKI de empresa
Grupos almacenados en la
unidad organizativa
Administradores de PKI de
empresa
Editores de PKI de empresa
Administradores de entidad
Auditores de entidad emisora
de certificados
Administradores de
certificados
Operadores de copia de
entidad emisora de
certificados
16
Nombre de unidad
organizativa
Propsito
Grupos almacenados en la
unidad organizativa
Grupos de inscripcin de
Contiene grupos a los que se ha
Ejemplos:
certificados
concedido permisos de
inscripcin o inscripcin
automtica en plantillas del
mismo nombre. A continuacin,
el control de los grupos se puede
delegar en el personal adecuado
para permitir un rgimen de
Inscribir certificado de
usuario
Inscribir automticamente
certificado de usuario
Inscribir certificado con firma
por correo electrnico
inscripcin flexible sin modificar

las plantillas.
La administracin de la seguridad abarca tareas relacionadas con los componentes de seguridad de la
infraestructura informtica.
Las funciones y las capacidades administrativas se definen mediante cuentas de usuario y grupos de
seguridad de dominio.
Nota: la solucin define varios grupos de seguridad que corresponden a funciones administrativas
independientes. De este modo se obtiene el mximo control sobre el modo de delegar
responsabilidades en la administracin de la entidad emisora de certificados. Sin embargo, no tiene
que utilizar todas o cualquiera de estas funciones si no se corresponden a su modelo de administracin.
En el caso opuesto, si slo tiene un nico administrador de PKI que se encargue de todos los aspectos
del servicio, puede agregar esta cuenta a todos los grupos de funciones de la entidad emisora de
certificados. En la prctica, la mayora de las organizaciones utilizan algn tipo de separacin de
funciones, pero muy pocas utilizan todas las capacidades de separacin de funciones de Servicios de
Windows Certificate Server. Para obtener ms informacin, consulte Asignar funciones administrativas
de PKI.
Para crear grupos de administracin de PKI en el dominio
1 Inicie la sesin en un miembro de dominio con una cuenta que tenga permisos para crear
. objetos de usuario y grupo en la unidad organizativa Administracin de Servicios de Certificate
Server (creada en la tarea anterior).
2 Cree los grupos de administracin de la entidad emisora de certificados de dominio enumerados
. en la tabla 6.
Tabla 6: Nombre y propsito de los grupos de PKI
Nombre de grupo
Tipo de
grupo
Administradores de
Universal Administradores del contenedor de configuracin Servicios de
PKI de empresa
Propsito
claves pblicas.
Este grupo tiene capacidades eficaces. Dispondr de control
completo sobre la PKI mediante el bosque de Active Directory,
incluida la capacidad de instalar y reemplazar entidades
emisoras de certificados raz y de empresa, crear confianzas de
raz e instalar certificados cruzados. Adopte las mismas
17
Nombre de grupo
Tipo de
grupo
Propsito
precauciones que con el grupo Administradores de empresa.
Editores de PKI de
empresa
Universal Pueden publicar CRL y certificados de entidad emisora en el

contenedor de configuracin Empresa.
Este grupo tambin dispone de capacidades eficaces, como la
posibilidad de instalar y quitar entidades emisoras de
certificados raz de confianza y certificados cruzados para todo
el bosque. Acte con precaucin.
Administradores de
Universal Tienen capacidad administrativa completa sobre la entidad
entidad emisora de
emisora de certificados, incluida la determinacin de la
certificados
pertenencia de las dems funciones.
Administradores de
Universal Administrar la emisin y revocacin de certificados.
certificados
Auditores de
entidad emisora de
Universal Administran los datos de auditora para la entidad emisora de

certificados.
certificados
Operadores de
Universal Tienen permisos para realizar una copia de seguridad y
copia de entidad
restaurar las claves y los datos de la entidad emisora de
emisora de
certificados.
certificados
Si necesita grupos independientes de administradores de entidad emisora de certificados,
administradores de certificados, auditores y operadores de copia para cada entidad emisora de
certificados de empresa, cree grupos de dominio independientes para cada entidad emisora en vez de
un solo grupo para cada funcin tal como se muestra aqu. Asgneles el nombre "Administradores de
entidad emisora de certificados deNombreDeEntidad" (donde NombreDeEntidad es el nombre de la
entidad emisora de certificados) o uno similar.
Los grupos se crean como universales ya que necesitan alcance (visibilidad) en todo el bosque y
pueden tener miembros de varios dominios. Si nicamente necesita miembros de grupo de un solo
dominio, puede utilizar grupos globales de dominio en su lugar. Slo puede crear grupos universales en
un dominio que tenga un nivel funcional de dominio de modo nativo de Windows 2000 o superior (para
obtener ms informacin acerca de los niveles funcionales de dominio, consulte la seccin Vnculos
relacionados). Si los dominios estn en modo mixto, tiene que utilizar grupos globales.
Puede y debe limitar los usuarios que pueden cambiar la pertenencia a estos grupos. El siguiente
procedimiento restringe esta capacidad a los miembros del grupo Administradores de PKI de empresa.
Antes de continuar, debe agregar al menos una cuenta de dominio vlida al grupo Administradores de
PKI de empresa. El siguiente procedimiento utiliza una cuenta denominada PropietarioDeGruposDePKI.
Ser el propietario de los grupos de administracin de PKI, lo que le transfiere la propiedad desde los
administradores predeterminados. El nombre no es importante y puede utilizar otro distinto si lo
prefiere.
Para restringir los usuarios que pueden cambiar la pertenencia a los grupos de
administracin de PKI.
18
1 Inicie la sesin como miembro de Administradores de dominio (o una cuenta que disponga de
. permisos para crear cuentas y tenga control total de los objetos de grupo creados en el
procedimiento anterior).
2 Cree la cuenta PropietarioDeGruposDePKI que se utilizar como el propietario de estos grupos.
. Esta cuenta slo se utiliza para transferir la propiedades desde el predeterminado, el grupo
Administradores de dominio. No tendr que utilizar esta cuenta para tareas de administracin.
3 Conceda permisos de control total a PropietarioDeGruposDePKI para cada uno de estos objetos
. de grupo.
4 Inicie la sesin con la cuenta PropietarioDeGruposDePKI y tome posesin de cada grupo de uno
. en uno.
5 Quite los permisos de Administradores de dominio, Administradores y Administradores de
. empresa.
6 Conceda permisos de control total a AdministradoresDePKIDeEmpresa para cada grupo.
.
7 Cierre la sesin y vuelva a iniciarla con la misma cuenta utilizada en el paso 1. Deshabilite la
. cuenta PropietarioDeGruposDePKI para impedir que se emplee de modo accidental.
Nota: no se puede impedir que un administrador de dominio o de empresa modifique estos grupos. Sin
embargo, los pasos de este procedimiento, en concreto los correspondientes a quitar la propiedad de
los grupos del grupo Administradores integrado, ayudan a garantizar que se pueda auditar cualquier
modificacin no autorizada y que resulte improbable que se produzca un cambio no autorizado por
accidente.
Las entidades emisoras de certificados sin conexin no pueden utilizar grupos de dominio y, por lo
tanto, necesitan tener grupos locales equivalentes creados en la propia entidad emisora de certificados.
No hay una funcin local equivalente a los grupos Administradores de PKI de empresa o Editores de
PKI de empresa.
Para crear los grupos de administracin de entidad emisora de certificados en una entidad
emisora sin conexin
1 Inicie la sesin en la entidad emisora de certificados como miembro del grupo Administradores
. local.
2 Cree los grupos de administracin de la entidad emisora de certificados locales enumerados en la
. tabla 7.
Tabla 7: Nombre y propsito de los grupos de entidad emisora de certificados
Nombre de grupo
Propsito
Administradores de
Tienen capacidad administrativa completa sobre la entidad emisora de
entidad emisora de
certificados, incluida la determinacin de la pertenencia de las dems
certificados
funciones.
Administradores de
Administrar la emisin y revocacin de certificados.
certificados
Auditores de entidad Administran los datos de auditora para la entidad emisora de
emisora de
certificados.
certificados
Operadores de copia Tienen permisos para realizar una copia de seguridad y restaurar las
de entidad emisora
claves y los datos de la entidad emisora de certificados.
de certificados
19
Para utilizar las funciones administrativas en la entidad emisora de certificados (como auditor y
administrador de certificados), tiene que conceder los permisos adecuados al grupo de seguridad para
cada funcin.
Nota: aunque en este documento se utilizan varias funciones de administracin, dispone de libertad
para agregar la misma cuenta a varias funciones con el fin de obtener un modelo administrativo ms
simple. Para obtener ms informacin, consulte Asignar funciones administrativas de PKI.
La primera tarea establece los permisos para una entidad emisora de certificados con conexin
mediante grupos de dominio. La segunda tarea establece los permisos para una entidad emisora de
certificados sin conexin mediante grupos locales.
Para configurar las funciones administrativas para una entidad emisora de certificados con
conexin
1 En el complemento Entidad emisora de certificados de MMC, haga clic en Propiedades para
. editar las propiedades de la entidad.
2 Haga clic en la ficha Seguridad y agregue los grupos de seguridad de dominio enumerados en la
. tabla 8. Por cada grupo, agregue los permisos mostrados.
Tabla 8: Entradas de permiso para agregar
Nombre de grupo
Permiso
Permitir/denegar
Administrar entidad emisora
Permitir
Permitir
Emitir y administrar certificados
Permitir
Administradores de PKI de
empresa
Administradores de certificados
Nota: si piensa forzar la separacin de funciones de criterios comunes, tambin debe quitar los
permisos Administrar entidad emisora del grupo Administradores local. Para obtener ms
informacin, consulte el apndice B, Funciones administrativas de criterios comunes.
3 Agregue el grupo Auditores de entidad emisora de certificados al grupo Administradores local.
.
4 Agregue el grupo Operadores de copia de entidad emisora de certificados al grupo Operadores de
. copia local.
5 Tiene que conceder derechos de usuario a algunos de los grupos de administracin de PKI. Puede
. hacerlo en un objeto de Directiva de grupo (GPO) de dominio que se aplique a las entidades
emisoras de certificados o en el GPO local de cada entidad. Los derechos de usuario se
establecen en la parte Configuracin del equipo\Configuracin de Windows\Configuracin de
seguridad\Directivas locales\Asignacin de derechos de usuario del GPO. Cree o abra el GPO de
dominio elegido en Usuarios y equipos de Active Directory o abra el editor Directiva de
seguridad local (en Herramientas administrativas) para editar la asignacin de derechos de
usuario.
6 Conceda al grupo Auditores de entidad emisora de certificados el derecho de usuario para
. Administrar registros de seguridad y auditora.
7 Conceda a los siguientes grupos el derecho de usuario Permitir inicio de sesin local (los
. administradores y los operadores de copia tienen este derecho de forma predeterminada pero
debe incluirlos aqu para evitar que este GPO suplante al predeterminado y quite este derecho de
estos grupos de forma accidental).
Administradores (grupo local)
20
Operadores de copia (grupo local)

Administradores de entidad emisora de certificados (grupo de dominio)
Auditores de entidad emisora de certificados (grupo de dominio)
Administradores de certificados (grupo de dominio)
Administradores de PKI de entidad emisora de certificados (grupo de dominio)
Para configurar las funciones administrativas para una entidad emisora de certificados sin
conexin
1 En el complemento de MMC Entidad emisora de certificados, haga clic en Propiedades para
. editar las propiedades de la entidad.
2 Haga clic en la ficha Seguridad y agregue los grupos de seguridad de dominio enumerados en la
. tabla 9. Por cada grupo, agregue los permisos mostrados.
Tabla 9: Entradas de permiso de entidad emisora de certificados para agregar
Nombre de grupo
Permiso
Permitir/denegar
Permitir
Emitir y administrar certificados
Permitir
Administradores de
certificados
Nota: si desea forzar la separacin de funciones completa, tambin debe quitar los permisos
Administrar entidad emisora del grupo Administradores local.
3 Agregue todos los miembros Auditores de entidad emisora de certificados al grupo
. Administradores local debido a que nicamente sus miembros pueden abrir el registro de sucesos
de seguridad.
4 Agregue todos los miembros del grupo Operadores de copia de entidad emisora de certificados al
. grupo Operadores de copia local.
5 Tiene que conceder derechos de usuario a algunos de los grupos de administracin de PKI. Debe
. establecer este GPO local en la entidad emisora de certificados. Los derechos de usuario se
establecen en Configuracin del equipo\Configuracin de seguridad\Configuracin de
Windows\Directivas locales\Asignacin de derechos de usuario. Abra el editor Directiva de
seguridad local (Herramientas administrativas).
6 Conceda al grupo Auditores de entidad emisora de certificados el derecho de usuario para
. Administrar registros de seguridad y auditora.
7 Conceda a los siguientes grupos el derecho de usuario Permitir inicio de sesin local (los
. administradores y los operadores de copia tienen este derecho de forma predeterminada pero
debe agregarlos a este derecho para evitar que se suplante el predeterminado).
Administradores
Operadores de copia
Administradores de entidad emisora de certificados
Auditores de entidad emisora de certificados
La informacin de configuracin de PKI para toda la empresa se almacena en el contenedor
Configuracin de Active Directory en un subcontenedor denominado Servicios de claves pblicas. De
forma predeterminada, los permisos de escritura para este contenedor y todos sus subcontenedores
estn limitados al grupo de seguridad Administradores de empresa.
Esta tarea concede permisos en el contenedor Servicios de claves pblicas a los grupos
Administradores de PKI de empresa y Editores de PKI de empresa con el fin de permitirle llevar a cabo
algunas de las responsabilidades reservadas a los administradores de empresa. A los administradores
de PKI de empresa se les concede la capacidad de administrar la mayora de los aspectos de la
21
configuracin de PKI para todo el bosque. Esto incluye la administracin de plantillas e identificadores
de objeto de directiva (OID) de PKI, la especificacin de confianzas de entidades emisoras de
certificados raz, el acceso a la informacin de entidad emisora (AIA) y los puntos de publicacin de
CRL en el directorio. La nica tarea que los administradores de PKI de empresa no pueden realizar es
agregar entidades emisoras de certificados de empresa al bosque (ms adelante en este procedimiento
se ofrece informacin detallada acerca de cmo delegarla al grupo Administradores de PKI de
empresa). Los editores de PKI de empresa tienen un conjunto ms limitado de privilegios y pueden
publicar listas de revocacin de certificados y certificados de entidad emisora en el directorio.
Precaucin: este procedimiento delega el control de una parte muy delicada de Active Directory, la
que afecta a los usuarios y los equipos de todo el bosque. Tenga cuidado al conceder el control sobre el
contenedor Servicios de claves pblicas. Los usuarios con permiso para modificar este contenedor y
sus subcontenedores pueden, entre otras acciones, agregar y quitar entidades emisoras de certificados
raz de confianza, agregar y quitar entradas de entidad emisora de certificados de empresa del
contenedor NTAuth y, mediante ste, falsificar credenciales de inicio de sesin vlidas para cualquier
usuario del bosque.
Pertenencia a administradores de empresa
Para conceder permisos a los administradores de PKI de empresa
1 Inicie la sesin como miembro del grupo de seguridad Administradores de empresa.
.
2 En el complemento Sitios y servicios de Active Directory de MMC, en el men Ver,
. seleccione el nodo Servicios. Desplcese al subcontenedor Servicios de claves pblicas y
abra sus Propiedades.
3 En la ficha Seguridad, agregue el grupo de seguridad Administradores de PKI de empresa y
. concdale control total.
4 En la vista Avanzada, edite los permisos de este grupo para garantizar que Control total se
. aplica a Este objeto y todos los secundarios.
5 Seleccione el contenedor Servicios y abra sus propiedades. En la ficha Seguridad, agregue el
. grupo de seguridad Administradores de PKI de empresa y concdale control total.
6 En la vista Avanzada, edite los permisos de este grupo para garantizar que Control total se
. aplica a Slo este objeto.
Para conceder permisos a los editores de PKI de empresa
1 Inicie la sesin como miembro del grupo de seguridad Administradores de PKI de empresa
. (Administradores de empresa).
2 En el complemento Sitios y servicios de Active Directory de MMC, seleccione el nodo Servicios y
. abra las propiedades del contenedor Servicios de claves pblicas\AIA.
3 En la ficha Seguridad, agregue el grupo de seguridad Editores de PKI de empresa y concdale los
. siguientes permisos.
Lectura
Escritura
Crear todos los objetos secundarios
Eliminar todos los objetos secundarios
4 En la vista Avanzada, edite los permisos de este grupo para garantizar que los permisos se
. aplican a Este objeto y todos los secundarios.
5 Repita los pasos del 2 al 4 para los siguientes contenedores.
. Servicios de claves pblicas\CDP
Servicios de claves pblicas\Entidades emisoras de certificados
22
Delegar los permisos para instalar una entidad emisora de certificados de empresa
Agregar una entidad emisora de certificados de empresa es una operacin muy delicada. Una entidad
emisora de certificados de empresa puede emitir credenciales de inicio de sesin para cualquier cuenta
del bosque (incluidos los administradores de dominio o de empresa), por lo que slo la debe instalar un
miembro de Administradores de empresa. Microsoft recomienda y admite este enfoque, que se ha
probado completamente. No se debe realizar a menos que tenga alguna necesidad especfica para
delegar esta tarea.
Sin embargo, hay ocasiones en las que puede resultar necesario delegar esta tarea a un administrador
que no sea miembro de Administradores de empresa. Esto se puede llevar a cabo si se realizan los dos
siguientes procedimientos para conceder los permisos adecuados al grupo Publicadores de certificados
y el permiso Restaurar archivos y directorios al grupo Administradores de PKI de empresa.
Importante: al delegar esta tarea no est creando un lmite de seguridad reforzado entre
Administradores de empresa y Administradores de PKI de empresa; los miembros del ltimo grupo
pueden elevar sus privilegios a los del grupo Administradores de empresa. Debe considerar este
procedimiento de delegacin como un paso para admitir una directiva administrativa y no como un
control de seguridad estricto.
Pertenencia a administradores del dominio en el que se instalar la entidad emisora de certificados de
empresa
El grupo de seguridad Publicadores de certificados contiene las cuentas de equipo de todas las
entidades emisoras de certificados de empresa de un dominio. Este grupo tiene permisos para publicar
certificados en objetos de usuario y de equipo, as como para publicar CRL en el contenedor CDP
mencionado en el procedimiento anterior. Cuando se instala una entidad emisora de certificados con
conexin, se tiene que agregar su cuenta de equipo a este grupo. De forma predeterminada, slo los
grupos Administradores de dominio, Administradores de empresa y Administradores de dominio
integrado tienen permisos para modificar la pertenencia de los publicadores de certificados. Para que
los miembros de Administradores de PKI de empresa puedan instalar entidades emisoras de
certificados, debe agregar este grupo a los permisos en Publicadores de certificados. Debe repetir este
procedimiento por cada dominio en el que vaya a instalar entidades emisoras de certificados de
empresa.
Para conceder el permiso de modificar la pertenencia en Publicadores de certificados
1 Inicie sesin como miembro de Administradores de dominio (del dominio en el que se instalar la
. entidad emisora de certificados).
2 Abra el complemento Usuarios y equipos de Active Directory de MMC.
.
3 En el men Ver, asegrese de que Caractersticas avanzadas est habilitado.
.
4 Busque el grupo Publicadores de certificados (de forma predeterminada, en el contenedor
. Usuarios) y consulte las propiedades del grupo.
5 En la ficha Seguridad, agregue el grupo Administradores de PKI de empresa y, a continuacin,
. haga clic en Opciones avanzadas.
6 Seleccione el grupo Administradores de PKI de empresa en la lista y haga clic en Modificar.
.
7 Haga clic en la ficha Propiedades; asegrese de que Slo este objeto est seleccionado en el
. cuadro Aplicar en.
23
8 Desplcese y haga clic en el cuadro Write Members de la columna Permitir.

.
9 Haga clic en Aceptar en cada ventana para guardar los cambios y cerrar las ventanas.
.
Para instalar entidades emisoras de certificados de empresa, tambin tiene que disponer del derecho
Restaurar archivos y directorios en el dominio en el que vaya a instalar la entidad emisora de
certificados. El proceso de instalacin de Servicios de Certificate Server necesita este derecho para
instalar plantillas de certificado en el dominio. En concreto, este derecho se necesita para permitir que
los descriptores de seguridad de las plantillas y otros objetos de directorio se fusionen y, as, conceder
los permisos correctos a los objetos de configuracin de PKI almacenados en el directorio. Los grupos
de dominio integrados Administradores, Opers. de servidores y Operadores de copia tienen este
derecho de forma predeterminada. Normalmente slo se necesita al instalar la primera entidad emisora
de certificados de empresa del bosque. Tiene que repetir este procedimiento por cada dominio en el
que vaya a instalar entidades emisoras de certificados de empresa.
Para conceder derechos de restauracin a los administradores de PKI de empresa
1 Inicie sesin como miembro de Administradores de dominio (del dominio en el que se instalar la
. entidad emisora de certificados).
2 Abra el complemento Usuarios y equipos de Active Directory de MMC.
.
3 Seleccione la unidad organizativa Controladores de dominio y abra las propiedades de dicha
. unidad.
4 En la ficha Directiva de grupo, seleccione el GPO Directiva predeterminada de controladores de
. dominio y haga clic en Modificar.
5 Desplcese a Configuracin del equipo\Configuracin de Windows\Configuracin de
. seguridad\Directivas locales\Asignacin de derechos de usuario y haga doble clic en Restaurar
archivos y directorios.
6 Agregue el grupo Administradores de PKI de empresa a la lista que se muestra.
.
7 Cierre la ventana y el complemento de edicin de GPO de MMC.
.
Importante: si tiene algn GPO que establece el derecho de usuario Restaurar archivos y directorios
en los controladores de dominio, debe realizar el procedimiento anterior en el GPO con la mxima
prioridad en vez de la directiva predeterminada de controladores de dominio. La configuracin de
derechos de usuario no es acumulativa y slo ser efectivo el ltimo GPO aplicado (es decir, el que
tiene la mxima prioridad) que tenga este conjunto de derechos.
Los grupos de inscripcin de certificados facilitan la administracin de los usuarios que pueden
inscribirse o inscribirse automticamente a un determinado tipo de certificado. En vez de editar la
configuracin de seguridad en las plantillas de certificado, puede agregar y quitar usuarios o equipos
de un grupo de seguridad. Tambin puede delegar el control de la pertenencia a estos grupos al
personal administrativo, que no tiene permiso para editar directamente las propiedades de las plantillas
de certificado. Puede hacerlo para permitir que un propietario de aplicacin controle los usuarios que
pueden inscribirse a un determinado tipo de certificado sin tener que concederles permisos para
modificar la plantilla.
Pertenencia a administradores de PKI de empresa (para cambiar permisos en plantillas de certificado) y
permiso para crear los grupos de seguridad necesarios en la unidad organizativa
24
Cree un grupo de inscripcin por cada tipo de plantilla de certificado o, como mnimo, todas en las que
la aprobacin de certificados vaya a ser automtica. Es posible que no necesite este mecanismo donde
utilice un proceso de registro explcito para un tipo de certificado. Si el tipo de certificado es de
inscripcin automtica, cree un grupo independiente que controle los usuarios y dispositivos que se
inscribirn automticamente al certificado.
Nota: debe utilizar grupos globales o universales de dominio para establecer permisos en las plantillas,
ya que son los nicos tipos de grupo que estn visibles en todo el bosque. Sin embargo, un grupo
global slo puede contener miembros del dominio en el que se cree. Para utilizar miembros de varios
dominios, cree grupos globales para cada dominio (a los que se agregan los usuarios y equipos
necesarios de cada dominio) y grupos universales para establecer los permisos de plantilla. A
continuacin, agregue los grupos globales al grupo universal.
Para crear grupos de inscripcin para una plantilla de certificado
1 Inicie sesin como miembro de Administradores de PKI de empresa y abra el complemento
. Usuarios y equipos de Active Directory de MMC.
2 En la unidad organizativa Grupos de inscripcin de certificados, cree los grupos de seguridad
. de dominio con los nombres siguientes (reemplace NombrePlantillaCertificado por el nombre de
la plantilla de certificado; por ejemplo, Inscribirse a certificado Inicio de sesin de tarjeta
inteligente).
Inscribirse a certificado NombrePlantillaCertificado
Inscribirse automticamente a certificado NombrePlantillaCertificado (si es necesario)
3 Cargue el complemento Plantillas de certificado en MMC.
.
4 Abra las propiedades de la plantilla para editar la seguridad.
.
5 Agregue el grupo Inscribirse a certificado NombrePlantillaCertificado y concdale permisos
. de lectura e inscripcin.
6
Agregue el grupo Inscribirse automticamente a certificado NombrePlantillaCertificado
. y concdale permisos de lectura, inscripcin e inscripcin automtica.
Nota: puede delegar el control de estos grupos de inscripcin para permitir que el propietario de la
aplicacin de certificados especifique los usuarios que pueden inscribirse (o inscribirse
automticamente) para este tipo de certificado.
Debe crear un directorio virtual en IIS (u otro servidor Web) para utilizar como ubicacin de Protocolo
de transferencia de hipertexto (HTTP) para Certificado de entidad emisora (AIA) y publicacin de CRL
(CDP). Esta tarea es especfica de IIS 6.0 (en Windows Server 2003) pero se puede adaptar para
versiones anteriores de IIS y para otros servidores Web.
Pertenencia a administradores locales en el servidor Web
Esta tarea crea el directorio virtual y concede al grupo Editores de PKI de empresa y a las entidades
emisoras de certificados con conexin permisos para publicar archivos en esta ubicacin.
Para crear el punto de distribucin de IIS
1 Inicie sesin en el servidor IIS como miembro del grupo local Administradores.
.
2 Cree la carpeta C:\WWWPKIpub que contendr los certificados de entidad emisora y las CRL.
.
25
3 Establezca la seguridad en la carpeta mediante el Explorador de Windows. En la tabla 10 se

. indican los permisos que debe aplicar. Las cuatro primeras entradas ya deben estar.
Tabla 10: Permisos de carpeta
Usuario/grupo
Permiso
Permitir/denegar
Administradores
Control total
Permitir
Sistema
Control total
Permitir
Propietarios de creacin
Control total (slo subcarpetas y
Permitir
archivos)
Usuarios
Lectura
Permitir
Mostrar el contenido de la carpeta

Modificar
Permitir
Publicadores de certificados
Modificar
Permitir
IIS_WPG
Lectura
Permitir
Mostrar el contenido de la carpeta

Cuenta de invitado para Internet
Escritura
Denegar
4 Comparta la carpeta como WWWPKIpub. Establezca los permisos del recurso compartido tal
. como se muestra en la tabla 11.
Tabla 11: Permisos del recurso compartido
Usuario/grupo
Permiso
Permitir/denegar
Cambiar
Permitir
Publicadores de certificados
Cambiar
Permitir
5 En el complemento Servicios de Internet Information Server de MMC, cree un nuevo directorio

. virtual en el sitio Web predeterminado y asgnele el nombre pki. Especifique C:\WWWPKIpub
como la ruta de acceso.
6 Desactive la opcin Ejecutar secuencias de comandos (por ejemplo, ASP) en los permisos
. de acceso del directorio virtual.
7 Asegrese de que la autenticacin annima est habilitada para el directorio virtual.
.
Tendr que repetir esta tarea si ejecuta varios servidores IIS para publicar CRL y certificados de
entidad emisora; por ejemplo, si dispone de puntos de publicacin de PKI internos y externos en
servidores independientes.
Configurar la entidad emisora de certificados para publicar CRL en un servidor Web
Las entidades emisoras de certificados emiten CRL con frecuencia (diariamente o incluso cada hora en
el caso de diferencias entre listas CRL). Por lo tanto, es fundamental disponer de un mtodo
automtico para publicar las CRL en el punto de distribucin (CDP). Las entidades emisoras de
certificados de empresa publican automticamente CRL en el directorio pero no en CDP de HTTP en los
servidores Web. Sin embargo, si dispone de conectividad entre la entidad emisora de certificados y el
servidor Web de destino, puede configurar la entidad emisora para que publique automtica y
directamente en el servidor Web.
Nota: este mtodo no resulta adecuado para la publicacin directa en un servidor Web conectado a
Internet ya que precisa conectividad directa y el uso compartido del archivo de bloque de mensajes del
servidor (SMB) entre la entidad emisora de certificados y el servidor Web. Para publicar en un servidor
26
de Internet, puede utilizar la tcnica descrita en esta tarea para publicar en una ubicacin intermedia y,
a continuacin, utilizar su medio estndar para publicar contenido de forma segura en el servidor Web.
No olvide tener en cuenta que la latencia que agrega este paso adicional puede reducir la actualidad de
las CRL.
Pertenencia a administradores locales en la entidad emisora de certificados
Nota: es posible que algunos comandos se muestren en varias lneas para facilitar su impresin, pero
se deben introducir en una sola lnea.
Para automatizar la publicacin de CRL
1 Inicie la sesin en la entidad emisora de certificados con una cuenta que sea miembro del grupo
. Administradores local.
2 Asegrese de que se puede tener acceso a la carpeta del servidor Web (como un recurso
. compartido remoto o ruta de acceso local) desde este servidor. (Consulte Establecer permisos en
el servidor Web para publicar CRL y certificados.)
3 Ejecute el siguiente comando en el smbolo del sistema y
. reemplace \\pki.contoso.com\WWWPKIpub por la ruta de acceso UNC (convencin de
nomenclatura universal) a la carpeta de publicacin compartida del servidor Web.
certutil.exe -setreg CA\CRLPublicationURLs "+65:file://\\pki.contoso.com\WWWPKIpub\
%3%8%9.crl\n"
Importante: si la entidad emisora de certificados no puede tener acceso al recurso compartido del
servidor Web de destino, la CRL no se podr publicar y se puede impedir que las CRL se publiquen en
otros CDP (esta situacin provoca que se registre un suceso en el registro de sucesos de Windows). Si
no se puede garantizar la disponibilidad del servidor Web, puede considerar la posibilidad de utilizar
una tarea programada para copiar las CRL de la carpeta de configuracin de la entidad emisora de
certificados (%systemroot%\system32\certenroll) al destino en vez de realizar esta tarea.
Para obtener una descripcin completa acerca de la auditora de la entidad emisora de certificados,
consulte la Gua de operaciones de PKI de Windows Server (en ingls) (seccin Vnculos relacionados).
Pertenencia al grupo Administradores de entidad emisora de certificados
Para habilitar la auditora en la entidad emisora de certificados
1 Habilite Auditar el acceso a objetos en la directiva de auditora que se aplica a la entidad
. emisora de certificados. Normalmente se establece en los GPO de dominio para las entidades
emisoras de certificados con conexin, pero se debe establecer en el GPO local para las
entidades emisoras de certificados sin conexin.
2 En el complemento Entidad emisora de certificados de MMC, habilite la auditora para las
. siguientes categoras.
Hacer copia de seguridad y restaurar la base de datos de entidades emisoras (CA)

Cambiar la configuracin de entidad emisora (CA)
Cambiar configuracin de seguridad de entidad emisora (CA)
Emitir y administrar solicitudes de certificados (Este elemento puede generar una gran
cantidad de sucesos de auditora, por lo que tal vez no desee habilitarlo en una entidad
emisora de certificados ocupada.)

Revocar certificados y publicar listas de revocacin de certificados (CRL)
Archivar y recuperar claves archivadas
Iniciar y detener servicios de Certificate Server
27
Tambin debe considerar la posibilidad de habilitar la auditora del sistema de archivos y del Registro
en las siguientes ubicaciones para que se registren los intentos no autorizados para modificar los datos
o la informacin de configuracin de la entidad emisora de certificados.
La carpeta %systemroot%\system32\certsrv
Otras carpetas donde almacenan la base de datos y los registros de la entidad emisora de
certificados (si no se encuentran en la unidad predeterminada)
La clave del Registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration
Deshabilitar la comprobacin de revocacin en las entidades emisoras de certificados
intermedias
Una entidad emisora de certificados debe poder comprobar el estado de revocacin de su propio
certificado as como el de los certificados que emite. Aunque ste es el comportamiento deseable para
una entidad emisora de certificados, provoca problemas en una entidad emisora sin conexin. Debido a
que est sin conexin, no puede acceder a ninguno de los CDP publicados para la entidad emisora de
certificados raz o a ninguno de sus propios CDP. Esto impide que la entidad emisora de certificados
inicie y enve certificados.
Una solucin a este problema consiste en publicar CRL desde la entidad emisora de certificados raz y
desde s misma al almacn de certificados local del equipo. Sin embargo, esto resulta confuso y, en la
mayora de los casos, no aporta una ventaja de seguridad apreciable (esta comprobacin de revocacin
no tiene ninguna relacin con la comprobacin de revocacin de los certificados que realizan los
usuarios conectados).
El enfoque utilizado aqu consiste en impedir que la entidad emisora de certificados realice estas
comprobaciones de revocacin obligatorias. Para ello, se configura la entidad emisora de certificados
para que omita la comprobacin de revocacin si los CDP no estn conectados.
Nota: en Windows Server 2003 anterior a Service Pack (SP) 1, el procedimiento siguiente no
deshabilita completamente la comprobacin de revocacin. Aunque el procedimiento provoca que la
entidad emisora de certificados omita la comprobacin de revocacin de los certificados que emite,
todava realiza una comprobacin en su propio certificado al iniciarse, por lo tanto, requiere acceso a la
CRL desde su entidad emisora principal. Tambin hay disponible una revisin anterior a SP1 para este
defecto. Si no puede actualizar la entidad emisora de certificados, tendr que seguir publicando las CRL
de la entidad emisora de certificados raz en el almacn de certificados de la entidad emisora
intermedia.
Pertenencia a administradores locales en la entidad emisora de certificados intermedia
Para deshabilitar la comprobacin de revocacin en una entidad emisora de certificados
intermedia
1 Inicie la sesin en la entidad emisora de certificados. En el smbolo del sistema, ejecute el
. siguiente comando.
Certutil.exe -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
2 Reinicie la entidad emisora de certificados (el servicio Servicios de Certificate Server).
.
3 Repita este procedimiento para todas las entidades emisoras de certificados intermedias sin
. conexin.
Puede anular este cambio mediante el siguiente comando.
Certutil.exe -setreg ca\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE
28

La administracin del sistema incluye tareas relacionadas con el mantenimiento del sistema operativo
de la entidad emisora de certificados.
Al igual que la mayora de los dems equipos, las entidades emisoras de certificados con conexin
pueden sufrir ataques de software o personas malintencionadas que intenten aprovechar las
vulnerabilidades del sistema. Para reducir el riesgo de tales amenazas, es importante disponer de un
medio para implementar las actualizaciones de seguridad en los sistemas de forma puntual. La
implementacin de un sistema de administracin de revisiones queda fuera del alcance de este
documento. Para obtener ms informacin acerca de las distintas formas de lograrlo, consulte
Acelerador de soluciones de Microsoft para la administracin de revisiones (en ingls) (seccin Vnculos
relacionados).
Las entidades emisoras de certificados sin conexin no tienen que estar tan actualizadas como los
sistemas con conexin siempre que no se vayan a conectar a una red (lo que no debera suceder
nunca). Sin embargo, como mnimo debe realizar el seguimiento de los Service Packs y las
actualizaciones de versin del sistema operativo para que los servidores siempre se ejecuten en una
configuracin admitida. En este documento tambin se recomienda estar al da con actualizaciones de
seguridad mediante su instalacin de forma peridica.
Tabla 12: Resumen de actualizaciones de seguridad
Tipo de
entidad
emisora de
certificado
s
Versiones
del sistema
operativo
Entidad
Service Packs
Actualizaciones
funcionales (no
de seguridad)
Actualizaciones de seguridad
Actualizar del Actualizar del
Slo si la
Instalar actualizaciones de
emisora de
modo
actualizacin es
seguridad mediante la
certificados
habitual
fundamental
implementacin automtica de
modo habitual
con
revisiones como Microsoft
conexin
Systems Management Server

(SMS) o Servicios de
actualizacin de software de
Microsoft (SUS).
Entidad
Actualizar del Actualizar del
Slo si la
Instalar correcciones de
emisora de
modo
actualizacin es
seguridad combinadas cada tres
certificados
habitual
fundamental
meses.
modo habitual
sin conexin
Importante: aunque Microsoft prueba exhaustivamente las actualizaciones de sistema operativo,
siempre debe realizar pruebas antes de implementar las actualizaciones en sus sistemas. Debe utilizar
un servidor SUS independiente o un grupo de destino SMS independiente para controlar las
actualizaciones de seguridad en la entidad emisora de certificados. Es posible que no pueda probar las
actualizaciones en las entidades emisoras de certificados con la misma programacin que en los dems
sistemas y puede que haya actualizaciones que no sean pertinentes para las entidades emisoras.
Las tareas de esta seccin tienen como objetivo garantizar que la PKI tiene una buena resistencia a los
errores y que puede recuperar rpidamente los errores que puedan surgir.
29

Los dos aspectos ms importantes de la disponibilidad de PKI son:
La disponibilidad de los servicios de inscripcin
La disponibilidad de la informacin de revocacin, normalmente como CRL
La prdida de los servicios de inscripcin impide que enve certificados a los usuarios. Esto afectar a
los usuarios nuevos y a aquellos cuyos certificados existentes estn a punto de caducar. El
comportamiento predeterminado para Windows Server 2003 es renovar automticamente los
certificados de inscripcin automtica seis semanas antes de que caduquen por lo que, en la prctica,
slo los usuarios nuevos se vern afectados gravemente. Debe determinar el tiempo mximo que su
organizacin se puede permitir el estar sin servicios de inscripcin y planear la disponibilidad del
servicio y las medidas de recuperacin en consecuencia.
La prdida del acceso a la informacin de revocacin de certificados es potencialmente ms grave. Se
producirn errores en las aplicaciones que comprueban el estado de revocacin de los certificados si la
informacin de revocacin actual no est disponible. Esto puede afectar a todos los usuarios de la
organizacin. Por lo tanto, es imprescindible que adopte medidas para garantizar que la informacin de
revocacin siempre est disponible. La secuencia de comandos de supervisin adjunta a este
documento incluye comprobaciones especficas para CRL caducadas, a punto de caducar y no
disponibles. En Tareas de soporte comunes tambin hay un procedimiento correctivo para ampliar la
duracin de las CRL. Para obtener ms informacin acerca de los problemas de comprobacin de
revocacin, consulte el documento Solucionar problemas de estado y revocacin de certificados (en
ingls) (seccin Vnculos relacionados).
En el diseo de disponibilidad, debe prestar una atencin especial a las siguientes reas.
Entidades emisoras de certificados redundantes Tener varias entidades emisoras de
certificados que puedan emitir cada tipo de certificado permite seguir emitiendo y renovando
certificados si se produce un error en una entidad emisora. En cada entidad emisora de certificados
deben estar disponibles las mismas plantillas de certificados. Sin embargo, no se mejorar la
disponibilidad de la informacin de revocacin, por lo que puede tener un valor limitado. Tendr que
decidir si la mayor disponibilidad de los servicios de inscripcin compensa la complicacin adicional
de duplicar entidades emisoras de certificados.
CRL redundantes La disponibilidad de la informacin de revocacin se puede mejorar mediante el
uso de varios puntos de distribucin (DP) de CRL. Esto se puede realizar mediante servidores Web
agrupados (equilibrio de la carga de IP) para los puntos de distribucin de HTTP y mediante
controladores de dominio de Active Directory (que tienen redundancia integrada) para alojar puntos
de distribucin de LDAP (Protocolo compacto de acceso a directorios).
Seleccin de hardware El uso de hardware de servidor resistente reducir considerablemente la
probabilidad de errores de componentes de hardware. Preste una atencin especial a los
componentes propensos a errores, como discos y fuentes de alimentacin. Utilice nicamente una o
dos especificaciones de hardware idnticas para todas las entidades emisoras de certificados con el
fin de facilitar la recuperacin.
Diseo de discos resistente Si coloca la base de datos de certificados y los registros de base de
datos en volmenes fsicos independientes (es decir, conjuntos de discos independientes), dispondr
de mejores posibilidades para recuperar los datos de las entidades emisoras de certificados despus
de un error de disco muy grave.
Crear servidores de reserva en fro Para recuperarse de un error lo ms rpidamente posible,
puede crear un servidor de reserva. Se trata de un servidor con el sistema operativo precargado pero
sin servicios de certificados instalados. Un sistema de ese tipo permite recuperar una copia de
30
seguridad de estado del sistema rpidamente. Esto normalmente slo es necesario para las entidades
emisoras de certificados. El servidor debe duplicar la especificacin de hardware de las entidades
emisoras de certificados que se recuperarn (aunque las diferencias menores, como la cantidad de
memoria, por lo general no son importantes). Si utiliza HSM, necesita un HSM duplicado como parte
de la configuracin de reserva. Debe instalar la misma versin del sistema operativo que la utilizada
en las entidades emisoras de certificados.
Establecer procedimientos de recuperacin Tiene que documentar los pasos manuales
necesarios para recuperar una o varias entidades emisoras de certificados. El personal de soporte
que llevar a cabo los procedimientos de recuperacin tiene que estar formado en dichos
procedimientos. Tambin debe ensayar el procedimiento por completo para asegurarse de que
funciona correctamente y de forma adecuada.
Contingencia de recuperacin Tambin debe asegurarse de que dispone de procedimientos de
contingencia de recuperacin que permitan que la PKI siga funcionando mientras se llevan a cabo los
procedimientos de recuperacin. Lo ms importante es un medio para ampliar la duracin de una
CRL si la entidad emisora de certificados no se puede volver a conectar a tiempo para emitir una
nueva. Puede ampliar la duracin de una CRL mediante el procedimiento Volver a firmar una CRL o
certificado para ampliar su validez (para ello, debe tener acceso a la clave privada de la entidad
emisora de certificados). Es posible que tambin tenga que hacer una copia de seguridad de la
entidad emisora de certificados para tomar posesin temporalmente de la emisin y la renovacin de
certificados de la entidad emisora de certificados con error.
Utilizar HSM Debe establecer procedimientos y controles especiales sobre el hardware HSM, el
almacn de claves y las tarjetas de operador y de regeneracin de claves. Debe incluir una auditora
peridica de los titulares de tarjeta para saber que puede obtener rpidamente las tarjetas correctas
en caso de emergencia.
El propsito de esta tarea es hacer una copia de seguridad de las claves privadas y los certificados de
la entidad emisora de certificados, la base de datos de certificados y la informacin de configuracin de
Servicios de Certificate Server. La informacin de configuracin de Servicios de Certificate Server
incluye la configuracin del sistema operativo y otra informacin de estado de la que depende la
entidad emisora de certificados. La mejor forma de realizar una copia de estos elementos mediante
una copia de seguridad de estado del sistema de Windows. Se admite en la utilidad Copia de seguridad
de Windows suministrada con Windows Server 2003 y en varios sistemas de copia de seguridad
comerciales. Debe consultar al proveedor de la solucin de copia de seguridad si admite la copia de
seguridad de estado del sistema de Windows o una funcionalidad equivalente.
Precaucin: si no utiliza HSM para proteger las claves de la entidad emisora de certificados, los datos
de la copia de seguridad de la entidad emisora son extremadamente confidenciales porque contienen el
material de claves privadas de la propia entidad (tambin pueden contener claves privadas archivadas
de los usuarios). Debe transportarlos y almacenarlos con el mismo cuidado y seguridad que la entidad
emisora de certificados. En este caso, puede considerar la posibilidad de utilizar un sistema de copia de
seguridad para las entidades emisoras de certificados.
Si el sistema corporativo de copia de seguridad no admite la copia de seguridad de estado del sistema
de Windows, puede utilizar Copia de seguridad de Windows para guardar una copia de la entidad
emisora de certificados en archivo y, a continuacin, utilizar el sistema corporativo de copia de
seguridad para guardar el archivo. Posteriormente, la restauracin de la entidad emisora de certificados
31
requiere que el archivo de copia de seguridad se restaure y que se utilice Copia de seguridad de
Windows para restaurar la entidad emisora a partir del archivo de almacenamiento.
Debido a que por lo general no resulta prctico hacer una copia de seguridad completa de la entidad
emisora de certificados varias veces al da, tambin se realiza una copia de seguridad diferencial cada
hora. Copia los registros de base de datos, que han registrado todas las transacciones desde la copia
de seguridad completa diaria.
Administradores locales de la entidad emisora de certificados. Los trabajos de copia de seguridad se
pueden ejecutar como sistema local en la entidad emisora, pero puede utilizar otra cuenta para
ejecutar la copia de seguridad siempre que sea miembro del grupo Operadores de copia de la entidad
emisora de certificados.
Esta tarea configura un trabajo programado para hacer una copia de seguridad por la noche del
servidor de la entidad emisora de certificados.
Nota: si utiliza un HSM, este procedimiento no resultar adecuado para hacer una copia de seguridad
de las claves que protege el HSM. Es posible que tenga realizar copia de seguridad de parte del
material de claves protegido de la entidad emisora de certificados. Pero tambin tendr que asegurarse
de que estn disponibles un HSM idntico y las claves de acceso del HSM necesarias en caso de que
tenga que restaurar una entidad emisora de certificados. Siga las instrucciones del proveedor del HSM
para hacer una copia de seguridad o proteger el material de claves y las claves de acceso.
Para configurar una copia de seguridad completa diaria de la entidad emisora de certificados
Programe el trabajo de copia de seguridad para que se ejecute cada medianoche. Puede que tenga
que cambiar esta hora segn la distribucin geogrfica de su organizacin. Aunque la entidad
emisora de certificados no tiene que estar completamente inactiva durante la copia de seguridad,
debe intentar seleccionar un perodo de poco uso de modo que la copia de seguridad no compita por
obtener recursos con las tareas de produccin normales.
Para estimar el perodo de tiempo que durar, ejecute una copia de seguridad de estado del sistema
(con la comprobacin activada) en un servidor antes de que empiece a emitir cantidades importantes
de certificados. Ejecute la copia de seguridad con el servicio Servicios de Certificate Server cerrado (de
este modo se impide que los registros de la entidad emisora de certificados se trunquen debido a esta
copia de seguridad de prueba). Se har una copia de seguridad de aproximadamente 500 megabytes
(MB) de datos de estado del sistema. Cronometre esta operacin y calcule el tiempo aproximado para
una base de datos de entidad emisora de certificados adems de una copia de seguridad de estado del
sistema del siguiente modo:
TiempoTotal = TiempoEstadoSistema x (500 + ((NmeroUsuarios + NmeroEquipos) x
NmeroCertificados x 20KB)) 500
En esta frmula se supone el peor de los escenarios, con cinco certificados por usuario y equipo, por
ao, y muestra el almacenamiento total al cabo de cinco aos. Si se asignan 20 kilobytes (KB) por
certificado, se obtiene un MB de almacenamiento por usuario cada cinco aos. Mediante la frmula, si
el tiempo para hacer una copia de seguridad del estado del sistema nicamente es de cinco minutos,
necesitar 105 minutos para una entidad emisora de certificados con 10.000 usuarios (para hacer la
copia de seguridad de la base de datos de 10 gigabytes [GB] con 500.000 certificados).
Slo es una gua aproximada. El tiempo vara segn el nmero de usuarios y equipos, as como el
nmero de certificados emitidos a cada usuario y equipo.
32
Guarde la copia de seguridad de forma segura. Almacene los datos de la copia de seguridad en un sitio
fsico distinto al de la entidad emisora de certificados. De este modo podr recuperar la entidad
emisora si se destruyen todos los equipos informticos del sitio o no se puede tener acceso a ellos.
Una copia de seguridad diferencial guarda toda la informacin desde que se realiz la ltima copia
completa. La copia de seguridad diferencial emplea la utilidad certutil.exe para copiar los archivos de
registro de la base de datos de Servicios de Certificate Server en una carpeta cada hora.
Para configurar una copia de seguridad diferencial cada hora de la entidad emisora de
certificados
1 Cree un directorio donde se almacenarn los archivos temporales de la copia de seguridad
. diferencial: C:\CABackup. Proteja el directorio; para ello, ejecute el siguiente comando.
cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C
2 Ejecute la siguiente serie de comandos para programar una copia de seguridad diferencial cada
. hora (slo se muestran los cuatro primeros; tendr que ejecutar este comando para cada hora
del da en que quiera ejecutar una copia de seguridad diferencial). Si el da laborable de su
organizacin es de slo 10 horas, no tiene sentido programar copias de seguridad diferenciales
para las otras 14 horas del da. Debe ajustar la programacin de copias de seguridad para se
ajuste a sus horas de funcionamiento.
SCHTASKS /Create /RU system /SC daily /ST 01:00 /TN "CA Differential Backup" /TR "certutil
-backupdb c:\CABackup incremental keeplog"
3 Programe su solucin de copia de seguridad corporativa para que haga una copia de seguridad
. del contenido de C:\CABackup. Debe ajustar esta frecuencia para que coincida con la copia de
seguridad diferencial.
Nota: evite la programacin de una copia de seguridad diferencial demasiado prxima a una completa.
Utilice los clculos del procedimiento anterior para calcular la duracin de la copia de seguridad
completa y supervsela a medida que crece la base de datos de la entidad emisora de certificados para
asegurarse de que no se superpone con un trabajo de copia de seguridad diferencial.
sin conexin
El propsito de esta tarea es preparar las claves privadas y los certificados de la entidad emisora de
certificados, la base de datos de certificados y la informacin de configuracin de Servicios de
Certificate Server para una copia de seguridad. La informacin de configuracin de Servicios de
Certificate Server incluye la configuracin del sistema operativo y otra informacin de estado de la que
depende la entidad emisora de certificados. A diferencia de las entidades emisoras de certificados, el
procedimiento de copia de seguridad de las entidades emisoras sin conexin se realiza manualmente.
Para obtener ms informacin, consulte Realizar copias de seguridad de una entidad emisora de
certificados sin conexin.
Pertenencia al grupo Administradores local en la entidad emisora de certificados
33
La entidad emisora de certificados raz normalmente slo emite unos pocos certificados, por lo que su
base de datos nunca ser grande. Asimismo, los datos cambian con muy poca frecuencia, slo una vez
cada varios meses o incluso aos. Lo mismo sucede con otras entidades emisoras de certificados sin
conexin, como las intermedias sin conexin.
Debido a que estas entidades emisoras de certificados no estn conectadas, se necesita un dispositivo
de copia de seguridad local (como una unidad de cinta o una unidad de CD o DVD grabable) donde se
almacenar el archivo de copia de seguridad. Si utiliza Copia de seguridad de Windows u otro sistema
que pueda realizar una copia de seguridad del estado del sistema, puede utilizarlo para hacer la copia
directamente en un medio extrable. Si el sistema de copia de seguridad elegido no realiza una copia
de seguridad de estado del sistema de Windows, debe utilizar Copia de seguridad de Windows para
copiar la entidad emisora de certificados y el sistema operativo en un archivo y, a continuacin,
copiarlo en un medio extrable.
Precaucin: si utiliza un HSM, este procedimiento puede hacer una copia de seguridad del material de
claves cifradas (segn el modo de funcionamiento del HSM), pero las claves copiadas no se podrn
utilizar en un equipo restaurado sin un HSM y claves de acceso al HSM idnticos. Siga las instrucciones
del proveedor del HSM para proteger el material de claves y las claves de acceso.
La supervisin de servicios permite al personal de operaciones supervisar el estado de un servicio de TI
en tiempo real.
En esta seccin se describe cmo configurar un conjunto de herramientas de supervisin del sistema
para ofrecer el tipo correcto de alertas e informacin de estado acerca de la PKI. En este documento se
supone que utiliza una herramienta de supervisin del sistema como Microsoft Operations Manager
(MOM) que pueda generar alertas a partir de las entradas del registro de sucesos. Para obtener ms
informacin acerca de la implementacin de MOM, consulte la Gua de implementacin del SP1 de
Microsoft Operations Manager 2000 (en ingls) en la seccin Vnculos relacionados.
El sistema de supervisin slo debe enviar alertas al personal de operaciones para los sucesos ms
importantes. Si todos los errores menores producen alertas de incidentes, el personal de operaciones
puede no llegar a discernir lo que es urgente.
Las categoras de alerta de la tabla 13 son un ejemplo de niveles de clasificacin de alertas comunes y
son los valores predeterminados que utiliza MOM. Las categoras de alerta se enumeran en orden
descendente de importancia. De ellas, slo las tres primeras (Servicio no disponible, Infraccin de
seguridad y Error crtico) deben producir alertas en la consola del operador para su intervencin
inmediata. Los errores y las advertencias no se consideran urgentes y se deben dirigir al personal de
soporte operativo de la PKI para su resolucin.
Tabla 13: Categoras de alerta
Categora de alerta Descripcin
Servicio no
Cuando no se puede tener acceso en absoluto a una aplicacin o componente.
disponible
Infraccin de
Cuando se est atacando a la aplicacin o est en peligro.
seguridad
34
Categora de alerta Descripcin

Error crtico
Cuando se ha producido un error crtico en la aplicacin que requiere una

accin administrativa rpida (pero no necesariamente inmediata). La aplicacin
o el componente est funcionando a un nivel inferior de rendimiento pero
todava puede seguir realizando la mayora de las operaciones fundamentales.
Error
Cuando se produce un problema temporal en la aplicacin que no precisa

ninguna accin o resolucin inmediata ni posiblemente administrativa. La
aplicacin o el componente est funcionando a un nivel aceptable de
rendimiento y todava puede seguir realizando todas las operaciones
fundamentales.
Advertencia
Cuando la aplicacin genera un mensaje de advertencia que no precisa

ninguna accin o resolucin inmediata ni posiblemente administrativa. La
aplicacin o el componente est funcionando a un nivel aceptable de
rendimiento pero todava puede seguir realizando todas las operaciones
fundamentales. No obstante, esta situacin se puede convertir en Error, Error
crtico o Servicio no disponible si el problema contina.
Informacin
Cuando la aplicacin genera un suceso de informacin. La aplicacin o el

componente est funcionando a un nivel aceptable de rendimiento y est
realizando todas las operaciones fundamentales y no fundamentales.
Correcto
Cuando la aplicacin genera un suceso Correcto. La aplicacin o el componente

est funcionando a un nivel aceptable de rendimiento y est realizando todas
las operaciones fundamentales y no fundamentales.

A excepcin de la inscripcin de certificados, las entidades emisoras de certificados no proporcionan
servicios en lnea o en tiempo real directamente a los usuarios. Compare esta situacin con
aplicaciones como Active Directory o Microsoft SQL Server, que tienen que estar continuamente
conectadas para proporcionar un servicio til. No obstante, se tiene que supervisar la disponibilidad de
algunos aspectos de un servicio de PKI para que las aplicaciones de PKI funcionen correctamente.
La informacin de revocacin debe estar disponible. Una CRL actualizada debe estar disponible para
cualquier usuario de certificado que desee comprobar el estado de revocacin de un certificado. Por
otra parte, puede implementar OCSP con el apoyo de un asociado de Microsoft. La informacin de
revocacin debe estar disponible para las entidades emisoras y las intermedias.
Todas las entidades emisoras de certificados deben disponer de un certificado vlido actualmente. Un
certificado de entidad emisora no vlido impide la validacin de los certificados emitidos por ella o
sus secundarias. Tambin impide que se emitan nuevos certificados.
El servicio de inscripcin de certificados debe estar disponible: ningn usuario puede inscribir o
renovar un certificado si el servicio de la entidad emisora de certificados no est disponible.
Una entidad emisora de certificados debe tener un certificado de agente de recuperacin de claves
(KRA) vlido para archivar claves privadas (donde el archivo de claves se especifique en la plantilla
de certificado).
Para la mayora de las aplicaciones, los dos primeros elementos son ms esenciales que los dos
ltimos.
Administrador de MOM (o sistema de supervisin)
35
Los incidentes de la tabla 14 son los ms importantes para Servicios de Certificate Server. En esta
tabla se describe el significado de cada tipo de incidente y la gravedad de alerta (para la consola
administrativa) que debe asignar a dicho suceso. En la tabla 15 se enumeran los mtodos para
detectar estos incidentes; la mayora se detectan mediante la secuencia de comandos adjunta a este
documento.
La columna Gravedad se relaciona con las categoras de alerta definidas anteriormente en el
procedimiento "Clasificar las alertas de supervisin".
Tabla 14: Evaluar la gravedad de los incidentes de Servicios de Certificate Server
Estado de Servicios de
Certificate Server
Significado
Gravedad
Error del servidor de la entidad
El servidor de la entidad emisora de certificados
Crtica o
no aparece en la red; no hay disponible ningn
Servicio no
servicio de inscripcin o publicacin de CRL.
disponible
Estado crtico del sistema
Problema importante subyacente en el hardware
Crtica
operativo de la entidad emisora
del servidor o en Windows.
de certificados
Estado de error/advertencia del
Problemas subyacentes en el hardware del
Error o
sistema operativo de la entidad
servidor o en Windows que no son crticos.
advertencia
Servicios de Certificate Server sin La interfaz de llamada a procedimiento remoto
conexin
Interfaz de cliente sin
Crtica
(RPC) de Servicios de Certificate Server est sin

conexin; los certificados no se pueden emitir.
conexin
Interfaz de administracin sin
conexin
El certificado de entidad emisora
El certificado de la entidad emisora de certificados Servicio no
de certificados est caducado
ha caducado y est provocando la prdida de
Este certificado de entidad
disponible
servicio para todas las aplicaciones de PKI.
emisora ha caducado
El certificado de entidad
emisora principal ha
caducado
Al certificado de entidad emisora
El certificado de entidad emisora de certificados
de certificados le queda menos
caducar pronto, por lo que se producir la
de un mes de validez
prdida de servicio si no se corrige. Actualmente
Error
slo se emiten certificados con una duracin muy

breve.
La validez del certificado de
Un certificado de entidad emisora de certificados
se debe renovar cuando alcanza la mitad de su
es inferior a la mitad de su
perodo de validez. Esto puede significar que se
Advertencia
36
Estado de Servicios de
Certificate Server
Significado
duracin
estn emitiendo certificados con una duracin
Gravedad
inferior a la prevista.
El certificado de entidad emisora
El certificado de entidad emisora de certificados
Servicio no
de certificados se ha revocado
se ha revocado y est provocando la prdida de
disponible
servicio para todas las aplicaciones de PKI.

CRL caducada
Una CRL publicada ha pasado su fecha "Vlido
Servicio no
hasta" y no se puede utilizar; es posible que esto
disponible
provoque una prdida de servicio para las

aplicaciones de PKI que realicen comprobacin de
revocacin. No obstante, en CDP alternativos
puede haber disponibles CRL vlidas.
CRL vencida
La CRL an es vlida pero una nueva est vencida Crtica

y se debe haber publicado.
CRL no disponible
La CRL no se puede recuperar
de Active Directory
La CRL no se puede recuperar
del servidor Web
El certificado KRA est caducado
Una CRL no est disponible en un punto de
Servicio no
distribucin de CRL. Esto puede estar provocando
disponible
la prdida de servicio para una o varias

aplicaciones de PKI que efectan comprobacin
de revocacin. No obstante, en CDP alternativos
puede haber disponibles CRL vlidas.
Un certificado KRA de la entidad emisora de
Crtica
certificados ha caducado; esto puede impedir que

la entidad emita certificados que requieran el
archivo de claves y provoque una prdida de
servicio.
Al certificado KRA le queda
Un certificado KRA caducar pronto, por lo que se
menos de un mes de validez
producir una posible prdida de servicio si no se
Advertencia
corrige.
El certificado KRA se ha revocado Un certificado KRA se ha revocado; esto puede
Crtica
impedir que la entidad emisora de certificados

emita certificados que requieran el archivo de
claves y provoque una prdida de servicio.
El certificado KRA no es de
No se puede construir una cadena desde un
confianza
certificado KRA hasta un certificado raz de
Crtica
confianza.
Error en la copia de seguridad de
Error en la copia de seguridad de estado del
Crtica o error
la entidad emisora de certificados sistema de la entidad emisora de certificados;

posible prdida de informacin.
Puede utilizar la secuencia de comandos CAmonitor.vbs para comprobar estas condiciones. Puede
obtener la secuencia de comandos de TechNet Script Center (consulte la seccin Vnculos
relacionados).
37
La secuencia de comandos escribir los elementos de suceso en el registro de aplicacin de Windows

cuando se produzca un error detectado. A continuacin, los agentes de MOM u otra solucin de
supervisin pueden obtener estos sucesos. Tendr que configurar reglas de filtro para buscar el origen
del suceso y los identificadores de suceso que producen las secuencias de comandos tal como se
enumeran en la tabla 15. La secuencia de comandos puede enviar mensajes de correo electrnico
como respuesta a las condiciones de alerta as como, o en vez de, crear entradas de registro de
sucesos.
La secuencia de comandos slo funcionar en entidades emisoras de certificados con conexin; no es
necesario ejecutarla ni aprovechar su ejecucin en entidades emisoras sin conexin. Sin embargo, la
secuencia de comandos comprueba automticamente el certificado de entidad emisora de certificados y
el estado de CRL de las entidades emisoras principales (y sus principales hasta la entidad emisora
raz). La secuencia de comandos se debe ejecutar en la propia entidad emisora de certificados. No est
diseada para realizar comprobaciones de forma remota.
Importante: la secuencia de comandos requiere CAPICOM 2.0 o posterior instalado en el servidor.
Si se utiliza MOM (u otro sistema de supervisin basado en agentes), la secuencia de comandos la
debe ejecutar el agente cliente de MOM. Donde no haya ningn agente de administracin que pueda
realizar esta operacin, utilice Programador de tareas de Windows para ejecutar estas comprobaciones
cada hora como mnimo; las alertas se pueden enviar por correo electrnico o puede utilizar una
herramienta de supervisin del registro de sucesos.
En la tabla 15 se enumeran los incidentes de la tabla 14, pero esta vez se muestra el suceso de
Windows u otro indicador que puede utilizar para detectar cada tipo de incidente. Los identificadores de
suceso que genera la secuencia de comandos de supervisin CAMonitor.vbs se muestran en la tabla
junto con cada uno de los problemas que detecta la secuencia de comandos.
Tabla 15: Secuencias de comandos de supervisin de Servicios de Certificate Server
Suceso
Secuencia de
comandos o mtodo de
deteccin de sucesos
Origen del
suceso
Identificador
de suceso
Operaciones
Error del servidor de la entidad emisora de Deteccin nativa de

certificados
errores del servidor MOM
Estado crtico del sistema operativo de la
Supervisin nativa de
estado del servidor MOM
Estado de error/advertencia del sistema
Supervisin nativa de
operativo de la entidad emisora de
estado del servidor MOM
certificados
Interfaz RPC de cliente del servicio
CAMonitor.vbs
Servicios de Certificate Server sin
de la entidad
conexin
emisora de
certificados
Interfaz RPC de administracin del servicio CAMonitor.vbs
Operaciones
Servicios de Certificate Server sin
de la entidad
conexin
emisora de
certificados
38
Suceso
Secuencia de
comandos o mtodo de
deteccin de sucesos
Origen del
suceso
Identificador
de suceso
El certificado de entidad emisora de
CAMonitor.vbs
Operaciones
10
certificados est caducado: el certificado
de la entidad
de esta entidad emisora o de una principal
emisora de
ha caducado
certificados
Al certificado de entidad emisora de
CAMonitor.vbs
Operaciones
certificados le queda menos de un mes de
de la entidad
validez
emisora de
11
certificados
La validez del certificado de entidad
CAMonitor.vbs
Operaciones
emisora de certificados es inferior a la
de la entidad
mitad de su duracin
emisora de
12
certificados
El certificado de entidad emisora de
CAMonitor.vbs
certificados se ha revocado
Operaciones
13
de la entidad
emisora de
certificados
CRL caducada
CAMonitor.vbs (sin
Operaciones
diferencias entre listas
de la entidad
CRL)
emisora de
20
certificados
CRL vencida
CAMonitor.vbs (sin
Operaciones
de la entidad
CRL)
emisora de
21
certificados
CRL no disponible: la CRL no se puede
CAMonitor.vbs (sin
Operaciones
recuperar de Active Directory
de la entidad
CRL)
emisora de
22
certificados
CRL no disponible: la CRL no se puede
Operaciones
recuperar del servidor Web
de la entidad
23
emisora de
certificados
El certificado KRA est caducado
CAMonitor.vbs
Operaciones
30
de la entidad
emisora de
certificados
Al certificado KRA le queda menos de un
mes de validez
CAMonitor.vbs
Operaciones
31
de la entidad
emisora de
39
Suceso
Secuencia de
comandos o mtodo de
deteccin de sucesos
Origen del
suceso
Identificador
de suceso
certificados
El certificado KRA se ha revocado
CAMonitor.vbs
Operaciones
32
de la entidad
emisora de
certificados
El certificado KRA no es de confianza
CAMonitor.vbs
Operaciones
33
de la entidad
emisora de
certificados
Error en la copia de seguridad de la
El cdigo de error de
Ntbackup
8019
NTBackup.exe se muestra
Error de ejecucin de
Operaciones
100
CAMonitor.vbs
de la entidad
aqu. Utilice las

capacidades de MOM o de
otro sistema de
supervisin para advertir
de los problemas de copia
de seguridad (tenga en
cuenta que tendr que
comprobar la copia de
seguridad de estado del
sistema y la corporativa).
Otro suceso
emisora de
certificados
La sintaxis de CAMonitor.vbs es la siguiente:
cscript CAMonitor.vbs {/CAAlive | /CACertOK | /CACRLOK | /KRAOK} [/smtp /smtpserver:MyServer.Dom _
/smtpto:"recip1@co.dom, recip2@co.dom"] [/noeventlog]
El primer parmetro es el tipo de comprobacin o comprobaciones que se ejecutarn (como mnimo se
requiere una y se pueden utilizar varias simultneamente). El segundo parmetro especifica que se van
a emitir alertas de correo electrnico SMTP. Si se utiliza, se deben especificar los parmetros
SMTPServer y SMTPTo. El primero define el nombre de host o la direccin IP del servidor de correo y el
ltimo es una lista de destinatarios separados por comas que recibirn el mensaje de correo
electrnico. El parmetro final deshabilita la escritura de alertas en el registro de sucesos de Windows.
La secuencia de comandos est diseada para ser ilustrativa. Es recomendable que la modifique y
mejore para que se adapte mejor a sus necesidades. En su forma actual, tiene varias limitaciones.
Slo comprueba CRL completas. No comprueba las diferencias entre listas CRL.
Slo comprueba puntos de distribucin de HTTP y LDAP. No comprueba direcciones URL de tipo FILE
o protocolo de transferencia de archivos (FTP).
Se generan alertas de certificados KRA, aunque una entidad emisora de certificados pueda disponer
40
de suficientes certificados KRA vlidos para continuar su funcionamiento. Por ejemplo, si la entidad
emisora de certificados tiene dos certificados KRA, uno de los cuales est revocado pero slo necesita
un certificado KRA para cifrar las claves archivadas, la secuencia de comandos alertar del certificado
revocado aunque no provoque un error en el servicio.
Configurar la supervisin de la seguridad de la entidad emisora de certificados
Servicios de Certificate Server genera varias entradas de registro (auditora) de sucesos de seguridad
como respuesta a distintos sucesos de seguridad. La mayora de estas entradas son el resultado de
tareas operativas cotidianas. Sin embargo, algunos sucesos indican cambios importantes en la
configuracin y puede ser necesario investigarlos con ms detenimiento. La siguiente tarea operativa,
Revisar los registros de auditora en busca de incidentes de seguridad, utiliza el trabajo preparatorio de
este procedimiento y resalta algunos de los sucesos de seguridad ms importantes que se deben
vigilar.
Pertenencia a Auditores de entidad emisora de certificados (para revisar el registro de seguridad)
Cuenta de supervisin de seguridad designada para supervisar mediante MOM (o similar)
En la tabla 16 se enumeran los sucesos de auditora que genera Servicios de Certificate Server junto
con una clasificacin de alerta recomendada (segn las categoras definidas en el procedimiento
Clasificar las alertas de supervisin). Configure el sistema de configuracin para buscar estos sucesos y
generar el nivel de alerta adecuado. Por otro lado, si no dispone de un sistema de supervisin de
sucesos centralizado, revise los registros de seguridad del servidor de la entidad emisora de
certificados peridicamente (lo ideal sera hacerlo cada da) para buscar estos elementos.
La categora de alerta predeterminada para los sucesos de auditora Correcto es Informacin.
Cualquier suceso Correcto que se produce como resultado de posibles cambios en la configuracin de la
seguridad de la entidad emisora de certificados se trata como Advertencia. Todos los sucesos de nivel
Advertencia indican sucesos importantes que normalmente no se prev que se produzcan en las
operaciones cotidianas. Todos los sucesos Advertencia deben corresponder a una solicitud de cambio
aprobada. Si no existe dicha correspondencia, trate el suceso como una posible infraccin de seguridad
e investguelo inmediatamente.
Los eventos de auditora de errores normalmente no estn previstos durante las operaciones cotidianas
o durante los cambios estndar en la entidad emisora de certificados. Casi todos ellos son importantes
y requieren investigacin (aunque esto puede indicar nicamente una asignacin de permisos
incorrecta en vez de un ataque malintencionado).
Nota: hay pocas excepciones a esta situacin, como el suceso 792, "Servicios de Certificate Server ha
denegado una peticin de certificado". Se generan sucesos de correcto y de error para una peticin,
que ha denegado legtimamente un administrador de certificados, pero nicamente un suceso de error
cuando la denegacin de peticin la intenta otro usuario sin el permiso suficiente.
Otro conjunto de excepciones a la lista de la tabla 16 se relaciona con las distintas formas en que
puede realizar cambios de configuracin en la entidad emisora de certificados. Los sucesos 789
("Cambio del filtro de auditora") y 795 y 796 ("Cambio de configuracin o propiedad de la entidad
emisora de certificados") slo se registrarn si los cambios se realizan mediante el complemento
Entidad emisora de certificados de MMC. No se registrarn si algn usuario intenta editar el Registro de
la entidad emisora de certificados directamente (o utiliza el comando certutil -setreg) para cambiar los
valores de configuracin de la entidad emisora.
41
Si se ha habilitado la auditora del Registro (como se recomend en la tarea Habilitar la auditora de la

entidad emisora de certificados), estos cambios se registrarn como simples entradas de auditora
Suceso 560 Acceso de objetos (consulte la ltima entrada de la tabla 16). La auditora se debe habilitar
para las subclaves de configuracin del Registro de la entidad emisora de certificados y registra los
cambios correctos y todos los accesos con error. Para realizar un seguimiento de los cambios en las
claves del Registro de la entidad emisora de certificados, utilice el parmetro Nombre del objeto del
suceso de auditora junto con el identificador y el tipo de suceso para crear un filtro que genere las
alertas correctas.
Adems de auditar los sucesos de Servicios de Certificate Server, tambin debe supervisar y generar
alertas de los sucesos de seguridad estndar del sistema operativo, como los sucesos de inicio de
sesin, el uso de privilegios y los accesos de objetos. El Registro y la base de datos de la entidad
emisora de certificados, as como los directorios de registro, se deben configurar para generar sucesos
de auditora de seguridad para todos los accesos con error y los cambios correctos. Asimismo,
considere la posibilidad de establecer la auditora en el contenedor Servicios de claves pblicas (en
Configuracin\Servicios) y en los grupos de administracin de la PKI, aunque se debe tener en cuenta
que los sucesos de auditora generados de un objeto de directorio se registrarn en el registro de
sucesos de seguridad del controlador de dominio donde se efecte el acceso. Es una tarea compleja
establecer la correspondencia de estos tipos de sucesos en los controladores de dominio. Si dispone de
un medio (como MOM) para consolidar y filtrar estos registros, habilite la auditora en todos los
contenedores y objetos de configuracin de PKI de Active Directory, as como en los grupos de
administracin de PKI.
Nota: la supervisin de la seguridad del sistema operativo Windows en el que se ejecuta la entidad
emisora de certificados queda fuera del alcance de este documento y puede incluir el tratamiento de
sucesos de seguridad desde agentes especializados en la deteccin de intrusos. Si alguno de estos
orgenes indica una infraccin de seguridad, investigue exhaustivamente los sucesos de auditora de la
entidad emisora de certificados junto con la salida de dichos orgenes.
Las categoras de alerta correcta y con error enumeradas en la tabla 16 se relacionan con las
categoras de alerta definidas en el procedimiento "Clasificar las alertas de supervisin". Todas las
alertas de categora "Error" y "Advertencia" se deben investigar en un da para garantizar que todas
tienen una causa legtima. Los sucesos "Informacin" no requieren investigacin y se conservan como
un seguimiento de auditora de las operaciones de PKI normales. Un reducido nmero de sucesos de
seguridad son especialmente importantes. stos se resaltan en el procedimiento de operaciones
Revisar los registros de auditora en busca de incidentes de seguridad.
Tabla 16: Sucesos de auditora de Servicios de Certificate Server
Identificado
r de suceso
Descripcin del suceso
Categora
de alerta
Correcto
772
El administrador de certificados ha denegado una peticin Advertencia
Categora
de alerta
Error
Error
de certificado pendiente.
773
Servicios de Certificate Server ha recibido una peticin de Advertencia
Error
certificado que se ha vuelto a enviar.

774
Servicios de Certificate Server ha revocado un certificado. Informacin
Error
775
Servicios de Certificate Server ha recibido una peticin
Advertencia
Informacin
42
Identificado
r de suceso
Categora
de alerta
Correcto
Categora
de alerta
Error
para publicar la CRL.

776
Servicios de Certificate Server ha publicado la CRL.
Informacin
Error
777
Una extensin de peticin de certificado ha cambiado.
Informacin
Error
778
Uno o varios atributos de peticin de certificado han
Informacin
Error
Advertencia
Error
Informacin
Informacin
Advertencia
Advertencia
cambiado.
779
Servicios de Certificate Server ha recibido una peticin

para cerrarse.
780
Se ha iniciado la copia de seguridad de Servicios de

Certificate Server.
781
Ha terminado la copia de seguridad de Servicios de

Certificate Server.
782
Se ha iniciado la restauracin de Servicios de Certificate

Server.
783
Ha terminado la restauracin de Servicios de Certificate

Server.
784
Se ha iniciado Servicios de Certificate Server.
Informacin
785
Se ha detenido Servicios de Certificate Server.
Advertencia
786
Los permisos de seguridad para Servicios de Certificate
Advertencia
Error
Informacin
Error
Informacin
Advertencia
Advertencia
Error
Servicios de Certificate Server ha recibido una peticin de Informacin
Error
Server han cambiado.

787
Servicios de Certificate Server ha recuperado una clave

archivada.
788
Servicios de Certificate Server ha importado un

certificado en su base de datos.
789
El filtro de auditora para Servicios de Certificate Server

ha cambiado.
790
certificado.
791
Servicios de Certificate Server ha aprobado una peticin
Informacin
Error
de certificado y ha emitido un certificado.

792
Servicios de Certificate Server ha denegado una peticin
Advertencia
de certificado.
793
Servicios de Certificate Server ha establecido el estado de Informacin

una peticin de certificado en pendiente.
794
La configuracin del administrador de certificados para
Advertencia
Servicios de Certificate Server ha cambiado.

795
Una entrada de configuracin ha cambiado en Servicios
Advertencia
Error
43
Identificado
r de suceso
Categora
de alerta
Correcto
Categora
de alerta
Error
de Certificate Server (consulte los subtipos).

Nodo:
Entrada: CRLPeriod, CRLPeriodUnits, CRLDeltaPeriod o
CRLDeltaPeriodUnits
Describir el cambio en la programacin de publicacin de
CRL.
Un valor de 0 para CRLDeltaPeriodUnits significa que se
ha deshabilitado la publicacin de diferencias entre listas
CRL.
Nodo:
PolicyModules\CertificateAuthority_MicrosoftDefault.Policy
Entrada: RequestDisposition
Valor: 1
Configurar la entidad emisora de certificados para que
emita las peticiones entrantes a menos que se
especifique lo contrario.
Nodo:
PolicyModules\CertificateAuthority_MicrosoftDefault.Policy
Entrada: RequestDisposition
Valor: 257
Configurar la entidad emisora de certificados para que
mantenga las peticiones entrantes como pendientes.
Nodo:
ExitModules\CertificateAuthority_MicrosoftDefault.Exit
Entrada: PublishCertFlags
Valor: 1
Permitir que los certificados se publiquen en el sistema de
archivos.
Nodo:
ExitModules\CertificateAuthority_MicrosoftDefault.Exit
Entrada: PublishCertFlags
Valor: 0
Prohibir que los certificados se publiquen en el sistema de
archivos.
Nodo: ExitModules
Entrada: Active
Cambio en el mdulo de salida activo. El valor especifica
el nombre del nuevo mdulo. Si est en blanco, significa
que no hay ninguno.
44
Identificado
r de suceso
Categora
de alerta
Correcto
Categora
de alerta
Error
Advertencia
Error
Nodo: PolicyModules
Entrada: Active
Cambio en el mdulo de directiva activo. El valor
especifica el nombre del nuevo mdulo.
Nodo:
Entrada: CRLPublicationURLs
Cambio en CDP o AIA. El valor especifica el conjunto
resultante de CDP.
Nodo:
Entrada: CACertPublicationURLs
Cambio en AIA o CDP. El valor especifica el conjunto
resultante de AIA.
796
Una propiedad de Servicios de Certificate Server ha

cambiado (consulte los subtipos).
Propiedad:29 Tipo: 4
Agregar o quitar una plantilla de la entidad emisora de
certificados. El valor es la lista de las plantillas
resultantes por nombre y OID.
Agregar certificado KRA a la entidad emisora de
certificados. El valor es la representacin en Base64 del
certificado.
Quitar certificado KRA de la entidad emisora de
certificados. El valor es el nmero total de certificados
KRA.
Agregar o quitar el nmero de certificados KRA que se
utilizarn para archivo de claves. El valor es el nmero
resultante de certificados que se utilizarn.
797
Servicios de Certificate Server ha archivado una clave.
Informacin
798
Servicios de Certificate Server ha importado y archivado
Informacin
una clave.
799
Servicios de Certificate Server ha publicado el certificado
Informacin
de entidad emisora de certificados en Active Directory.

800
Una o varias filas se han eliminado de la base de datos de Advertencia
Error
certificados.
801
Separacin de funciones habilitada.
Advertencia
Error
45
Identificado
r de suceso
560
Acceso de objetos
Categora
de alerta
Correcto
Categora
de alerta
Error
Error
Donde: Tipo de objeto: Clave

Nombre de objeto: \REGISTRY\MACHINE\SYSTEM\
ControlSet001\Services\CertSvc\Configuration
Information
Calcular las posibles restricciones de capacidad de la entidad emisora de certificados
La deteccin de las posibles restricciones de capacidad es fundamental para mantener el servicio en un
nivel ptimo. A medida que los subsistemas se aproximan a los lmites de sus capacidades operativas,
el rendimiento se deteriora considerablemente (normalmente de forma no lineal). Por lo tanto, es
importante supervisar las tendencias de capacidad e identificar y tratar las tendencias de restricciones
futuras por anticipado.
El permiso necesario lo indicar la solucin de supervisin de rendimiento que se utilice.
Los siguientes contadores de rendimiento son los ms tiles para identificar las restricciones de
capacidad en Servicios de Certificate Server. Los recursos Procesador y Disco son los dos que Servicios
de Certificate Server utiliza con ms frecuencia y, por lo tanto, probablemente indicarn las
restricciones en una fase ms temprana que Red o Memoria.
Tabla 17: Contadores clave de supervisin de capacidad para Servicios de Certificate Server
Objeto de rendimiento
Contador de rendimiento
Instancia
Procesador
% de tiempo de procesador
_Total
Disco fsico
% tiempo de disco
_Total
Disco fsico
Longitud promedio de longitud
_Total
de cola de lectura de disco

Disco fsico
Longitud promedio de longitud
C: (sistema)
de cola de escritura de disco
D: (registros de la entidad
emisora de certificados)
E: (base de datos de la entidad
emisora de certificados)
Interfaz de red
Total de bytes/s
Adaptador de NW
Memoria
% de bytes asignados en uso
Para obtener informacin ms general acerca de las restricciones de capacidad y los contadores de
rendimiento relacionados, consulte la seccin Vnculos relacionados.
Tambin es importante supervisar los indicadores de capacidad en cualquier infraestructura de soporte.
Los elementos clave son:
Comunicaciones de Servicios de Certificate Server con Active Directory (las entidades emisoras de
certificado de empresa utilizan Active Directory para los servicios de autenticacin y autorizacin,
para leer y almacenar informacin de configuracin de entidades emisoras y PKI, y, para
determinados tipos de certificado, publicar los certificados emitidos en el directorio).
Comunicaciones relacionadas con los certificados de cliente con Active Directory (los clientes leen la
46
informacin de la entidad emisora de certificados y de la PKI de Active Directory; esto incluye la

descarga de CRL, que puede ocupar varios MB, por cliente, por semana).
Comunicaciones relacionadas con los certificados de cliente con los servidores Web (los clientes
recuperan las CRL y los certificados de entidad emisora del servidor Web, aunque es poco probable
que produzca la suficiente carga como para provocar restricciones de capacidad a menos que el
servidor ya est sobrecargado).
Configurar las alertas del protocolo simple de transferencia de correo (SMTP) para las
solicitudes de certificado pendientes
Si tiene algunos tipos de certificado configurados para solicitar la aprobacin del administrador de
certificados, permanecern en la cola de la carpeta Peticiones pendientes (del complemento Entidad
emisora de certificados de MMC) hasta que la peticin se apruebe o deniegue. Puede configurar las
alertas de correo electrnico para que se enven cada vez que una peticin se ponga en cola. Las
peticiones aprobadas automticamente no envan alertas de correo electrnico.
Las alertas de correo electrnico tambin se pueden configurar para otros sucesos de la entidad
emisora de certificados. En la ayuda en pantalla de Servicios de Certificate Server se documenta el
modo de configurarlos y se incluye una secuencia de comandos de ejemplo detallada en la seccin
Configurar el "mdulo de salida de SMTP" de la Gua de operaciones de PKI de Windows Server 2003
(en ingls) (consulte la seccin Vnculos relacionados).
Frecuencia
Tarea de configuracin
Pertenencia a administradores de entidad emisora de certificados
Para habilitar las alertas de correo electrnico para las peticiones de certificado pendientes
1 Decida las direcciones de correo electrnico a las que se deben enviar las alertas e identifique la
. direccin IP o el nombre de host del servidor SMTP que se utilizar para reenviar el correo
electrnico (reemplace los ejemplos "mail.contoso.com" y " Admin@contoso.com,
PKIOps@contoso.com" que se utilizan en los siguientes comandos por sus propios valores).
2 Ejecute la siguiente serie de comandos para habilitar las alertas de correo electrnico para las
. peticiones pendientes en cola.
certutil f -setreg exit\smtp\SMTPServer mail.contoso.com
certutil f -setreg exit\smtp\SMTPAuthenticate 0
certutil f -setreg exit\smtp\eventfilter +EXITEVENT_CERTPENDING
3 Ejecute los siguientes comandos para establecer los campos de encabezado de correo
. electrnico.
certutil f -setreg exit\smtp\Pending\To "Admin@contoso.com, PKIOps@contoso.com"
certutil f -setreg exit\smtp\Pending\From "%COMPUTERNAME%@USERDNSDOMAIN%"
certutil f -setreg exit\smtp\Pending\titleformat "A certificate is pending on %1"
4 Ejecute los siguientes comandos para configurar el contenido del mensaje de correo electrnico.
. certutil f -setreg exit\smtp\Pending\BodyArg +"Request.RequestID"
certutil f -setreg exit\smtp\Pending\BodyArg +"UPN"
certutil f -setreg exit\smtp\Pending\BodyArg +"Request.RequesterName"
47
certutil f -setreg exit\smtp\Pending\BodyArg +"Request.SubmittedWhen"

certutil f -setreg exit\smtp\Pending\BodyArg +"Request.DistinguishedName"
certutil f -setreg exit\smtp\Pending\BodyArg +"CertificateTemplate"
certutil f -setreg exit\smtp\Pending\BodyArg +"Request.DispositionMessage"
certutil f -setreg exit\smtp\Pending\BodyArg +"EMail"
Certutil f -setreg exit\smtp\Pending\BodyFormat +"Request ID: %1"
Certutil f -setreg exit\smtp\Pending\BodyFormat +"UPN: %2"
Certutil f -setreg exit\smtp\Pending\BodyFormat +"Requester Name: %3"
Certutil f -setreg exit\smtp\Pending\BodyFormat +"Time submitted: %4"
Certutil f -setreg exit\smtp\Pending\BodyFormat +"Distinguished Name: %5"
Certutil f -setreg exit\smtp\Pending\BodyFormat +"Certificate Template used: %6"
Certutil f -setreg exit\smtp\Pending\BodyFormat +"Request Disposition Message: %7"
Certutil f -setreg exit\smtp\Pending\BodyFormat +"Requester Email: %8"
Normalmente, la supervisin de la caducidad de certificado de clientes individuales no se puede escalar
a grandes cantidades. No obstante, debe asegurarse de que no se omiten las renovaciones de
certificado. Hay varias opciones disponibles.
Uso de la inscripcin automtica de certificados. ste es el medio ms simple y efectivo para
garantizar que los clientes siempre tienen un certificado vlido. La inscripcin automtica slo est
disponible en clientes de Windows XP y Windows Server 2003 (los sistemas Windows 2000 pueden
utilizar los servicios de peticin de certificados automtica similares, Servicio de peticin de
certificados automtica [ACRS]), para algunos tipos de certificado). Los clientes de inscripcin
automtica deben ser miembros del mismo bosque que las entidades emisoras de certificados.
Uso de la programacin manual del suceso de renovacin (esto se debe registrar en la programacin
de operaciones; consulte la seccin Crear un programa de operaciones). Normalmente ste es el
nico recurso al tratar con sistemas sin conexin (como las entidades emisoras de certificados) o que
son difciles de supervisar de forma centralizada (por ejemplo, servidores Web en un centro de datos
de Internet).
Soluciones de supervisin personalizadas. Puede escribir secuencias de comandos mediante la
interfaz CAPICOM, para ejecutarse en los sistemas supervisados, que generarn alertas si un
certificado ha caducado o est a punto de caducar. La secuencia de comandos de supervisin de la
entidad emisora de certificados utilizada en este documento constituye un ejemplo de esto, que
puede adaptar a sus necesidades.
Iniciado por el usuario. Puede delegar la responsabilidad en los usuarios para que identifiquen si su
aplicacin o servicio ya no funciona y soliciten un nuevo certificado.
Sistema de administracin de certificados. Microsoft ha desarrollado una herramienta de uso interno
como ayuda para realizar el seguimiento y administrar los certificados digitales en todas las
entidades emisoras de certificados. Se denomina Certificate Lifetime Management Tool y utiliza un
mdulo de salida de entidad emisora de certificados personalizado que escribe los detalles de cada
certificado en una base de datos a medida que se emite. Se pueden ejecutar informes de los datos
48
para comprobar los certificados que caducan. Aunque esta herramienta no se ha publicado, hay
disponible un kit de herramientas para los clientes como parte de un contrato de Servicios de
consultora de Microsoft.
Programacin de trabajos
La programacin de trabajos, en el modelo de proceso MOF, implica la organizacin de trabajos y
procesos en una secuencia eficaz para maximizar el rendimiento y la utilizacin del sistema. Aqu, el
objetivo es similar pero algo ms simple. Es importante documentar la programacin de todos los
trabajos automatizados que se ejecutan en un sistema para poder evitar los conflictos posibles entre
los trabajos. Los trabajos se pueden programar mediante Programador de tareas de Windows, agentes
de administracin u otras aplicaciones y servicios (como detectores de virus).
Programar trabajos en las entidades emisoras de certificados con conexin
Se tiene que ejecutar una serie de tareas repetitivas en las entidades emisoras de certificados para
mantener la ejecucin sin problemas de la PKI. Estn automatizadas para reducir la sobrecarga
operativa.
Administradores locales en la entidad emisora de certificados
En la tabla 18 se enumeran los trabajos automatizados que se ejecutan en las entidades emisoras de
certificados. Estos trabajos estn definidos en tareas en cualquier parte de este documento (se
muestran en la columna Tarea de referencia); la tabla slo es de referencia.
Slo las entidades emisoras de certificados tienen trabajos automatizados en ejecucin. Las entidades
emisoras de certificados sin conexin pueden estar apagadas durante largos perodos, por lo que es
imposible mantener una programacin confiable en este equipo.
Tabla 18: Lista de trabajos programados en las entidades emisoras de certificados
Descripcin del
trabajo
Programacin
Ejecutado por
Tarea de referencia
Copia de seguridad
Diaria
Programador de tareas
Configurar la copia de
completa de la base de
de Windows o
seguridad de la base de
datos de la entidad
programador del
datos de la entidad
sistema de copia de
seguridad
Copia de seguridad
Cada hora
diferencial de la base de
Programador de tareas
Configurar la copia de
de Windows
seguridad de la base de
datos de la entidad
datos de la entidad
Publicar CRL en IIS
Diaria
Servicios de Certificate
Configurar la entidad
Server
para publicar CRL en un
servidor Web
Supervisar el estado de
la entidad emisora de
certificados con
Cada hora
MOM o Programador de
Supervisar la
tareas de Windows
disponibilidad del
servicio
conexin
49
Descripcin del
trabajo
Programacin
Ejecutado por
Tarea de referencia
Supervisar el estado de
Cada hora
Supervisar la
tareas de Windows
disponibilidad del
emisin y publicacin de
la CRL
servicio
Supervisar la validez del Cada hora
Supervisar la
certificado de entidad
tareas de Windows
disponibilidad del
servicio
Supervisar la validez del Cada hora
Supervisar la
certificado KRA
tareas de Windows
disponibilidad del
servicio
En esta seccin se describen las tareas de mantenimiento necesarias para mantener operativa la PKI.
Muchas de estas tareas tienen programaciones concretas mientras que otras slo se realizan cuando es
necesario. Las tareas de esta seccin corresponden al cuadrante operativo del modelo de proceso de
MOF.
Lista de comprobacin de tareas operativas
Habilitar la inscripcin (o la inscripcin automtica) de un tipo de certificado para un usuario o equipo
Deshabilitar la inscripcin (o la inscripcin automtica) de un tipo de certificado para un usuario o
equipo
Comprobar y aprobar las solicitudes de certificado pendientes
Renovar un certificado de entidad emisora de certificados
Publicar los certificados de entidad emisora de certificados raz sin conexin
Publicar los certificados de entidad emisora de certificados intermedia en el servidor Web
Publicar los certificados de entidad emisora de certificados en el servidor Web
Publicar las CRL de una entidad emisora de certificados sin conexin en el servidor Web
Publicar las CRL de la entidad emisora de certificados raz en las entidades emisoras intermedias sin
conexin
Forzar la emisin de una CRL sin conexin
Supervisar
Revisar los registros de auditora en busca de incidentes de seguridad
Auditar la PKI
Administracin de la base de datos y la configuracin de la entidad emisora de certificados
Realizar copias de seguridad de una entidad emisora de certificados sin conexin

Realizar copias de seguridad de las claves y certificados de la entidad emisora de certificados
Probar las copias de seguridad de la base de datos de la entidad emisora de certificados
Probar las copias de seguridad de las claves de la entidad emisora de certificados
Archivar los datos de auditora de seguridad de una entidad emisora de certificados
La administracin de la seguridad abarca tareas relacionadas con los componentes de seguridad de la
infraestructura informtica.
Habilitar la inscripcin (o la inscripcin automtica) de un tipo de certificado para un
usuario o equipo
50
Esta tarea utiliza los grupos de seguridad de inscripcin para permitir la inscripcin manual o iniciar la
inscripcin automtica de un tipo de certificado para un usuario, un equipo o un grupo de seguridad
que contenga usuarios y/o equipos.
Nota: la inscripcin automtica tambin se debe haber habilitado en el GPO de los usuarios o equipos
de destino. Para obtener ms informacin, consulte el procedimiento Establecer la directiva de
inscripcin automtica de los usuarios de dominio del tema "Ejemplo de implementacin de Servicios
de Certificate Server: Establecer la inscripcin automtica para certificados de usuario" en la
documentacin de Windows Server 2003.
Frecuencia
Segn se requiera
Modificar los permisos de pertenencia del grupo de inscripcin de certificados
Para habilitar la inscripcin o la inscripcin automtica para un usuario o un equipo
1 En el complemento Usuarios y equipos de Active Directory de MMC, busque el grupo de
. seguridad Inscripcin de plantillas de certificado (o el grupo de inscripcin automtica para
la inscribir automticamente el certificado) correspondiente al tipo de certificado que se
inscribir. Debe haber iniciado la sesin como usuario con permisos Modificar pertenencia para
este grupo.
2 Agregue el usuario, el equipo o el grupo de seguridad al grupo de seguridad de plantillas
. seleccionado.
Deshabilitar la inscripcin (o la inscripcin automtica) de un tipo de certificado para un
usuario o equipo
La emisin de un certificado a un usuario o un equipo normalmente habilita alguna funcionalidad al
titular del certificado; es posible que tenga que revocar esta funcionalidad ms adelante.
Frecuencia
Segn se requiera
Permiso para modificar la pertenencia del grupo de inscripcin de certificados
Para deshabilitar la inscripcin o la inscripcin automtica para un usuario o un equipo
1 En Usuarios y equipos de Active Directory, busque el grupo de seguridad Inscripcin (o
. inscripcin automtica) de plantillas de certificado correspondiente al tipo de certificado que se
deshabilitar. Inicie la sesin como usuario con permisos Modificarpertenencia para este
grupo.
2 Quite el usuario, el equipo o el grupo de seguridad del grupo de seguridad de plantillas.
.
Nota: por cada certificado de usuario que desee deshabilitar, tambin tendr que revocar el certificado
de dicho usuario. Para revocar un certificado de entidad final, consulte el procedimiento Para revocar
un certificado emitido en la documentacin de Windows Server 2003.
Comprobar y aprobar las solicitudes de certificado pendientes
Las peticiones de certificado se pueden enviar a las entidades emisoras de certificados en cualquier
momento. La mayora de los certificados se emitirn automticamente mediante Active Directory como
la entidad de registro o mediante un conjunto predefinido de firmas de las entidades de registro
designadas. Si ha configurado que cualquier tipo de certificado requiera la aprobacin manual de un
administrador de certificados, estas peticiones se pondrn en cola hasta que un administrador de
certificados las apruebe o las deniegue.
51
Frecuencia
Diaria
Pertenencia a administradores de certificados
Compruebe diariamente en la carpeta de peticiones si hay alguna en cola. Antes de emitir un
certificado, compruebe la peticin atentamente para verificar el solicitante y el contenido de la peticin.
Compruebe que el nombre del sujeto, el nombre alternativo del sujeto, los usos de claves, las
directivas y las extensiones son las esperadas. Si tiene dudas, no apruebe la peticin.
Tambin puede configurar la entidad emisora de certificados para enviar alertas de correo electrnico
para diferentes sucesos. Uno de ellos es la llegada de una peticin pendiente. Consulte el
procedimiento Configurar las alertas del protocolo simple de transferencia de correo (SMTP) para las
solicitudes de certificado pendientes.
Para comprobar las peticiones pendientes
1 Inicie la sesin en la entidad emisora de certificados como miembro de Administradores de
. certificados (puede realizar esta tarea de forma remota mediante el complemento Entidad
emisora de certificados de MMC en la entidad emisora).
2 Abra el complemento Entidad emisora de certificados de MMCy, a continuacin, la carpeta
. Peticiones.
3 Para ver los detalles de una peticin de la carpeta, haga clic con el botn secundario del mouse
. (ratn) en la peticin y, a continuacin, haga clic en Ver atributos/extensiones en el men
Ver.
Nota: la ficha Atributos muestra los atributos de peticin recibidos como parte de la peticin y
la ficha Extensiones muestra las extensiones de certificado que se utilizarn en el certificado.
Cada entrada de extensin indica si aparece porque estaba incluida en la peticin, porque es un
valor suministrado por el servidor o porque est definida por el mdulo de directiva de entidad
emisora de certificados (el ltimo origen normalmente indica que se trata de una extensin
definida en la plantilla de certificado).
4 Segn las directivas de su organizacin, es posible que espere otra informacin relativa a la
. peticin, proporcionada en persona, por telfono, por correo electrnico o un medio similar.
Cuando est satisfecho con la validez de la peticin, puede aprobarla si hace clic con el botn
secundario del mouse en la peticin y hace clic en Emitir del men Tareas. Si no est
satisfecho, puede denegar la peticin si hace clic en Denegar.
Puede ser necesario revocar un certificado por varios motivos, como por ejemplo:
La funcionalidad o los privilegios asociados al certificado se han revocado de su titular.
La clave del certificado se ha puesto en peligro.
La entidad emisora de certificados que ha emitido el certificado se ha puesto en peligro.
Frecuencia
Segn se requiera
Pertenencia a administradores de certificados en la entidad emisora de certificados
Consulte Para revocar un certificado emitido en la documentacin de Windows Server 2003 el
procedimiento utilizado para revocar un certificado de entidad final (es decir, un certificado no emitido
a una entidad emisora de certificados). Para revocar un certificado de entidad emisora de certificados,
siga los procedimientos de la seccin Tareas de soporte.
52
Precaucin: evite el cdigo de motivo de revocacin Posesin de certificado. Aunque es tentador

pensar que un certificado se puede restablecer ms adelante, resulta ms sencillo y menos confuso
revocar permanentemente un certificado y, despus, emitir uno nuevo.
Si intenta revocar un certificado que ya no existe en la base de datos de certificados, consulte la tarea
de Revocar un certificado hurfano. Si tiene una base de datos de entidad emisora de certificados
grande, el rendimiento del complemento Entidad emisora de certificados de MMC puede ser deficiente,
lo que ralentiza la bsqueda del certificado para revocar. En este caso, normalmente es ms rpido
utilizar certutil.exe para realizar la revocacin.
Las claves privadas de los certificados de cifrado se pueden archivar en la base de datos de la entidad
emisora de certificados. El archivo de claves se habilita para un determinado tipo de certificado si se
selecciona una opcin en la plantilla de certificado. Si un usuario pierde el acceso a su clave privada y
la misma se ha archivado, puede recuperarla y devolvrsela como un archivo PKCS#12 protegido con
contrasea.
Frecuencia
Segn se requiera
Pertenencia a administradores de entidad emisora de certificados para extraer la clave archivada de la
base de datos de la entidad emisora y posesin del certificado KRA (y clave privada) para descifrar la
clave archivada.
Para obtener procedimientos detallados acerca de cmo recuperar claves privadas archivadas mediante
la lnea de comandos y la herramienta Recuperacin de clave, consulte Archivo y administracin de
claves en Windows Server 2003 (en ingls) en la seccin Vnculos relacionados.
Importante: como medida de proteccin frente a abusos, debe separar las responsabilidades de
extraer la clave cifrada de la base de datos y de descifrar la clave extrada.
El proceso de recuperacin de clave no fuerza el modo en que la clave se restaura al usuario. Por
ejemplo, aunque la plantilla de certificado de la clave original forzara el almacenamiento de claves en
una tarjeta inteligente, no hay un medio similar para impedir que el archivo PKCS#12 recuperado se
restaure en un almacn de claves CryptoAPI de software. Para impedir la reduccin accidental de la
seguridad de claves, puede que tenga que adoptar un proceso manual para claves de mayor garanta.
Por ejemplo, las claves recuperadas se pueden enviar a un agente de confianza del que los usuarios
obtienen sus tarjetas inteligentes y, de ese modo, es posible restaurar las claves y destruir el archivo
PKCS#12.
Renovar un certificado de entidad emisora de certificados
Debe renovar los certificados de entidad emisora de certificados peridicamente para permitir que las
entidades finales (y las entidades emisoras subordinadas, si las hubiera) sigan inscribiendo certificados
con esta entidad emisora. Los certificados que emite una entidad emisora de certificados y sus
subordinadas no pueden tener una fecha de caducidad posterior a la fecha de caducidad de este
certificado de entidad emisora. Hay otros motivos para renovar el certificado de entidad emisora de
certificados antes de su fecha de renovacin normal. Los motivos ms habituales para hacer esto en
una entidad emisora de certificados con conexin son:
Cambiar la clave que utiliza la entidad emisora de certificados (en caso de que se produzca un peligro
real o supuesto)
Agregar directivas de certificado a la entidad emisora de certificados (subordinacin cualificada)
Cambiar las rutas de acceso de CDP o AIA
53
Dividir la CRL (ste es el motivo ms probable si tiene entidades emisoras de certificados ocupadas)
Siempre debe cambiar la clave de la entidad emisora de certificados en cada renovacin.
Frecuencia
Cada ocho aos para la entidad emisora de certificados raz
Cada cuatro aos para las entidades emisoras de certificados intermedias
Cada dos aos para las entidades emisoras de certificados (si va a renovar para dividir la CRL, puede
decidir hacerlo con ms frecuencia, por ejemplo, cada ao o cada seis meses)
Pertenencia a administradores locales en la entidad emisora de certificados que se va a renovar,
pertenencia a administradores de certificados en la entidad emisora principal (slo para entidades
emisoras e intermedias), pertenencia a administradores de PKI de empresa en el dominio
Cada nivel de la jerarqua de la entidad emisora de certificados tiene una duracin de certificado de
entidad emisora que es el doble del nivel que est debajo de l; en el escenario de MSA, la raz es
vlida durante 16 aos, la intermedia durante ocho y las entidades emisoras de certificados durante
cuatro aos. Cada entidad emisora se renueva despus de transcurrida la mitad de su duracin. Esto
se muestra en la figura 1. Si las entidades emisoras de certificados no se renuevan a la mitad de su
perodo de validez, se limita la validez mxima de los certificados que ellas y sus subordinadas puedan
emitir.
Figura 1: Jerarqua de niveles de entidades emisoras de certificados

Tal como se muestra en la figura 1, si no se renueva el certificado (Certificado 2) de la entidad emisora
(CA111), no puede emitir un certificado de entidad final (Certificado de EF 2 en el ao 5) durante un
perodo de dos aos completos. En su lugar, slo podr emitir certificados vlidos hasta la fecha de
caducidad del certificado de entidad emisora Certificado 2 (ao 6). La renovacin del certificado de
entidad emisora (Certificado 3) permite que emita certificados de duracin completa a los usuarios.
Tambin debe observar que en la figura 1 los puntos de renovacin de cada nivel de la jerarqua de
entidades emisoras estn alineados; de este modo se facilita la administracin de las tareas de
renovacin.
La lista de tareas de renovacin de las entidades emisoras de certificados de su organizacin se
parecer a la de la tabla 19.
Tabla 19: Lista de tareas de renovacin
Perodo
Cada ao (opcional)
Tareas
Renovar entidades emisoras
Propsito
Para dividir CRL
de certificados
Cada dos aos (obligatorio)

de certificados
Cada cuatro aos (obligatorio)
Ciclo de renovacin normal de

de certificados intermedias

de certificados
54
Perodo
Tareas
Cada ocho aos (obligatorio)
Propsito
de certificados intermedias

de certificados
Renovar entidad emisora de
certificados raz
El procedimiento para renovar un certificado de entidad emisora de certificados raz se describe en el
artculo "Renovar una entidad emisora de certificados raz" en la documentacin de Servicios de
Certificate Server de Windows Server 2003 en la seccin Vnculos relacionados. Tambin se debe
realizar una serie de tareas complementarias durante la renovacin de la entidad emisora de
certificados.
Figura 2: Interacciones de la entidad emisora raz y otros sistemas durante una renovacin
de entidad emisora de certificados raz
Para renovar una entidad emisora de certificados raz
1 Si es necesario, especifique un nuevo tamao de clave en CAPolicy.inf.
.
2 Renovar el certificado de entidad emisora de certificados (consulte el procedimiento en la
. documentacin del producto).
3 Publicar el nuevo certificado de entidad emisora en:
. El almacn de entidades emisoras de certificados de confianza de Active Directory
El punto de publicacin AIA del servidor Web
El almacn local de entidades emisoras de certificados raz de confianza en cada entidad
emisora intermedia
Consulte Publicar la entidad emisora de certificados raz sin conexin.
4 Emitir una nueva CRL desde la entidad emisora de certificados raz y publicarla en el punto de
. publicacin CDP del servidor Web.
5 Si no ha actualizado las entidades emisoras de certificados intermedias a Service Pack 1 de
. Windows Server 2003, tendr que publicar las CRL de la entidad emisora raz en el almacn de
certificados local de las entidades emisoras intermedias. Consulte Publicar las CRL de la entidad
emisora de certificados raz en las entidades emisoras intermedias sin conexin.
El procedimiento para renovar un certificado de entidad emisora de certificados intermedia se describe
en el artculo "Renovar una entidad emisora de certificados subordinada" de la documentacin de
Servicios de Certificate Server en la seccin Vnculos relacionados (siga la opcin "Si la entidad emisora
de certificados no est disponible con conexin").
Figura 3: Interacciones durante la renovacin de una entidad emisora de certificados

intermedia
Para renovar una entidad emisora de certificados intermedia
1 Si es necesario, especifique un nuevo tamao de clave en CAPolicy.inf.
.
2 Renovar el certificado de entidad emisora de certificados (consulte el procedimiento en la
. documentacin del producto).
55
3 Opcionalmente, publicar el nuevo certificado de entidad emisora en el almacn de entidades

. emisoras de certificados de Active Directory.
4 Publicar el nuevo certificado de entidad emisora de certificados en el punto de publicacin AIA del
. servidor Web. Consulte Publicar la entidad emisora de certificados intermedia.
5 Emitir una nueva CRL desde la entidad emisora de certificados raz y publicarla en el punto de
. publicacin CDP del servidor Web. Consulte Publicar las CRL de una entidad emisora de
certificados sin conexin en el servidor Web.
El procedimiento para renovar un certificado de entidad emisora de certificados se describe en el
artculo "Renovar una entidad emisora de certificados subordinada" de la documentacin de Servicios
de Certificate Server (siga la opcin "Si la entidad emisora de certificados no est disponible con
conexin"). Las interacciones durante la renovacin de una entidad emisora se muestran en la figura 4.
Figura 4: Renovar una entidad emisora de certificados

Slo se muestran las interacciones con una entidad emisora de certificados. Estos flujos se repiten para
cada entidad emisora de certificados.
Durante la renovacin de una entidad emisora de certificados con conexin, su certificado y sus CRL se
publican automticamente en el directorio. Se supone que la entidad emisora de certificados es una
entidad emisora de empresa (las independientes no publican necesariamente en el directorio de forma
automtica). Debe haber configurado las entidades emisoras para publicar automticamente CRL en el
servidor Web en el procedimiento "Configurar la entidad emisora de certificados para publicar CRL en
un servidor Web". La nica tarea manual necesaria es publicar el certificado de entidad emisora en el
servidor Web.
Para todas las entidades emisoras de certificados debe hacer una copia de seguridad de las bases de
datos de entidades emisoras una vez terminado todo el ciclo de renovacin.
Publicar los certificados de entidad emisora de certificados raz sin conexin
Debe publicar el certificado de una entidad emisora de certificados raz sin conexin en:
El bosque de Active Directory para que la PKI sea de confianza para los miembros del bosque
Las entidades emisoras de certificados intermedias para que confen en la entidad emisora raz
El punto de publicacin AIA del servidor Web para que los usuarios de certificado puedan obtener el
certificado de entidad emisora raz con el fin de ayudarles a crear la cadena
En este procedimiento se supone que la entidad emisora de certificados se ha configurado con una
ubicacin AIA correspondiente al punto de publicacin del servidor Web. Para obtener informacin
acerca de cmo se configura, consulte Prcticas recomendadas para implementar una infraestructura
de claves pblicas de Microsoft Windows Server 2003 (en ingls) y la gua de generacin de Servicios
de Certificate Server del Kit de implementacin de Microsoft Systems Architecture versin 2.0 (en
ingls) en la seccin Vnculos relacionados.
Frecuencia
Estos procedimientos slo son necesarios como parte de la renovacin de la entidad emisora de
certificados raz (consulte Renovar un certificado de entidad emisora de certificados).
Pertenencia a administradores locales en las entidades emisoras de certificados y editores de PKI de
empresa
Para publicar el certificado de entidad emisora de certificados raz sin conexin en Active
Directory
1 Copie los certificados de entidad emisora en un disco extrable vaco (donde d:\rutaAcceso es la
56
. ruta de acceso del disco).

Copy %systemroot%\system32\certsrv\certenroll\*.crt d:\path
2 Lleve el disco a una entidad emisora de certificados u otro miembro de dominio que tenga
. instalado certutil.exe y publique los certificados en el directorio (sustituya la ruta de acceso
correcta al disco extrable en d:\rutaAcceso).
For %i in (d:\path\*.crt) do Certutil f dspublish %i RootCA
Para publicar el certificado de entidad emisora de certificados raz sin conexin en las
entidades emisoras sin conexin
3 Con el disco del procedimiento anterior, publique los certificados de entidad emisora de
. certificados en el almacn de entidades emisoras raz de cada entidad emisora intermedia
(sustituya la ruta de acceso correcta al disco extrable en d:\rutaAcceso).
For %i in (d:\path\*.crt) do certutil f addstore Root %i
Para publicar el certificado de entidad emisora de certificados raz sin conexin en el
servidor Web
4 Con el disco del procedimiento anterior, publique los certificados de entidad emisora de
. certificados en el servidor Web (sustituya la ruta de acceso correcta al disco extrable en
d:\rutaAcceso y el nombre del servidor Web en NombreServidorWeb).
copy d:\path\*.crt \\WebServerName\WWWPKIpub
Publicar los certificados de entidad emisora de certificados intermedia en el servidor Web
Debe publicar manualmente el certificado de una entidad emisora de certificados intermedia sin
conexin en el punto de publicacin AIA del servidor Web para que los usuarios de certificado puedan
obtener el certificado de entidad emisora raz con el fin de ayudarles a crear la cadena. Las entidades
emisoras de certificados de empresa publican automticamente sus entidades emisoras en el
directorio.
En este procedimiento se supone que la entidad emisora de certificados se ha configurado con una
ubicacin AIA correspondiente al punto de publicacin del servidor Web. Para obtener informacin
Frecuencia
Estos procedimientos slo son necesarios como parte de la renovacin de la entidad emisora de
certificados (consulte Renovar un certificado de entidad emisora de certificados).
Pertenencia a administradores locales en las entidades emisoras de certificados y editores de PKI de
empresa
Para publicar el certificado de entidad emisora de certificados en el servidor Web
1 Copie los certificados de entidad emisora en un disco extrable vaco (donde d:\rutaAcceso es la
Copy %systemroot%\system32\certsrv\certenroll\*.crt d:\path
2 Desde un servidor con conexin, publique los certificados de entidad emisora de certificados en
. el servidor Web (sustituya la ruta de acceso correcta al disco extrable en d:\rutaAcceso y el
57
nombre del servidor Web en NombreServidorWeb).

copy d:\path\*.crt \\WebServerName\WWWPKIpub
Publicar los certificados de entidad emisora de certificados en el servidor Web
Los certificados de entidad emisora se deben publicar en la ubicacin AIA de HTTP (protocolo de
transferencia de hipertexto) de modo que los usuarios de certificado (en concreto los clientes que no
sean de dominio) puedan generar una cadena de confianza desde los certificados de entidad final hasta
una entidad emisora de certificados raz de confianza.
En este procedimiento se supone que la entidad emisora de certificados se ha emitido con una
ubicacin CDP correspondiente al punto de publicacin del servidor Web. Para obtener informacin
ingls) en la seccinVnculos relacionados.
Frecuencia
Esta tarea se produce cada dos aos para las entidades emisoras de certificados pero slo se tiene que
realizar como parte de la renovacin del certificado de dicha entidad (consulte Renovar un certificado
de entidad emisora de certificados).
Pertenencia a editores PKI de empresa
El certificado de entidad emisora de certificados se actualiza con muy poca frecuencia, por lo que la
publicacin en el AIA siempre que se renueva dicho certificado no resulta muy molesta.
Para publicar el certificado de la entidad emisora de certificados en el servidor Web
1 Inicie la sesin en la entidad emisora de certificados con una cuenta que tenga permisos para
. escribir en la carpeta del servidor Web publicada (miembro de editores de PKI de empresa).
2 Asegrese de que la carpeta del servidor Web est compartida (consulte Establecer permisos en
. el servidor Web para publicar CRL y certificados) y anote la ruta de acceso UNC a la carpeta
compartida.
3 Ejecute el siguiente comando para publicar el certificado de entidad emisora de certificados en el
. servidor Web (sustituya el nombre del servidor Web en NombreServidorWeb).
Copy %systemroot%\system32\certsrv\certenroll\*.crt \\WebServerName\WWWPKIpub
Publicar las CRL de una entidad emisora de certificados sin conexin en el servidor Web
Debe publicar la CRL de una entidad emisora de certificados sin conexin en una ubicacin Web para
que los usuarios de certificado puedan comprobar el estado de revocacin de toda la cadena de la
entidad emisora. Una entidad emisora de certificados puede publicar dos o ms CRL segn el nmero
de veces que se haya renovado el certificado de dicha entidad. Debe publicar todas las CRL actuales.
En este procedimiento se supone que la entidad emisora de certificados se ha emitido con una
ubicacin CDP correspondiente al punto de publicacin del servidor Web. Para obtener informacin
Frecuencia
Cada seis meses para la entidad emisora de certificados raz; cada tres meses para una intermedia
58
Pertenencia a administradores locales en la entidad emisora de certificados y editores de PKI de

empresa
Para publicar una CRL sin conexin en Active Directory
1 Copie las CRL de la entidad emisora en un disco extrable vaco (donde d:\rutaAcceso es la ruta
. de acceso del disco).
Copy %systemroot%\system32\certsrv\certenroll\*.crl d:\path
2 Desde un servidor con conexin, publique las CRL en el servidor Web (sustituya la ruta de acceso
. correcta al disco extrable en d:\rutaAcceso y el nombre del servidor Web en
NombreServidorWeb).
copy d:\path\*.crl \\WebServerName\WWWPKIpub
Publicar las CRL de la entidad emisora de certificados raz en las entidades emisoras
intermedias sin conexin
Este procedimiento es necesario para las versiones de Windows Server 2003 anteriores a Service Pack,
donde haya optado por deshabilitar la comprobacin de revocacin en la entidad emisora de
documentos (consulte Deshabilitar la comprobacin de revocacin en las entidades emisoras de
certificados intermedias).
Debe publicar la CRL de la entidad emisora de certificados raz en los almacenes de certificados locales
de cada entidad emisora subordinada sin conexin. Debido a que estas entidades emisoras estn sin
conexin, no pueden tener acceso a las ubicaciones CDP publicadas para la entidad emisora raz y no
podrn verificar el estado de revocacin de sus propios certificados. Esto impedir que se inicien.
Frecuencia
Cada seis meses (cada vez que se publique una nueva CRL desde la entidad emisora de certificados
raz)
Pertenencia a administradores locales en las entidades emisoras de certificados raz e intermedias
Para publicar la CRL de la entidad emisora de certificados raz en Active Directory
1 Copie las CRL de la entidad emisora raz en un disco extrable vaco (donde d:\rutaAcceso es la
Copy %systemroot%\system32\certsrv\certenroll\*.crl d:\path
2 Publique las CRL en el almacn de certificados local de la entidad emisora de certificados
. intermedia (sustituya la ruta de acceso correcta al disco extrable en d:\rutaAcceso).
For %i in (d:\path\*.crl) do certutil addstore f Root %i
3 Repita este ltimo paso para cada uno de las entidades emisoras intermedias.
.
Forzar la emisin de una CRL sin conexin
Las CRL de una entidad emisora de certificados de empresa se emiten y publican automticamente;
normalmente no es necesario forzar la emisin de una CRL conexin. Sin embargo, esto puede ser
necesario cuando se ha producido una revocacin crtica (por ejemplo, todos los certificados emitidos
por la entidad emisora de certificados) y es necesario publicar una nueva CRL con el mnimo retardo
posible.
Nota: no es posible publicar una nueva CRL en los clientes ya que conservarn sus copias en cach
existentes hasta que estas CRL caduquen. Sin embargo, al forzar la publicacin de una nueva CRL se
59
garantiza que cualquier cliente que solicite una CRL, a partir de este punto, recibir la nueva CRL (sin
tener en cuenta los retardos de propagacin).
Frecuencia
Segn se requiera
Pertenencia a administradores locales en la entidad emisora de certificados
Para emitir y publicar la CRL de la entidad emisora de certificados sin conexin en Active
Directory
1 Inicie la sesin en la entidad emisora como miembro de administradores de entidad emisora de
. certificados y cargue el complemento Entidad emisora de certificados de MMC.
2 Emita una nueva CRL en el men Tareas de la carpeta Certificados revocados; para ello, haga
. clic en Publicar.
3 Seleccione Lista de revocacin de certificados (CRL) nueva para emitir una CRL base o
. Diferencia CRL slo para una nueva diferencia CRL.
Supervisar
Esta seccin contiene procedimientos necesarios para supervisar la PKI. Estos procedimientos
describen tareas programadas especiales, como la ejecucin de una auditora, en vez de instrucciones
acerca de cmo efectuar la supervisin operativa continua de condiciones de alerta y error. Se supone
la supervisin continua del estado y el rendimiento de la PKI.
Revisar los registros de auditora en busca de incidentes de seguridad
Debe revisar los registros de auditora de las entidades emisoras de certificados peridicamente, en
concreto de las entidades emisoras con conexin. Los sucesos registrados que no reflejen los registros
de lo que debe haber sucedido en las entidades emisoras de certificados pueden indicar un problema
de seguridad.
Frecuencia
Cada semana para las entidades emisoras de certificados con conexin; cada tres meses para las
entidades emisoras sin conexin
Pertenencia a auditores de entidad emisora de certificados en las entidades emisoras
Busque en el registro de sucesos de seguridad de cada entidad emisora de certificados cualquier
suceso importante para comprobar la existencia de sucesos imprevistos. Algunos de los elementos
clave que se deben vigilar se enumeran en la tabla 20 (para obtener una lista completa de los sucesos
de seguridad que genera Servicios de Certificate Server, consulte Configurar la supervisin de la
seguridad de la entidad emisora de certificados y la Gua de operaciones de PKI de Windows Server
2003 (en ingls) para obtener ms informacin acerca de dichos sucesos).
Tabla 20: Sucesos de seguridad importantes
Suceso
Identificador de
registro de
sucesos de
seguridad
Cambios en la directiva de
Identificador de
El filtro de auditora para Servicios de
auditora de la entidad emisora
suceso 789
Certificate Server ha cambiado.
Identificador de
Los permisos de seguridad para Servicios de
de certificados
Cambios en los permisos de la
60
Suceso
Identificador de
registro de
sucesos de
seguridad
suceso 786
Certificate Server han cambiado.
Cambios en los KRA de la
Identificador de
Se han agregado o eliminado certificados KRA.
suceso 796,
subtipos 1 y 3
Cambios en la configuracin del
Identificador de
La configuracin del administrador de
administrador de certificados
suceso 794
certificados para Servicios de Certificate Server

ha cambiado.
Emisin de un certificado de
Identificador de
Servicios de Certificate Server ha aprobado
suceso 791
una peticin de certificado y ha emitido un
(Slo es importante en las
certificado.
entidades emisoras de
certificados raz o intermedias)
Operaciones de recuperacin de
Identificador de
Servicios de Certificate Server ha recuperado
claves
suceso 787
una clave archivada.
Restauracin inesperada de la
Identificador de
Ha terminado la restauracin de Servicios de
copia de seguridad
suceso 783
Certificate Server.
Eliminacin de filas de la base
Identificador de
Una o varias filas se han eliminado de la base
de datos de la entidad emisora
suceso 800
de datos de certificados.
de certificados
Cualquier entrada que no coincida con los registros de control de cambios se debe investigar
inmediatamente. Investigue los sucesos de error as como los correctos ya que pueden indicar un
intento de poner en peligro la seguridad. Puede optar por la creacin de alertas que se activen por
algunos de estos sucesos para que se indiquen en las consolas de supervisin de operaciones. Por
ejemplo, si no tiene previsto cambiar la directiva de auditora de la entidad emisora de certificados si
todo va con normalidad, puede configurar el sistema de supervisin operativa para que genere una
alerta si el identificador de suceso 780 se registra alguna vez en una entidad emisora.
Auditar la PKI
Debe llevar a cabo una auditora peridica de la PKI para garantizar que funciona del modo previsto.
Aunque la tarea anterior, Revisar los registros de auditora en busca de incidentes de seguridad, puede
formar parte de esta auditora, no se deben confundir ambas. Una auditora est pensada para
confirmar que un sistema funciona segn la directiva y las directrices que cubren dicho sistema y para
descubrir cualquier caso de incumplimiento de la directiva.
No obstante, esta tarea no est pensada para cubrir requisitos de auditora legales o normativos. Si
tiene que atenerse a estndares de auditora externos, debe consultar a su auditor u otro profesional
cualificado para obtener consejo.
Frecuencia
Cada ao (la frecuencia puede variar segn los requisitos normativos, los estndares especficos de la
organizacin y otros factores)
61
Puede requerir la pertenencia a auditores de entidad emisora de certificados y a administradores

locales en las entidades emisoras y a administradores de PKI de empresa en el dominio
La auditora de los sistemas de seguridad de la informacin es una disciplina especializada y en este
documento no se puede tratar en profundidad. Sin embargo, en la siguiente lista se detallan algunas
cuestiones que una auditora de PKI debe incluir.
La prctica actual cumple con la directiva de certificados de PKI, la Orden de prcticas de
certificacin, si dispone de ella, y la directiva de seguridad de informacin de su organizacin.
Los cambios en la configuracin de PKI (indicados en el registro de administracin de la
configuracin) tienen una peticin de cambio y un registro de aprobacin correspondientes.
Los titulares de certificados KRA siguen siendo vlidos y pueden desempear su funcin (por
ejemplo, no se han transferido a otro departamento).
El personal operativo dispone de los conocimientos y la experiencia adecuados para dar soporte a la
PKI (revise las necesidades de formacin).
El personal sigue asignado a las funciones administrativas correctas (si el personal cambia de puesto,
su capacidad administrativa debe cambiar en consecuencia).
Los titulares de tarjeta de clave y de operador de HSM son vlidos (por ejemplo, no han abandonado
la compaa), pueden desempear su funcin y las tarjetas son seguras y funcionales.
Las tendencias de capacidad se deben comprobar peridicamente para garantizar que una entidad
emisora de certificados tiene recursos suficientes. Esto slo es importante para entidades emisoras de
certificados y, en concreto, para entidades emisoras que se utilizan exhaustivamente.
Frecuencia
Cada ao
Pertenencia a administradores locales en las entidades emisoras de certificados
Aunque las alertas de supervisin operativa deben advertirle si se estn alcanzando los lmites de
capacidad de un recurso, como espacio en disco o memoria, con frecuencia no se reciben suficientes
advertencias de ellas para planear correctamente las necesidades de capacidad. Por lo tanto, debe
revisar peridicamente las tendencias de capacidad de la entidad emisora de certificados. La
descripcin en profundidad del diseo de la capacidad queda fuera del alcance de este documento. Si
dispone de un experto en diseo de la capacidad en su organizacin, debe utilizarlo como ayuda para
administrar las necesidades de recursos de las entidades emisoras de certificados.
Las siguientes directrices le resultarn tiles.
Asegrese de que las entidades emisoras de certificados disponen de capacidad suficiente para el uso
proyectado durante los dos primeros aos (consulte Calcular las posibles restricciones de capacidad
de la entidad emisora de certificados).
Utilice la herramienta Registros y alertas de rendimiento de Windows para crear una medida de
referencia de las entidades emisoras de certificados antes de ponerlas en produccin.
Efecte mediciones de rendimiento actualizadas cada tres meses durante el primer ao de
funcionamiento hasta que perciba las tendencias de crecimiento de los requisitos de recursos. Tras
ello, puede reducir la frecuencia.
Asegrese de que en el diseo tiene en cuenta las nuevas aplicaciones de certificados que se vayan
incorporando. stos deben ser los factores de crecimiento ms importantes y producirn aumentos
repentinos en la demanda de recursos en vez de un crecimiento lineal suave.
Capacidad de disco, rendimiento de disco y capacidad de memoria son las reas en las que es ms
probable padecer restricciones de capacidad.
62
Asegrese de configurar alertas operativas razonables de los recursos fsicos de la entidad emisora de
certificados para recibir advertencias tempranas de escasez de capacidad, aunque sus previsiones no
prevean dicha escasez.
Administracin de la base de datos y la configuracin de la entidad emisora de certificados
En esta seccin se tratan las tareas de administracin del almacenamiento, como la realizacin de
copias de seguridad, la prueba de copias de seguridad y el archivo de registros.
Realizar copias de seguridad de una entidad emisora de certificados sin conexin
El propsito de esta tarea es crear copias de seguridad de las claves privadas y los certificados de la
entidad emisora de certificados, la base de datos de certificados y la informacin de configuracin de
Servicios de Certificate Server. La informacin de configuracin de Servicios de Certificate Server
incluye la configuracin del sistema operativo y otra informacin de estado de la que depende la
entidad emisora de certificados.
Frecuencia
Cada vez que se emita un nuevo certificado (entidad emisora de certificados subordinada) o se revoque
Pertenencia a operadores de copia de la entidad emisora de certificados
Una entidad emisora de certificados sin conexin normalmente slo emite unos pocos certificados, por
lo que el tamao de los datos nunca ser grande. Asimismo, los datos cambian con muy poca
frecuencia, posiblemente slo una vez cada varios aos. Una entidad emisora de certificados sin
conexin tambin requiere algn dispositivo de copia de seguridad local, como una unidad de cinta o
una entidad emisora en la que se pueda escribir.
Precaucin: si utiliza un HSM, este procedimiento puede hacer una copia de seguridad del material de
claves cifradas (segn el modo de funcionamiento del HSM), pero las claves copiadas no se podrn
utilizar en un equipo restaurado sin un HSM y claves de acceso al HSM idnticos. Siga las instrucciones
del proveedor del HSM para hacer una copia de seguridad y proteger el material de claves y las claves
de acceso.
Para hacer una copia de seguridad de una entidad emisora de certificados sin conexin
1 Ejecute el siguiente comando para hacer una copia de seguridad de los datos de la entidad
. emisora de certificados en el archivo temporal C:\CABackup\CABackup.bkf, que se puede copiar
en un medio extrable, como un DVD grabable.
ntbackup backup systemstate /R:yes /F C:\CABackup\CABackup.bkf /J "CA Full Backup" /L:s /V:yes
2 Si va a almacenar los datos en una unidad de cinta local, ejecute el siguiente comando para
. hacer una copia de seguridad de la entidad emisora en la cinta Copia de seguridad de la
entidad emisora de certificados.
ntbackup backup systemstate /R:yes /t "CA Backup /J "CA Full Backup" /L:s /V:yes
Precaucin: estos datos de copia de seguridad son extremadamente confidenciales porque contienen
el material de claves privadas de la propia entidad emisora de certificados (si no utiliza un HSM). Debe
transportarlos y almacenarlos con el mismo cuidado y seguridad que la entidad emisora de certificados.
Almacene los datos de la copia de seguridad en un sitio fsico distinto al de la entidad emisora de
certificados. De este modo podr recuperar la entidad emisora si se destruyen todos los equipos
informticos del sitio o no se puede tener acceso a ellos.
Realizar copias de seguridad de las claves y certificados de la entidad emisora de
certificados
63
Se debe hacer una copia de seguridad de los certificados y las claves de la entidad emisora de
certificados independientemente de la base de datos de certificados as como de sta. Las claves
privadas y los certificados de la entidad emisora de certificados pueden ser necesarios para firmar una
CRL si se produce un error en el servidor de la entidad emisora y no se puede recuperar con el tiempo
suficiente.
Frecuencia
Anualmente o cada vez que se renueve el certificado de entidad emisora de certificados, lo que se
produzca en primer lugar
Pertenencia a operadores de copia de la entidad emisora de certificados
Las claves y los certificados de la entidad emisora de certificados slo ocupan unos pocos kilobytes de
almacenamiento y, por lo tanto, se pueden guardar en un disco. Esta tarea se aplica a la entidad
emisora de certificados raz y a todas las intermedias y emisoras de la organizacin. Si va a hacer una
copia de seguridad de las claves en un medio de almacenamiento de larga duracin como un CD o
DVD, no tiene que hacerla anualmente. Si utiliza un medio magntico, como disquetes o cintas, debe
hacer una copia de seguridad de las claves y los certificados anualmente as como despus de una
renovacin del certificado de entidad emisora de certificados. La seal grabada en medios magnticos
se deteriora con el tiempo, en concreto si se exponen a campos elctricos. Aunque pueden pasar
muchos aos antes de que se deterioren hasta el punto de ser ilegibles, es mejor ser precavido.
Precaucin: si utiliza un HSM, este procedimiento no funciona del modo indicado. Siga las
instrucciones del proveedor del HSM para hacer una copia de seguridad y proteger el material de
claves y las claves de acceso.
Para exportar los certificados y las claves a un disco
1 Inserte un disco extrable y ejecute el siguiente comando; reemplace Contrasea por una
. contrasea de alta seguridad y CarpetaDestino por el nombre de la ruta de acceso donde se
almacenarn las claves y los certificados guardados.
certutil -backupKey -p Password TargetFolder
Importante: registre y almacene esta contrasea de forma segura pero en un lugar distinto del
que se almacenarn las copias de seguridad de las claves. El registro de contrasea debe indicar
de un modo claro la copia de seguridad (etiqueta de disco, fecha y nombre de la entidad emisora
de certificados) con la que se relaciona. Pueden pasar muchos meses o aos antes de necesitar
estas claves y es poco probable que nadie se acuerde de la contrasea que se utiliz. Asegrese
de destruir los dems registros de esta contrasea. No utilice una contrasea comn que
conozca el personal de administracin.
2 Haga, como mnimo, dos copias de seguridad independientes en discos distintos (los discos no
. siempre son completamente confiables). Asigne una etiqueta y una fecha claras a los discos
segn resulte apropiado, teniendo en cuenta el tiempo que puede pasar antes de que se vuelvan
a necesitar.
3 Almacene el disco de forma adecuada. Al igual que con las copias de seguridad de la base de
. datos de la entidad emisora de certificados, trate estas copias de seguridad de claves con la
mxima seguridad. Almacene al menos dos copias de seguridad de los certificados y las claves
en dos ubicaciones seguras independientes.
Probar las copias de seguridad de la base de datos de la entidad emisora de certificados
64
Este procedimiento prueba las copias de seguridad de la entidad emisora de certificados para
garantizar que el proceso y la tecnologa de copia de seguridad funcionan correctamente. Slo debe
restaurar una entidad emisora de certificados en un equipo que sea de la misma confianza que la
entidad emisora. Por ejemplo, no restaure una entidad emisora de certificados sin conexin en un
equipo con conexin. El equipo utilizado para la restauracin de prueba debe ser fsicamente seguro y,
lo que sera ideal, permanentemente sin conexin.
Frecuencia
Antes de que la entidad emisora de certificados sea operativa; despus, cada tres meses para las
entidades emisoras con conexin y una vez para las entidades emisoras sin conexin. Vuelva a realizar
la prueba siempre que se produzca un cambio en la tecnologa o el proceso de copia de seguridad.
Pertenencia a administradores locales u operadores de copia en el equipo de prueba
Debe restaurar la copia de seguridad de estado del sistema en un sistema con un diseo de discos
idntico. Por ejemplo, Windows se debe instalar en la misma ruta de acceso de directorio que el
sistema del que se ha hecho la copia de seguridad y con el mismo diseo de unidades para almacenar
los archivos de Windows, como los archivos de paginacin. La base de datos y los registros de la
entidad emisora de certificados deben ser los mismos que la entidad emisora original de la que se ha
hecho la copia de seguridad.
Advertencia: el servidor de prueba restaurado debe permanecer sin conexin desde el momento en
que se inicie la restauracin del estado del sistema. De este modo se impide que las claves de la
entidad emisora de certificados restaurada se expongan innecesariamente y, adems, se evita que se
produzcan conflictos de nombres y direcciones IP duplicados entre el servidor de prueba y el original.
Una entidad emisora de certificados sin conexin nunca se debe probar o restaurar en un servidor con
conexin.
Importante: si utiliza un HSM, este procedimiento no ser suficiente para restaurar la entidad emisora
de certificados por completo. Segn el funcionamiento del HSM, el equipo restaurado no se podr
utilizar sin un HSM y claves de acceso de HSM idnticos. Puede ser suficiente para una prueba normal,
pero debe realizar peridicamente una restauracin completa con recuperacin de HSM para garantizar
que los procedimientos y la tecnologa de copia de seguridad funcionan correctamente. Siga las
instrucciones del proveedor del HSM para hacer una copia de seguridad, restaurar y proteger el
material de claves y las claves de acceso.
Para restaurar la entidad emisora de certificados
1 Restaure la copia de seguridad del estado del sistema del medio de copia de seguridad.
.
2 Reinicie el sistema.
.
3 Compruebe que todo se ha realizado del modo previsto. Pruebe con la emisin de un certificado
. y una CRL.
4 Limpie el servidor de prueba (o, como mnimo, las claves de la entidad emisora de certificados)
. al final de la prueba.
Importante: si decide eliminar nicamente las claves (en vez de limpiar el servidor), ejecute el
comando cipher para borrar las partes no asignadas del disco.
Cipher /W:%AllUsersProfile%
65
Debe ser miembro del grupo Administradores local para realizar esta operacin. Se utiliza la ruta de
acceso %allusersprofile% para que el comando cipher funcione en la unidad que contiene el
material de claves. No tiene que realizar esta operacin si utiliza HSM.
Probar las copias de seguridad de las claves de la entidad emisora de certificados
Compruebe las copias de seguridad de las claves de la entidad emisora de certificados para asegurarse
de que son vlidas, en caso de que se necesiten alguna vez.
Frecuencia
Cada seis meses para las entidades emisoras de certificados; cada ao para las entidades emisoras sin
conexin
Pertenencia a administradores locales en el equipo de prueba
Puede instalar las claves y los certificados de la entidad emisora de certificados en cualquier sistema
(aunque, debido a la naturaleza extremadamente confidencial de estas claves, se debe realizar en un
sistema fsicamente seguro y sin conexin). Para garantizar que todos los rastros del material de claves
se quitan del equipo, cree una cuenta de usuario local independiente y temporal en el equipo dedicado
a este propsito.
Precaucin: si utiliza un HSM, este procedimiento no funcionar. Siga las instrucciones del proveedor
del HSM para hacer una copia de seguridad, restaurar y proteger el material de claves y las claves de
acceso.
Para restaurar las claves de la entidad emisora de certificados
1 Asegrese de que el equipo se ha desconectado de la red, inicie la sesin como miembro de
. administradores locales y, a continuacin, cree la cuenta de usuario PruebaClavesCA.
2 Inicie sesin con esta cuenta.
.
3 Inserte el disco que contiene la copia de seguridad de las claves de la entidad emisora de
. certificados que se probarn.
4 Utilice el Explorador de Windows para desplazarse al archivo de claves .P12 y haga doble clic en
. l. Se iniciar el Asistente para importacin de certificados.
5 Escriba la contrasea cuando se le pida y no active las casillas de verificacin para asignar una
. alta proteccin a las claves ni convertirlas en exportables.
6 Haga clic en Colocar todos los certificados en el siguiente almacn, haga clic en Examinar
. y, a continuacin, seleccione Almacn personal como la ubicacin donde se restaurarn las
claves de la entidad emisora de certificados.
7 Abra el complemento Certificados de MMC y busque Almacn personal. Busque el certificado
. de la entidad emisora de certificados restaurada y, a continuacin, bralo para comprobar que
dispone de una clave privada correspondiente. Debe aparecer indicado en la parte inferior de la
ficha General.
Repita este proceso para cada clave y certificado de la entidad emisora de certificados actual.
Para probar las claves restauradas
1 Obtenga una CRL o un certificado emitido por la entidad emisora de certificados que est
. probando. La CRL o el certificado deben corresponder a la clave y certificado de entidad emisora
que est probando cuando restaure varias claves.
2 En funcin de si ha elegido una CRL o un certificado en el paso anterior, ejecute el comando
. correspondiente de los siguientes y sustituya el nombre del archivo obtenido en el paso 1 en
NombreArchivoCRL o NombreArchivoCertificado.
66
Certutil -sign CRLFileName.crl NewCRL.crl

Certutil -sign CertFileName.cer NewCertFile.cer
3 Cuando se le pida, seleccione el certificado de entidad emisora de certificados (importado en el
. procedimiento anterior) como el certificado de firma.
4 Despus de haber ejecutado el comando certutil apropiado, compruebe que la operacin de firma
. se ha realizado correctamente. El resultado debe ser similar al siguiente:
C:\>certutil -sign "Contoso Issuing CA 111.crl" "Contoso Issuing CA 111xxs.crl"
ThisUpdate: 2/10/2003 10:52 PM
NextUpdate: 2/25/2003 3:11 PM
CRL Entries: 0
Signing certificate Subject:
CN=Contoso Issuing CA 111
DC=contoso, DC=com
Output Length = 970
CertUtil: -sign command completed successfully.
Repita este proceso para cada clave y certificado de entidad emisora de certificados que vaya a probar,
mediante una CRL o un certificado firmado por dicha clave.
Debe limpiar las claves del sistema de prueba.
Para limpiar las claves del sistema
1 Inicie la sesin como miembro de administradores locales y elimine el perfil de usuario de la
. cuenta PruebaClavesCA mediante Propiedades avanzadas en Mi PC.
2 Elimine la cuenta PruebaClavesCA.
.
3 Borre de forma segura las reas no asignadas del disco para quitar permanentemente los rastros
. de las claves; para ello, ejecute el siguiente comando.
Nota: al especificar %allusersprofile% como la ruta de acceso, se garantiza que el comando
cipher.exe funciona en la unidad que contiene los perfiles de usuario. Borra toda la unidad, no slo la
ruta de acceso indicada.
Archivar los datos de auditora de seguridad de una entidad emisora de certificados
Archive y almacene los registros de auditora para cumplir los requisitos legales o normativos, o bien
para cumplir la directiva de seguridad interna. Si dispone de un sistema de consolidacin de sucesos de
auditora, como MOM o Windows Audit Collection System, ya tiene el medio para recopilar y archivar
automticamente los registros de auditora. Para obtener informacin acerca de cmo configurar el
sistema para hacerlo, consulte la documentacin.
Frecuencia
Mensualmente en la entidad emisora de certificados; cada seis meses en las entidades emisoras raz e
intermedias
Pertenencia a auditores de entidad emisora de certificados y administradores locales en la entidad
emisora
67
Para archivar el registro de sucesos de seguridad
1 Inicie la sesin en la entidad emisora con una cuenta que sea miembro de auditores de entidad
. emisora de certificados y administradores locales (cree una cuenta que sea miembro de ambos
grupos).
2 Abra Visor de sucesos; para ello, haga clic en Inicio, Todos los programas y, a continuacin,
. Herramientas administrativas.
3 Seleccione la carpeta de registro Seguridad.
.
4 Haga clic con el botn secundario del mouse para mostrar el men desplegable y, a continuacin,
. haga clic en Guardar archivo de registro como.
5 Guarde el registro en un archivo temporal.
.
6 Cpielo en un medio extrable (como CD-R) y, a continuacin, elimine el archivo temporal.
.
La administracin de la capacidad es el proceso de diseo, cuantificacin y control de la capacidad de la
solucin de servicio, para que la demanda del usuario se satisfaga dentro de los niveles de rendimiento
acordados. Las tareas de esta seccin corresponden al cuadrante de optimizacin del modelo de
proceso de MOF.
Determinar la carga mxima en la entidad emisora de certificados
En esta seccin se proporciona informacin acerca de cmo calcular la carga mxima probable en las
entidades emisoras de certificados.
Aunque las entidades emisoras de certificados normalmente no tienen una carga alta, hay ocasiones en
que las cargas pueden aumentar considerablemente. La mayor carga en una entidad emisora de
certificados normalmente se produce en el momento de mximo uso de inicio de sesin o inicio durante
la implementacin de un nuevo tipo de certificado. De la misma forma, aunque con mucha menos
frecuencia, si ha habido una revocacin de certificados masiva o una revocacin de certificado de
entidad emisora de certificados, los usuarios y los equipos que se vuelvan a inscribir provocarn un uso
mximo anmalo.
Las pruebas internas de Microsoft han mostrado que, para una entidad emisora de certificados de
empresa tpica, el cuello de botella de rendimiento en los momentos de carga alta se debe a la
interaccin con Active Directory. La tarea de firmar y emitir certificados es relativamente ligera en
comparacin con la sobrecarga de realizar bsquedas en el directorio para recuperar informacin de
sujetos de certificado y, a continuacin, publicar posiblemente el certificado en Active Directory.
En un escenario tpico de carga mxima, se ha habilitado un nuevo tipo de certificado y todos los
usuarios y equipos tienen que inscribir certificados de este tipo.
Nmero de usuarios: 10,000
Nmero de equipos: 10,000
Velocidad de emisin mxima aproximada de una entidad emisora de certificados de empresa: 30
certificados por segundo o 1.800 certificados por minuto.
Esto da como resultado un tiempo de inscripcin mnimo total de 11 minutos para 10.000 usuarios y
10.000 equipos.
Importante: si el certificado que se est emitiendo tambin se publica en el directorio (no es el
comportamiento predeterminado y normalmente se requiere para los certificados de cifrado de correo
68
electrnico), la velocidad de emisin mxima desciende a 15 certificados por segundo, lo que duplica el
tiempo total de inscripcin para dicho tipo de certificado.
Puede determinar cul podr ser la carga mxima de inscripcin para su organizacin mediante estas
cifras y, a continuacin, calcular la duracin total de inscripcin. Si el tiempo es inaceptablemente largo
y no puede escalonar la inscripcin en modo alguno, considere la posibilidad de implementar entidades
emisoras de certificados adicionales para distribuir la carga. Se deben implementar como sitios de
Active Directory independientes para que utilicen controladores de dominio independientes.
Determinar los requisitos de almacenamiento y copia de seguridad para una entidad emisora
de certificados
Esta tarea permite calcular los requisitos de almacenamiento futuros para el almacenamiento en discos
en lnea y copia de seguridad sin conexin. Para instalaciones grandes, proporcionar almacenamiento
con el tamao y el rendimiento adecuados supone el mayor reto de administracin de capacidad para
las entidades emisoras de certificados de Windows.
Las cifras de capacidad indicadas en esta tarea se basan en los siguientes supuestos.
Una poblacin de 10.000 usuarios, 10.000 equipos y 500 servidores.
Se emiten cinco certificados al ao para cada usuario y equipo; cada certificado tiene un perodo de
validez de un ao.
Hay picos ocasionales cuando un nuevo tipo de certificado aparece en lnea y se inscriben
prcticamente todos los usuarios (o equipos) en un solo da.
Se emiten certificados de correo electrnico seguros a los usuarios; ste es el nico tipo de
certificado que se publica en Active Directory.
La inmensa mayora de los certificados se emiten durante los das laborables.
Cada da se realiza una copia de seguridad completa de la base de datos, lo que trunca los registros
de base de datos.
Cada entrada de certificado ocupa un promedio de 20 KB en la base de datos de la entidad emisora
de certificados; el tamao promedio es de 32 KB si la clave privada se archiva con el certificado.
Cada certificado publicado en el directorio ocupa aproximadamente 1,5 KB en la base de datos de
Active Directory, mediante claves de 1024 bits.
Una entrada de CRL ocupa aproximadamente 30 bytes. Como mximo, se revocar
aproximadamente el 10 por ciento de los certificados emitidos. Los certificados revocados fuera de su
perodo de validez no se incluyen en la CRL.
En la tabla 21 se muestran las cifras de capacidad previstas para el mismo tamao de organizacin.
Algunas de las cifras mximas representan el peor de los casos, o casi, en el que todos los usuarios se
inscriben automticamente en un nico tipo de certificado en un solo da. Puede reducir estos picos si
distribuye la inscripcin de certificados en un perodo mayor.
Tabla 21: Cifras de capacidad para almacenamiento y copia de seguridad
Elemento de
capacidad
Certificados
Requisito de
almacenamiento
Notas
Tamao de la base
Cada ao se agregan
La base de datos de
Conocer el tamao de la base
de datos de la
100.000 certificados a certificados crecer 2 GB
de datos de la entidad
entidad emisora de la base de datos.
por ao y alcanzar 10 GB emisora de certificados es
certificados
al cabo de 5 aos.
fundamental en el diseo de
los requisitos de
almacenamiento en disco y
copia de seguridad.
69
Elemento de
capacidad
Certificados
Requisito de
almacenamiento
Notas
Tamao del
Cada da se emite un
Los registros crecern
Es poco probable que vea
registro de la base
promedio de 4.000
hasta un mximo de 200
una distribucin sin
de datos de la
certificados; el valor
MB durante los perodos
problemas a lo largo del ao,
de mximo uso, pero el
por lo que debe tener en
entidad emisora de mximo es 10.000

certificados
certificados en un da. promedio es de 8 MB cada cuenta los perodos de

da antes de que los
mximo uso.
trunque la copia de
seguridad.
Tamao de CRL
En un momento
El tamao de la CRL
El tamao y la frecuencia de
determinado, 100.000 completa ser de 300 KB
publicacin de la CRL son
certificados estn en
importantes debido a que
(normalmente se emite
su perodo de validez; una vez a la semana).
cada cliente tiene que
10.000 certificados
Las diferencias entre listas recuperar una copia de una
estarn en la CRL.
CRL diarias tendrn un
ubicacin de red. Esto resulta
tamao mximo de 6 KB.
muy importante para los

clientes remotos conectados
mediante lneas lentas.
Tamao de la base
Cada ao se emiten
Esto aumenta el tamao
de datos de Active
10.000 certificados de de la base de datos del
al tamao de la base de
Directory
correo electrnico.
datos de Active Directory y al
directorio en 15 MB.
Los certificados slo afectan
trfico de replicacin si se
publican en el directorio.
Trfico de
Se supone el peor de
Esto provoca 15 MB de
El nico factor importante
replicacin de
los casos en que se
trfico de replicacin en
que contribuye al trfico de
Active Directory
produce un pico de
todos los controladores de replicacin es la publicacin
10.000 certificados en dominio, un promedio de
de certificados en el
un da durante 8
directorio.
4 Kbps.
horas.
El tamao de la base de datos de la entidad emisora de certificados y el de los registros de base de
datos ofrecen una gua para el almacenamiento necesario para las copias de seguridad completas y
diferenciales. En la tarea Configurar la copia de seguridad de la base de datos de la entidad emisora de
certificados se proporcionan clculos de ejemplo del tiempo necesario para hacer la copia de seguridad.
Es importante administrar el cambio de la infraestructura de TI. Administrar el cambio significa seguir
un ciclo controlado de diseo y preparacin, documentacin y, finalmente, publicacin del cambio.
Seguir este ciclo ayuda a minimizar las consecuencias imprevistas de un cambio en el entorno y,
adems, permite invertir el cambio ms fcilmente si tiene que hacerlo. Grabar los cambios que realice
en la PKI en una base de datos de administracin de configuracin ayuda a mantener el entorno en un
estado conocido.
70
En esta seccin son importantes tres funciones. Se definen con ms detalle en la documentacin del
modelo de MOF correspondiente al cuadrante de cambios.
La administracin de cambios es el proceso de planear el cambio y preparar el entorno.
La administracin de versiones es la implementacin del cambio en el entorno.
La administracin de la configuracin es la grabacin exacta del estado del entorno de TI.
Administracin de cambios y de versiones
Administracin de cambios
La administracin de cambios resulta fundamental para el funcionamiento sin problemas del entorno de
TI. Un cambio normalmente se define como algo que modificar el entorno de TI de un modo
sustancial; por ejemplo, la implementacin de un nuevo tipo de certificado, la actualizacin de un
sistema operativo o la retirada de una entidad emisora de certificados. Por otro lado, una operacin
como la realizacin de una copia de seguridad programada, aunque tcnicamente cambia el entorno,
normalmente no se considera un cambio segn estos trminos. Otros elementos resultan ms
controvertidos: agregar una cuenta de usuario al dominio se puede considerar una operacin rutinaria,
pero conceder privilegios administrativos a una cuenta con toda probabilidad debe pasar por un
proceso de administracin de cambios.
Un objetivo clave del proceso de administracin de cambios es garantizar que todas las partes
afectadas por un determinado cambio sean conscientes del efecto del cambio inminente y lo
comprendan. Como los sistemas de TI estn fuertemente interrelacionados, cualesquiera cambios que
experimente una parte de un sistema pueden tener un profundo impacto sobre otros. Con el fin de
mitigar o eliminar los efectos adversos, la administracin de cambios intenta identificar todos los
sistemas y procesos afectados antes de que se implemente el cambio. Normalmente, el entorno de
destino o administrado es el entorno de produccin, pero tambin debera incluir a los entornos clave
de integracin, de prueba y de ensayo.
Todos los cambios de la PKI deben seguir el proceso de administracin de cambios de MOF estndar del
siguiente modo:
1 Solicitud del cambio Inicio formal de un cambio mediante el envo de una solicitud de cambio
. (RFC).
2 Clasificacin del cambio Asignacin de una prioridad y una categora al cambio, basndose en
. criterios de urgencia e impacto en la infraestructura o en los usuarios. Esta asignacin afecta a la
rapidez y ruta de implementacin.
3 Autorizacin del cambio Consideracin y aprobacin (o rechazo) del cambio por parte del
. administrador de cambios y la junta de aprobacin de cambios (junta que contiene
representantes de TI y comerciales).
4 Desarrollo del cambio Diseo y desarrollo del cambio; proceso que puede variar
. considerablemente en alcance e incluye revisiones en hitos intermedios clave.
5 Publicacin del cambio Publicacin e implementacin del cambio en el entorno de produccin
. (consulte Administracin de versiones).
6 Revisin del cambio Proceso posterior a la implementacin en el que se revisa si el cambio ha
. alcanzado los objetivos que tena establecidos y en el que se determina si se mantendr el
cambio o se deshar.
Administracin de versiones
El principal inters de la administracin de versiones es facilitar la introduccin de versiones de
software y hardware en entornos administrados de TI. Normalmente, incluye el entorno de produccin
y los entornos administrados previos a la produccin. La administracin de versiones es el punto de
coordinacin entre el desarrollo de la versin y equipo del proyecto, y los grupos de operaciones
responsables de la implementacin de la versin para la produccin.
71
La administracin de versiones es responsable de lo siguiente:

1 Determinar la preparacin de un cambio para su implementacin mediante la evaluacin de si ha
. cumplido todos los criterios de versin requeridos para la organizacin.
2 Preparar la versin: garantizar que se dispone de los recursos correctos, por ejemplo, el equipo
. de TI correcto, personal preparado adecuadamente y suficiente capacidad de red.
3 Coordinar la implementacin de un cambio, que puede incluir una implementacin progresiva a
. un nmero limitado de usuarios.
4 Deshacer el cambio si algo funciona mal.
.
Cambios importantes para una PKI
A continuacin se ofrecen algunos de los cambios que pueden ser necesarios realizar en la PKI y que
deben estar sujetos a los procesos formales de administracin de cambios y de versiones. Tenga en
cuenta que no se trata de una lista exhaustiva.
Instalar una nueva entidad emisora de certificados

Cambiar las directivas de la entidad emisora de certificados
Cambiar las ubicaciones de publicacin CDP y AIA de una entidad emisora de certificados
Cambiar el personal de administracin de la PKI
Agregar, quitar o modificar una plantilla de certificado (incluido el cambio de los permisos de
plantilla)
Cambiar el perodo de publicacin de CRL
Cambiar los KRA de una entidad emisora de certificados
Cambiar la configuracin de auditora o los permisos de una entidad emisora de certificados
Agregar un certificado raz o cruzado de confianza al directorio
Revocar el certificado de una entidad emisora de certificados
Actualizar el sistema operativo de la entidad emisora de certificados
Cambiar el mtodo o la programacin de copias de seguridad
Volver a configurar el hardware de la entidad emisora de certificados
Administracin de la configuracin
La administracin de la configuracin es la identificacin, el registro, el seguimiento y el informe de los
componentes o activos de TI clave denominados elementos de configuracin (CI). La informacin
obtenida y registrada depender del elemento de configuracin especfico pero, con frecuencia, incluir
una descripcin del mismo, la versin, los componentes constituyentes, las relaciones con otros
elementos de configuracin, la ubicacin o asignacin, y el estado actual.
La administracin de la configuracin de la PKI se puede agrupar en cinco reas principales.
Configuracin de PKI de empresa: informacin comn almacenada en Active Directory
Configuracin de plantillas de certificado: detalles de configuracin de todas las plantillas activas
Configuracin de la entidad emisora de certificados: detalles de configuracin especficos de la
entidad emisora
Grupos de administracin de entidad emisora de certificados y de PKI: detalles de los grupos de
seguridad y usuarios de administracin de la PKI y los permisos que tienen
Configuracin de cliente: configuracin de valores de usuario y equipo mediante Directiva de grupo
(u otro mtodo)
En las siguientes secciones se describe cada uno de estos elementos con ms detalle y se incluyen
comandos que muestran informacin de configuracin relacionada con dicha rea. Es posible que ya
disponga de una base de datos de administracin de configuracin en su organizacin. Puede llenar
dicho sistema con el resultado de estos comandos (aunque puede que tenga que cambiar el formato
del resultado). Se puede crear una base de datos de administracin de configuracin bsica para la PKI
si se redirige el resultado de estos comandos a archivos de texto. Puede utilizar herramientas de
comparacin de texto, como Windiff del Kit de recursos de Windows, para comparar el contenido de la
nueva configuracin con los registros anteriores y facilitar la deteccin de anomalas.
72
Para obtener ms informacin acerca de la administracin de configuracin, consulte la seccin

Vnculos relacionados.
Recopilar informacin de configuracin de la PKI de empresa
La informacin de configuracin de toda la empresa est almacenada en Active Directory. Se incluye la
publicacin de entidades emisoras de certificados raz de confianza, configuracin de entidades
emisoras de empresa e informacin de anuncios. Tambin se incluyen las plantillas de certificado, pero
se tratan aparte en Recopilar informacin de configuracin de las plantillas de certificado.
Frecuencia
Anualmente o segn se requiera
Pertenencia a usuarios del dominio
Mantener registros de la siguiente informacin almacenada en Active Directory.
Entidades emisoras de certificados raz de confianza
Almacn NTAuth
Servicios de inscripcin (entidades emisoras de certificados de empresa)
Certificados cruzados
CRL publicadas
En los procedimientos siguientes se ofrecen los comandos para recopilar esta informacin. En algunos
de estos comandos, debe reemplazar el nombre completo (DN) de dominio raz de ejemplo
(DC=contoso, DC=com) por el DN de su dominio raz del bosque.
Nota: algunos de los siguientes comandos se muestran en varias lneas para facilitar su impresin,
pero se deben introducir en una sola lnea.
Para mostrar las entidades emisoras de certificados raz de confianza
certutil -store -enterprise Root
Para mostrar los almacenes NTAuth
certutil -store -enterprise NTAuth
Para mostrar las entidades emisoras de certificados de empresa
certutil -dump
Para mostrar los certificados de las entidades emisoras de certificados de empresa actuales
certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key
Services,CN=Services,CN=Configuration,
DC=contoso, DC=com?cACertificate?one?
objectClass=pkiEnrollmentService"
Para mostrar los certificados intermedios y cruzados
certutil -store -enterprise CA
Para mostrar nicamente los certificados de las entidades emisoras intermedias
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration,
DC=contoso, DC=com?cACertificate?one?
objectClass=certificationAuthority"
Para mostrar nicamente los certificados cruzados
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration,
DC=contoso, DC=com?cRossCertificatePair?one?
73
objectClass=certificationAuthority"
Para mostrar las CRL publicadas actualmente
1 Este comando muestra los nombres de servidor de todas las entidades emisoras de
. certificados que han publicado CDP en el contenedor CDP de Active Directory.
dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,DC=contoso,
DC=com" -attr cn -scope onelevel
2 Este comando muestra los nombres comunes de todas las entidades emisoras de certificados
. que han publicado CDP en el contenedor CDP de Active Directory (son los objetos secundarios de
la lista anterior). Tenga en cuenta que una entidad emisora de certificados crear un nuevo CDP
por cada versin de entidad emisora, que se incrementa cada que la entidad se renueva. Se
almacenan como "CACommonName(X)" donde X el nmero de versin de la entidad emisora.
dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, DC=contoso,
DC=com" _
-attr cn filter (objectclass=crlDistributionPoint)
3 Con la informacin anterior, puede mostrar la CRL para un determinado CDP mediante los
. nombres comunes de entidad emisora del paso 2 y los nombres de servidor de entidad emisora
del paso 1. Reemplace CA raz Contoso 1 por el nombre comn de la entidad emisora, RT-CA-01
por el nombre de host de la entidad emisora y DC=contoso, DC=com por el DN de su dominio
raz del bosque.
certutil -store -enterprise "ldap:///cn=Contoso Root CA 1,cn=RT-CA-01,cn=CDP,CN=Public _
Key Services,CN=Services,CN=Configuration, DC=contoso, DC=com?certificateRevocationList?
base?objectClass=cRlDistributionPoint"
Puede escribir un archivo de comandos (por lotes) para automatizar estos comandos con el fin de
simplificar su ejecucin.
Recopilar informacin de configuracin de las plantillas de certificado
Las plantillas de certificado se almacenan en Active Directory. Conserve un registro de la configuracin
de cada plantilla y los permisos de inscripcin de certificado que se utilizan para cada una.
Frecuencia
Usuarios del dominio
Los siguientes comandos se utilizan para recopilar esta informacin.
Nota: es posible que algunos comandos se muestren en varias lneas para facilitar su impresin, pero
se deben introducir en una sola lnea.
Para generar una lista de las plantillas configuradas en Active Directory
Certutil -template
Para volcar la configuracin de estas plantillas
Certutil dsTemplate
Para volcar los permisos de una plantilla
Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key
Services,cn=Services,cn=Configuration,DC=contoso, DC=com"
74
No existe ninguna herramienta que exporte los permisos de plantilla completos en un formato de fcil
lectura. Dsacls.exe muestra los permisos de una plantilla. Sin embargo, la versin actual no muestra el
permiso "Inscripcin automtica" de los derechos extendidos, aunque s muestra "Inscripcin" y los
dems permisos de los derechos extendidos. Esto significa que debe mantener un registro de los
permisos "Inscripcin automtica" manualmente. Por otro lado, puede escribir una secuencia de
comandos o una herramienta con la Interfaz de servicios de Active Directory (ADSI) para leer y
mostrar todos los permisos correctamente.
Recopilar informacin de configuracin de la entidad emisora de certificados
En esta seccin se trata la informacin de configuracin almacenada en cada entidad emisora de
certificados y, en el caso de las entidades emisoras de empresa, la informacin almacenada en Active
Directory.
Frecuencia
Administradores locales de la entidad emisora de certificados
Mantener registros de la siguiente informacin.
Informacin del Registro de la entidad emisora de certificados
Informacin del certificado de entidad emisora de certificados
Permisos de la entidad emisora de certificados
Plantillas asignadas a la entidad emisora de certificados
Orden de prcticas de certificacin (CPS) de entidad emisora de certificados
Los siguientes comandos se utilizan para recopilar esta informacin.
Para mostrar la informacin del Registro de la entidad emisora de certificados
certutil -getreg
certutil -getreg CA
Para mostrar el certificado de entidad emisora de certificados actual (ms reciente)
certutil -f -ca.cert %temp%\CAcert.cer > nul && certutil -dump %temp%\CACert.cer
No hay ninguna herramienta que vuelque los permisos de la entidad emisora de certificados en una
forma que pueda ser utilizable. Mantenga un registro de esta informacin manualmente.
Para mostrar las plantillas asignadas actualmente a esta entidad emisora de certificados
certutil -CATemplates
El archivo de CPS de la entidad emisora de certificados se debe mantener con el control de versin
adecuado para que resulte fcil identificar y recuperar la CPS que estaba efectiva en un determinado
momento.
Recopilar informacin de los grupos de administracin de la entidad emisora de certificados
y de la PKI
La pertenencia a los grupos de administracin de la PKI es una informacin de configuracin
importante ya que estos grupos tienen control sobre todos los aspectos de las entidades emisoras de
certificados y la informacin de PKI de empresa.
Frecuencia
Usuario de dominio
75
Por cada grupo de administracin de la PKI y la entidad emisora de certificados, enumere y registre los
miembros actuales. Si alguno de los miembros es un grupo (se indica mediante un asterisco antes del
nombre), enumere los miembros de dichos grupos de uno en uno hasta que tenga una lista de usuarios
de todos los miembros de los grupos de la PKI.
Los grupos predeterminados son:
Administradores de PKI de empresa

Administradores de entidad emisora de certificados
Auditores de entidad emisora de certificados
Operadores de copia de entidad emisora de certificados
Puede incluir Administradores de empresa en esta lista ya que los miembros de este grupo pueden
desempear todas las funciones de los administradores de PKI de empresa. Si ha creado grupos de
administracin adicionales, inclyalos tambin.

Para enumerar los miembros de cada grupo
1 Ejecute el siguiente comando en un equipo del dominio y reemplace nombreGrupo por el grupo
. cuyos miembros se enumerarn.
net groups groupname /domain
2 Ejecute el siguiente comando en cada entidad emisora de certificados sin conexin y reemplace
. nombreGrupo por el grupo cuyos miembros se enumerarn.
net localgroup groupname
Recopilar informacin de configuracin de los clientes de certificado
Esta tarea hace referencia a la informacin de configuracin de cliente implementada mediante
Directiva de grupo. Si utiliza otro mecanismo (por ejemplo, SMS o secuencias de comandos de inicio de
sesin) para implementar configuracin de cliente relacionada con la PKI, documntelo aqu tambin.
Frecuencia
Active Directory con permisos para administrar GPO
Utilice la Consola de administracin de directivas de grupo (GPMC) o el GPO Conjunto resultante de
directivas de MMC para recopilar y enumerar la informacin de configuracin de clientes de PKI. Para
obtener ms informacin acerca de cmo obtener y utilizar GMPC, consulte la seccin Vnculos
relacionados.
La solucin de problemas y el soporte se incluyen en el cuadrante de soporte de MOF. Los
procedimientos de soporte son tareas reactivas diseadas para restaurar el servicio de PKI a los niveles
previstos. La solucin de problemas forma parte de la administracin de problemas de MOF, que tiene
por objetivo realizar el seguimiento del origen de los errores y solucionarlos donde se produzcan. Las
interrupciones de servicio importantes casi siempre implican ambas funciones de administracin de
servicios.
El cuadrante de soporte de MOF tambin trata el funcionamiento del servicio de asistencia al usuario,
que recibe los informes de errores e inicia los procedimientos de soporte adecuados. La organizacin
de un servicio de asistencia al usuario no se trata en este documento. Para obtener ms informacin,
76
consulte la descripcin del servicio de atencin al usuario en la documentacin del modelo de proceso
de Microsoft Operations Framework.
En esta seccin se enumera una serie de incidentes de soporte comunes o de gran impacto que pueden
afectar a una PKI. Adems, se incluyen procedimientos de soporte que le ayudarn a tratar algunos de
ellos y que no estn documentados en ninguna otra parte.
Esta seccin est estrechamente relacionada con Configurar la supervisin y las alertas. La supervisin
del servicio proporciona la informacin esencial que la que el personal operativo y de soporte puede
detectar problemas. En concreto, los sucesos de alerta descritos en Supervisar la disponibilidad del
servicio indican errores de servicio reales o inminentes que se tratan en esta seccin.
En la tabla 22 se describen muchos de los incidentes de soporte importantes que se pueden producir al
administrar la PKI. La columna Tarea de soporte o referencia enumera uno de los siguientes
elementos:
Una tarea de soporte que se debe realizar (como restaurar la entidad emisora de certificados a partir
de una copia de seguridad). Estas tareas se describen en Tareas de soporte.
Un procedimiento operativo estndar (la aparicin de este tipo de alerta normalmente indica que
falta una tarea de soporte programada). Estas tareas se describen en Funcionamiento de la PKI.
77
Una referencia a solucin de problemas o documentacin de soporte adicional que le ayudarn a

diagnosticar y resolver el problema.
Tabla 22: Incidentes de soporte principales
Incidente
Descripcin
Tarea de soporte o referencia
CRL caducada
No se puede tener acceso a
Compruebe las tareas operativas:
una CRL vlida, lo que
Configurar la entidad emisora de
provoca actualmente una
certificados para publicar CRL en un
prdida de servicio.
servidor Web
Publicar las CRL de una entidad
en el servidor Web
Forzar la emisin de una CRL sin
conexin
Consulte el documento Solucionar
problemas de estado y revocacin de
certificados (en ingls).
CRL vencida
La CRL an es vlida pero

una nueva est vencida y se
debe haber publicado.

servidor Web
en el servidor Web
conexin
CRL no disponible:
La CRL no se puede
Una CRL no est disponible

en un punto de distribucin

recuperar de Active
de CRL. Esto puede provocar
Directory
una prdida de servicio.
servidor Web
La CRL no se puede
recuperar del
servidor Web
en el servidor Web
conexin
El certificado de la entidad
78
Incidente
Descripcin
emisora de certificados ha
est caducado
caducado y est provocando
Este certificado de

Renovar un certificado de entidad
la prdida de servicio.
entidad emisora ha
caducado
El certificado de
entidad emisora
principal ha
caducado
Al certificado de entidad
le queda menos de 1
caducar pronto, por lo que
mes de validez
se producir la prdida de

servicio si no se corrige.
Actualmente slo se emiten
certificados con una duracin
muy breve.
La validez del certificado
Un certificado de entidad
emisora de certificados se
certificados es inferior a
debe renovar cuando alcanza
la mitad de su duracin
la mitad de su perodo de

validez. Esto puede significar

que se estn emitiendo
certificados con una duracin
inferior a la prevista.
El certificado KRA est
Un certificado KRA de la
Consulte el documento Archivo y
caducado
entidad emisora de
administracin de claves en Windows
certificados ha caducado;
Server 2003 (en ingls).
esto impedir que la entidad

emita certificados que
requieran el archivo de
claves.
Al certificado KRA le
El certificado KRA caducar
Consulte el documento Archivo y
queda menos de 1 mes
pronto, por lo que se
administracin de claves en Windows
de validez
producir una posible prdida
Server 2003 (en ingls).
de servicio si no se corrige.
Error en la copia de
Error en la copia de seguridad Compruebe el hardware y el software de
seguridad de la entidad
de estado del sistema de la
entidad emisora de
copia de seguridad que est utilizando.
certificados; posible prdida
79
Incidente
Descripcin
de informacin.
El cliente no puede
Error en la peticin de
Consulte el tema "Solucionar problemas"
inscribirse al certificado
inscripcin de cliente.
de la seccin de Servicios de Certificate

Server de la documentacin de Windows
Server 2003.
El cliente no puede
Error en la peticin de
Consulte el documento Inscripcin
inscribirse
inscripcin automtica de
automtica de certificados en Windows
automticamente al
cliente.
XP (en ingls).
Error del servidor de la
El servidor no est visible en
Compruebe el estado del sistema
entidad emisora de
la red.
operativo y busque un posible error de
certificado
certificados
hardware.
Consulte las tareas en la documentacin
de Windows para:
Reiniciar el servicio de la entidad
Reiniciar el servidor de la entidad
Sistema operativo de la
Problema importante
entidad emisora de
subyacente en el hardware
certificados en estado
del servidor o en Windows.
hardware.
crtico

de Windows para:
Estado de
Problemas subyacentes en el
error/advertencia del
hardware del servidor o en
sistema operativo de la
Windows que no son crticos.
hardware.
entidad emisora de
certificados
de Windows para:
Servicios de Certificate
La interfaz RPC de Servicios
Server sin conexin
de Certificate Server est sin
conexin; los certificados no
hardware.
80
Incidente
Interfaz de cliente
Descripcin
se pueden emitir.

de Windows para:
sin conexin
Interfaz de
administracin sin
conexin

Error del servidor
Daos o error de hardware
permanente
que requieren restauracin.
Consulte la tarea de soporte:

Restaurar la entidad emisora de
certificados a partir de una copia de
seguridad
El certificado hurfano
Tras la restauracin de la
se tiene que revocar
entidad emisora de

certificados a partir de la
copia de seguridad, los
certificados emitidos desde la
ltima copia de seguridad no
estarn en la base de datos.
No se pueden revocar de la
forma habitual.
El servidor no se puede
La CRL o el certificado se
restaurar a tiempo para
tienen que volver a firmar
Restaurar el par de certificado y clave
la emisin de CRL o
con la clave de la entidad
de la entidad emisora de certificados
certificados
emisora de certificados para
en un equipo temporal
ampliar su perodo de validez.
Consulte las tareas de soporte:
Volver a firmar una CRL o certificado

para ampliar su validez
La clave privada del
final est en peligro
certificado se ha perdido,
Consulte la tarea operativa:

revelado o puesto en peligro

de algn modo.
est en peligro
emisora se ha perdido,

Revocar y reemplazar un certificado
de entidad emisora de certificados

de algn modo.
intermedia est en
de entidad emisora de certificados
peligro
intermedia
de algn modo.
81
Incidente
Descripcin
raz est en peligro

de entidad emisora de certificados raz

de algn modo.
Restaurar una clave
La clave privada de un
archivada
usuario se ha perdido o
daado y se tiene que
Consulte la tarea operativa:

Recuperar una clave privada
archivada
restaurar del almacn de

archivo de claves de la
entidad emisora de
certificados.
El cliente no confa en el
certificado raz o no

Publicar los certificados de entidad
puede generar una
emisora de certificados raz sin
cadena a un certificado
conexin
raz de confianza
Publicar los certificados de entidad

emisora de certificados intermedia en
el servidor Web
Consulte el tema "Solucionar problemas"
final no es de confianza
de la seccin de Servicios de Certificate
para autenticar en el
Server de la documentacin de Windows
dominio
Server 2003.
El cliente no se puede
Para obtener ayuda acerca de escenarios
inscribir mediante
avanzados mediante pginas de
pginas de inscripcin
inscripcin en Web, consulte los
en Web
documentos Configurar y solucionar

problemas de Windows 2000 (en ingls) e
Inscripcin en Web de Servicios de
Certificate Server de Windows Server
2003 (en ingls).
Tareas de soporte
Esta seccin contiene informacin detallada de algunas tareas de soporte de PKI que no estn
documentadas completamente en ninguna otra parte.
Restaurar la entidad emisora de certificados a partir de una copia de seguridad
Si no puede iniciar una entidad emisora de certificados debido a un dao grave de software o
hardware, tendr que restaurar el servidor y el material de claves a partir de una copia de seguridad.
Esto significa restaurar una copia de seguridad del estado del sistema y puede requerir la reinstalacin
de Windows.
Frecuencia
Segn se requiera
82
Pertenencia a administradores locales en la entidad emisora de certificados (o a operadores de copia de
la entidad emisora para realizar nicamente la restauracin)
Realice los siguientes pasos para restaurar una entidad emisora de certificados a partir de una copia de
seguridad.
Precaucin: si utiliza un HSM, este procedimiento no funciona del modo descrito. Siga las
Para restaurar una entidad emisora de certificados a partir de una copia de seguridad
1 El sistema operativo se tiene que recuperar en el punto donde sea viable volver a ejecutar
. Servicios de Certificate Server. Esto puede significar la reinstalacin de Windows. Asegrese de
que aplica todos los Service Pack y actualizaciones de seguridad actuales. Durante la
restauracin del estado del sistema se recuperar la configuracin de seguridad y de otro
software.
Advertencia: si la base de datos y los registros de la entidad emisora de certificados no estaban
almacenados en la unidad del sistema, puede que estn intactos aunque no se pueda recuperar
el sistema operativo. Cuando reinstale Windows, no vuelva a crear particiones en las dems
unidades del equipo ni las vuelva a formatear; de este modo, dispondr de la posibilidad de
recuperar los datos creados despus de la ltima copia de seguridad.
2 Si es posible, conserve la base de datos y los registros de la entidad emisora de certificados.
. Cree una copia de seguridad en archivo de estas carpetas antes de restaurar la copia de
seguridad del estado del sistema. Es posible que el error del sistema no haya afectado a la base
de datos ni a los registros. Los registros contienen la informacin necesaria para volver a
ejecutar todas las transacciones en la entidad emisora de certificados que se han producido entre
la ltima copia de seguridad y el error del servidor. Sin embargo, la restauracin de una copia de
seguridad del estado del sistema puede sobrescribir los registros y la base de datos existentes,
por lo tanto, consrvelos antes de iniciar una restauracin del sistema. Si estos archivos an
siguen intactos, puede intentar copiarlos sobre los archivos de la entidad emisora de certificados
antes del paso 3 y, a continuacin, reiniciar el sistema. Si esto no funciona debido a que la base
de datos est daada, vuelva a ejecutar la restauracin del estado del sistema y contine con el
paso 4.
3 Inserte el medio de copia de seguridad con la copia ms reciente de la entidad emisora de
. certificados y restaure el estado del sistema del servidor.
4 Una vez terminada la operacin de restauracin, reinicie el servidor y compruebe que funciona
. del modo previsto.
5 Si dispone de una copia de seguridad diferencial de la entidad emisora de certificados (slo con
. entidades emisoras con conexin), ahora puede restaurar el archivo de copia de seguridad
diferencial ms reciente (es posible que los archivos de la copia de seguridad diferencial ms
recientes todava se encuentren en la carpeta C:\CABackup si el disco no se ha destruido). Una
vez copiados los archivos de la copia de seguridad diferencial en el servidor (cree una carpeta,
por ejemplo C:\CARestore, y cpielos desde el medio de copia de seguridad en esta carpeta),
puede restaurar los registros diferenciales en la base de datos de la entidad emisora de
certificados. Ejecute el siguiente comando en el smbolo del sistema y reemplace la ruta de
acceso C:\CARestore por la ruta de acceso que contiene los archivos de la copia de seguridad
83
diferencial recuperada.
Certutil restore C:\CARestore
Restaurar el par de certificado y clave de la entidad emisora de certificados en un equipo
temporal
Si una entidad emisora de certificados con error no se puede recuperar a tiempo para que emita una
nueva CRL (o renueve un certificado fundamental), tendr que instalar el certificado y las claves de la
entidad emisora en un equipo temporal. A continuacin, en este equipo puede utilizarlos para volver a
firmar y ampliar el perodo de validez de una CRL existente o los certificados emitidos por la entidad
emisora de certificados con error.
Precaucin: si utiliza un HSM, este procedimiento no funciona del modo indicado. Siga las
Frecuencia
Segn se requiera
Pertenencia a administradores locales en el equipo temporal
Esta tarea describe cmo restaurar el certificado y la clave privada de la entidad emisora de
certificados en un equipo local.
Importante: mientras este equipo tenga instalada la clave de la entidad emisora de certificados,
adopte las mismas precauciones que con la entidad emisora. Si va a restaurar la clave de una entidad
emisora de certificados sin conexin, asegrese de que el equipo no est conectado. Considere la
posibilidad de volver a formatear los discos del equipo para eliminar los datos de claves despus de
finalizar esta tarea.
Para restaurar la clave y el certificado de la entidad emisora de certificados en un equipo
temporal
1 Asegrese de que el equipo se ha desconectado de la red. Inicie la sesin como miembro de
. administradores locales y, a continuacin, cree una cuenta de usuario local, FirmanteClaveCA.
2 Inicie sesin con esta cuenta.
.
3 Inserte un disco que contenga la copia de seguridad de las claves de la entidad emisora de
. certificados que se probarn.
4 Utilice el Explorador de Windows para desplazarse al archivo de claves .P12 y haga doble clic en
. l para abrir el Asistente para importacin de certificados.
5 Escriba la contrasea cuando se le pida y no active las casillas de verificacin para asignar una
. alta proteccin a las claves ni convertirlas en exportables.
6 Seleccione Almacn personal como la ubicacin donde se restaurarn las claves de la entidad
. emisora de certificados.
7 Abra el complemento Certificados de MMC y busque Almacn personal. Busque el certificado
. de la entidad emisora de certificados restaurada y, a continuacin, bralo para comprobar
que dispone de una clave privada correspondiente.
Ahora puede llevar a cabo las tareas de nueva firma necesarias con las claves de la entidad emisora de
certificados restaurada. Consulte Volver a firmar una CRL o certificado para ampliar su validez. Cuando
termine, limpie las claves del equipo mediante el siguiente procedimiento (no tiene que realizar esta
operacin si utiliza un HSM).
Para limpiar las claves del sistema
1 Inicie la sesin como miembro de administradores locales y elimine el perfil de usuario de la
84
. cuenta FirmanteClaveCA mediante Propiedades avanzadas en Mi PC.

2 Elimine la cuenta FirmanteClaveCA.
.
3 Borre de forma segura las reas no asignadas del disco para quitar permanentemente los rastros
. de las claves; para ello, ejecute el siguiente comando.
Nota: al especificar %allusersprofile% como la ruta de acceso, se garantiza que Cipher.exe funciona en
la unidad que contiene los perfiles de usuario. Borra toda la unidad, no slo la ruta de acceso indicada.
Volver a firmar una CRL o certificado para ampliar su validez
Si una entidad emisora de certificados no est disponible debido a algn tipo de error del servidor,
puede ampliar la duracin de las CRL o los certificados si vuelve a firmar el archivo de CRL o
certificado. Esto puede resultar esencial para que el servicio o la aplicacin siga funcionando.
Frecuencia
Segn se requiera
Cuenta temporal creada durante la restauracin de claves de entidad emisora de certificados
Volver a firmar un certificado o CRL para ampliar su perodo de validez. De forma predeterminada, se
utiliza el perodo de validez existente y se reinicia desde la fecha de firma (por ejemplo, si el perodo de
validez original de la CRL era de un mes, el nuevo ser de un mes a partir del momento de la nueva
firma). Si se requiere otro perodo de validez, se puede especificar en el comando certutil.
Para volver a firmar una CRL o un certificado
1 Obtenga una copia de la CRL o del certificado que se tiene que volver a firmar.
.
2 Inicie la sesin en un equipo donde se hayan restaurado la clave y el certificado de la entidad
. emisora utilizados para firmar la CRL o el certificado originalmente (consulte Restaurar el par de
certificado y clave de la entidad emisora de certificados en un equipo temporal). Inicie sesin con
la cuenta creada en este procedimiento.
3 Ejecute el siguiente comando y reemplace ArchivoAntiguo.ext por el nombre del archivo de CRL o
. certificado y ArchivoNuevo.ext por el nombre de salida requerido.
Certutil -sign OldFile.ext NewFile.ext
4 Cuando se le pida el certificado con el que se firmar el archivo, seleccione el certificado de
. entidad emisora de certificados.
En el caso de una CRL, se debe publicar ahora en los CDP (consulte los procedimientos de publicacin
de CRL en Funcionamiento de la PKI). Tambin se tendr que publicar un certificado entidad emisora
de certificados en el directorio, en el servidor Web y, posiblemente, en las entidades emisoras
intermedias. Consulte Renovar un certificado de entidad emisora de certificados para obtener
informacin acerca de dnde se tiene que publicar cada certificado de entidad emisora.
Cuando se restaura una entidad emisora de certificados a partir de una copia de seguridad despus de
algn tipo de error del servidor, es posible que los certificados emitidos entre la ltima copia de
seguridad y el error no estn en la base de datos de certificados. Aqu se denominan certificados
"hurfanos". Esto puede suceder si los registros de la entidad emisora de certificados se han destruido
y no se han podido volver a ejecutar en la base de datos de la entidad emisora despus de la
restauracin a partir de la copia de seguridad. En este caso, es imposible revocar ninguno de estos
certificados "hurfanos" mediante el procedimiento normal.
85
Frecuencia
Segn se requiera
Pertenencia a administradores de certificados
Para revocar un certificado hurfano es necesario obtener una copia del certificado que se revocar o el
nmero de serie de dicho certificado.
Para revocar un certificado hurfano
1 Inicie la sesin en la entidad emisora que ha emitido el certificado que se revocar como
. miembro de Administradores de certificados.
2 Si no se puede obtener una copia del certificado, ejecute el siguiente comando para crear un
. certificado ficticio y guardarlo como CertificadoParaRevocar.cer. Reemplace NmeroSerie por
el nmero de serie del certificado que se revocar.
Certutil -sign SerialNumber CertToRevoke.cer
3 Cuando se le pida, seleccione el certificado de entidad emisora actual para firmar el certificado
. ficticio.
4 Despus de crear un certificado ficticio, o si ha podido obtener una copia del certificado real que
. se revocar, tiene que importarlo en la base de datos de la entidad emisora de certificados.
Ejecute el siguiente comando para importar el certificado en la base de datos de certificados.
CertificadoParaRevocar es una copia del certificado real que se revocar o el ficticio creado en los
pasos anteriores.
Certutil -importcert CertToRevoke.cer
5 Siga el procedimiento estndar para revocar un certificado (consulte Revocar un certificado de
. entidad final).
Importante: hay un problema con certutil que impide que se realice la operacin de creacin del
certificado ficticio en Windows Server 2003 anterior a Service Pack 1. En previsin de que esta
funcionalidad se corrija en el futuro, en este documento se incluye este procedimiento. Mientras tanto,
si no puede encontrar una copia del certificado original, un enfoque alternativo consiste en tomar un
certificado existente y, mediante un editor binario, reemplazar el nmero de serie por el del certificado
que se revocar. Este certificado modificado se puede volver a firmar con la siguiente sintaxis.
Certutil -sign ModifiedCert.cer CertToRevoke.cer
A continuacin, el certificado recin creado se puede importar en la base de datos segn las
indicaciones del paso 4.
Revocar y reemplazar un certificado de entidad emisora de certificados
Si la clave privada de una entidad emisora de certificados est en peligro (o se sospecha que pueda
estarlo), revoque el certificado de entidad emisora y emita uno nuevo con un nuevo par de claves.
Advertencia: la revocacin de una entidad emisora de certificados puede constituir un suceso muy
perturbador, que invalida los certificados emitidos por dicha entidad emisora y sus subordinadas. Sin
embargo, si se sigue un procedimiento cuidadoso puede contribuir a minimizar la interrupcin.
Frecuencia
Segn se requiera
Pertenencia al grupo Administradores de certificados en la entidad emisora de certificados y su entidad
principal (intermedia). La pertenencia al grupo Administradores local en la entidad emisora de
certificados es necesaria para renovar el certificado de entidad emisora.
86
Debido a que una entidad emisora de certificados intermedia tiene un perodo de publicacin CRL largo,
la revocacin del certificado de entidad emisora y la publicacin de una nueva CRL dar lugar a que se
produzca un gran retraso entre la revocacin y el momento en que los usuarios de certificado reciben
la notificacin de dicha revocacin. Para garantizar que todos los certificados emitidos anteriormente
por la entidad emisora en peligro se rechazan lo ms pronto posible, todos los certificados que ha
emitido esta entidad emisora tambin se revocan individualmente.
Importante: todos los usuarios de certificados de la entidad emisora revocada tendrn que volver a
inscribirse a nuevos certificados tras este procedimiento.
Para revocar un certificado de entidad emisora y sus certificados emitidos
1 Inicie la sesin en la entidad emisora de certificados como miembro de administradores de
. certificados y abra el complemento Entidad emisora de certificados de MMC.
2 Seleccione todos los certificados de la carpeta Certificados emitidos y, a continuacin, en el men
. Todas las tareas haga clic en Revocar certificado. Seleccione Compromiso de entidad
emisora de certificados para el cdigo de motivo. Es una tarea que exige mucho tiempo si
tiene una gran cantidad de certificados emitidos.
3 En las propiedades de la carpeta Certificados revocados de MMC, aumente el valor de
. Intervalo de publicacin CRL para que coincida con la duracin restante del certificado de
entidad emisora de certificados. De este modo se asegurar de que ser mayor que la duracin
restante de todos los certificados que ha emitido la entidad emisora. Desactive la casilla de
verificacin Publicar diferencias CRL si est activada.
4 En el men Todas las tareas de la carpeta Certificados revocados, haga clic en Publicar y, a
. continuacin, en Lista de revocacin de certificados (CRL) nueva.
5 Inicie la sesin en la entidad emisora de certificados principal como miembro de administradores
. de certificados y abra el complemento Entidad emisora de certificados de MMC.
6 Busque el certificado de entidad emisora que se revocar en la carpeta Certificados emitidos y,
. en el men Todas las tareas, haga clic en Revocar certificado. Seleccione Compromiso
clave para el cdigo de motivo.
7 Siga el procedimiento de operaciones de Publicar las CRL de una entidad emisora de certificados
. sin conexin en el servidor Web para publicar la CRL de la entidad emisora intermedia.
8 Vuelva a la entidad emisora de certificados y siga el procedimiento de operaciones de Renovar un
. certificado de entidad emisora de certificados.
Los usuarios de certificado ahora pueden volver a inscribirse con la entidad emisora renovada. Los
certificados de inscripcin automtica se inscribirn automticamente.
Revocar y reemplazar un certificado de entidad emisora de certificados intermedia
Si la clave privada de una entidad emisora de certificados est en peligro (o se sospecha que pueda
estarlo), revoque el certificado de entidad emisora y emita uno nuevo con un nuevo par de claves.
Advertencia: la revocacin de una entidad emisora de certificados puede constituir un suceso muy
Frecuencia
Segn se requiera
Pertenencia al grupo Administradores de certificados en la entidad emisora de certificados intermedia y
su entidad principal (raz). La pertenencia al grupo Administradores local en la entidad emisora de
certificados intermedia es necesaria para renovar el certificado de entidad emisora.
87
Debido a que una entidad emisora de certificados raz tiene un perodo de publicacin CRL largo, la
revocacin del certificado de entidad emisora intermedia y la publicacin de una nueva CRL dar lugar
a que se produzca un gran retraso entre la revocacin y el momento en que los usuarios de certificado
reciben la notificacin de dicha revocacin. Para garantizar que todos los certificados emitidos
anteriormente por las entidades emisoras subordinadas de la entidad emisora en peligro se rechazan lo
ms pronto posible, todos los certificados que han emitido las entidades emisoras subordinadas
tambin se revocan individualmente.
Importante: todos los usuarios de certificados de la entidad emisora revocada tendrn que volver a
inscribirse a nuevos certificados tras este procedimiento.
Para revocar un certificado de entidad emisora intermedia y sus certificados emitidos
1 Identifique todas las entidades emisoras de certificados que estn subordinadas a la entidad
. emisora intermedia. Revoque dichas entidades emisoras mediante el procedimiento Revocar y
reemplazar un certificado de entidad emisora de certificados, pero no renueve los certificados de
las subordinadas y todava no vuelva a emitir las CRL de las entidades emisoras intermedias.
2 Inicie la sesin en la entidad emisora de certificados raz (principal) como miembro de
. administradores de certificados y abra el complemento Entidad emisora de certificados de
MMC.
3 Busque el certificado de entidad emisora intermedia que se revocar en la carpeta Certificados
. emitidos. En el men Todas las tareas, haga clic en Revocar certificado y, a continuacin,
seleccione Compromiso clave para el cdigo de motivo.
. sin conexin en el servidor Web para publicar la CRL de la entidad emisora raz.
5 Vuelva a la entidad emisora de certificados intermedia y renueve su certificado segn el
. procedimiento de operaciones Renovar un certificado de entidad emisora de certificados.
6 Vuelva a cada entidad emisora de certificados y renueve sus certificados segn el procedimiento
. de operaciones Renovar un certificado de entidad emisora de certificados.
Los usuarios de certificado ahora pueden volver a inscribirse con las entidades emisoras renovadas. Los
Revocar y reemplazar un certificado de entidad emisora de certificados raz
Si la clave privada de una entidad emisora de certificados raz est en peligro (o se sospecha que
pueda estarlo), debe quitar el certificado de entidad emisora de su punto de confianza y revocar todos
los certificados que ella o cualquiera de sus subordinadas hayan emitido. Debe renovar el certificado de
entidad emisora raz y los certificados de todas sus entidades emisoras subordinadas con nuevas claves
y, a continuacin, publicarlos en Active Directory.
Advertencia: la revocacin de la entidad emisora de certificados raz puede constituir un suceso muy
En realidad, no es posible revocar un certificado de entidad emisora raz como tal. A menudo, como
sucede aqu, el certificado de entidad emisora raz no incluye un CDP y, lo que es ms importante, no
tiene sentido que una entidad emisora d fe de su propia revocacin. Tendra que firmar la CRL que
contiene su propio certificado mediante la clave en peligro de dicho certificado.
Frecuencia
Segn se requiera
88
Pertenencia al grupo Administradores de certificados en la entidad emisora de certificados raz. La

pertenencia al grupo Administradores local en la entidad emisora de certificados raz es necesaria para
renovar el certificado de entidad emisora.
Nota: todos los usuarios de certificado tendrn que volver a inscribirse a nuevos certificados despus
de terminar este procedimiento.
Para revocar un certificado de entidad emisora de certificados
1 Identifique todas las entidades emisoras de certificados intermedias que estn subordinadas a la
. entidad emisora raz. Revoque dichas entidades emisoras mediante los procedimientos Revocar y
reemplazar un certificado de entidad emisora de certificados intermedia y Revocar y reemplazar
un certificado de entidad emisora de certificados, pero no renueve los certificados de dichas
entidades emisoras y todava no vuelva a emitir las CRL de la entidad emisora raz.
2 Inicie la sesin en la entidad emisora de certificados raz como miembro de administradores de
. certificados y abra el complemento Entidad emisora de certificados de MMC.
3 Seleccione todos los certificados de la carpeta Certificados emitidos. En el men Todas las
. tareas, haga clic en Revocar certificado y, a continuacin, seleccione Compromiso de
entidad emisora de certificados (CA) para el cdigo de motivo.
4 Aumente el intervalo de publicacin de CRL para que coincida con la duracin restante del
. certificado de entidad emisora. De este modo se asegurar de que ser mayor que la duracin
restante de todos los certificados que ha emitido la entidad emisora.
5 Desactive la casilla de verificacin Publicar diferencias CRL si est activada.
.
. sin conexin en el servidor Web para publicar la CRL de la entidad emisora raz.
7 Realice el procedimiento de operaciones Renovar un certificado de entidad emisora de
. certificados.
8 Vuelva a cada entidad emisora de certificados intermedia y renueve sus certificados segn el
. procedimiento de operaciones Renovar un certificado de entidad emisora de certificados.
9 Vuelva a cada entidad emisora de certificados y renueve sus certificados segn el procedimiento
. de operaciones Renovar un certificado de entidad emisora de certificados.
Los usuarios de certificado ahora pueden volver a inscribirse con la nueva entidad emisora. Los
Resumen
En Administrar una PKI de Windows Server 2003 se ha descrito el modo de establecer y ejecutar un
entorno operativo de una PKI de Windows Server 2003. En la primera parte del documento se ha
tratado el diseo y la implementacin del marco de operaciones en las secciones:
La segunda parte se ha centrado en las tareas esenciales para mantener el funcionamiento de la PKI
sin problemas, tal como se describe en las secciones:
Cada entorno de TI es nico; ninguna gua genrica puede atender completamente las caractersticas
operativas de cada organizacin. No obstante, este documento puede servir como una base slida a
partir de la que puede crear su propio manual de operaciones de PKI personalizado.
89
Si utiliza este documento como punto de partida, estar preparado para adaptarlo a medida que
implemente y mejore su PKI. Tendr que agregar operaciones y procedimientos de soporte que cubran
los usos especficos de PKI en su propia organizacin. Tambin puede optimizar los procedimientos de
este documento si crea secuencias de comandos para algunos de los pasos manuales. Y lo que es ms
importante, examine la eficacia con que los procedimientos funcionan con las prcticas y cultura de su
organizacin de TI y est preparado para modificarlos con el fin de que se adapten mejor. Si las
operaciones son las adecuadas, funcionarn bien, como tambin lo har su PKI.
Vnculos relacionados
Consulte los siguientes recursos para obtener ms informacin.
Prcticas recomendadas para implementar una infraestructura de claves pblicas de Microsoft
Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.
mspx
Kit de implementacin de Microsoft Systems Architecture versin 2.0 (en ingls) en
http://www.microsoft.com/resources/documentation/msa/2/all/solution/enus/msa20ik/vmhtm1.mspx
Gua de generacin de Microsoft Systems Architecture 2.0 (en ingls) en
El captulo de diseo de Servicios de Certificate Server de MSA 2.0 en
El captulo de generacin de Servicios de Certificate Server de MSA 2.0 en
Modelo de proceso y modelo de equipo de Microsoft Operations Framework en
http://www.microsoft.com/technet/itsolutions/techguide/mof/mofpm.mspx y
http://www.microsoft.com/technet/itsolutions/techguide/mof/moftml.mspx
Gua de operaciones de PKI de Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03pkog.
mspx
La versin actual del perfil de proteccin de criterios comunes para los componentes de emisin y
administracin de certificados (en ingls) en
http://niap.nist.gov/cc-scheme/pp/PP_CIMCPP_SL1-4_V1.0.pdf
Archivo y administracin de claves en Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kyacws03.
mspx
Implementacin y administracin de plantillas de certificado en Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.
mspx
Para obtener ms informacin acerca de los problemas de publicacin de CRL, consulte Solucionar
problemas de estado y revocacin de certificados (en ingls) en
http://www.microsoft.com/technet/prodtechnol/WinXPPro/support/tshtcrl.mspx
Para obtener instrucciones de solucin de problemas de Certutil, consulte Utilizar Certutil.exe para
administrar y solucionar problemas de Servicios de Certificate Server (en ingls) en
http://www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp
90
Para obtener la gua definitiva para comprender y solucionar problemas de la inscripcin automtica,
consulte Inscripcin automtica de certificados en Windows XP (en ingls) en
http://www.microsoft.com/WindowsXP/pro/techinfo/administration/autoenroll/default.asp
Para obtener ms informacin acerca de escenarios avanzados que utilizan pginas de inscripcin en
Web, consulte Configurar y solucionar problemas de Windows 2000 e Inscripcin en Web de Servicios
de Certificate Server de Windows Server 2003 (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/webenroll.
mspx
Descargue la secuencia de comandos CAMonitor.vbs de TechNet Script Center en
http://www.microsoft.com/technet/community/scriptcenter/default.mspx
Para obtener ms informacin acerca de las restricciones de capacidad de Servicios de Certificate
Server y los contadores de rendimiento relacionados, consulte el artculo Q146005 de Microsoft
Knowledge Base (en ingls) en
http://support.microsoft.com/default.aspx?scid=146005
Solucin de Microsoft para proteger LAN inalmbricas: una solucin de Servicios de Certificate Server
de Windows Server 2003 (en ingls) est disponible en
http://go.microsoft.com/fwlink/?LinkId=14843
Para obtener informacin acerca de la implementacin de MOM, consulte la Gua de implementacin
del SP1 de Microsoft Operations Manager 2000 (en ingls) en
http://www.microsoft.com/resources/documentation/mom/2000sp1/all/deployguide/enus/10_d0wu1.mspx
Para obtener ms informacin acerca de tareas operativas adicionales, consulte la documentacin en
pantalla de Servicios de Certificate Server de Windows Server 2003 en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_CS_pro
cs_admin.mspx
Acelerador de soluciones de Microsoft para la administracin de revisiones (en ingls) en
http://go.microsoft.com/fwlink/?LinkId=16284
Para obtener ms informacin acerca de cmo obtener y utilizar la consola de administracin de
directivas de grupo, consulte
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
Para obtener una descripcin de los niveles funcionales de dominio de Active Directory, consulte
Funcionalidad de dominio y bosque en la documentacin de Windows Server en:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/proddocs/enus/sag_levels.asp
Para obtener las herramientas de estado de PKI (PKIView.msc) y de recuperacin de claves (krt.exe),
descargue las herramientas del Kit de recursos de Windows Server 2003 en
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96eeb18c4790cffd&DisplayLang=en
Para obtener la informacin ms reciente acerca de Windows Server 2003, consulte el sitio Web de
Windows Server 2003 en
http://www.microsoft.com/windowsserver2003
En http://www.microsoft.com/learning/training/default.asp se encuentra informacin detallada acerca
de los cursos de formacin de Microsoft Official Curriculum.
Apndice A: Descripcin general del diseo de PKI
Este documento se basa en la PKI descrita en el Kit de implementacin de Microsoft System
Architecture versin 2.0 y el documento Prcticas recomendadas para implementar una infraestructura
91
de claves pblicas de Microsoft Windows Server 2003 (en ingls). El diseo de PKI est basado en el de
una compaa ficticia, Contoso.
El escenario de Contoso se describe brevemente aqu. Para obtener una descripcin ms detallada del
diseo y la generacin de la PKI de Contoso, consulte estos documentos. En la siguiente seccin se
enumera la configuracin especfica de la implementacin, que se utiliza en los ejemplos de este
documento.
Diseo de la PKI de Contoso
Contoso es una compaa internacional que ha implementado Active Directory y una PKI de Windows
Server 2003. Contoso tiene una amplia variedad de clientes que ejecutan un miembro de la familia
Windows 2000 o Windows XP Professional. Utiliza una serie de aplicaciones integradas que pueden
aprovechar la PKI de Windows Server 2003, incluida la seguridad de correo electrnico basada en
Extensiones seguras multipropsito de correo Internet (S/MIME), EFS, conexiones VPN de L2TP/IPsec,
acceso inalmbrico 802.1X y servidores Web habilitados para Secure Sockets Layer (SSL). El bosque
Active Directory de Contoso tiene varios dominios y se ejecuta en modo funcional de bosque de
Windows Server 2003. Cada dominio se ejecuta en modo funcional de dominio de Windows Server
2003.
Contoso utiliza una topologa de PKI de tres niveles ya que es la que mejor se adapta a sus
necesidades de seguridad. La gua de operaciones de este documento est modelada a partir de esta
topologa. No obstante, las operaciones son prcticamente idnticas para una jerarqua de dos niveles
ms simple, por lo que este documento resultar til para un amplio espectro de organizaciones.
En la figura 5 se muestra la arquitectura de Servicios de Certificate Server para Contoso S.A.
Figura 5: Diseo de la PKI de Contoso

La entidad emisora de certificados raz independiente de Contoso nunca se conecta a una red y
permanece sin conexin y fsicamente segura. La entidad emisora raz emite y revoca certificados para
las entidades emisoras intermedias de la jerarqua. El certificado y CRL de la entidad emisora de
certificados se publican manualmente y estn disponibles mediante un punto de distribucin HTTP en
su servidor Web de IIS:
La entidad emisora de certificados intermedia est protegida fsicamente y funciona sin conexin, igual
que la raz. En la figura 5 slo se muestra la entidad emisora intermedia, aunque se pueden utilizar
otras en una jerarqua ms completa. Las entidades emisoras de certificados raz e intermedias pueden
ser Windows Server 2003, Standard Edition o Enterprise Edition.
Las entidades emisoras de certificados son las responsables de la inscripcin de certificados para las
entidades finales y estn instaladas como entidades emisoras de empresa. Estos servidores de entidad
emisora estn conectados y disponibles para atender peticiones en cualquier momento. Las entidades
emisoras de certificados son Windows Server 2003, Enterprise Edition.
La administracin de los HSM no se trata en este documento porque los procedimientos varan
considerablemente de un proveedor a otro. Sin embargo, se espera que todas las entidades emisoras
de certificados de la jerarqua estn equipadas con HSM.
Active Directory
Active Directory se utiliza para varias funciones.
Para publicar informacin de confianzas de la PKI de empresa (entidades emisoras raz de confianza,
certificados cruzados, entidades emisoras intermedias)
Para almacenar informacin de configuracin de la PKI de empresa (por ejemplo, plantillas de
92
certificado)
Para publicar listas de revocacin de certificados para las entidades emisoras de certificados
Para actuar como entidad de registro que autoriza los certificados que se emitirn segn la
pertenencia a grupos y las listas de control de acceso (ACL) basadas en directorio
Para, opcionalmente, publicar certificados de entidad final
Servidor Web de IIS
IIS se utiliza para publicar informacin de AIA (certificados de entidades emisoras intermedias
requeridos durante la generacin de la cadena) y listas CRL. Un servidor Web tambin es el mejor lugar
para publicar la Orden de prcticas de certificacin si necesita hacerlo. En funcin de dnde se
encuentren los clientes de certificado, puede necesitar un servidor Web de Internet as como uno
interno para publicar la informacin de PKI.
Diferencias con la orientacin de MSA
Aunque la orientacin de este documento se basa en la PKI de referencia descrita en MSA 2.0, hay
algunas diferencias sutiles, principalmente estticas. La diferencia funcional ms importante es que los
certificados de entidad emisora de certificados tienen un perodo de validez de cuatro aos. Las
entidades emisoras de MSA tienen un perodo de validez de dos aos, lo que limita el perodo de
validez de los certificados emitidos para dichas entidades a tan slo un ao. Debido a que la renovacin
de certificados puede resultar un proceso caro en algunos escenarios, por ejemplo renovaciones de
tarjetas inteligentes, normalmente es aconsejable utilizar perodos de renovacin de dos o ms aos.
Las otras diferencias menores de este documento son:
Los nombres de servidor tienen una nomenclatura ms simple (por ejemplo, RT-CA-01 para la
entidad emisora raz 1, SA-CA-01 para la entidad emisora independiente 1 y EN-CA-01 para la
entidad emisora de empresa 1).
Los nombres comunes de entidad emisora de certificados incluyen la funcin jerrquica (raz,
intermedia, emisora) para facilitar la identificacin, pero siguen manteniendo la convencin de MSA
para utilizar el esquema de nmeros (1 = raz, 11 = entidad emisora de segundo nivel 1 de raz 1,
123 = entidad emisora de tercer nivel 3 de entidad emisora de segundo nivel 2 de entidad emisora
raz 1).
Los nombres de grupo de seguridad utilizan un formato expandido para facilitar la lectura (por
ejemplo, Editores de PKI de empresa en vez de EditoresPKIEmpresa01).
Configuracin detallada de la PKI
Las siguientes tablas contienen los parmetros de implementacin que utiliza la PKI de Contoso. Los
procedimientos de este documento utilizan dichos valores. Los parmetros estn divididos en dos
tablas. En la tabla 23 se enumeran los valores especficos de la instalacin. Tendr que sustituir los
detalles de su organizacin siempre que aparezcan en los procedimientos. En la tabla 24 se enumeran
los valores especficos de la solucin. Se basan en la configuracin recomendada de los escenarios de
MSA y prcticas recomendadas. Slo tendr que cambiarlos si utiliza otros valores en su
implementacin. En estas tablas slo se enumeran los valores pertinentes para los procedimientos de
este documento y son un subconjunto de la lista de parmetros completa de la implementacin de la
PKI. Para obtener la lista completa, consulte el apndice 14.16 del captulo Servicios de Certificate
Server de la Gua de generacin de Microsoft Systems Architecture 2.0 (en ingls) en la seccin
Vnculos relacionados.
Tabla 23: Elementos de configuracin especficos de la organizacin
Elemento de configuracin
Configuracin
Nombre DNS (sistema de nombres de dominio) del
contoso.com
93
Configuracin
dominio raz del bosque de Active Directory

Nombre completo de la raz del bosque
DC=contoso, DC=com
Nombre de la entidad emisora de certificados raz
Nombre de servidor: RT-CA-01

Nombre comn: Entidad emisora de
certificados raz 1 de Contoso
Nombre de la entidad emisora de certificados intermedia
Nombre de servidor: SA-CA-01

certificados intermedia 11 de Contoso
Nombre de la entidad emisora de certificados 1
Nombre de servidor: EN-CA-01

certificados 111 de Contoso
Nombre de la entidad emisora de certificados 1
Nombre de servidor: EN-CA-02

certificados 112 de Contoso
Nombre de host completo del servidor Web utilizado para pki.contoso.com

publicar el certificado de entidad emisora e informacin
de revocacin
Tabla 24: Elementos de configuracin genricos
Configuracin
Grupos de seguridad administrativos: entidades

emisoras de certificados de dominio
Grupo de seguridad: administradores de servicios de
Nombre de grupo: Administradores de PKI
claves pblicas de empresa
de empresa
Tipo de grupo: Universal
Grupo de seguridad: cuentas que pueden publicar CRL y
Nombre de grupo: Editores de PKI de
certificados de entidad emisora en el contenedor de
empresa
configuracin Empresa
Grupo de seguridad: grupo administrativo que configura
Nombre de grupo: Administradores de
y mantiene las entidades emisoras de certificados;
tambin controla la capacidad para asignar otras
funciones de entidad emisora y renovar el certificado de

entidad emisora
Grupo administrativo que aprueba las peticiones de
inscripcin y revocacin de certificados; una funcin de
certificados
agente de entidad emisora de certificados
Grupo administrativo que administra los registros de
Nombre de grupo: Auditores de entidad
auditora y seguridad de entidad emisora de certificados
Grupo administrativo que administra las copias de
Nombre de grupo: Operadores de copia de
94
Configuracin
seguridad de entidad emisora de certificados

Grupos de seguridad administrativos: entidades

emisoras de certificados independientes
Grupo de seguridad: grupo administrativo que configura
y mantiene las entidades emisoras de certificados;
tambin controla la capacidad para asignar otras
Tipo de grupo: Local
funciones de entidad emisora y renovar el certificado de

entidad emisora
Grupo administrativo que aprueba las peticiones de
inscripcin y revocacin de certificados; una funcin de
certificados
agente de entidad emisora de certificados
Grupo administrativo que administra los registros de
Nombre de grupo: Auditores de entidad
auditora y seguridad de entidad emisora de certificados
Grupo administrativo que administra las copias de
Nombre de grupo: Operadores de copia de
seguridad de entidad emisora de certificados

Diseo de archivos de entidad emisora de

certificados
Unidad y ruta de acceso para almacenar los archivos de
C:\CAConfig
solicitud de Servicios de Certificate Server

Unidad y ruta de acceso para almacenar la base de datos %systemroot%\System32\CertLog
y los registros de Servicios de Certificate Server para las
entidades emisoras de certificados raz e intermedias
Unidad y ruta de acceso para almacenar los registros de
D:\CertLog
la base de datos de Servicios de Certificate Server para

las entidades emisoras de certificados
Unidad y ruta de acceso para almacenar la base de datos E:\CertLog
de Servicios de Certificate Server para las entidades
emisoras de certificados
Configuracin del servidor Web
Nombre del directorio virtual IIS utilizado para publicar el pki
certificado de entidad emisora y la informacin de CRL
Carpeta NTFS del servidor IIS asignada al directorio
C:\WWWPKIpub
virtual
Nombre de recurso compartido de la carpeta del servidor
WWWPKIpub
IIS
Apndice B: Funciones administrativas de criterios comunes
95
El perfil de proteccin de criterios comunes (CC) para los componentes de emisin y administracin de
certificados (seccin Vnculos relacionados) define cuatro funciones clave en el nivel de seguridad ms
alto: administrador, agente, operador y auditor. Estas funciones de criterios comunes estn
implementadas en Servicios de Certificate Server de Windows Server 2000, que permite forzar la
separacin entre funciones de modo que una cuenta no se puede configurar en varias funciones. Para
obtener informacin acerca de las funciones y capacidades de Servicios de Certificate Server de
Windows Server 2003, consulte la seccin "PKI de Windows Server 2003 y administracin basada en
funciones" de la Gua de operaciones de Windows Server 2003 (en ingls) (seccin Vnculos
relacionados).
No obstante, con frecuencia las funciones de criterios comunes no proporcionan un alcance suficiente.
Estas funciones de criterios comunes se relacionan con las capacidades en el nivel de entidad emisora
de certificados. Sin embargo, las entidades emisoras de certificados de empresa de Windows
almacenan la informacin de configuracin en objetos de configuracin de toda la empresa. Debido a
esto, una PKI de Windows tambin necesita funciones administrativas en toda la empresa para
administrar esta informacin. Asimismo, resulta habitual que las grandes organizaciones deseen
delegar una parte de las responsabilidades de una determinada funcin. Por ejemplo, pueden permitir
que un propietario de aplicacin determine los usuarios que pueden inscribir un certificado para dicha
aplicacin en vez de delegar la responsabilidad en una funcin de agente o administrador de
certificados de toda la empresa. En la tabla 25 se incluyen definiciones para este conjunto ampliado de
funciones y cmo se asignan a las funciones de criterios comunes.
Es improbable que estas funciones se asignen de forma precisa a los puestos de trabajo de su
organizacin de TI. Lo ms probable es que las personas se ajusten a varias de estas funciones.
Adems, algunas de estas funciones se pueden asignar a procesos del sistema en vez de personas; por
ejemplo, la cuenta de un agente de copia de seguridad que ejecuta la entidad emisora de certificados.
Tabla 25: Funciones bsicas de Servicios de Certificate Server
Funcin de
criterios
comunes
Nombre de funcin
expandida
mbito
Descripcin
Administrador
Administrador
Empresa
Responsable de la instalacin de las
empresarial
entidades emisoras de certificados de

empresa
Administrador de PKI
Empresa
de empresa
Responsable de toda la PKI; define tipos de

certificado, directivas de aplicacin y rutas
de acceso de confianza para todas las
entidades emisoras de certificados del
bosque
(subconjunto de permisos de administrador
empresarial)
Editor de PKI de
empresa
Empresa
Responsable de publicar certificados raz de

confianza, certificados de subentidad
emisora y CRL en el directorio
(subconjunto de permisos de administrador
de PKI de empresa)
96
Funcin de
criterios
comunes
Nombre de funcin
expandida
mbito
Descripcin
Administrador de
Entidad
Responsable de la configuracin de entidad
entidad emisora de
emisora de
emisora de certificados y de la asignacin
certificados
certificados
de funciones en la entidad emisora;

normalmente son las mismas personas que
los administradores de PKI de empresa
Puede haber distintos administradores de
entidad emisora de certificados encargados
de diferentes entidades emisoras si el uso
del certificado lo indica as.
Administrador
Entidad
Administrador del sistema operativo del
emisora de
servidor de la entidad emisora de
certificados
certificados; responsable de la configuracin

del servidor (como la instalacin de la
entidad emisora); con frecuencia son las
mismas personas que las de la funcin
Administradores de entidad emisora de
certificados
Puede haber distintos administradores
encargados de diferentes entidades
emisoras si el uso del certificado lo indica
as.
Auditor
Auditor de entidad
Entidad
Responsable de administrar los registros y
emisora de
emisora de
la directiva de auditora en las entidades
certificados
certificados
emisoras de certificados; lleva a cabo

revisiones peridicas de los registros de
auditora de entidad emisora y del registro
de control de cambios de PKI
Agente
Administrador de
Entidad
Aprueba las peticiones de certificado que
certificados
emisora de
requieren aprobacin manual y revoca
certificados
certificados
-O bien-
Puede haber varios administradores de
Subconjunt
certificados encargados de las aprobaciones
o de
en diferentes entidades emisoras si el uso
usuarios de
del certificado lo indica as.
entidad
emisora de
certificados
Entidad de registro
Perfil de
Extensin de la funcin de administrador de
certificado
certificados; responsable de aprobar y

firmar peticiones de certificado despus de
97
Funcin de
criterios
comunes
Nombre de funcin
expandida
mbito
Descripcin
la comprobacin de la identidad del sujeto

del certificado
Puede ser una persona, un proceso de TI o
un dispositivo (como un escner y una base
de datos de huellas digitales)
Se pueden especificar distintas entidades de
registro para diferentes perfiles (plantillas)
de certificado y pueden abarcar varias
entidades emisoras de certificados
Agente de
Entidad
Posee la clave para descifrar las claves
recuperacin de
emisora de
privadas archivadas en la base de datos de
claves
certificados
la entidad emisora de certificados

Debe haber dos o ms KRA. Pueden ser
distintos para diferentes entidades
emisoras.
Propietario de
Aplicacin o
Responsable de la administracin de una
aplicacin
tipo de
aplicacin que utiliza certificados digitales
certificado
(por ejemplo, administrador de correo

electrnico); controla qu usuarios pueden
o no pueden inscribirse a un tipo de
certificado especfico
Operador
Operador de copia de
Entidad
Responsable de la copia de seguridad y
entidad emisora de
emisora de
recuperacin de los servidores de entidad
certificados (funcin
certificados
emisora de certificados y del
de criterios comunes)
almacenamiento seguro de los medios de

copia de seguridad
Soporte operativo
Empresa
Las responsabilidades son:

Supervisar el estado operativo de la PKI,
responder a alertas operativas y de
seguridad
Administrar los medios de copia de
seguridad
Soporte de segundo nivel para
problemas reasignados desde el servicio
de asistencia al usuario
Reasignar problemas al administrador
de entidad emisora de certificados o a
otras funciones de soporte de tercer
nivel
98
Funcin de
criterios
comunes
Nombre de funcin
expandida
mbito
Descripcin
Servicio de asistencia
Empresa
Las responsabilidades son:
al usuario
Responder y proporcionar soporte de

primer nivel a los problemas de los
usuarios
Reasignar problemas al soporte
operativo
Si utiliza un HSM en la entidad emisora de certificados, tambin habr funciones especficas definidas
para dicho componente, como titulares de tarjetas de claves y de operador. En esta lista no se tratan
otras funciones relacionadas con otras reas tecnolgicas que interactan y dan soporte a la PKI, como
la supervisin de la consola de operaciones y la administracin de Active Directory.
99

Administrar Una Infraestructura de Claves Públicas de Windows Server 2003

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Administrar Una Infraestructura de Claves Públicas de Windows Server 2003

Încărcat de

Drepturi de autor:

Formate disponibile

Administrar una infraestructura de claves pblicas de Windows Server 2003

Publicado: julio 13, 2004

seguridad, la revocacin de certificados de entidad emisora de certificados y la ampliacin de la

Controla todos los

Control del contenedor

Editor de PKI de empresa

Administrador local del

Tiene permiso "Emitir

emisora de certificados emisora de certificados usuario "Administrar

Permite que los

Implementar los servicios de soporte de la PKI

administracin de Servicios de Certificate Server

Asignar permisos a los grupos de administracin de PKI

Delegar los permisos de PKI de empresa

Delegar los permisos para instalar una entidad emisora de certificados de

Establecer permisos en el servidor Web para publicar CRL y certificados

Configurar la entidad emisora de certificados para publicar CRL en un

Impedir que las entidades emisoras de certificados intermedias comprueben

Configurar las opciones de disponibilidad y recuperacin

Configurar la copia de seguridad de la base de datos de la entidad emisora

de certificados sin conexin

Supervisar la disponibilidad del servicio

Configurar la supervisin de la seguridad de la entidad emisora de

Supervisar la caducidad de certificado de los clientes

Tareas operativas continuadas

Revocar un certificado de entidad final

A peticin (se 240

Recuperar una clave privada archivada

certificados (cada ao para permitir la

Revisar los datos de rendimiento y capacidad

Probar las copias de seguridad de la base de

datos de la entidad emisora de certificados

la entidad emisora de certificados

una entidad emisora de certificados

seguridad (slo las entidades emisoras de

certificados sin conexin; se supone que las

la entidad emisora de certificados)

entidad emisora de certificados en un equipo

Revocar un certificado hurfano

Revocar y reemplazar un certificado de entidad

emisora de certificados intermedia

emisora de certificados raz

Total de horas por ao

Total de das por ao

Ejemplo: Recursos operativos de PKI de Microsoft OTG

Departamento de asistencia al usuario (sin tarjetas inteligentes)

Departamento de asistencia al usuario (tarjetas inteligentes)

Soporte de segundo nivel

Soporte de tercer nivel

Diseo de tercer nivel e ingeniera (normalmente son los mismos

empleados de soporte de tercer nivel)

Menos aplicaciones reducen la carga de soporte, especialmente el esfuerzo de asistencia al usuario y

Calcular las posibles restricciones de capacidad de la entidad emisora de certificados

Contiene grupos administrativos

para administrar entidades

Contiene grupos a los que se ha

inscripcin flexible sin modificar

Universal Administradores del contenedor de configuracin Servicios de

Universal Pueden publicar CRL y certificados de entidad emisora en el

Universal Tienen capacidad administrativa completa sobre la entidad

emisora de certificados, incluida la determinacin de la

pertenencia de las dems funciones.

Universal Administrar la emisin y revocacin de certificados.

Universal Administran los datos de auditora para la entidad emisora de