Servicios de Certificados de Active Directory_2008 Server1

Servicios de certificados de Active DirectorySe aplica a: Windows Server 2008

Los Servicios de certificados de Active Directory (AD CS) proporcionan servicios personalizables para emitir y administrar certificados de claves públicas que se usan en sistemas de seguridad de software que emplean tecnologías de clave pública.

En las siguientes secciones, se proporciona más información acerca de AD CS, las características obligatorias y opcionales, y el hardware y software usados para ejecutar AD CS. Al final de este tema, se describe el procedimiento para abrir la interfaz de administración de AD CS y se indica cómo obtener más información.

Características de AD CSSi usa el Administrador del servidor, puede instalar los siguientes componentes de AD CS:

Entidades de certificación (CA). Las entidades de certificación raíz y subordinadas se

usan para emitir certificados para los usuarios, equipos y servicios, y para administrar la

validez de los certificados.

Inscripción web de CA. La inscripción web permite a los usuarios conectarse con una

entidad de certificación mediante un explorador web para solicitar certificados y recuperar

listas de revocación de certificados (CRL).

Respondedor en línea. El servicio Respondedor en línea acepta solicitudes de estado de

revocación para certificados específicos, evalúa el estado de estos certificados y devuelve

una respuesta firmada que contiene la información solicitada sobre el estado de los

certificados.

Servicio de inscripción de dispositivos de red. El Servicio de inscripción de dispositivos

de red permite obtener certificados para enrutadores y otros dispositivos de red que no

disponen de cuentas de dominio.

Servicio web de inscripción de certificados. El Servicio web de inscripción de certificados

permite a usuarios y equipos realizar una inscripción de certificados en que se usa el

protocolo HTTPS. Junto con el Servicio web de directiva de inscripción de certificados,

permite la inscripción de certificados basada en directivas si el equipo cliente no es miembro

de un dominio o si un miembro del dominio no está conectado al dominio.

Servicio web de directiva de inscripción de certificados. El Servicio web de directiva de

inscripción de certificados permite a usuarios y equipos obtener información sobre directivas

de inscripción de certificados. Junto con el Servicio web de inscripción de certificados,

permite la inscripción de certificados basada en directivas si el equipo cliente no es miembro

de un dominio o si un miembro del dominio no está conectado al dominio.

1Imparten: Gustavo García Manzano Francisco Bermejo Díaz

Ventajas de AD CSLas organizaciones pueden usar AD CS para aumentar la seguridad al enlazar la identidad de una persona, un dispositivo o un servicio con la clave privada correspondiente. AD CS proporciona a las organizaciones un método rentable, eficaz y seguro para administrar la distribución y el uso de certificados.

Algunas de las aplicaciones compatibles con AD CS son las extensiones seguras multipropósito al correo de Internet (S/MIME), las redes inalámbricas seguras, las redes privadas virtuales (VPN), el protocolo de seguridad de Internet (IPsec), el Sistema de cifrado de archivos (EFS), el inicio de sesión con tarjeta inteligente, los protocolos Capa de sockets seguros y Seguridad de la capa de transporte (TLS/SSL) y las firmas digitales.

Entre las nuevas características de AD CS en Windows Server 2008 R2, se encuentran las siguientes:

Inscripción de certificados en que se usa el protocolo HTTPS.

Inscripción de certificados a través de los límites del bosque de Servicios de dominio de

Active Directory (AD DS).

Compatibilidad mejorada para la emisión de un número elevado de certificados.

Compatibilidad para entidades de certificación en una instalación Server Core de Windows

Server 2008 R2.

Consideraciones de hardware y softwareAunque AD CS se puede implementar en un único servidor, muchas implementaciones incluyen varios servidores configurados como entidades de certificación, otros servidores configurados como Respondedores en línea y otros que actúan como portales de inscripción web. Las entidades de certificación se pueden instalar en servidores que ejecutan diferentes sistemas operativos, incluidos Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 y Windows 2000 Server. Sin embargo, no todos los sistemas operativos son compatibles con todas las características ni requisitos de diseño, por lo que la creación de un diseño óptimo precisará de una cuidadosa planeación y pruebas antes de implementar AD CS en un entorno de producción.

Instalación de AD CSDespués de instalar el sistema operativo, puede usar el Administrador del servidor para configurar una entidad de certificación y otros componentes opcionales.

Deben completarse pasos de configuración adicionales mediante los complementos correspondientes para que funcionen las CA o los Respondedores en línea. Para obtener más información, vea los temas de Ayuda relacionados con los complementos Entidad de certificación y Respondedor en línea.

Administración de AD CSPuede usar los complementos Administrador del servidor o Microsoft Management Console (MMC) para administrar servicios de rol de AD CS. Realice los pasos siguientes para abrir los complementos:


Para administrar una entidad de certificación, use el complemento Entidad de certificación.

Para abrir el complemento Entidad de certificación, haga clic en Inicio y en Ejecutar, escriba certsrv.msc y, a continuación, haga clic en Aceptar.

Para administrar certificados, use el complemento Certificados. Para abrir el complemento

Certificados, haga clic en Inicio y en Ejecutar, escriba certmgr.msc y haga clic en

Aceptar.

Para administrar plantillas de certificado, use el complemento Plantillas de certificado. Para

abrir el complemento Plantillas de certificado, haga clic en Inicio y en Ejecutar, escriba

certtmpl.msc y haga clic en Aceptar.

Para administrar un Respondedor en línea, use el complemento Respondedor en línea.

Para abrir el complemento Respondedor en línea, haga clic en Inicio y en Ejecutar, escriba

ocsp.msc y haga clic en Aceptar.

Función Servicios de Certificate Server de Active Directory

Actualizado: enero de 2008

Se aplica a: Windows Server 2008

Los Servicios de Certificate Server de Active Directory® (AD CS) del sistema operativo Windows Server® 2008 ofrecen servicios personalizables para crear y administrar certificados de clave pública que se usan en los sistemas de seguridad de software basados en tecnologías de clave pública. Las organizaciones pueden usar AD CS para aumentar la seguridad al enlazar la identidad de una persona, un dispositivo o un servicio con la clave privada correspondiente. AD CS también incluyen características que permiten administrar la inscripción y la revocación de certificados en diversos entornos escalables.

En los siguientes temas se describen los cambios en la funcionalidad de AD CS disponible en esta versión:

Cifrado de nueva generación

AD CS: compatibilidad con el Protocolo de estado de certificados en línea

AD CS: Servicio de inscripción de dispositivos de red

AD CS: inscripción en web

AD CS: configuración de directiva

AD CS: agente de inscripción restringido

AD CS: Enterprise PKI (PKIView) 3

Imparten: Gustavo García Manzano Francisco Bermejo Díaz

Cifrado de nueva generación



Cifrado de nueva generación (CNG) del sistema operativo Windows Server® 2008 proporciona una plataforma de desarrollo criptográfico flexible que permite a los profesionales de TI crear, actualizar y usar algoritmos de cifrado personalizados en aplicaciones relacionadas con la criptografía, como Servicios de Certificate Server de Active Directory® (AD CS), Capa de sockets seguros (SSL) y Protocolo de seguridad de Internet (IPsec). CNG implementa los algoritmos de criptografía de Suite B del gobierno de EE.UU., que incluyen algoritmos para cifrado, firmas digitales, intercambio de claves y operaciones hash.

¿Qué hace CNG?CNG proporciona un conjunto de API que se usan para:

Realizar operaciones de criptografía básicas, como crear valores hash y cifrar y descifrar

datos.

Crear, almacenar y recuperar claves criptográficas.

Instalar y usar proveedores criptográficos adicionales.

CNG tiene las siguientes capacidades:

CNG permite a los clientes usar sus propios algoritmos criptográficos o implementaciones

de algoritmos criptográficos estándar. También pueden agregar algoritmos nuevos.

CNG es compatible con la criptografía en modo kernel. La misma API se usa tanto en el

modo kernel como en el modo usuario para admitir todas las características de criptografía.

Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS) e IPsec, además

de los procesos de arranque que usan CNG, funciona en modo kernel.

El plan para CNG incluye adquirir certificación de nivel 2 del Estándar federal de

procesamiento de información (FIPS) 140-2 junto con evaluaciones de Criterio común.

CNG reúne los requisitos de Criterio común mediante el uso y el almacenamiento de claves

de larga duración en un proceso seguro.

CNG es compatible con el conjunto actual de algoritmos CryptoAPI 1.0.

CNG proporciona compatibilidad con los algoritmos de criptografía de curva elíptica (ECC).

Suite B del gobierno de EE.UU. requiere una serie de algoritmos ECC.


Cualquier equipo con un Módulo de plataforma segura (TPM) puede proporcionar

aislamiento y almacenamiento de claves en TPM.

¿A quién puede interesarle esta característica?CNG se aplica a implementaciones de infraestructura de clave pública (PKI) que requieren el uso de algoritmos Suite B y que no necesitan integrarse con entidades de certificación (CA) que no admiten algoritmos Suite B, como CA instaladas en servidores con los sistemas operativos Windows Server® 2003 y Windows® 2000 Server.

¿Hay alguna consideración especial?Para usar los nuevos algoritmos criptográficos, tanto la CA como las aplicaciones deben admitir ECC (o cualquier otro algoritmo nuevo que implemente bajo CNG). Mientras que la CA necesita emitir y administrar estos nuevos tipos de certificado, las aplicaciones deben ser capaces de hacerse cargo de la validación de la cadena y usar las claves generadas con los algoritmos Suite B.

Los algoritmos Suite B como ECC se admiten sólo en los sistemas operativos Windows Vista® y Windows Server 2008. Esto significa que no es posible usar esos certificados en versiones anteriores de Windows, como Windows XP o Windows Server 2003. No obstante, se pueden usar algoritmos clásicos como Rivest-Shamir-Adleman (RSA) aun cuando las claves hayan sido generadas con un proveedor de claves CNG.

Los clientes con Windows Vista o Windows Server 2008 pueden usar CryptoAPI 1.0 o la nueva API de CNG, ya que ambas API pueden ejecutarse en paralelo. No obstante, aplicaciones como SSL, IPsec, Extensiones seguras multipropósito al correo de Internet (S/MIME) y Kerberos deben actualizarse para poder usar los algoritmos Suite B.

¿Cómo hay que prepararse para CNG?No implemente certificados con algoritmos Suite B antes de comprobar estos requisitos:

Antes de emitir certificados que usen algoritmos como ECC, compruebe que las CA y los

sistemas operativos son compatibles con dichos algoritmos.

Compruebe si las aplicaciones habilitadas para PKI de la organización pueden usar

certificados basados en proveedores criptográficos CNG.

Si la organización usa certificados para admitir inicio de sesión de tarjeta inteligente,

póngase en contacto con el fabricante de la tarjeta inteligente para comprobar si sus tarjetas

inteligentes pueden manejar algoritmos CNG.

En Windows Vista y Windows Server 2008, las siguientes aplicaciones habilitadas para certificados pueden manejar certificados que usen algoritmos criptográficos registrados en el proveedor de CNG.


Nombre de la aplicación

Comprobar una cadena de certificado que contiene certificados con algoritmos que están registrados en un proveedor de CNG

Usar algoritmos que no son compatibles con CryptoAPI

Sistema de cifrado de archivos (EFS)

Sí No

IPsec Sí Sí

Kerberos No No

S/MIME Outlook 2003: noOutlook 2007: sí

Outlook 2003: noOutlook 2007: sí

Inicio de sesión de tarjeta inteligente

No No

SSL Sí Sí

Inalámbrico Sí Sí

¿Qué preparativos se necesitan para la implementación de esta función?Para usar algoritmos Suite B para operaciones criptográficas, primero necesita una CA basada en Windows Server 2008 que emita certificados habilitados para Suite B.

Si todavía no tiene una PKI, puede configurar una CA basada en Windows Server 2008 en la que los certificados de CA y los certificados de entidad final usen algoritmos Suite B. No obstante, todavía debe comprobarse si todas las aplicaciones están preparadas para algoritmos Suite B y pueden admitir dichos certificados.

Si ya tiene una PKI con CA que ejecuta Windows Server 2003 o en la que se están usando algoritmos clásicos para admitir aplicaciones existentes, puede agregar una CA subordinada a un servidor con Windows Server 2008, pero deberá continuar usando algoritmos clásicos.

Para incorporar algoritmos Suite B a un entorno existente en el que se usan algoritmos clásicos, considere la posibilidad de agregar una segunda PKI y realizar una certificación cruzada entre las dos jerarquías de CA.

AD CS: compatibilidad con el Protocolo de estado de certificados en línea




La revocación de certificados es una parte necesaria del proceso de administración de los certificados emitidos por las entidades de certificación (CA). El método más habitual de comunicar el estado de los certificados es la distribución de listas de revocación de certificados (CRL). En las infraestructuras de clave pública (PKI) del sistema operativo Windows Server® 2008 en las que el uso de CRL convencionales no es una solución óptima, se puede usar un Servicio de respuesta en línea basado en el Protocolo de estado de certificados en línea (OCSP) para administrar y distribuir la información de estado de revocación.

¿Qué hace la compatibilidad con OCSP?El uso del Servicio de respuesta en línea que distribuye respuestas OCSP, junto con el uso de CRL, es uno de los dos métodos habituales para transmitir información acerca de la validez de los certificados. A diferencia de las listas de revocación de certificados (CRL), que se distribuyen periódicamente y contienen información sobre todos los certificados que se han revocado o suspendido, un Servicio de respuesta en línea recibe y responde sólo a solicitudes de clientes que requieren información sobre el estado de un único certificado. La cantidad de datos recuperados por solicitud permanece constante, independientemente del número de certificados revocados que pueda existir.

En muchos casos, los Servicios de respuesta en línea pueden procesar las solicitudes de estado de certificados de forma más eficiente que las CRL. Por ejemplo:

Clientes que se conectan a la red de forma remota y no necesitan, o bien no disponen, de

las conexiones de alta velocidad necesarias para descargar grandes CRL.

Una red que necesita administrar períodos de máxima actividad en la comprobación de

revocaciones, por ejemplo, cuando un gran número de usuarios inician sesión o envían

correo electrónico firmado simultáneamente.

Una organización que necesita un método eficaz para distribuir los datos de revocación para

los certificados emitidos desde una entidad de certificación (CA) que no es de Microsoft.

Una organización que desea proporcionar sólo los datos de comprobación de revocaciones

necesarios para comprobar las solicitudes individuales de estado de certificados y no quiere

que la información sobre todos los certificados revocados o suspendidos esté disponible.

¿A quién puede interesarle esta característica?Esta característica está concebida para organizaciones que tienen PKI con una o más entidades de certificación basadas en Windows.

Agregar uno o más Servicios de respuesta en línea puede mejorar en gran medida la flexibilidad y la escalabilidad de la PKI de una organización; por lo tanto, esta característica deberá interesar a los administradores, planificadores y arquitectos de PKI.


Para instalar un Servicio de respuesta en línea es preciso ser un administrador en el equipo en el que se va instalar dicho servicio.

¿Hay alguna consideración especial?Los Servicios de respuesta en línea de Windows Server 2008 incluyen las siguientes características:

Almacenamiento en caché de proxy web. La memoria caché del proxy web del Servicio

de respuesta en línea es la interfaz de servicio del Servicio de respuesta en línea. Se

implementa como una extensión ISAPI (Internet Server API) hospedada por Internet

Information Services (IIS).

Compatibilidad con solicitudes nonce y no nonce. Las opciones de configuración para

solicitudes nonce y no nonce se pueden usar para impedir ataques de reproducción de las

respuestas del Servicio de respuesta en línea.

Integración de la configuración de Windows. Un Servicio de respuesta en línea puede

configurarse mediante Administrador de servidores.

Compatibilidad con criptografía avanzada. Un Servicio de respuesta en línea se puede

configurar para que use criptografía de curva elíptica (ECC) y criptografía SHA-256 para

operaciones criptográficas.

Plantillas preconfiguradas del certificado Firma de respuesta de OCSP. La

implementación de un Servicio de respuesta en línea se simplifica usando una plantilla de

certificado Firma de respuesta de OCSP, disponible en Windows Server 2008.

Integración del protocolo Kerberos. Las solicitudes y respuestas del Servicio de

respuesta en línea se pueden procesar junto con autenticación de contraseñas Kerberos

para la inmediata validación de certificados de servidor al iniciar la sesión.

Los Servicios de respuesta en línea de Microsoft® se basan en, y cumplen con, RFC 2560 para OCSP. Por este motivo, las respuestas de estado de certificados de los Servicios de respuesta en línea suelen denominarse respuestas de OCSP. Para obtener más información acerca de RFC 2560, vea el sitio web del Grupo de trabajo de ingeniería de Internet en http://go.microsoft.com/fwlink/?LinkId=67082 (puede estar en inglés).

¿Qué nueva funcionalidad aporta el Servicio de respuesta en línea?Pueden destacarse dos nuevos conjuntos de funcionalidad del Servicio de respuesta en línea:

Servicios de respuesta en línea. La funcionalidad básica del Servicio de respuesta en

línea proporcionada por un único equipo en el que está instalado dicho servicio.


http://go.microsoft.com/fwlink/?LinkId=67082

Matrices de Servicios de respuesta en línea. Varios equipos vinculados que hospedan

Servicios de respuesta en línea y procesan las solicitudes de estado de certificados.

Servicio de respuesta en líneaUn Servicio de respuesta en línea es un equipo en el que se ejecuta este servicio. También se puede configurar como Servicio de respuesta en línea un equipo que hospeda una CA, pero se recomienda que mantenga las CA y los Servicios de respuesta en línea en equipos separados. Un único Servicio de respuesta en línea puede proporcionar información de estado de revocación de certificados emitidos por una o varias CA. La información de revocación de CA puede distribuirse usando más de un Servicio de respuesta en línea.

¿Por qué es importante esta funcionalidad?Las aplicaciones que dependen de certificados X.509, como las extensiones seguras multipropósito al correo de Internet (S/MIME), la capa de sockets seguros (SSL), el sistema de cifrado de archivos (EFS) y las tarjetas inteligentes necesitan validar el estado de los certificados cada vez que se usan para realizar operaciones de cifrado, autenticación o firma. La comprobación del estado y revocación de los certificados verifica la validez de dichos certificados basándose en:

Tiempo. Los certificados se emiten por un período de tiempo fijo y se consideran válidos

mientras no se alcance la fecha de expiración del certificado y éste no haya sido revocado

antes de esa fecha.

Estado de revocación. Los certificados pueden revocarse antes de su fecha de expiración

por distintas razones, como una suspensión o el compromiso de la clave.

Las CRL contienen los números de serie de todos los certificados emitidos por una CA que han sido revocados. Para que un cliente compruebe el estado de revocación de un certificado, deberá descargar una CRL que contenga información acerca de todos los certificados revocados por la CA.

Con el tiempo, las CRL pueden volverse extremadamente grandes, lo que requiere almacenamiento y recursos de red importantes por parte de la CA y el usuario de confianza. Como consecuencia de ello, puede ser necesario sacrificar una distribución más frecuente de CRL actualizadas por el tiempo y el ancho de banda necesarios para distribuirlas. Si las CRL se publican con menos frecuencia, entonces los clientes tienen que confiar en información de revocación menos precisa.

Se han realizado numerosos intentos de solucionar el problema del tamaño de las CRL mediante el empleo de CRL partidas, diferencias de CRL y CRL indirectas. Todos estos enfoques han agregado complejidad y costes al sistema sin aportar ninguna solución.

¿Qué diferencias de funcionamiento existen?Cuando se usan los Servicios de respuesta en línea, estos servicios, en lugar de los clientes de confianza, reciben todos los datos de revocación de certificados. Un usuario de confianza envía una solicitud de estado acerca de un certificado individual a un Servicio de respuesta en línea, que devuelve una respuesta definitiva firmada digitalmente en la que se indica el estado del certificado


de la solicitud. La cantidad de datos que se recupera por solicitud es constante, con independencia de cuántos certificados revocados haya en la base de datos de certificados de la CA.

¿Qué preparativos se necesitan para este cambio?Los Servicios de respuesta en línea se pueden instalar en equipos con Windows Server 2008. Deben instalarse después de la CA, pero antes de que se emita ningún certificado de cliente. Los datos de revocación de certificado se derivan de una CRL publicada que puede provenir de una entidad de certificación (CA) de un equipo con Windows Server 2008, una CA de un equipo con Windows Server 2003 o una CA que no sea de Microsoft.

Antes de configurar una CA para que admita el Servicio de respuesta en línea, hay que tener presente lo siguiente:

IIS debe instalarse en el equipo antes de instalar los Servicios de respuesta en línea. La

configuración correcta de IIS para los Servicios de respuesta en línea se instala

automáticamente al instalar dichos servicios.

Debe configurarse una plantilla de certificado Firma de respuesta de OCSP en la CA y

usarse la inscripción automática para emitir un certificado Firma de respuesta de OCSP en

el equipo en el que se instalará el Servicio de respuesta en línea.

La dirección URL para el Servicio de respuesta en línea debe incluirse en la extensión de

acceso a la información de entidad de certificación (AIA) de los certificados emitidos por la

CA. Esta dirección URL es usada por el cliente de Servicios de respuesta en línea para

validar el estado del certificado.

Una vez instalados los Servicios de respuesta en línea, es necesario también crear una configuración de revocación para cada CA y certificado de CA servido por un Servicio de respuesta en línea.

Una configuración de revocación incluye todas las opciones necesarias para responder a las solicitudes de estado con relación a los certificados que se han emitido mediante una clave de CA específica. Estas opciones de configuración incluyen:

Certificado de CA. Este certificado se puede encontrar en un controlador de dominio, en el

almacén de certificados local, o se puede importar desde un archivo.

Certificado de firma para el Servicio de respuesta en línea. Este certificado se puede

seleccionar automáticamente, se puede seleccionar manualmente (esto implica un paso de

importación adicional después de agregar la configuración de revocación) o puede usar el

certificado de CA seleccionado.


El proveedor de revocación proporcionará los datos de revocación que usa esta configuración. Esta información se especifica como una o más direcciones URL en las que

se pueden obtener CRL base y diferencia de CRL.

Importante

Antes de empezar a agregar una nueva configuración de revocación, asegúrese de tener la información de esta lista.

Matrices de Servicios de respuesta en líneaSe pueden vincular varios Servicios de respuesta en línea en una matriz de Servicios de respuesta en línea. Los Servicios de respuesta de una matriz se conocen como miembros de la matriz. Se debe designar un miembro de la matriz como controlador de la misma. Aunque cada Servicio de respuesta en línea de la matriz se puede configurar y administrar de forma independiente, en caso de conflictos, la información de configuración del controlador de la matriz invalidará las opciones de configuración de los otros miembros de la matriz.

¿Por qué es importante esta funcionalidad?Se puede crear una matriz de Servicios de respuesta en línea y agregar a dicha matriz Servicios de respuesta en línea adicionales por diferentes razones, entre las que se incluye la tolerancia a errores en caso de que un Servicio de respuesta en línea deje de estar disponible, consideraciones geográficas, escalabilidad o consideraciones de diseño de red.

Por ejemplo, las sucursales remotas podrían no tener conexiones estables con las oficinas centrales en las que está ubicada una CA. Por lo tanto, no siempre es posible ponerse en contacto con la CA o con un Servicio de respuesta en línea remoto para procesar una solicitud de estado de revocación.

¿Qué diferencias de funcionamiento existen?Puesto que los miembros de una matriz de Servicios de respuesta en línea pueden ser remotos y estar sometidos a condiciones de red que no son óptimas, cada uno de los miembros de la matriz se puede supervisar y administrar de forma independiente.

¿Qué preparativos se necesitan para este cambio?Configurar una matriz de Servicios de respuesta en línea requiere una planeación previa basada en:

El número y la ubicación de las CA a las que da servicio la matriz.

El número de clientes que solicitarán certificados de las CA y sus ubicaciones.

La conectividad de red entre clientes, CA y los Servicios de respuesta en línea potenciales.

El volumen de inscripciones de certificados, revocaciones de certificados y solicitudes de

estado de certificado que atiende la infraestructura de clave pública (PKI) de la

organización.


La necesidad de redundancia en caso de que los Servicios de respuesta en línea no estén

disponibles.

Una vez planeada la matriz de Servicios de respuesta en línea, la configuración de la matriz implica algunos procedimientos que se deben coordinar.

¿Qué opciones de configuración de directiva de grupo se ha agregado para admitir OCSP?Se han agregado varias opciones de directiva de grupo para mejorar la administración de OCSP y el uso de los datos de la CRL. Por ejemplo, las CRL tienen fechas de expiración y, si dichas fechas pasan antes de que se publique o esté disponible una actualización, pueden producirse errores en la validación de la cadena de certificados, incluso cuando hay un Servicio de respuesta en línea. Esto sucede porque el Servicio de respuesta en línea se estaría basando en los datos de una CRL expirada. En situaciones en las que las condiciones de red pueden retrasar la publicación o recepción en su momento de CRL actualizadas, los administradores pueden usar estas opciones de directiva de grupo para ampliar el plazo de expiración de una CRL existente o una respuesta de OCSP.

Puede usar la ficha Revocación de Configuración de validación de rutas de certificados (Configuración del equipo, Configuración de Windows, Configuración de seguridad y Directivas de clave pública) para ampliar la vigencia de las CRL y respuestas de OCSP. Para configurar estas opciones es preciso:

Hacer clic en Definir esta configuración de directiva.

Hacer clic en Permitir que las CRL y las respuestas de OCSP tengan validez tras finalizar su vigencia.

Seleccionar Tiempo que se puede ampliar el período de validez y especificar el valor de

tiempo deseado (en horas).

Una opción independiente de la ficha Revocación permite reemplazar las respuestas de OCSP por la información contenida en las CRL. Así, un certificado que ha sido revocado agregándolo a una CRL local podría todavía verificarse como válido si un cliente tiene una CRL que no incluye su estado de revocación. Aunque esta opción no se recomienda, puede ser útil en circunstancias en las que los cambios de revocación realizados por un administrador local no son finales hasta que un administrador de CA los verifica.

Estas dos opciones se encuentran en Configuración del equipo, Configuración de Windows, Configuración de seguridad y Directivas de clave pública.

Importante

Se necesitan credenciales administrativas para modificar las opciones de la directiva de grupo.

¿Qué preparativos se necesitan para la implementación de esta función?


Debido a que los Servicios de respuesta en línea están diseñados para dar servicio a solicitudes de estado de certificado individuales, una matriz de Servicios de respuesta en línea a menudo requiere varios Servicios de respuesta en línea dispersos geográficamente para equilibrar la carga. Puesto que cada respuesta de estado está firmada, cada uno de los Servicios de respuesta en línea debe instalarse en un servidor de confianza.

Los Servicios de respuesta en línea de Windows Server 2008 se pueden instalar en las siguientes configuraciones de matriz:

Un solo Servicio de respuesta en línea para varias CA. El Servicio de respuesta en línea

requiere una clave y un certificado de firma para cada CA compatible. La CA emisora debe

emitir un certificado de firma para el Servicio de respuesta en línea. Un Servicio de

respuesta en línea no puede proporcionar el estado para un certificado en un nivel superior

de la cadena que la CA que emitió el certificado de firma.

Varios Servicios de respuesta en línea para una sola CA. Cada Servicio de respuesta en

línea tiene una clave de firma y un certificado de la CA compatible. Esto se admite mediante

agrupación en clústeres. La lógica de agrupación en clústeres se ocupa de guiar al cliente

para que haga solicitudes a un Servicio de respuesta en línea específico.

Varios Servicios de respuesta en línea para varias CA. Cada Servicio de respuesta en

línea tiene una clave de firma y un certificado de cada una de las CA compatibles.

Puede preparar la implementación de los Servicios de respuesta en línea de la siguiente manera:

Evalúe los beneficios potenciales de complementar las CRL con el uso de Servicios de

respuesta en línea para administrar la comprobación de revocaciones en la organización.

Identifique ubicaciones potenciales en las que los Servicios de respuesta en línea puede ser

beneficiosos.

Dependiendo del número de CA y ubicaciones admitidas, el volumen de solicitudes de

validación de certificados previsto y las condiciones de red entre las CA y las ubicaciones,

identifique la configuración de la instalación de la lista anterior que mejor se adapte a su

organización.

Identifique las ubicaciones para cada Servicio de respuesta en línea y la manera de

administrarlos.

Compruebe la configuración del Servicio de respuesta en línea y la PKI en un entorno de

laboratorio a fin de validar el diseño de la PKI e identificar las opciones de configuración

para cada Servicio de respuesta en línea y configuración de revocación.


Instale y configure cada uno de los Servicios de respuesta en línea.

AD CS: Servicio de inscripción de dispositivos de red

Actualizado: mayo de 2008


El Servicio de inscripción de dispositivos de red (NDES) es la implementación de Microsoft del Protocolo de inscripción de certificados simple (SCEP), un protocolo de comunicaciones que permite al software que se ejecuta en dispositivos de red como enrutadores y conmutadores, los cuales no podrían autenticarse de otro modo en la red, inscribirse para certificados X.509 desde una entidad de certificación (CA).

¿Qué hace NDES?NDES actúa como un filtro de la Interfaz de programación de aplicaciones para servidores de Internet (ISAPI) en Internet Information Services (IIS) que realiza las siguientes funciones:

Genera y proporciona contraseñas de inscripción de un solo uso a los administradores.

Recibe y procesa solicitudes de inscripción de SCEP en nombre del software que se ejecuta

en dispositivos de red.

Recupera solicitudes pendientes de la CA.

¿A quién puede interesarle esta característica?Esta característica se aplica a organizaciones que tienen infraestructuras de clave pública (PKI) con una o más CA basadas en Windows Server® 2008 y que desean mejorar la seguridad de las comunicaciones usando el protocolo de seguridad de Internet (IPsec) con dispositivos de red como enrutadores y conmutadores.

Agregar compatibilidad con NDES puede mejorar en gran medida la flexibilidad y la escalabilidad de la PKI de una organización; por lo tanto, esta característica debería interesarle a los administradores, planificadores y arquitectos de PKI.

¿Hay alguna consideración especial?Puede que las organizaciones y profesionales interesados en NDES deseen saber más acerca de las especificaciones SCEP en las que está basado.

SCEP fue desarrollado por Cisco Systems, Inc. como una extensión de los estándares HTTP, PKCS #10, PKCS #7, RFC 2459 existentes y otros estándares que permiten la inscripción de aplicaciones y dispositivos de red con entidades de certificación.

¿Qué nueva funcionalidad aporta NDES?En Windows Server 2003, Microsoft® SCEP (MSCEP) era un complemento del Kit de recursos de Windows Server 2003 que tenía que instalarse en el mismo equipo que la CA. En Windows Server 2008, la compatibilidad con MSCEP se ha denominado NDES y forma parte del sistema operativo; NDES puede instalarse en un equipo diferente al de la CA.


¿Qué opciones de configuración se han agregado o modificado?La extensión NDES para IIS usa el Registro para almacenar las opciones de configuración. Todas las opciones de configuración se almacenan bajo una clave del Registro:

HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP

En la siguiente tabla se definen las claves del Registro que se usan para configurar MSCEP:

Nombre de la opciónOpcional Sí/No

Valor predeterminado Posibles valores

Actualizar no 7 Número de días que se conservan las solicitudes pendientes en la base de datos de NDES.

EnforcePassword no 1 Define si son necesarias contraseñas para las solicitudes de inscripción. El valor 1 significa que NDES requiere una contraseña para las solicitudes de inscripción. El valor 0 (cero) significa que no se necesitan contraseñas.

PasswordMax no 5 Número máximo de contraseñas disponibles que se pueden almacenar en caché.

Nota

En versiones anteriores, el valor predeterminado era 1.000.

PasswordValidity no 60 Número de minutos que es válida una contraseña.

PasswordVDir sí El nombre del directorio virtual que se puede usar para las solicitudes de contraseña. Si se define, NDES acepta solicitudes de contraseña únicamente del directorio


virtual definido. Si el valor está vacío o no está configurado, NDES acepta solicitudes de contraseña de cualquier directorio virtual.

CacheRequest no 20 Número de minutos que los certificados emitidos se conservan en la base de datos SCEP.

CAType no Según configuración

Identifica el tipo de CA a la que está vinculada NDES. El valor 1 significa que se trata de una CA de empresa; el valor 0, que es una CA independiente.

SigningTemplate sí No establecido Si se establece esta clave, NDES usa este valor como nombre de la plantilla de certificado cuando los clientes se inscriban para un certificado de firma.

EncryptionTemplate sí No establecido Si se establece esta clave, NDES usa este valor como nombre de la plantilla de certificado cuando los clientes se inscriban para un certificado de cifrado.

SigningAndEncryptionTemplate sí No establecido Si se establece esta clave, NDES usa el valor como nombre de la plantilla de certificado cuando los clientes se inscriban para un certificado de firma y cifrado, o cuando la solicitud no incluya ningún uso de clave extendida.

¿Qué preparativos se necesitan para la implementación de esta función?Antes de instalar NDES deberá decidir:


Si configurar una cuenta de usuario dedicada para el servicio o usar la cuenta Servicio de

red.

El nombre de la autoridad de registro NDES y el país o región que debe usarse. Esta

información está incluida en todos los certificados MSCEP que se emiten.

El proveedor de servicios de cifrado (CSP) que debe usarse para la clave de firma utilizada

para cifrar las comunicaciones entre la CA y la autoridad de registro.

El CSP que debe usarse para la clave de cifrado empleada para cifrar las comunicaciones

entre la autoridad de registro y el dispositivo de red.

La longitud de clave de cada una de dichas claves.

Además, necesita crear y configurar las plantillas de certificado para los certificados usados conjuntamente con NDES.

Instalar NDES en un equipo crea una nueva autoridad de registro y elimina cualquier certificado de una autoridad de registro existente previamente en el equipo. Por lo tanto, si planea instalar NDES en un equipo en el que se ha configurado otra autoridad de registro, deberían procesarse todas las solicitudes de certificado pendiente y notificarse todos los certificados no reclamados antes de instalar NDES.

AD CS: inscripción en web



Se han efectuado varios cambios en la compatibilidad del sistema operativo Windows Server® 2008 con la inscripción en Web de certificados. Dichos cambios son el resultado de la sustitución del control de inscripción ActiveX® anterior en Windows Vista® y Windows Server 2008 por un control nuevo. En las siguientes secciones se describen estos cambios y sus consecuencias.

¿Qué hace la inscripción en web de certificados?La inscripción en Web de certificados está disponible desde su inclusión en los sistemas operativos Windows® 2000. Se diseñó para proporcionar un mecanismo de inscripción a aquellas organizaciones que necesiten emitir y renovar certificados para usuarios y equipos que no están unidos al dominio o no están conectados directamente a la red, y para los usuarios de sistemas operativos que no sean de Microsoft. En lugar de depender del mecanismo de inscripción automática de una entidad de certificación (CA) o de usar el Asistente para solicitud de certificados, la compatibilidad con inscripción en web que proporciona una CA basada en Windows permite a


estos usuarios solicitar y obtener certificados nuevos y renovados mediante una conexión de Internet o intranet.

¿A quién podría interesar esta función?Esta función le sirve a las organizaciones que cuenten con infraestructuras de clave pública (PKI) con una o varias CA que ejecuten Windows Server 2008 y clientes que ejecuten Windows Vista y que deseen proporcionar a los usuarios la capacidad de obtener certificados nuevos o renovar sus certificados existentes por medio de páginas web.

Como agregar compatibilidad con páginas de inscripción en web puede incrementar radicalmente la flexibilidad y escalabilidad de las PKI de una organización, esta función debe interesar a los arquitectos, planeadores y administradores de PKI.

¿Qué funcionalidad existente cambia?El control de inscripción anterior, XEnroll.dll, se ha sustituido en Windows Vista y Windows Server 2008 por un control nuevo, CertEnroll.dll. Aunque el proceso de inscripción en web se realiza esencialmente igual que antes en Windows 2000, Windows XP y Windows Server 2003, este cambio de controles de inscripción puede tener importantes consecuencias de compatibilidad cuando los usuarios o los equipos que ejecuten Windows Vista o Windows Server 2008 intenten solicitar un certificado a través de páginas de inscripción en web instaladas en las versiones anteriores de Windows mencionadas.

¿Por qué es importante el cambio de XEnroll a CertEnroll?XEnroll.dll se retira por las siguientes causas:

XEnroll.dll es un control heredado escrito hace varios años y no se considera tan seguro

como los escritos más recientemente.

XEnroll.dll tiene una única interfaz monolítica que expone varios conjuntos de

funcionalidades. Cuenta con más de 100 métodos y propiedades, que se fueron agregando

con el transcurso de los años, y la llamada a una función puede cambiar el comportamiento

de otra, lo que dificulta enormemente las pruebas y el mantenimiento.

En cambio, CertEnroll.dll se creó para que fuese más seguro y más fácil de usar y de actualizar que XEnroll.dll.

Nota

XEnroll.dll se puede seguir usando para la inscripción en web en los equipos que ejecuten Windows 2000, Windows XP y Windows Server 2003.

¿Qué funciona de forma diferente?Las CA basadas en Windows Server 2008 seguirán siendo compatibles con las solicitudes de inscripción en web de certificados de los usuarios de equipos cliente con Windows XP y Windows Server 2003. Si tiene que inscribir certificados a través de páginas de inscripción en web de Windows Server 2008 desde un equipo que ejecuta Windows XP, Windows Server 2003 o


Windows 2000, dichas páginas lo detectarán y usarán el control Xenroll.dll instalado localmente en el equipo cliente. No obstante, los siguientes comportamientos del cliente serán distintos de los habituales en las versiones anteriores de Windows:

La capacidad de agente de inscripción (conocido también como la estación de inscripción

de tarjeta inteligente) se ha eliminado de la inscripción en web en Windows Server 2008

porque Windows Vista proporciona su propia capacidad de agente de inscripción. Si

necesita realizar una inscripción en nombre de otro cliente con una inscripción en web en

Windows Server 2008, hágalo con equipos que ejecuten Windows Vista como estaciones de

inscripción. O bien, puede usar un servidor basado en Windows Server 2003 con la

inscripción en web instalada como agente de inscripción para inscribir certificados a través

de una CA basada en Windows Server 2008.

Solamente los usuarios de Internet Explorer versión 6.x o Netscape 8.1 Browser pueden

enviar solicitudes de certificados directamente a través de las páginas de inscripción en

web. Los usuarios de otros exploradores web también pueden enviar solicitudes de

inscripción usando las páginas de inscripción en web, pero primero deben crear una

solicitud PKCS #10 antes de enviarla a través de páginas de inscripción en web.

La inscripción en web de certificados no puede usarse con la versión 3 de plantillas de

certificados (que se usará en Windows Server 2008 para lograr la compatibilidad con la

emisión de certificados compatibles con Suite B).

Internet Explorer no se puede ejecutar en el contexto de seguridad del equipo local; por

tanto, los usuarios ya no pueden solicitar certificados de equipo mediante la inscripción en

web.

¿Qué preparativos se necesitan para la implementación de inscripción en web de certificados?Para configurar un servidor de forma que sea compatible con la inscripción en web de certificados, se debe agregar el servicio de función Inscripción web de entidad de certificación a la función del servidor. Si la compatibilidad con inscripción en web se instala en el mismo equipo que la CA, no se requieren más pasos de configuración. Si el servicio de función de inscripción en web y la CA se instalan en equipos distintos, la CA debe identificarse como parte de la instalación de inscripción en web. Tras la instalación del servicio de función de inscripción en web, queda disponible un sitio web nuevo llamado "CertSrv" a través de Internet Information Services (IIS).

Las páginas de inscripción en web que no sean de Microsoft resultarán seriamente afectadas, puesto que XEnroll.dll no está disponible en Windows Server 2008 ni en Windows Vista. Los administradores de estas CA deberán crear soluciones alternativas para ofrecer compatibilidad con la emisión y renovación de certificados para equipos cliente que usen Windows Server 2008 y Windows Vista, además de tener que seguir usando Xenroll.dll para versiones anteriores de Windows.


Los administradores también deberán planear la configuración apropiada de sus servidores que ejecuten IIS. IIS sólo puede ejecutarse en el modo de 64 bits o de 32 bits. Si instala IIS en un servidor que ejecuta la versión de 64 bits de Windows Server 2008, no instale en el mismo equipo ninguna aplicación web de 32 bits, como Windows Server Update Services (WSUS). De lo contrario, la instalación del servicio de función de inscripción en web producirá un error.

AD CS: configuración de directiva



En el sistema operativo Windows Server® 2008, las opciones de configuración de directiva de grupo relacionadas con los certificados permiten a los administradores administrar las opciones de validación de certificados conforme a las necesidades de seguridad de la organización.

¿Qué son las opciones de configuración de certificados de la directiva de grupo?Las opciones de configuración de certificados en la directiva de grupo permiten a los administradores administrar las opciones de los certificados en todos los equipos del dominio desde una ubicación central. Configurando las opciones con la directiva de grupo se pueden efectuar cambios en todo el dominio. A continuación se ofrecen algunos ejemplos de cómo los administradores pueden usar las nuevas opciones de configuración relacionadas con certificados para:

Implementar certificados de entidades de certificación (CA) intermedias en equipos clientes.

Garantizar que los usuarios no instalen nunca aplicaciones que se hayan firmado con un

certificado de editor no autorizado.

Configurar tiempos de espera de red para controlar mejor los tiempos de espera de

generación de cadenas para listas grandes de revocación de certificados (CRL).

Ampliar los plazos de expiración de CRL si una demora en la publicación de una nueva CRL

está afectando a las aplicaciones.

¿A quién puede interesarle esta característica?Esta característica está pensada para organizaciones que tienen infraestructuras de clave pública (PKI) con una o más entidades de certificación (CA) basadas en Windows y que usan la directiva de grupo para administrar equipos cliente.

El uso de las opciones de validación de certificados de la directiva de grupo puede mejorar en gran medida la capacidad de:

los arquitectos de seguridad para mejorar el uso de la confianza basada en certificados.


los administradores de seguridad para administrar aplicaciones habilitadas para PKI en sus

entornos.

¿Qué nuevas funcionalidades proporciona esta función?A medida que se va extendiendo el uso de PKI X.509 como base de la confianza, muchas organizaciones necesitan cada vez más opciones para administrar la detección y la validación de rutas de certificados. Las versiones anteriores de los sistemas operativos Windows tenían pocas opciones para implementar este tipo de control.

Las opciones de configuración de directiva de grupo relacionadas con certificados pueden encontrarse en la Consola de administración de directivas de grupo (GPMC), en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública. Las siguientes opciones de directiva se pueden administrar en fichas independientes del cuadro de diálogo Configuración de validación de rutas de certificados:

Almacenes

Editores de confianza

Recuperación de red

Revocación

Se han agregado además cuatro nuevos almacenes de directiva en Directivas de clave pública que se pueden usar para distribuir diferentes tipos de certificados a los clientes:

Entidades de certificación intermedias

Editores de confianza

Certificados que no son de confianza

Personas de confianza

Estos nuevos almacenes de directiva se suman a los almacenes de Entidades de certificación raíz de confianza y Confianza empresarial que ya estaban disponibles en Windows Server 2003.

Estos almacenes de certificados y opciones de validación de rutas se pueden usar para realizar las siguientes tareas:

Administración de almacenes de certificados raíz de confianza y de certificados de

confianza del mismo nivel

Administración de editores de confianza

Bloqueo de certificados que no son de confianza conforme a la directiva21


Administración de la recuperación de datos relacionados con los certificados

Administración de los plazos de expiración de CRL y las respuestas del Protocolo de estado

de certificados en línea (OCSP)

Implementación de certificados

Administración de almacenes de CA raíz de confianza y de certificados de confianza del mismo nivelCon la ficha Almacenes del cuadro de diálogo Configuración de validación de rutas de certificados, los administradores pueden regular la capacidad de los usuarios de administrar sus propios certificados raíz de confianza y certificados de confianza del mismo nivel. Este control se puede implementar de manera que los usuarios no tengan autorización para tomar ninguna decisión relativa a esos certificados, o puede utilizarse para controlar el número de propósitos del certificado, como firma y cifrado, que los usuarios pueden administrar para los certificados de confianza del mismo nivel.

La ficha Almacenes permite también a los administradores especificar si los usuarios de un equipo unido al dominio pueden confiar únicamente en CA raíz de empresa o en CA tanto de raíz de empresa como en las que no son de Microsoft.

Si un administrador necesita distribuir certificados raíz de confianza seleccionados a los equipos del dominio, puede hacerlo copiando los certificados en el almacén de Entidades de certificación raíz de confianza y los certificados se propagarán al almacén de certificados correspondiente la próxima vez que se actualice la directiva de grupo.

¿Por qué es importante esta funcionalidad?Debido a la variedad cada vez mayor de los certificados que se usan hoy en día y a la creciente importancia de las decisiones que deben tomarse acerca de si reconocer o no dichos certificados, es posible que algunas organizaciones deseen administrar la confianza en los certificados e impedir que los usuarios del dominio configuren su propio conjunto de certificados raíz de confianza.

¿Qué preparativos se necesitan para este cambio?El uso de las opciones de configuración de directiva de grupo relacionadas con certificados requiere un cuidadoso planeamiento para determinar las necesidades de certificados de los usuarios y equipos de la organización, así como el grado de control que deben tener sobre dichos certificados. Podría dotar a los usuarios de una mayor libertad de acción si combina el uso de estas opciones con una formación clara y efectiva a fin de que los usuarios entienda la importancia de los certificados, los riesgos de una administración de certificados deficiente y cómo administrar sus certificados de forma responsable.

Administración de editores de confianzaLas opciones de directiva de la ficha Editores de confianza del cuadro de diálogo Configuración de validación de rutas de certificados permiten a los administradores controlar qué certificados se pueden aceptar como procedentes de un editor de confianza.


¿Por qué es importante este cambio?La firma de software se usa cada vez más entre los editores de software y los programadores para comprobar si las aplicaciones proceden de un origen de confianza. No obstante, muchos usuarios no entienden o prestan poca atención a los certificados de firma asociados a las aplicaciones que instalan.

La especificación de opciones de directiva de editor de confianza para toda la organización permite a las organizaciones decidir si los certificados de Authenticode® pueden ser administrados por usuarios y administradores, sólo por administradores o sólo por administradores de organización.

Además, esta sección de la directiva de validación de ruta puede requerir que se realicen comprobaciones adicionales de marca de tiempo y revocación antes de aceptar un certificado de un editor de confianza.

¿Qué preparativos se necesitan para este cambio?El uso de las opciones de configuración de directiva de grupo relacionadas con certificados requiere un cuidadoso planeamiento para determinar las necesidades de certificados de los usuarios y equipos de la organización, así como el grado de control que deben tener sobre dichos certificados. Podría dotar a los usuarios de una mayor libertad de acción si combina el uso de estas opciones con una formación clara y efectiva a fin de que los usuarios entienda la importancia de los certificados, los riesgos de una administración de certificados deficiente y cómo administrar sus certificados de forma responsable.

Bloqueo de certificados que no son de confianza conforme a la directivaPuede impedir el uso de ciertos certificados en la organización agregándolos al almacén Certificados en los que no se confía.

¿Por qué es importante este cambio?Al igual que los administradores de red son responsables de impedir que los virus y otros tipos de software malintencionado lleguen a sus entornos, es posible que en el futuro los administradores quieran bloquear el uso de determinados certificados. Un certificado emitido por la propia CA puede ser revocado y se agregará a la CRL. No pueden revocarse los certificados emitidos por CA externas. No obstante, estos certificados que no son de confianza pueden desactivarse si se agregan al almacén Certificados en los que no se confía. Estos certificados se copiarán en el almacén Certificados en los que no se confía de cada equipo cliente del dominio la próxima vez que se actualice la directiva de grupo.

¿Qué preparativos se necesitan para este cambio?El uso de las opciones de configuración de directiva de grupo relacionadas con certificados requiere un cuidadoso planeamiento para determinar las necesidades de certificados de los usuarios y equipos de la organización, así como el grado de control que deben tener sobre dichos certificados. Podría dotar a los usuarios de una mayor libertad de acción sobre los certificados que pueden administrar si combina el uso de estas opciones con una formación clara y efectiva a fin de que los usuarios entiendan la importancia de los certificados, los riesgos de una administración de certificados deficiente y cómo administrar sus certificados de forma responsable.


Administración de la recuperación de datos relacionados con los certificadosLas CRL pueden hacerse muy grandes y, en consecuencia, no descargarse porque para descargarlas se tarda más de los 15 segundos de tiempo de espera predeterminados. Las opciones de la ficha Recuperación de red del cuadro de diálogo Configuración de validación de rutas de certificados permiten a los administradores modificar los tiempos de espera de recuperación predeterminados para solucionar este problema.

Además, las opciones de recuperación de red y validación de rutas permiten a los administradores:

Actualizar automáticamente los certificados en el programa de certificados raíz de

Microsoft®.

Configurar los valores de tiempo de espera de recuperación para las CRL y la validación de

rutas (los valores predeterminados altos pueden ser útiles si las condiciones de la red no

son óptimas).

Habilitar la recuperación de certificados del emisor durante la validación de rutas.

Definir la frecuencia de descarga de los certificados cruzados.

¿Por qué es importante este cambio?Para que sean eficaces, los datos relacionados con los certificados, como es el caso de los certificados raíz de confianza, los certificados cruzados y las CRL, se deben actualizar en el momento oportuno, pero las condiciones de red no son siempre óptimas, como en el caso de las sucursales o los usuarios remotos. Estas opciones de configuración de directiva de grupo permiten asegurar que los datos relacionados con los certificados se actualizarán aun cuando las condiciones de red no sean las óptimas.

¿Qué preparativos se necesitan para este cambio?Se deberá determinar si las condiciones de red están afectando a los tiempos de descarga de la CRL.

Administración de los plazos de expiración para las respuestas de OCSP y CRLLa revocación de un certificado invalida un certificado como credencial de seguridad de confianza antes de la expiración natural de su período de validez. Una infraestructura de clave pública (PKI) depende de la comprobación distribuida de las credenciales en las que no es necesario que haya comunicación directa con la entidad de confianza central que avala dichas credenciales.

Para admitir de manera eficaz la revocación de certificados, el cliente deberá determinar si el certificado es válido o si ha sido revocado. Para permitir diversas situaciones, los Servicios de Certificate Server de Active Directory® (AD CS) son compatibles con varios métodos de revocación de certificados estándares del sector.

Entre ellos se incluye la publicación de listas de revocación de certificados (CRL) y las diferencias de CRL en diversas ubicaciones para que los clientes tengan acceso a ellas, incluidos los Servicios de dominio de Active Directory, los servidores web y los recursos compartidos de archivos de red.


En Windows, los datos de la revocación también están disponibles en una serie de opciones mediante las respuestas del estado del Protocolo de estado de certificados en línea (OCSP).

¿Por qué es importante este cambio?Las condiciones de red pueden impedir que se publiquen las CRL más recientes, lo que puede provocar errores en todas las validaciones de la cadena de certificados. Ampliar el plazo de expiración de la respuesta de OCSP o CRL existente puede evitar que esto ocurra.

¿Qué preparativos se necesitan para este cambio?El uso de las opciones de configuración de directiva de grupo relacionadas con datos de revocación requiere un cuidadoso planeamiento para determinar el equilibrio adecuado entre el cumplimiento estricto de la programación de publicación de CLR estándar y las consecuencias potenciales de ampliar el período de validez de la CRL si no hay disponible una CRL actualizada.

Implementación de certificadosLos certificados de equipo y usuario se pueden implementar mediante una serie de mecanismos que incluyen la inscripción automática, el Asistente para solicitud de certificados y la inscripción en web. No obstante, la implementación de otros tipos de certificados en un gran número de equipos puede suponer todo un reto. En Windows Server 2003 era posible distribuir certificados de CA raíz de confianza y certificados de confianza empresarial mediante la directiva de grupo. En Windows Server 2008 se puede distribuir la totalidad de los siguientes tipos de certificados colocándolos en el almacén de certificados adecuado de la directiva de grupo:

Certificados de CA raíz de confianza

Certificados de confianza empresariales

Certificados de CA intermedios

Certificados de editores de confianza

Certificados que no son de confianza

Personas de confianza (certificados de confianza del mismo nivel)

¿Por qué es importante este cambio?La creciente variedad de certificados y usos de certificados requiere que los administradores dispongan de medios eficaces para distribuir dichos certificados a los usuarios y equipos de sus organizaciones.

¿Qué preparativos se necesitan para este cambio?El uso de las opciones de configuración de directiva de grupo relacionadas con certificados requiere un cuidadoso planeamiento para determinar las necesidades de certificados de los usuarios y equipos de la organización, así como el grado de control que deben tener sobre dichos certificados. Podría dotar a los usuarios de una mayor libertad de acción si combina el uso de estas opciones con una formación clara y efectiva a fin de que los usuarios entienda la importancia de los


certificados, los riesgos de una administración de certificados deficiente y cómo administrar sus certificados de forma responsable.

¿Cómo hay que prepararse para implementar esta característica?Es preciso ser miembro del grupo Admins. del dominio para configurar la directiva de grupo del dominio.

AD CS: agente de inscripción restringido



El agente de inscripción restringido es una nueva funcionalidad del sistema operativo Windows Server® 2008 Enterprise que permite limitar los permisos de los usuarios designados como agentes de inscripción para inscribir certificados de tarjeta inteligente en nombre de otros usuarios. En las siguientes secciones se describe este cambio y sus implicaciones.

¿Qué hace el agente de inscripción restringido?Los agentes de inscripción son una o varias personas autorizadas de una organización. El agente de inscripción necesita la emisión de un certificado de agente de inscripción, lo que le permite inscribirse para certificados de tarjeta inteligente en nombre de los usuarios. Los agentes de inscripción son normalmente miembros de los equipos de seguridad corporativa, seguridad de tecnologías de la información (TI) o soporte técnico, puesto que a dichas personas ya se les ha confiado la protección de valiosos recursos. En algunas organizaciones, como bancos con muchas sucursales, es posible que los trabajadores de los departamentos de seguridad y soporte técnico no estén en ubicaciones adecuadas para realizar esta tarea. En este caso, nombrar a un director de sucursal u otro empleado de confianza para que actúe como agente de inscripción es necesario para que se puedan emitir las credenciales de tarjeta inteligente desde varias ubicaciones.

En una entidad de certificación (CA) basada en Windows Server 2008 Enterprise, las características del agente de inscripción restringido permiten usar un agente de inscripción para una o varias plantillas de certificado. Para cada plantilla de certificado se pueden elegir los grupos de seguridad o usuarios en nombre de los cuales se puede inscribir el agente de inscripción. No se puede limitar al agente de inscripción basándose en un contenedor o una unidad organizativa (OU) de Active Directory® determinados; en lugar de esto, es preciso usar grupos de seguridad. El agente de inscripción restringido no está disponible en una entidad de certificación (CA) basada en Windows Server® 2008 Standard.

¿A quién puede interesarle esta característica?Esta característica se aplica a organizaciones que tienen infraestructuras de clave pública (PKI) con una más entidades de certificación basadas en Windows Server 2008 Enterprise y que requieren que entidades de confianza sean capaces de solicitar certificados de tarjeta inteligente en nombre de otros usuarios.

¿Hay alguna consideración especial?


El uso de agentes de inscripción restringidos afectará al rendimiento de la entidad de

certificación; para optimizar dicho rendimiento, se puede minimizar el número de cuentas

incluidas en la lista de agentes de inscripción. También se recomienda minimizar el número

de cuentas de la lista de permisos para el agente de inscripción. Como práctica

recomendada, use cuentas de grupo en ambas listas en lugar de cuentas de usuario

individuales.

Windows Server 2008 usa plantillas de certificado de la versión 3. Las plantillas de

certificado de la versión 3 sólo pueden abrirse con un equipo que ejecute los sistemas

operativos Windows Server 2008 o Windows Vista®. No se pueden abrir ni modificar las

plantillas de la versión 3 en equipos con versiones anteriores de Windows.

De forma intermitente, las plantillas de certificado nuevas no aparecerán en la lista de

certificados disponibles en el complemento Plantillas de certificado mientras está abierto el

cuadro de diálogo Entidades de certificación. Cierre el cuadro de diálogo y vuélvalo a abrir

para ver la plantilla nueva de la lista disponible.

¿Por qué es importante esta funcionalidad?En Windows Server® 2003 Enterprise Edition no se puede permitir que un agente de inscripción inscriba sólo un grupo de usuarios determinado. En Windows Server 2008, la arquitectura PKI de una empresa podrá limitar los agentes de inscripción para que la inscripción sólo sea posible para una plantilla de certificado determinada. Limitando el ámbito de los agentes de inscripción, una empresa está más capacitada para controlar la delegación de confianza y el riesgo asociado a la concesión de dicha confianza.

¿Qué diferencias de funcionamiento existen?En Windows Server 2003 Enterprise Edition, la entidad de certificación de la empresa no proporciona ningún medio configurable de controlar a los agentes de inscripción, salvo haciendo cumplir la extensión de directiva de aplicación del certificado de agente de inscripción, que comprueba las credenciales que otorgan la capacidad de inscribirse en nombre de otros usuarios. El certificado del agente de inscripción es un certificado que contiene la extensión de directiva de aplicación "Agente de solicitud de certificados"; el identificador de objeto (conocido también como OID) es 1.3.6.1.4.1.311.20.2.1.

En Windows Server 2008 Enterprise, el agente de inscripción restringido permite limitar los permisos que los agentes de inscripción tienen para inscribir certificados de tarjeta inteligente en nombre de otros usuarios, a fin de que el proceso de inscripción en nombre de otros usuarios pueda delegarse en otras personas de parámetros más controlados. Con el complemento Servicios de Certificate Server se puede crear una lista de permisos para cada agente de inscripción a fin de configurar los grupos de seguridad o usuarios en nombre de los que un agente de inscripción puede inscribirse para cada plantilla de certificado.

¿Qué preparativos se necesitan para este cambio?Antes de configurar agentes de inscripción restringidos, es preciso crear grupos de seguridad en Servicios de dominio de Active Directory (AD DS). Dependiendo de la directiva de restricción, puede que tenga un grupo de seguridad para todos los agentes de inscripción de una autoridad de


registro y también un grupo de seguridad diferente para los usuarios que están asignados a una autoridad de registro. Con esos dos grupos de seguridad por autoridad de registro podrá limitar de forma precisa las capacidades de los agentes de inscripción.

AD CS: Enterprise PKI (PKIView)



La supervisión y solución de problemas de mantenimiento de todas las entidades de certificación (CA) en una infraestructura de clave pública (PKI) son tareas administrativas esenciales que se facilitan con Enterprise PKI, un complemento que originalmente formaba parte del Kit de recursos de Microsoft® Windows Server® 2003, con el nombre de herramienta PKI Health, y que ahora es un complemento de Microsoft Management Console (MMC) del sistema operativo Windows Server® 2008. Dado que forma parte del sistema operativo principal de Windows Server 2008, Enterprise PKI se puede usar después de la instalación del servidor sencillamente agregándolo a una consola MMC. Al hacerlo, quedará disponible para analizar el estado de mantenimiento de las CA instaladas en los equipos que ejecutan Windows Server 2008 o Windows Server 2003.

¿Qué hace Enterprise PKI?Enterprise PKI proporciona una vista del estado del entorno de PKI de la red. La visualización de las distintas CA y su estado de mantenimiento actual permite a los administradores administrar las jerarquías de CA y solucionar posibles errores de CA con facilidad y eficacia. En concreto, Enterprise PKI indica la validez o accesibilidad de las ubicaciones de acceso a la información de entidad emisora (AIA) y los puntos de distribución de las listas de revocación de certificados (CRL).

Para cada CA seleccionada, Enterprise PKI indica uno de los estados de mantenimiento de CA que se enumeran:

Indicador Estado de CA

Signo de interrogación Evaluación de estado de mantenimiento de CA

Indicador verde La CA no tiene ningún problema

Indicador amarillo La CA tiene un problema no crítico

Indicador rojo La CA tiene un problema crítico

Cruz roja sobre el icono de CA CA sin conexión

Después de agregar el complemento Enterprise PKI a la MMC, aparecen tres paneles:


Árbol. Este panel muestra una representación en forma de árbol de la jerarquía de PKI de la

empresa. Cada nodo situado debajo del nodo de Enterprise PKI representa una CA con CA

subordinadas como nodos secundarios.

Resultados. Para la CA seleccionada en el árbol, este panel presenta una lista de las CA

subordinadas, certificados de CA, puntos de distribución de CRL y ubicaciones de AIA. Si se

selecciona la raíz de la consola en el árbol, en el panel de resultados aparecen todas las CA

raíz. El panel de resultados tiene tres columnas:

Nombre. Si está seleccionado el nodo de Enterprise PKI, aparecen los nombres de las

CA raíz debajo del nodo de Enterprise PKI. Si en el árbol está seleccionada una CA o

una CA secundaria, se muestran los nombres de los certificados de CA, las ubicaciones

de AIA y los puntos de distribución de CRL.

Estado. Aparece una breve descripción del estado de la CA (que también se indica en el

árbol por el icono asociado a la CA seleccionada) o el estado de los certificados de CA,

las ubicaciones de AIA o los puntos de distribución de CRL (indicados por descripciones

del texto de estado, por ejemplo, Aceptar y No se puede descargar).

Ubicación. Se muestran las ubicaciones de AIA y los puntos de distribución de CRL

(protocolo y ruta de acceso) para cada certificado. Por ejemplo, file://, HTTP:// y LDAP://.

Acciones. Este panel proporciona la misma funcionalidad que los menús Acciones, Ver y

Ayuda.

Dependiendo del elemento que esté seleccionado en el panel de árbol o de resultados,

puede ver más detalles de las CA y los certificados de CA, incluida la información de AIA y

CRL en el panel de acciones. También puede administrar la estructura de PKI de la

empresa y efectuar correcciones o cambios en los certificados de CA o en las CRL.

¿A quién podría interesar esta función?Puede usar Enterprise PKI en una red empresarial que use Servicios de Certificate Server de Active Directory (AD CS) y que contenga una o varias CA, incluidos los entornos con varias jerarquías de PKI.

Los usuarios posibles de Enterprise PKI pueden ser administradores y profesionales de TI que estén familiarizados con la supervisión y la solución de problemas de mantenimiento de CA en un entorno de red de AD CS.

¿Hay alguna consideración especial?Enterprise PKI sólo se puede usar en un entorno de AD CS.


¿Qué nuevas funcionalidades proporciona esta función?Enterprise PKI ahora es compatible con la codificación de caracteres Unicode.

Compatibilidad con los caracteres UnicodeEnterprise PKI es totalmente compatible con los caracteres Unicode junto con la codificación PrintableString. El uso de la codificación de caracteres Unicode permite presentar texto y símbolos en todos los idiomas. La codificación Unicode usa un esquema o Unicode Transformation Format (UTF-8) que asigna dos bytes a cada carácter, lo que da un total de 65.536 combinaciones posibles de caracteres. En cambio, la codificación PrintableString sólo permite usar un subconjunto de caracteres ASCII: A-Z a-z 0-9 (espacio) ' () + , . / : = ?.

Guía paso a paso de los Servicios de Certificate Server de Active Directory de Windows Server

Actualizado: noviembre de 2008


En esta guía se describen los pasos necesarios para realizar una configuración básica de AD CS (Servicios de Certificate Server de Active Directory®) en un entorno de laboratorio.

Los AD CS de Windows Server® 2008 proporcionan servicios personalizables para crear y administrar los certificados de clave pública que se usan en los sistemas de seguridad de software que emplean tecnologías de clave pública.

En este documento se incluye la información siguiente:

Una revisión de las características de AD CS.

Requisitos para usar AD CS.

Procedimientos para la configuración básica de un laboratorio, destinados a probar AD CS

en un número mínimo de equipos.

Procedimientos para la configuración avanzada de un laboratorio, destinados a probar

AD CS en número mayor de equipos mediante simulaciones de configuraciones basadas en

la realidad.

Revisión de la tecnología de AD CSLa opción Servicios de Certificate Server de Active Directory del Asistente para agregar funciones le permite configurar los siguientes componentes de AD CS:

CA (Entidades de certificación). Las CA raíz y subordinadas se usan para emitir

certificados a los usuarios, equipos y servicios, así como para administrar la validez de los

certificados.30


Inscripción en web de CA. La inscripción en web permite a los usuarios conectarse a una

CA mediante un explorador web, con el fin de:

Solicitar certificados y revisar solicitudes de certificados.

Recuperar listas de revocación de certificados (CRL).

Realizar inscripciones de certificados de tarjeta inteligente.

Servicio de respuesta en línea. El Servicio de respuesta en línea implementa el Protocolo

de estado de certificados en línea (OCSP), mediante la descodificación de las solicitudes de

estado de revocación correspondientes a certificados concretos, evalúa el estado de estos

certificados y devuelve una respuesta con firma que contiene la información solicitada de

estado del certificado.

Importante

Los servicios de respuesta en línea pueden usarse como alternativa o como extensión de las CRL, con el fin de proporcionar a los clientes datos de revocación de certificados. El Servicio de respuesta en línea de Microsoft se basa y cumple con RFC 2560 para OCSP. Para obtener más información acerca de RFC 2560, consulte el sitio web del Grupo de trabajo de ingeniería de Internet en http://go.microsoft.com/fwlink/?LinkId=67082 (puede estar en inglés).

Servicio de inscripción de dispositivos de red. El Servicio de inscripción de dispositivos

de red permite a los enrutadores y otros dispositivos de red la obtención de certificados

basados en el Protocolo de inscripción de certificados simple (SCEP), de Cisco Systems

Inc.

Nota

SCEP se desarrolló para admitir la emisión de certificados seguros y escalables para dispositivos de red, mediante el uso de CA existentes. Este protocolo es compatible con las CA y la distribución de claves públicas de autoridades de registro, la inscripción de certificados, la revocación de certificados, las consultas de certificados y las consultas de revocación de certificados.

Requisitos para usar AD CSLas CA se pueden configurar en servidores que ejecutan diferentes sistemas operativos, entre los que se incluyen Windows® 2000 Server, Windows Server® 2003 y Windows Server 2008. Sin embargo, no todos los sistemas operativos son compatibles con todas las características ni requisitos de diseño, por lo que la creación de un diseño óptimo precisará de una cuidadosa planeación y pruebas de laboratorio antes de implementar AD CS en un entorno de producción.


http://go.microsoft.com/fwlink/?LinkID=67082

Aunque puede implementar AD CS con un solo servidor para una sola CA, la existencia de varias implementaciones puede implicar el uso de varios servidores configurados como raíz, una directiva, las CA emisoras y otros servidores configurados como servicios de respuesta en línea.

Nota

Para una instalación Server Core de Windows Server 2008 y para Windows Server 2008 en sistemas basados en Itanium, existe un conjunto limitado de funciones de servidor disponibles.

En la siguiente tabla se incluyen los componentes de AD CS que se pueden configurar en las distintas ediciones de Windows Server 2008.

Componentes Web Standard Enterprise Datacenter

CA No Sí Sí Sí

Servicio de inscripción de dispositivos de red No No Sí Sí

Servicio de respuesta en línea No No Sí Sí

Las siguientes características están disponibles en los servidores con Windows Server 2008 configurados como CA.

Características de AD CS Web Standard Enterprise Datacenter

Plantillas de certificados de la versión 2 y versión 3

No No Sí Sí

Archivo de claves No No Sí Sí

Separación de funciones No No Sí Sí

Restricciones de Administrador de certificados No No Sí Sí

Restricciones de agente de inscripción delegado No No Sí Sí

Escenario de un laboratorio básico de AD CSEn las secciones siguientes se describe el modo de configurar un laboratorio para comenzar la evaluación de AD CS.

Se recomienda que primero siga los pasos ofrecidos en esta guía en un entorno de prueba. Las guías paso a paso no están pensadas necesariamente para usarse para la implementación de


características de Windows Server sin la documentación correspondiente y deberán aplicarse teniendo en cuenta que se trata de un documento independiente.

Pasos para la configuración de un laboratorio básicoPuede comenzar a probar un gran número de características de AD CS en un entorno de laboratorio, mediante el uso solamente de dos servidores con Windows Server 2008 y un equipo cliente en el que se ejecute Windows Vista®. A continuación se describen los equipos usados como ejemplo en esta guía:

LH_DC1: este equipo será el controlador de dominio del entorno de prueba.

LH_PKI1: este equipo hospedará una CA raíz de empresa para el entorno de prueba. Esta

CA emitirá certificados de cliente para el Servicio de respuesta en línea y los equipos

cliente.

Nota

Las CA de empresa y el Servicio de respuesta en línea sólo se pueden instalar en servidores con Windows Server 2008 Enterprise o Windows Server 2008 Datacenter.

LH_CLI1: este equipo cliente con Windows Vista inscribirá automáticamente certificados

desde LH_PKI1 y comprobará el estado de certificados desde LH_ PKI1.

Para realizar la configuración de un laboratorio básico para AD CS, debe realizar los siguientes pasos de requisitos previos:

Configure un controlador de dominio en LH_DC1 para contoso.com, incluidas algunas

unidades organizativas que incluirán uno o varios usuarios para el equipo cliente, para los

equipos clientes en el dominio, así como para los servidores que hospedan las CA y los

servicios de respuesta en línea.

Instale Windows Server 2008 en LH_PKI1 y una LH_PKI1 al dominio.

Instale Windows Vista en LH_CLI1 y una LH_CLI1 a contoso.com.

Una vez realizados estos procedimientos preliminares de configuración, puede comenzar a realizar los siguientes pasos:

Paso 1: configurar una CA raíz de empresa

Paso 2: instalar el Servicio de respuesta en línea

Paso 3: configurar la CA para la emisión de certificados de firma de respuesta de OCSP

Paso 4: crear una configuración de revocación


http://technet.microsoft.com/es-es/library/cc772393(WS.10).aspx#BKMK_AS4




Paso 5: comprobar el funcionamiento correcto de la configuración del laboratorio de AD CS

Paso 1: configurar una CA raíz de empresaUna CA raíz de empresa constituye el delimitador de confianza para la configuración del laboratorio básico y se usará con el fin de emitir certificados al Servicio de respuesta en línea y al equipo cliente, así como para publicar información sobre certificados en Servicios de dominio de Active Directory (AD DS).

Nota


Para configurar un CA raíz de empresa 1. Inicie sesión en LH_PKI1 como administrador de dominio.

2. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic

en Administrador del servidor.

3. En la sección Resumen de funciones, haga clic en Agregar funciones.

4. En la página Seleccionar funciones de servidor, active la casilla Servicios de Certificate Server de Active Directory. Haga clic en Siguiente, dos veces.

5. En la página Seleccionar servicios de función active la casilla Entidad de certificación,y , a continuación, haga clic en Siguiente.

6. En la página Especificar tipo de instalación, haga clic en Empresa y, a continuación,en

Siguiente.

7. En la página Especificar tipo de CA, haga clic en CA raíz y, a continuación, en Siguiente.

8. En las páginas Configurar clave privada y Configurar criptografía para CA, puede

configurar valores opcionales, incluidos los proveedores de servicios de cifrado. No

obstante, con el fin de realizar pruebas básicas, acepte los valores predeterminados,

haciendo clic dos veces en Siguiente.

9. En el cuadro Nombre común para esta entidad de certificación, escriba el nombre

común de la CA, RootCA1 y, a continuación, haga clic en Siguiente.

10. En la página Establecer el período de validez, acepte la duración de validez

predeterminada para la CA raíz y haga clic en Siguiente.

11. En la página Configurar base de datos de certificados, acepte los valores

predeterminados o indique otras ubicaciones de almacenamiento para la base de datos de 34



certificados y el registro de la base de datos de certificados y, a continuación, haga clic en

Siguiente.

12. Después de comprobar la información en página Confirmar opciones de instalación, haga

clic en Instalar.

13. Revise la información en la pantalla de confirmación, para comprobar que la instalación se

realizó de modo correcto.

Paso 2: instalar el Servicio de respuesta en líneaSe puede instalar un servicio de respuesta en línea en cualquier equipo con Windows Server 2008 Enterprise o Windows Server 2008 Datacenter. Los datos de revocación de certificado pueden proceder de una CA de un equipo con Windows Server 2008, una CA de un equipo con Windows Server 2003 o una CA que no sea de Microsoft.

Nota

También debe instalar IIS en este equipo, para poder instalar el Servicio de respuesta en línea.

Para instalar el Servicio de respuesta en línea 1. Inicie sesión en LH_PKI1 como administrador de dominio.

2. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic


3. Haga clic en Administrar funciones. En la sección Servicios de Certificate Server de Active Directory, haga clic en Agregar servicios de función.

4. En la página Seleccionar servicios de función, active la casilla Servicio de respuesta en línea.

Se le pedirá que instale IIS y el Servicio WAS.

5. Haga clic en Agregar servicios de función requeridos y, a continuación, haga clic en

Siguiente, tres veces.

6. En la página Confirmar opciones de instalación, haga clic en Instalar.

7. Cuando finalice la instalación, revise la página de estado para comprobar que la instalación

se realizó correctamente.

Paso 3: configurar la CA para la emisión de certificados de firma de respuesta de OCSPLa configuración de una CA para admitir Servicios de respuesta en línea implica la configuración de plantillas de certificados y propiedades de emisión de los certificados de firma de respuesta de


OCSP, así como la realización de los pasos adiciones en la CA, con el fin de admitir los Servicios de respuesta en línea y la emisión de certificados.

Nota

Estas plantillas de certificados y pasos de inscripción automática también se pueden usar para configurar los certificados que se desean emitir a un equipo cliente o a los usuarios de equipos cliente.

Para configurar plantillas de certificados para el entorno de prueba 1. Inicie sesión en LH_PKI1 como administrador de una CA.

2. Abra el complemento Plantillas de certificado.

3. Haga clic con el botón secundario en la plantilla Firma de respuesta de OCSP y, a

continuación, haga clic en Plantilla duplicada.

4. Escriba un nuevo nombre para la plantilla duplicada, por ejemplo Firma_2 de respuesta de OCSP.

5. Haga clic con el botón secundario en la plantilla de certificado Firma_2 de respuesta de OCSP y, a continuación, haga clic en Propiedades.

6. Haga clic en la ficha Seguridad. En Nombre de grupo o de usuario, haga clic en Agregar y escriba el nombre o localice y seleccione el equipo que hospeda el Servicio de respuesta

en línea.

7. Haga clic en el nombre de equipo LH_PKI1 y, en el cuadro de diálogo Permisos, active las

casillas Lectura e Inscripción automática.

8. Mientras tenga abierto el complemento Plantillas de certificado, podrá configurar plantillas

de certificados para usuarios y equipos, mediante la sustitución de las plantillas deseadas

en el paso 3 y la repetición de los pasos del 4 al 7 para la configuración de permisos para

LH_CLI1 y las cuentas de usuario de prueba.

Para configurar la CA con el fin de admitir el Servicio de respuesta en línea, deberá usar el complemento Entidad de certificación y completar dos pasos clave:

Agregue la ubicación del Servicio de respuesta en línea a la extensión Acceso a la

información de entidad de certificados emitidos.

Habilite las plantillas de certificado configuradas en el procedimiento anterior para la CA.

Para configurar una CA para admitir el Servicio de respuesta en línea 1. Abra el complemento Entidad de certificación.


2. En el árbol de consola, haga clic en el nombre de la CA.

3. En el menú Acción, haga clic en Propiedades.

4. Haga clic en la ficha Extensiones. En la lista Seleccionar extensión, haga clic en Acceso a la información de entidad (AIA).

5. Active las casillas Incluir en la extensión AIA de los certificados emitidos e Incluir en la extensión del Protocolo de estado de certificados en línea (OCSP).

6. Especifique las ubicaciones desde las cuales los usuarios pueden obtener los datos de

revocación de certificados; en este ejemplo de configuración la ubicación es

http://LH_PKI1/ocsp.

7. En el árbol de consola del complemento Entidad de certificación, haga clic con el botón

secundario en Plantillas de certificados y, a continuación, haga clic en Nueva plantilla de certificado que se va a emitir.

8. En Habilitar plantillas de certificados, seleccione la plantilla Firma de respuesta de OCSP y cualquier otra plantilla de certificado que haya configurado anteriormente y, a

continuación, haga clic en Aceptar.

9. Abra Plantillas de certificado y compruebe que las plantillas de certificados modificadas

aparecen en la lista.

Paso 4: crear una configuración de revocaciónUna configuración de revocación incluye todas las opciones necesarias para responder a las solicitudes de estado con relación a los certificados emitidos mediante una clave de CA específica.

Estas opciones de configuración incluyen el certificado de la CA, el certificado de firma del Servicio de respuesta en línea y las ubicaciones a las que se dirigen los clientes para el envío de sus solicitudes de estado.

Importante

Antes de crear una configuración de revocación, debe asegurarse de que se efectuó la inscripción de certificado, con el fin de incluir un certificado de firma en el quipo y ajustar los permisos del certificado de firma para permitir su uso por parte del Servicio de respuesta en línea.

Para comprobar que el certificado de firma se configuró correctamente 1. Inicie o reinicie LH_PKI1 para inscribir certificados.

2. Inicie sesión como administrador de una CA.


3. Abra el complemento Certificados para la cuenta del equipo. Abra el almacén de certificados

personales del equipo y compruebe que contiene el certificado denominado Firma de respuesta de OCSP.

4. Haga clic con el botón secundario en este certificado y, a continuación, haga clic en

Administrar claves privadas.

5. Haga clic en la ficha Seguridad. En el cuadro de diálogo Nombre de grupo o de usuario,

haga clic en Agregar, escriba Servicio de red en la lista Nombre de grupo o de usuario y,

por último, haga clic en Aceptar.

6. Haga clic en Servicio de red y, en el cuadro de diálogo Permisos, active la casilla Control total.

7. Haga clic en Aceptar, dos veces.

La creación de una configuración de revocación implica las tareas siguientes:

Identificación del certificado de la CA que admite el Servicio de respuesta en línea.

Identificación del punto de distribución de la CRL para la CA.

Selección de un certificado de firma que se usará para firmar respuestas de estado de

revocación.

Selección de un proveedor de revocación, que será el componente responsable de la

recuperación y el almacenamiento en caché de la información de revocación usada por los

Servicios de respuesta en línea.

Para crear una configuración de revocación 1. Abra el complemento Servicio de respuesta en línea.

2. En el panel Acciones, haga clic en Agregar configuración de revocación para iniciar el

Asistente para agregar configuración de revocación y, a continuación, haga clic en

Siguiente.

3. En la página Asignar nombre a la configuración de revocación, escriba un nombre para

la configuración de revocación, por ejemplo LH_RC1 y, a continuación, haga clic en

Siguiente.

4. En la página Seleccionar ubicación de certificado de CA, haga clic en Seleccionar un certificado de una CA de empresa existente y, a continuación, haga clic en Siguiente.


5. En la página siguiente, el nombre de la CA, LH_PKI1, deberá aparecer en el cuadro Buscar certificados de CA publicados en Active Directory.

Si aparece, haga clic en el nombre de la CA que desea asociar a la configuración de

revocación y, a continuación, haga clic en Siguiente.

Si no aparece, haga clic en Buscar una CA por nombre de equipo y escriba el

nombre del equipo que hospeda LH_PKI1 o haga clic en Examinar para buscar este

equipo. Una vez localizado el equipo, haga clic en Siguiente.

Nota

También podría vincular al certificado de la CA desde el almacén local de certificados o mediante su importación desde el medio extraíble en el paso 4.

6. Consulte el certificado y copie el punto de distribución de CRL para la CA raíz primaria,

RootCA1. Para ello:

a. Abra el complemento Servicios de Certificate Server y seleccione un certificado

emitido.

b. Haga doble clic en el certificado y, a continuación, en la ficha Detalles.

c. Desplácese hacia abajo y seleccione el campo Puntos de distribución CRL.

d. Seleccione y copie la dirección URL del punto de distribución de CRL que desea

usar.

e. Haga clic en Aceptar.

7. En la página Seleccionar certificado de firma, acepte la opción predeterminada

Seleccionar automáticamente un certificado de firma y, a continuación, haga clic en

Siguiente.

8. En la página Proveedor de revocación, haga clic en Proveedor.

9. En la página Propiedades de proveedor de revocación, haga clic en Agregar, indique la

dirección URL del punto de distribución de CRL y, por último, haga clic en Aceptar.

10. Haga clic en Finalizar.

11. Mediante el complemento Servicio de respuesta en línea, seleccione la configuración de

revocación y examine la información de estado para comprobar que el funcionamiento es


correcto. También debe poder examinar las propiedades del certificado de firma, para

comprobar que el Servicio de respuesta en línea se configuró de forma correcta.

Paso 5: comprobar el funcionamiento correcto de la configuración del laboratorio de AD CSPuede comprobar los pasos descritos anteriormente, según los vaya realizando.

Después de finalizar la instalación, debe comprobar que la configuración básica de prueba funciona correctamente, mediante la confirmación de que puede realizar la inscripción automática de certificados, revocar certificados, así como disponer de datos precisos sobre revocación, desde el Servicio de respuesta en línea.

Para comprobar que la configuración de prueba de AD CS funciona correctamente 1. En la CA, configure varias plantillas de certificados para la inscripción automática de

certificados para LH_CLI1 y para los usuarios de este equipo.

2. Cuado la información sobre los nuevos certificados se haya publicado en AD DS, abra una

ventana del símbolo del sistema en el equipo cliente y escriba el siguiente comando para

iniciar la inscripción automática del certificado:

certutil -pulse

3. En LH_CLI1, use el complemento Certificados para comprobar que los certificados se

emitieron correctamente al usuario y al equipo.

4. En la CA, use el complemento Entidad de certificación para ver y revocar uno o más

certificados emitidos. Para ello, haga clic en Entidad de certificación (Equipo)/Nombre de CA/Certificados emitidos y seleccione el certificado que desea revocar. En el menú

Acción, seleccione Todas las tareas y haga clic en Revocar certificado. Seleccione la

causa de la revocación del certificado y haga clic en Sí.

5. En el complemento Entidad de certificación, publique una nueva CRL. Para ello, haga clic

en Entidad de certificación (Equipo)/Nombre de CA/Certificados revocados en el árbol

de consola. A continuación, en el menú Acción, seleccione Todas las tareas y haga clic en

Publicar.

6. Para quitar todas las extensiones de puntos de distribución de CRL de la CA emisora, abra

el complemento Entidad de certificación y seleccione la CA. En el menú Acción, haga clic

en Propiedades.

7. En la ficha Extensiones, confirme que Seleccionar extensión se configuró como Puntos de distribución de lista de revocación de certificados (CDP).


8. Haga clic en cualquiera de los puntos de distribución de CRL que aparecen en la lista, haga

clic en Quitar y, a continuación, en Aceptar.

9. Detenga y reinicie AD CS.

10. Repita los pasos 1 y 2 anteriores y, a continuación, compruebe si los equipos cliente pueden

aún obtener los datos de revocación. Para ello, use el complemento Certificados, con el fin

de exportar el certificado a un archivo (*.cer). En un símbolo del sistema, escriba:

certutil -url <exportedcert.cer>

11. En el cuadro de diálogo Comprobar y recuperar que aparece, haga clic en Desde CDP y

Desde OCSP y compare los resultados.

Escenario de un laboratorio avanzado de AD CSEn las secciones siguientes se describe el modo de configurar un laboratorio para evaluar un número mayor de características de AD CS que con la configuración de laboratorio básico.

Pasos para la configuración de un laboratorio avanzadoPara la comprobación de características adicionales de AD CS en un entorno de laboratorio, se requieren cinco equipos con Windows Server 2008 y un equipo cliente en el que se ejecute Windows Vista. A continuación se describen los equipos usados como ejemplo en esta guía:

LH_DC1: este equipo será el controlador de dominio del entorno de prueba.

LH_CA_ROOT1: este equipo hospedará una CA raíz independiente para el entorno de

prueba.

LH_CA_ISSUE1: esta CA de empresa estará subordinada a LH_CA_ROOT1 y emitirá

certificados de cliente para el Servicio de respuesta en línea y los equipos cliente.

Nota


LH_ORS1: este servidor hospedará el Servicio de respuesta en línea.

LH_NDES: este servidor hospedará el Servicio de inscripción de dispositivos de red , que

posibilita la emisión y administración de certificados para enrutadores y otros dispositivos de

red.


LH_CLI1: este equipo cliente con Windows Vista inscribirá automáticamente certificados

desde LH_CA_ISSUE1 y comprobará el estado de certificados desde LH_ORS1.

Para realizar la configuración de un laboratorio avanzado para AD CS, deberá realizar los siguientes pasos de requisitos previos:

1. Configure un controlador de dominio en LH_DC1 para contoso.com, incluidas algunas

unidades organizativas que incluirán uno o varios usuarios para LH_CLI1, para los equipos

clientes en el dominio, así como para los servidores que hospedan las CA y los servicios de

respuesta en línea.

2. Instale Windows Server 2008 en los otros servidores intervinientes en la configuración de

prueba y únalos al dominio.

3. Instale Windows Vista en LH_CLI1 y una LH_CLI1 a contoso.com.

Una vez realizados estos procedimientos preliminares de configuración, puede comenzar a realizar los siguientes pasos:

Paso 1: configurar la CA raíz independiente

Paso 2: configurar la CA emisora subordinada de empresa

Paso 3: instalar y configurar el Servicio de respuesta en línea

Paso 4: configurar la CA emisora para la emisión de certificados de firma de respuesta de OCSP

Paso 5: configurar la extensión Acceso a la información de entidad para admitir el Servicio de respuesta en línea

Paso 6: asignar la plantilla Firma de respuesta de OCSP a una CA

Paso 7: inscribirse para un certificado de firma de respuesta de OCSP

Paso 8: crear una configuración de revocación

Paso 9: instalar y configurar el Servicio de inscripción de dispositivos de red

Paso 10: comprobar el funcionamiento correcto de la configuración avanzada de prueba de AD CS

Paso 1: configurar la CA raíz independienteUna CA raíz independiente constituye el delimitador de confianza para la configuración del laboratorio básico. La CA raíz se usará para emitir certificados a la CA emisora subordinada. Debido a que resulta esencial para la seguridad de la PKI (Clave de infraestructura pública), esta CA solamente se encontrará en línea en muchas PKI en los casos en que sea necesaria la emisión de certificados para CA subordinadas.

Para configurar una CA raíz independiente


http://technet.microsoft.com/es-es/library/cc772393(WS.10).aspx#BKMK_BS10











1. Inicie sesión en LH_CA_ROOT1 como administrador.

2. Inicie el Asistente para agregarfunciones. En la página Seleccionar funciones de servidor, active la casilla Servicios de Certificate Server de Active Directory y, a continuación,

haga clic en Siguiente, dos veces.

3. En la página Seleccionar servicios de función, active la casilla Entidad de certificación y

haga clic en Siguiente.

4. En la página Especificar tipo de instalación, haga clic en Independiente y, a

continuación, en Siguiente.

5. En la página Especificar tipo de CA, haga clic en CA raíz y, a continuación, en Siguiente.






común de la CA, RootCA1 y, a continuación, haga clic en Siguiente.


predeterminada para la CA raíz y haga clic en Siguiente.


predeterminados o indique otras ubicaciones de almacenamiento para la base de datos de


Siguiente.


clic en Instalar.

Paso 2: configurar la CA emisora subordinada de empresaLa mayoría de las organizaciones usan una CA subordinada como mínimo para proteger la CA raíz frente a riesgos innecesarios. Una CA de empresa también le permite usar plantillas de certificados y AD DS para la inscripción y publicación de certificados.

Para configurar una CA emisora subordinada de empresa 1. Inicie sesión en LH_CA_ISSUE1 como administrador de dominio.



haga clic en Siguiente,dos veces.

3. En la página Seleccionar servicios de función, active la casilla Entidad de certificación y


4. En la página Especificar tipo de instalación, haga clic en Empresay, a continuación, en

Siguiente.

5. En la página Especificar tipo de CA, haga clic en CA subordinada y, a continuación, en

Siguiente.





7. En la página Solicitar certificado, busque LH_CA_ROOT1 o, si la CA raíz no está

conectada a la red, guarde la solicitud de certificado en un archivo para poder procesarla

posteriormente. Haga clic en Siguiente.

La configuración de la CA subordinada no se podrá usar hasta que se haya emitido para

ella un certificado de CA raíz y este certificado se haya usado para completar la instalación

de la CA subordinada.


común de la CA, LH_CA_ISSUE1.


predeterminada para la CA y haga clic en Siguiente.


predeterminados o indique otras ubicaciones de almacenamiento para la base de datos de


Siguiente.


clic en Instalar.


Paso 3: instalar y configurar el Servicio de respuesta en líneaSe puede instalar un servicio de respuesta en línea en cualquier equipo con Windows Server 2008 Enterprise o Windows Server 2008 Datacenter. Los datos de revocación de certificado pueden proceder de una CA de un equipo con Windows Server 2008, una CA de un equipo con Windows Server 2003 o una CA que no sea de Microsoft. Normalmente, el Servicio de respuesta en línea no se instala en el mismo equipo que la CA.

Nota

También debe instalar IIS en este equipo, para poder instalar el Servicio de respuesta en línea. Como parte del proceso de configuración, se crea un directorio virtual denominado OCSP en IIS y el proxy web se registra como una extensión ISAPI (Interfaz de programación de aplicaciones para servidores de Internet).

Para instalar el Servicio de respuesta en línea 1. Inicie sesión en LH_ORS1 como administrador.

2. Inicie el Asistente para agregar funciones. En la página Seleccionar funciones de servidor,

active la casilla Servicios de Certificate Server de Active Directory y, a continuación,


3. En la página Seleccionar servicios de función, desactive la casilla Entidad de certificación, active la casilla Servicio de respuesta en línea y, a continuación, haga clic

en Siguiente.







Paso 4: configurar la CA emisora para la emisión de certificados de firma de respuesta de OCSPAl igual que en cualquier plantilla de certificados, la plantilla Firma de respuesta de OCSP debe configurarse con los permisos de lectura, inscripción, inscripción automática y escritura, para poder emitir certificados basados en la plantilla.

Para configurar plantillas de certificados para el entorno de prueba 1. Inicie sesión en LH_CA_ISSUE1 como administrador de una CA.




continuación, haga clic en Plantilla duplicada.

4. Escriba un nuevo nombre para la plantilla duplicada, por ejemplo Firma_2 de respuesta de OCSP.

5. Haga clic con el botón secundario en la plantilla de certificado Firma_2 de respuesta de OCSP y, a continuación, haga clic en Propiedades.

6. Haga clic en la ficha Seguridad. En Nombre de grupo o de usuario, haga clic en Agregar y escriba el nombre o localice y seleccione el equipo que hospeda el Servicio de respuesta

en línea.

7. Haga clic en el nombre de equipo LH_ORS1 y, en el cuadro de diálogo Permisos, active

las casillas Lectura e Inscripción automática.

8. Mientras tenga abierto el complemento Plantillas de certificado, podrá configurar plantillas

de certificados para usuarios y equipos, mediante la sustitución de las plantillas deseadas

en el paso 3 y la repetición de los pasos del 4 al 7 para la configuración de permisos para

LH_CLI1 y las cuentas de usuario de prueba.

Paso 5: configurar la extensión Acceso a la información de entidad para admitir el Servicio de respuesta en líneaDebe configurar las CA para incluir la dirección URL para el Servicio de respuesta en línea, como parte de la extensión Acceso a la información de entidad correspondiente al certificado emitido. El equipo cliente de Servicio de respuesta en línea usa esta dirección URL para validar el estado del certificado.

Para configurar la extensión Acceso a la información de entidad, con el fin de admitir el Servicio de respuesta en línea

1. Inicie sesión en LH_CA_ISSUE1 como administrador de una CA.

2. Abra el complemento Entidad de certificación.

3. En el árbol de consola, haga clic en el nombre de la CA.

4. En el menú Acción, haga clic en Propiedades.

5. En la ficha Extensiones, haga clic en Seleccionar extensión y, a continuación, en Acceso a la información de entidad (AIA).

6. Active las casillas Incluir en la extensión AIA de los certificados emitidos e Incluir en la extensión del Protocolo de estado de certificados en línea (OCSP).


7. Especifique las ubicaciones desde las cuales los usuarios pueden obtener los datos de

revocación de certificados; en este ejemplo de configuración la ubicación es

http://LH_ORS1/ocsp.

8. En el árbol de consola del complemento Entidad de certificación, haga clic con el botón

secundario en Plantillas de certificados y, a continuación, haga clic en Nueva plantilla de certificado que se va a emitir.

9. En Habilitar plantillas de certificados, seleccione la plantilla Firma de respuesta de OCSP y cualquier otra plantilla de certificado que haya configurado anteriormente y, a

continuación, haga clic en Aceptar.

10. Abra Plantillas de certificado y compruebe que las plantillas de certificados modificadas

aparecen en la lista.

Paso 6: asignar la plantilla Firma de respuesta de OCSP a una CAUna vez configuradas correctamente las plantillas, debe configurarse la CA para la emisión de la plantilla.

Para configurar la CA con el fin de emitir certificados basados en la nueva plantilla Firma de respuesta de OCSP recién creada


2. Haga clic con el botón secundario en Plantillas de certificado y, a continuación, en

Plantilla de certificado que se va a emitir.

3. Seleccione la plantilla Firma_2 de respuesta de OCSP de la lista de plantillas disponibles y

haga clic en Aceptar.

Paso 7: inscribirse para un certificado de firma de respuesta de OCSPEs posible que la inscripción no se realice de forma inmediata. Por lo tanto, antes de continuar con el paso siguiente, debe asegurarse de que se realizó la inscripción del certificado de firma en el equipo y comprobar que los permisos del certificado de firma permiten su uso por el Servicio de respuesta en línea.

Para comprobar que el certificado de firma se configuró correctamente 1. Inicie o reinicie LH_ORS1 para inscribir los certificados.

2. Inicie sesión como administrador de una CA.

3. Abra el complemento Certificados para el equipo. Abra el almacén de certificados

personales del equipo y compruebe que contiene el certificado denominado Firma_2 de respuesta de OCSP.


4. Haga clic con el botón secundario en este certificado y, a continuación, haga clic en

Administrar claves privadas.

5. Haga clic en la ficha Seguridad. En el cuadro de diálogo Nombre de grupo o de usuario,

haga clic en Agregar, escriba y agregue Servicio de red en la lista Nombre de grupo o de usuario y, por último, haga clic en Aceptar.

6. Haga clic en Servicio de red y, en el cuadro de diálogo Permisos, active la casilla Control total. Haga clic en Aceptar, dos veces.

Paso 8: crear una configuración de revocaciónLa creación de una configuración de revocación implica las tareas siguientes:

Identificación del certificado de la CA que admite el Servicio de respuesta en línea.

Identificación del punto de distribución de la CRL para la CA.

Selección de un certificado de firma que se usará para firmar respuestas de estado de

revocación.

Selección de un proveedor de revocación, que será el componente responsable de la

recuperación y el almacenamiento de la información de revocación usada por los Servicios

de respuesta en línea.

Para crear una configuración de revocación 1. Inicie sesión en LH_ORS1 como administrador de dominio.

2. Abra el complemento Servicio de respuesta en línea.

3. En el panel Acciones, haga clic en Agregar configuración de revocación con el fin de

iniciar el Asistente para agregar configuración de revocación y, a continuación, haga clic en

Siguiente.

4. En la página Asignar nombre a la configuración de revocación, escriba un nombre para

la configuración de revocación, por ejemplo LH_RC1 y, a continuación, haga clic en

Siguiente.

5. En la página Seleccionar ubicación de certificado de CA, haga clic en Seleccionar un certificado de una CA de empresa existente y, a continuación, haga clic en Siguiente.

6. En la página siguiente, el nombre de la CA, LH_CA_ISSUE1, deberá aparecer en el cuadro

Buscar certificados de CA publicados en Active Directory.


Si aparece, haga clic en el nombre de la CA que desea asociar a la configuración de

revocación y, a continuación, haga clic en Siguiente.

Si no aparece, haga clic en Buscar una CA por nombre de equipo y escriba el

nombre del equipo que hospeda LH_CA_ISSUE1 o haga clic en Examinar para

buscar este equipo. Una vez localizado el equipo, haga clic en Siguiente.

Nota

También podría vincular al certificado de la CA desde el almacén local de certificados o mediante su importación desde el medio extraíble en el paso 5.

7. Consulte el certificado y copie el punto de distribución de CRL para la CA raíz primaria,

RootCA1. Para ello:

a. Abra el complemento Servicios de Certificate Server y seleccione un certificado

emitido.

b. Haga doble clic en el certificado y, a continuación, en la ficha Detalles.

c. Desplácese hacia abajo y seleccione el campo Puntos de distribución CRL.

d. Seleccione y copie la dirección URL del punto de distribución de CRL que desea

usar.

e. Haga clic en Aceptar.

8. En la página Seleccionar certificado de firma, acepte la opción predeterminada

Seleccionar automáticamente un certificado de firma y, a continuación, haga clic en

Siguiente.


10. En la página Propiedades de proveedor de revocación, haga clic en Agregar, indique la

dirección URL del punto de distribución de CRL y, por último, haga clic en Aceptar.

11. Haga clic en Finalizar.

12. Mediante el complemento Servicio de respuesta en línea, seleccione la configuración de

revocación y examine la información de estado para comprobar que el funcionamiento es

correcto. También debe poder examinar las propiedades del certificado de firma, para

comprobar que el Servicio de respuesta en línea se configuró de forma correcta.


Paso 9: instalar y configurar el Servicio de inscripción de dispositivos de redEl Servicio de inscripción de dispositivos de red permite que el software de los enrutadores y otros dispositivos de red se ejecute sin credenciales de dominio para obtener certificados.

El Servicio de inscripción de dispositivos de red funciona como un filtro de ISAPI en IIS, que realiza las funciones siguientes:

Genera y proporciona a los administradores contraseñas de inscripción de un solo uso.

Procesa solicitudes de inscripción de DSCEP.

Recupera solicitudes pendientes desde la CA.

SCEP se desarrolló como una extensión de HTTP, PKCS #10, PKCS #7, RFC 2459 existentes y otros estándares, para habilitar la inscripción de certificados de dispositivos de red y de aplicaciones con las CA. Para obtener más información acerca de SCEP, consulte el sitio web del Grupo de trabajo de ingeniería de Internet en http://go.microsoft.com/fwlink/?LinkId=71055 (puede estar en inglés).

Antes de comenzar este procedimiento, cree el usuario ndes_usuario1 y agréguelo al grupo de usuarios IIS. A continuación, use el complemento Plantillas de certificado, para configurar los permisos de lectura e inscripción correspondientes a este usuario, en la plantilla de certificado IPSEC (solicitud sin conexión).

Para instalar y configurar el Servicio de inscripción de dispositivos de red 1. Inicie sesión en LH_NDES como administrador de empresa.



3. En la página Seleccionar servicios de función, desactive la casilla Entidad de certificación y, a continuación, active la casilla Servicio de inscripción de dispositivos de red.









7. Puesto que se trata de una instalación nueva y no existen solicitudes de certificados de

SCEP pendientes, haga clic en Reemplazar certificados existentes de autoridad de registro (RA) y, a continuación, en Siguiente.

Cuando el Servicio de inscripción de dispositivos de red se instala en un equipo en el que ya

existe una autoridad de registro, se eliminan todas las autoridades de registro existentes y

todas las solicitudes de certificados que se encuentren pendientes.

8. En la página Especificar cuanta de usuario, haga clic en Seleccionar usuario y escriba el

nombre de usuario ndes_usuario1 y la contraseña correspondientes a esta cuenta, que

usará el Servicio de inscripción de dispositivos de red para la autorización de solicitudes de

certificados. Haga clic en Aceptar y, a continuación, haga clic en Siguiente.

9. En la página Especificar CA, seleccione la casilla Nombre de CA o la casilla Nombre de equipo, haga clic en Examinar para buscar la CA que emitirá los certificados del Servicio

de inscripción de dispositivos de red, LH_CA_ISSUE1, y, a continuación, haga clic en

Siguiente.

10. En la página Especificar información de entidad de registro, escriba ndes_1 en el

cuadro Nombre de RA. En País o región,seleccione la casilla correspondiente al país o

región en que se encuentra y, a continuación, haga clic en Siguiente.

11. En la página Configurar criptografía, acepte los valores predeterminados para las claves

de firma y cifrado y, a continuación, haga clic en Siguiente.

12. Revise el resumen de las opciones de configuración y, a continuación, haga clic en Instalar.

Paso 10: comprobar el funcionamiento correcto de la configuración avanzada de prueba de AD CSPuede comprobar los pasos descritos anteriormente, según los vaya realizando.

Una vez completada la instalación, debe comprobar que la configuración de prueba avanzada funciona correctamente.

Para comprobar que la configuración avanzada de prueba de AD CS funciona correctamente 1. En la CA, configure varias plantillas de certificados para la inscripción automática de

certificados para LH_CLI1 y para los usuarios de este equipo.

2. Cuado la información sobre los nuevos certificados se haya publicado en AD DS, abra una

ventana del símbolo del sistema en el equipo cliente y escriba el siguiente comando para

iniciar la inscripción automática del certificado:

certutil -pulse


3. En el equipo cliente, use el complemento Certificados para comprobar que los certificados

se emitieron correctamente al usuario y al equipo.

4. En la CA, use el complemento Entidad de certificación para ver y revocar uno o más

certificados emitidos. Para ello, haga clic en Entidad de certificación (Equipo)/Nombre de CA/Certificados emitidos y seleccione el certificado que desea revocar. En el menú

Acción, seleccione Todas las tareas y haga clic en Revocar certificado. Seleccione la

causa de la revocación del certificado y haga clic en Sí.

5. En el complemento Entidad de certificación, publique una nueva CRL. Para ello, haga clic

en Entidad de certificación (Equipo)/Nombre de CA/Certificados revocados en el árbol

de consola. A continuación, en el menú Acción, seleccione Todas las tareas y haga clic en

Publicar.

6. Para quitar todas las extensiones de puntos de distribución de CRL de la CA emisora, abra

el complemento Entidad de certificación y seleccione la CA. En el menú Acción, haga clic

en Propiedades.

7. En la ficha Extensiones, confirme que Seleccionar extensión se configuró como Puntos de distribución de lista de revocación de certificados (CDP).

8. Haga clic en cualquiera de los puntos de distribución de CRL que aparecen en la lista, haga

clic en Quitar y, a continuación, en Aceptar.

9. Detenga y reinicie AD CS.

10. Repita los pasos 1 y 2 anteriores y, a continuación, compruebe si los equipos cliente pueden

aún obtener los datos de revocación. Para ello, use el complemento Certificados, con el fin

de exportar el certificado a un archivo (*.cer). En un símbolo del sistema, escriba:

certutil -url <exportedcert.cer>

11. En el cuadro de diálogo Comprobar y recuperar que aparece, haga clic en Desde CDP y

Desde OCSP y compare los resultados.

Instalación, configuración y solución de problemas del Servicio de respuesta en línea (Servicio de respuesta de OCSP de Microsoft)

Actualizado: mayo de 2008


Nota


Para descargar una copia de este documento, consulte http://go.microsoft.com/fwlink/?LinkId=85461 (puede estar en inglés).

introducciónLa infraestructura de clave pública (PKI) está formada por varios componentes, incluidos certificados, listas de revocación de certificados (CRL) y entidades de certificación (CA). En la mayoría de los casos, las aplicaciones que dependen de certificados X.509, como las Extensiones seguras multipropósito al correo de Internet (S/MIME), la Capa de sockets seguros (SSL) y las tarjetas inteligentes, necesitan validar el estado de los certificados cada vez que se usan para realizar operaciones de cifrado, autenticación o firma. La comprobación del estado y la revocación de un certificado es el proceso por el que se comprueba la validez de los certificados, en función de dos categorías principales: tiempo y estado de revocación.

Tiempo. Los certificados se emiten por un período de tiempo fijo y se consideran válidos

mientras no se alcance la fecha de expiración del certificado y éste no haya sido revocado

antes de esa fecha.

Estado de revocación. Los certificados pueden revocarse antes de su fecha de expiración

por distintas razones, como una suspensión o el compromiso de la clave. Antes de realizar

cualquier operación, las aplicaciones suelen validar que el certificado no haya sido

revocado.

Aunque la validación del estado de revocación de los certificados se puede realizar de varias maneras, los mecanismos habituales son las CRL, las diferencias entre listas CRL y las respuestas del Protocolo de estado de certificados en línea (OCSP). Algunos escenarios habituales para el uso de OCSP son:

Comprobación de la revocación de certificados de SSL/Seguridad de la capa de transporte

(TLS)

Inicio de sesión de tarjeta inteligente

S/MIME de empresa

Red privada virtual (VPN) basada en el protocolo de autenticación extensible (EAP) o TLS

De forma nativa, Microsoft admite únicamente CRL en los sistemas operativos anteriores a Windows Vista®. Windows Vista y el sistema operativo Windows Server® 2008 admitirán CRL y OCSP de forma nativa como método para determinar el estado de los certificados. La compatibilidad con OCSP incluye tanto el componente cliente como el Servicio de respuesta en línea, que es el componente servidor.

Descripción de los conceptos de comprobación de la revocación




Cuando una aplicación realiza una evaluación de un certificado, se validan todos los certificados de la cadena de ese certificado. Esto incluye todos los certificados desde el certificado de entidad final presentado a la aplicación hasta el certificado raíz.

Cuando se valida el primer certificado de la cadena, se lleva a cabo el siguiente proceso:

1. El motor de encadenamiento de certificados intenta crear la cadena del certificado

inspeccionado; para ello, consulta el almacén de certificados local o realiza una descarga de

una de las direcciones URL disponibles en las extensiones Acceso a la información de

entidad del certificado inspeccionado.

2. En el caso de todas las cadenas de certificados que terminan en una raíz de confianza, se

validan todos los certificados de la cadena. Esto conlleva los siguientes pasos:

Comprobar que la firma de cada certificado es válida.

Comprobar que la fecha y hora actuales quedan dentro del período de validez de

cada certificado.

Comprobar que ninguno de los certificados está dañado o mal formado.

3. Se comprueba el estado de revocación de cada certificado de la cadena de certificados. La

comprobación de la revocación se realiza mediante CRL u OCSP, en función de la

configuración del certificado.

Una vez completada la comprobación de la validación, el motor de encadenamiento de certificados devuelve el resultado de la comprobación a la aplicación que originó la solicitud de validación. El resultado indicará si todos los certificados de la cadena son válidos, si la cadena termina en una entidad de certificación raíz (CA) que no es de confianza, si alguno de los certificados de la cadena no es válido o si no se puede determinar el estado de revocación de alguno de los certificados de la cadena.

Para obtener más información, consulte la página sobre la comprobación del estado y la revocación de certificados en http://go.microsoft.com/fwlink/?LinkId=27081 (puede estar en inglés).

CRLCRL es un archivo, creado y firmado por una entidad de certificación, que contiene los números de serie de los certificados emitidos por esa entidad de certificación y que han sido revocados. Además del número de serie de los certificados revocados, la CRL también contiene el motivo de la revocación de cada certificado y la hora a la que fue revocado.

Actualmente, existen dos tipos de CRL: CRL base y diferencia entre listas CRL. Las CRL base mantienen una lista completa de los certificados revocados mientras que las diferencias entre listas CRL sólo mantienen los certificados revocados desde la última publicación de una CRL base.



La mayor desventaja de las CRL es su tamaño, potencialmente grande, que limita la escalabilidad de las CRL. Su gran tamaño agrega una importante carga al ancho de banda y al almacenamiento de la entidad de certificación y del usuario de confianza y, por lo tanto, limita la capacidad del sistema para distribuir la CRL. El ancho de banda, el espacio de almacenamiento y la capacidad de procesamiento de la entidad de certificación también se pueden ver afectados negativamente si la frecuencia de publicación es demasiado alta. Se han realizado numerosos intentos de solucionar el problema del tamaño de las CRL mediante el empleo de CRL partidas, diferencias entre listas CRL y CRL indirectas. Todos estos enfoques han aumentado la complejidad y el costo del sistema, y no han proporcionado una solución ideal para el problema.

Otra desventaja de las CRL es la latencia; como el período de publicación de las CRL está predefinido, la información de la CRL podría quedar obsoleta hasta que se publique una CRL nueva o una diferencia entre listas CRL.

OCSPOCSP es un protocolo de transferencia de hipertexto (HTTP) que permite a un usuario de confianza enviar una solicitud de estado de certificado a un servicio de respuesta de OCSP. Éste devuelve una respuesta definitiva y firmada digitalmente donde se indica el estado del certificado. La cantidad de datos recuperada por solicitud es constante, independientemente del número de certificados revocados en la entidad de certificación. La mayoría de los servicios de respuesta de OCSP obtienen los datos de las CRL publicadas y, por lo tanto, dependen de la frecuencia de publicación de la entidad de certificación. Sin embargo, algunos servicios de respuesta de OCSP pueden obtener los datos directamente de la base de datos de estado de los certificados de la entidad de certificación y, por consiguiente, proporcionan el estado casi en tiempo real.

La escalabilidad es el mayor inconveniente del método OCSP. Puesto que se trata de un proceso en línea diseñado para responder a solicitudes individuales sobre el estado de certificados, provoca mayores cargas en el servidor y requiere que varios servidores, algunas veces geográficamente dispersos, equilibren la carga. Los proceso de firma de la respuesta y de comprobación de la firma también llevan tiempo, lo que puede afectar negativamente al tiempo total de respuesta del usuario de confianza. Por último, debido a que la integridad de la respuesta firmada depende de la integridad de la clave de firma del servicio de respuesta de OCSP, también debe comprobarse la validez de esta clave una vez que el cliente valide la respuesta.

Descripción de los componentes del Servicio de respuesta en líneaLa implementación de Microsoft OCSP se divide en componentes cliente y servidor (Figura 1). El componente cliente se integra en la biblioteca CryptoAPI 2.0, mientras que el componente servidor se introduce como un nuevo servicio suministrado por la función de servidor Servicios de Certificate Server de Active Directory® (AD CS).

Figura 1: componentes del Servicio de respuesta en línea de Microsoft


Cliente OCSPEl cliente OCSP se integra completamente en la infraestructura de revocación de certificados de CryptoAPI 2.0. Implementa la recomendación especificada en el borrador de Infraestructura de clave pública X.509 (PKIX) del Grupo de trabajo de ingeniería de Internet (IETF), "Lightweight OCSP Profile for High Volume Environment" (Perfil ligero de OCSP para entornos de gran volumen), y está optimizado para escenarios con grandes volúmenes.

La principal diferencia entre el perfil ligero de OCSP y RFC 2560, "Protocolo de estado de certificados en línea (OCSP) de la infraestructura de clave pública de Internet X.509", se puede resumir de la siguiente manera:

El perfil ligero de OCSP admite el Protocolo de transferencia de hipertexto (HTTP) y el

protocolo seguro de transferencia de hipertexto (HTTPS).

Las respuestas del perfil ligero de OCSP deben especificar las fechas notBefore y notAfter,

lo que no es necesario en el perfil completo.

El perfil ligero de OCSP no admite solicitudes con firma. El cliente no puede crear una

solicitud con firma; si se envía al Servicio de respuesta en línea una solicitud con firma, que

puede crearse con clientes OCSP de terceros, se recibe la respuesta "No autorizado".

Con el perfil ligero de OCSP, no se admite nonce en la solicitud y no se tiene en cuenta en

la respuesta. Sin embargo, el Servicio de respuesta en línea admite la extensión nonce y

devuelve una respuesta que incluye dicha extensión si está configurado para hacerlo. Para

obtener más información, consulte Administración de configuraciones de revocación.

Cuando una aplicación llama a CryptoAPI 2.0 para comprobar un certificado que especifica las ubicaciones a los Servicios de respuesta en línea, la infraestructura de revocación lleva a cabo los siguientes pasos básicos (por cada Servicio de respuesta en línea especificado en la extensión Acceso a la información de la entidad):


http://technet.microsoft.com/es-es/library/cc770413(WS.10).aspx#BKMK_ManagingRevocationConfigurations

1. Busca en las cachés locales de disco y en memoria de CryptoAPI 2.0 una respuesta de

OCSP en caché que tenga un tiempo válido. La memoria caché de disco está ubicada en:

<unidad>:\Users\<Nombre de usuario>\AppData\LocalLow\Microsoft\CryptnetUrlCache.

Nota

De forma predeterminada, el cliente OCSP realiza el almacenamiento en caché de las respuestas. Este comportamiento se puede cambiar si se modifica el valor de ChainCacheResynchFiletime ubicado en la clave HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config del Registro. El valor de ChainCacheResynchFiletime especifica la fecha y hora en que se borrará la memoria caché en memoria. Se puede usar los siguientes comandos Certutil para modificar el valor de ChainCacheResynchFiletime:

Para establecer un valor del Registro en la fecha y hora actuales:

certutil –setreg chain\ChainCacheResyncFiletime @now

Para establecer un valor del Registro en la fecha y hora actuales más 3 días y 1

hora:

certutil –setreg chain\ChainCacheResyncFiletime @now+3:1

Para mostrar un valor del Registro:

certutil –getreg chain\ChainCacheResyncFiletime

Para eliminar un valor del Registro:

certutil –delreg chain\ChainCacheResyncFiletime

2. Si no se encuentra una respuesta en caché aceptable, se envía una solicitud mediante el

método HTTP GET. Cuando el Servicio de respuesta en línea no admite el método GET,

CryptoAPI 2.0 reintentará la solicitud usando el método HTTP POST. Sólo se puede validar

un certificado por cada solicitud de OCSP. Además, no se puede configurar CryptoAPI 2.0

para intentar siempre el método POST en primer lugar.

3. Se comprueba la firma de la respuesta, incluido el certificado de firmante OCSP delegado.

Si el certificado contiene la extensión id-pkix-ocsp-nocheck, con la identificación de objeto

1.3.6.1.5.5.7.48.1.5, CryptoAPI no comprobará el estado de revocación del certificado de

firmante OCSP delegado.


Caché de proxy web del Servicio de respuesta en líneaLa memoria caché de proxy web del Servicio de respuesta en línea representa la interfaz de servicio del Servicio de respuesta en línea. Se implementa como una extensión de la Interfaz de programación de aplicaciones para servidores de Internet (ISAPI) hospedada por Internet Information Services (IIS) y realiza las siguientes operaciones:

Descodificación de la solicitud. Todas las solicitudes enviadas al Servicio de respuesta

en línea están codificadas mediante la Notación de sintaxis abstracta 1 (ASN.1), de acuerdo

con el esquema de solicitud/respuesta definido en RFC 2560. Para obtener más información

acerca de RFC 2560, consulte RFC 2560, "Protocolo de estado de certificados en línea

(OCSP) de la infraestructura de clave pública de Internet X.509", en

http://go.microsoft.com/fwlink/?LinkID=71068 (puede estar en inglés). Una vez que el proxy

web del Servicio de respuesta en línea reciba una solicitud, el componente descodificador

intentará descodificarla y extraer el número de serie del certificado que se va a validar.

Almacenamiento en caché de la respuesta. Después de recibir una solicitud y de extraer

el número de serie del certificado, el proxy web del Servicio de respuesta en línea buscará

una respuesta válida en la memoria caché local. La memoria caché se implementa como

parte de la extensión ISAPI y es una memoria caché en memoria. Si una solicitud de cliente

genera un error de caché, el proxy web del Servicio de respuesta en línea solicitará una

respuesta al Servicio de respuesta en línea. El período de validez de los elementos de la

memoria caché se establece como el período de validez de la CRL desde la que se generó

la respuesta o como la validez de la clave de firma, la que sea más corta.

Nota

Además del almacenamiento en caché de extensiones ISAPI de OCSP, la biblioteca HTTP.SYS de IIS realiza almacenamientos en caché durante 120 segundos. Durante ese período de tiempo, las solicitudes múltiples al Servicio de respuesta en línea se atenderán con la respuesta almacenada en caché por HTTP.SYS.

Servicio de respuesta en líneaEl Servicio de respuesta en línea es un servicio de Microsoft Windows NT® (ocspsvc.exe) que se ejecuta con privilegios de Servicio de red. Realiza las siguientes operaciones:

Administra la configuración del Servicio de respuesta en línea. El Servicio de respuesta

en línea dispone de un amplio conjunto de atributos que se pueden configurar. Estos

atributos incluyen interfaces públicas, configuración del control de acceso, configuración de

auditoría y configuración de la memoria caché del proxy web. Toda la información sobre

configuración se almacena en el Registro en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder.



Recupera y almacena en caché la información sobre revocación en función de la configuración. En función de la configuración de la revocación, el Servicio de respuesta en

línea puede recuperar y almacenar en caché la información sobre revocación, como las

CRL y diferencias entre listas CRL, para su posterior uso. Para obtener más información,

consulte Configuración de revocación.

Firma las respuestas. En cada solicitud correcta, el Servicio de respuesta en línea firma la

respuesta con una clave de firma adquirida previamente.

Audita los cambios de la configuración. Para cumplir los requisitos de Criterio común,

todos los cambios de configuración del Servicio de respuesta en línea se pueden auditar.

Para obtener más información acerca de la configuración de la auditoría, consulte

Configuración del Servicio de respuesta en línea.

Configuración de revocaciónUna configuración de revocación es un conjunto de definiciones que configuran el Servicio de respuesta en línea para responder a una solicitud de estado de certificado para una entidad de certificación determinada. Todos los Servicios de respuesta en línea pueden tener más de una configuración de revocación. Las configuraciones de revocación incluyen:

Certificado de CA

Certificado de firma para las respuestas de OCSP

Configuración de revocación específica del proveedor

Proveedores de revocaciónLos proveedores de revocación son los componentes responsables de recuperar y almacenar en caché la información sobre revocación que utiliza el Servicio de respuesta en línea. Cuando el Servicio de respuesta en línea recibe una solicitud de OCSP, primero busca la configuración de revocación, establecida para proporcionar información sobre revocación de la entidad de certificación que emitió ese certificado particular. Una vez ubicada, el Servicio de respuesta en línea extrae el número de serie del certificado y busca en una CRL local. (Para obtener más información acerca de la CRL local, consulte Administración de configuraciones de revocación). Si no se encuentra la información pertinente, el Servicio de respuesta en línea envía el número de serie al proveedor de revocación, que se usa en esa configuración de revocación. A su vez, el proveedor devuelve el estado del certificado al Servicio de respuesta en línea.

Aunque los proveedores de revocación fueron diseñados para mejorar la extensibilidad y permitir el desarrollo y el uso de proveedores personalizados en el Servicio de respuesta en línea, el Servicio de respuesta en línea de Windows Server 2008 sólo dispone de un proveedor de revocación basado en CRL y no permite agregar más proveedores.

Exploración de los modelos de implementación de Servicios de respuesta en línea



http://technet.microsoft.com/es-es/library/cc770413(WS.10).aspx#BKMK_ConfiguringtheOnlineResponder

http://technet.microsoft.com/es-es/library/cc770413(WS.10).aspx#BKMK_RevocationConfiguration

Al implementar el Servicio de respuesta en línea, se deben analizar los diferentes modelos de implementación en lo que respecta a la escalabilidad, gran disponibilidad y seguridad.

Logro de escalabilidad y gran disponibilidadLa Figura 2 muestra los modelos de implementación que ofrecen escalabilidad y gran disponibilidad. El Servicio de respuesta en línea se puede implementar en un único equipo o en un clúster de software que contenga uno o varios equipos. Los clústeres se pueden lograr mediante cualquier equilibrador de carga TCP/IP de software o hardware. El complemento de Microsoft Management Console (MMC) Servicio de respuesta en línea permite administrar varios servicios de respuesta como si fueran una sola entidad. Para obtener más información, consulte Configuración del Servicio de respuesta en línea.

Figura 2: modelos de implementación de escalabilidad y gran disponibilidad

Modelos de implementación para escenarios de extranetCuando se implementan Servicios de respuesta en línea orientados hacia una extranet, una de las consideraciones de diseño que se deben tener en cuenta es el nivel de protección proporcionado para la clave de firma del Servicio de respuesta en línea. La Figura 3 muestra dos opciones para proteger el Servicio de respuesta en línea.

Figura 3: modelos de implementación para extranet

En el diagrama 1 de la Figura 3, el Servicio de respuesta en línea está ubicado en una red de área local (LAN) protegida, mientras que todas las respuestas son redirigidas por un servidor autenticado que ejecuta IIS y está ubicado en una red perimetral (también conocida como subred




filtrada). La ventaja de este modelo de implementación es que la configuración del firewall sólo necesita paso a través en el puerto 80 entre IIS y el Servicio de respuesta en línea. Se pueden obtener resultados similares con la capacidad de proxy inverso de Microsoft Internet Security and Acceleration (ISA) Server, como se muestra en el diagrama 2 de la Figura 3. Para configurar las reglas de publicación web de ISA Server 2006, siga estos pasos:

1. Abra el complemento Microsoft Internet Security and Acceleration Server 2006. Haga clic

con el botón secundario en el nodo Directiva de firewall, seleccione Nuevo y haga clic en

Regla de publicación de sitio web.

2. Escriba un nombre para la regla nueva y haga clic en Siguiente.

3. Compruebe que esté seleccionado Permitir y haga clic en Siguiente.

4. Si se dirige a un único servidor o a un clúster de equilibrio de carga de red (NLB), haga clic

en Publicar un único sitio web o un equilibrador de carga. Si utiliza ISA Server como

equilibrador de carga para una matriz de Servicios de respuesta en línea, haga clic en

Publicar un conjunto de servidores web con equilibrio de carga. Haga clic en

Siguiente.

5. Haga clic en Usar conexiones no seguras para conectar al servidor web o conjunto de servidores publicado y después en Siguiente.

Nota

No se debe usar SSL con OCSP.

6. Escriba el nombre que los clientes usarán para conectarse al Servicio de respuesta en

línea. Es el nombre del equipo del servidor que ejecuta ISA Server o un alias DNS

configurado para señalar al servidor que ejecuta ISA Server.

7. Para limitar la regla de publicación de manera que sólo reenvíe solicitudes de OCSP,

escriba ocsp/* en el cuadro Ruta de acceso.

8. Si utiliza ISA Server como equilibrador de carga, seleccione una granja de servidores

existente o cree una nueva.

9. Para crear una nueva granja de servidores, haga clic en Nuevo para iniciar el Asistente

para nueva granja de servidores. Escriba un nombre para la nueva granja de servidores y


10. Haga clic en Agregar para agregar servidores por nombre o por dirección IP.


11. Mantenga la configuración predeterminada de supervisión de la conectividad y haga clic en

Siguiente.

12. Haga clic en Finalizar para cerrar el asistente.

13. En el cuadro Nombre público, escriba el nombre de dominio completo (FQDN) o dirección

IP que se usará para el Servicio de respuesta en línea.

14. En la lista Escucha de web, haga clic en una escucha de web. Si aún no se ha configurado

una escucha de web, haga clic en Nuevo para iniciar el Asistente para nueva escucha de

web.

15. Escriba un nombre para la escucha de web y haga clic en Siguiente.

16. Haga clic en No requerir conexiones seguras SSL con los clientes.

Nota

No se debe usar SSL con OCSP.

17. Active la casilla Todas las redes (y host local) para que todos los equipos de la red se

conecten al Servicio de respuesta en línea y haga clic en Siguiente.

18. En la lista Seleccionar cómo los clientes proporcionarán credenciales al servidor ISA,

haga clic en Sin autenticación y, a continuación, haga clic en Siguiente.

Nota

El Servicio de respuesta en línea está diseñado para el acceso anónimo.

19. Haga clic en Siguiente.

Nota

Dado que no se proporciona ninguna configuración de autenticación, no se debe configurar ninguna opción de inicio de sesión único.


21. En la página Seleccionar escucha de red, haga clic en Siguiente.

22. En la página Delegación de la autenticación, haga clic en Siguiente.


23. En la página Conjuntos de usuarios, haga clic en Siguiente.


25. Una vez finalizado el asistente, haga clic en Aplicar para habilitar la nueva directiva.

26. Una vez aplicadas las reglas, haga clic en Aceptar para cerrar el cuadro de diálogo.

Implementación del Servicio de respuesta en línea de MicrosoftLa implementación del Servicio de respuesta en línea consta de tres pasos:

Instalar el Servicio de respuesta en línea.

Preparar el entorno.

Configurar el Servicio de respuesta en línea.

Instalación del Servicio de respuesta en líneaLa implementación de los Servicios de respuesta en línea suele realizarse después de implementar las entidades de certificación y antes de implementar los certificados de entidad final. Para obtener más información acerca de la implementación del Administrador de servidores y de entidades de certificación, consulte la página acerca de las mejoras de las entidades de certificación en Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkID=83212 (puede estar en inglés).

1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic


Figura 4: Administrador del servidor



2. Si el Servicio de respuesta en línea se va a instalar en un equipo sin otros servicios de

función AD CS, haga clic en Agregar funciones en la página principal.

Nota

Si el Servicio de respuesta en línea se instala en un equipo donde ya está instalada la entidad de certificación o uno de sus componentes, seleccione el nodo Servicios de Certificate Server de Active Directory en el panel izquierdo y, a continuación, haga clic en Agregar servicios de función en la página principal.

3. En la página Seleccionar funciones de servidor del Asistente para agregar funciones

(Figura 5), active la casilla Servicios de Certificate Server de Active Directory y, a

continuación, haga clic en Siguiente.

Figura 5: Seleccionar funciones de servidor


4. En la página Seleccionar servicios de función (Figura 6), active la casilla Protocolo de estado de certificados en línea.

Figura 6: Seleccionar servicios de función


5. Debido a que el Servicio de respuesta en línea requiere IIS, se le pedirá que instale

servicios de función de IIS (Figura 7). Para que el Servicio de respuesta en línea funcione

correctamente, se necesitan las siguientes características de IIS:

Servidor web

Características HTTP comunes

Contenido estático

Documento predeterminado

Examen de directorios

Errores HTTP

Redirección HTTP

Desarrollo de aplicaciones66


Extensibilidad de .NET

Extensiones ISAPI

Estado y diagnóstico

Registro HTTP

Herramientas de registro

Monitor de solicitudes

Seguimiento

Seguridad

Filtro de solicitudes

Rendimiento

Compresión de contenido estático

Herramientas de administración

Consola de administración de IIS

Compatibilidad con la administración de IIS 6

Compatibilidad con la metabase de IIS

6. Haga clic en Agregar servicios de función requeridos para instalar los servicios de IIS

necesarios y haga clic en Siguiente.

Figura 7: Agregar servicios de función requeridos


7. Los dos pasos siguientes permiten seleccionar los servicios de función del servidor web

(IIS). Haga clic en Siguiente dos veces.

8. En la página Confirmar opciones de instalación (Figura 8), haga clic en Instalar.

Figura 8: Confirmar opciones de instalación

Nota

El proceso de instalación de IIS podría ser largo.


9. Figura 9: Progreso de la instalación

10. Cuando se completa la instalación, el estado del proceso de instalación se muestra en la

página Resultados de la instalación.

Figura 10: Resultados de la instalación


11. Haga clic en Cerrar.

Como parte del proceso de instalación, se crea un directorio virtual denominado OCSP en IIS y se registra la extensión ISAPI usada como proxy web. Se puede registrar o anular el registro del proxy web manualmente con uno de los siguientes comandos:

certutil –vocsproot

certutil –vocsproot delete

Preparación del entornoLa preparación del entorno consta de los siguientes pasos:

Configurar la entidad de certificación.

Configurar la plantilla de certificado Firma de respuesta de OCSP.

Inscribir un certificado Firma de respuesta de OCSP en una entidad de certificación

independiente.


Usar un módulo de seguridad de hardware (HSM) para proteger las claves de firma de

OCSP.

Configuración de entidades de certificaciónEs necesario configurar las entidades de certificación para que incluyan la dirección URL del Servicio de respuesta en línea como parte de la extensión Acceso a la información de entidad de los certificados emitidos. El cliente OCSP usa esta dirección URL para validar el estado del certificado.

Para configurar la extensión Acceso a la información de entidad 1. Abra el complemento Entidad de certificación y haga clic con el botón secundario en el

nombre de la CA emisora y,a continuación, haga clic en Propiedades.

2. Haga clic en la ficha Extensiones.

3. En la lista Seleccionar extensión, haga clic en Acceso a la información de entidad (AIA) (Figura 11) y, a continuación, haga clic en Agregar.

Figura 11: propiedades de la entidad de certificación


4. En el cuadro de diálogo Agregar ubicación (Figura 12), escriba la dirección URL completa

del Servicio de respuesta en línea, que debe tener el siguiente formato:

http://<nombreDeServidorDNS>/<dirV>

Nota

Al instalar el Servicio de respuesta en línea, el directorio virtual predeterminado que se usa en IIS es OCSP.

5. Figura 12: cuadro de diálogo Agregar ubicación

6.

7. Haga clic en Aceptar.

8. Seleccione la ubicación en la lista Ubicación.

9. Active la casilla Incluir en la extensión del Protocolo de estado de certificados en línea (OCSP) y haga clic en Aceptar.

Configuración de la plantilla de certificado Firma de respuesta de OCSPEl Servicio de respuesta en línea puede firmar respuestas de OCSP mediante la clave de la CA emisora o mediante una clave de firma dedicada. Un certificado de firma tiene los siguientes atributos:

Su período de validez es breve. (Se recomienda un período de validez de dos semanas).

Incluye la extensión id-pkix-ocsp-nocheck.


No incluye las extensiones Acceso a la información de entidad ni Puntos de distribución

CRL.

Incluye el uso mejorado de clave (EKU) id-kp-OCSPSigning.

Los pasos para configurar la plantilla Firma de respuesta de OCSP en el sistema operativo

Windows Server 2003 difieren de los pasos en Windows Server 2008.

Nota

En Windows Server 2008, se introduce una plantilla de versión 3. La nueva versión de la plantilla incluye compatibilidad con cifrado avanzado, además de otras mejoras. Para obtener más información, consulte la página acerca de las mejoras de las entidades de certificación en Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkID=83212 (puede estar en inglés).

Configuración de la plantilla de certificado Firma de respuesta de OCSP cuando se usa una entidad de certificación de Windows Server 2008En Windows Server 2008, se ha agregado una nueva plantilla de certificado a las plantillas disponibles de Servicios de dominio de Active Directory (AD DS). La nueva plantilla, denominada Firma de respuesta de OCSP, es una plantilla de la versión 3 preconfigurada con las extensiones y los atributos necesarios enumerados anteriormente. No son necesarias modificaciones en la plantilla ni en la entidad de certificación.

La Figura 13 ilustra el flujo que determina el comportamiento del módulo de directiva en Windows Server 2008 cuando se procesa una solicitud de certificado Firma de respuesta de OCSP.

Figura 13: procesamiento de solicitud del certificado Firma de respuesta de OCSP



El marcador EDITF_ENABLEOCSPREVNOCHECK es un nuevo marcador de Registro de CA introducido en la CA de Windows Server 2008. El nuevo marcador, que no está habilitado de forma predeterminada, permite que el módulo de directiva de CA emita certificados que incluyan la extensión id-pkix-ocsp-nocheck. La nueva plantilla Firma de respuesta de OCSP incluye además otro marcador, denominado CT_FLAG_ADDREVNOCHECK, que indica al módulo de directiva que agregue la extensión id-pkix-ocsp-nocheck. Si el marcador EDITF_ENABLEOCSPREVNOCHECK está habilitado o la plantilla incluye el marcador CT_FLAG_ADDREVNOCHECK, el módulo de directiva buscará un EKU de firma de OCSP en la solicitud y en la plantilla. Si se cumplen ambas condiciones, el módulo de directiva agregará la extensión id-pkix-ocsp-nocheck y quitará las extensiones Acceso a la información de entidad y Puntos de distribución CRL del certificado. Este flujo permite a la entidad de certificación de Windows Server 2008 emitir un certificado Firma de respuesta de OCSP desde una CA de empresa así como desde una CA independiente.

Si se usa una CA de empresa, no es necesaria ninguna configuración adicional excepto para permitir que la entidad de certificación emita certificados basados en la plantilla Firma de respuesta de OCSP. Si se usa una CA independiente, se deben usar los siguientes comandos para habilitar o deshabilitar el marcador EDITF_ENABLEOCSPREVNOCHECK en la CA.

Para habilitar el marcador, ejecute el siguiente comando:

certutil -v -setreg policy\editflags +EDITF_ENABLEOCSPREVNOCHECK

Para deshabilitar el marcador, ejecute el siguiente comando:

certutil –v –setreg policy\editflags –EDITF_ENABLEOCSPREVNOCHECK


Una vez habilitado o deshabilitado el marcador, la CA debe reiniciarse para que se apliquen los cambios.

Configuración de la plantilla de certificado Firma de respuesta de OCSP cuando se usa una entidad de certificación de Windows Server 2003Uno de los inconvenientes de las plantillas de certificado es la imposibilidad de agregar extensiones personalizadas. Esto supone un problema para crear y configurar la plantilla Firma de respuesta de OCSP en Windows Server 2003 aunque permite agregar la extensión id-pkix-ocsp-nocheck. Los siguientes procedimientos permiten usar la plantilla Firma de respuesta de OCSP con una CA de Windows Server 2003.

Para configurar la plantilla de certificado para usar una entidad de certificación de Windows Server 2003


Nota

El complemento debe abrirse desde Windows Server 2008. Esto es necesario porque la nueva versión del complemento es la única que admite las nuevas plantillas de la versión 3 y permite su duplicación.


continuación, haga clic en Duplicar. Se abre el cuadro de diálogo Plantilla duplicada

(Figura 14).

Figura 14: cuadro de diálogo Plantilla duplicada

3. Haga clic en Windows 2003 Server, Enterprise Edition y, a continuación, haga clic en

Aceptar. Se creará una plantilla de la versión 2, que puede ser emitida por la CA de

Windows Server 2003 y aún incluye la extensión id-pkix-ocsp-nocheck.

A continuación, es necesario configurar la CA para que las extensiones personalizadas puedan ser incluidas en las solicitudes de certificado.

Para configurar la entidad de certificación de Windows Server 2003 75


1. En el equipo de la CA, abra un del símbolo del sistema y escriba el siguiente comando:

Copiar código

certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5

2. Reinicie el servicio de CA mediante los siguientes comandos:

Copiar código

net stop certsvc net start certsvc

Ahora, la CA está configurada para emitir certificados Firma de respuesta de OCSP.

Configuración de los permisos de la plantilla Firma de respuesta de OCSP cuando se usa una CA de Windows Server 2003 o Windows Server 2008Igual que con otras plantillas, se deben configurar los permisos de inscripción Leer, Inscribirse, Inscripción automática, Escribir y Control total.

Para configurar las opciones de seguridad de la plantilla para que los Servicios de respuesta en línea inscriban certificados de firma


2. Haga doble clic en la plantilla Firma de respuesta de OCSP o en un duplicado que haya

creado y, a continuación, haga clic en la ficha Seguridad.

3. Agregue los equipos del Servicio de respuesta en línea a la lista Nombres de grupos o usuarios.

4. Para que los equipos del Servicio de respuesta en línea inscriban el certificado Firma de

respuesta de OCSP, active la casilla Permitir de los permisos Leer e Inscribirse.

Nota

El Servicio de respuesta en línea no usa el permiso Inscripción automática, que tiene una implementación diferente descrita más adelante en este documento. La implementación de la inscripción automática predeterminada de Windows limita la emisión de las plantillas a un certificado por cliente. De forma predeterminada, la inscripción automática de Windows sólo renueva uno de los certificados de firma disponibles en el equipo del Servicio de respuesta en línea y archiva el resto. En algunos casos, la inscripción automática de Windows no usará la CA original que emitió el certificado para la renovación. El Servicio de respuesta en línea no espera este comportamiento, ya que requiere que la misma CA realice la renovación.

Asignación de una plantilla Firma de respuesta de OCSP a una CAUna vez configuradas correctamente las plantillas, debe configurarse la CA para la emisión de esa plantilla.


Para configurar la CA para emitir certificados basados en la plantilla Firma de respuesta de OCSP recién creada


2. Haga clic con el botón secundario en Plantillas de certificado, haga clic en Nuevo y, a

continuación, haga clic en Plantilla de certificado que se va a emitir.

3. En la lista de plantillas disponibles, haga clic en la plantilla Firma de respuesta de OCSP y,

a continuación, haga clic en Aceptar.

Inscripción de un certificado Firma de respuesta de OCSPPara mejorar la seguridad, el Servicio de respuesta en línea se ejecuta con privilegios de Servicio de red. Esto significa que, de forma predeterminada, no se tiene acceso a las claves privadas del equipo y que es necesario modificar los permisos de las claves privadas a las que el Servicio de respuesta en línea debe tener acceso. Una nueva funcionalidad, presentada en las plantillas de la versión 3, permite al cliente de inscripción configurar los permisos de las claves del equipo como parte del proceso de inscripción para permitir el acceso a los servicios que se ejecutan como Servicio de red. Esta funcionalidad sólo está disponible en Windows Vista y Windows Server 2008.

La nueva plantilla de la versión 3 Firma de respuesta de OCSP tiene habilitada esta funcionalidad de forma predeterminada y permite al cliente de inscripción modificar los permisos de clave privada automáticamente para que el Servicio de red tenga acceso de lectura a la clave privada de firma de OCSP.

Siempre que se use una CA de Windows Server 2008 para emitir un certificado basado en una plantilla Firma de respuesta de OCSP o en un duplicado de dicha plantilla, no es necesaria ninguna configuración adicional.

Si se usa una CA de Windows Server 2003, Enterprise Edition, es necesario configurar manualmente los permisos de clave privada de firma de OCSP en el equipo del Servicio de respuesta en línea para que dicho servicio tenga acceso a la clave privada.

En Windows Vista y Windows Server 2008, se agregó la capacidad de modificar los permisos de las claves públicas en el complemento Certificados.

El siguiente procedimiento sólo es necesario si se usa una CA de Windows Server 2003 para emitir certificados de firma de OCSP.

Para configurar los permisos de clave privada para un certificado de firma de OCSP emitido por una CA de Windows Server 2003

1. En el equipo del Servicio de respuesta en línea, abra el complemento Certificados del

equipo local.

2. En la lista de certificados disponibles, seleccione Firma de respuesta de OCSP.

Nota


En primer lugar, se debe inscribir el certificado de firma manualmente.

3. En el menú Acción, seleccione Todas las tareas, haga clic en Administrar claves privadas y en Agregar.

4. Escriba servicio de red y haga clic en Aceptar.

5. Compruebe que sólo se concede el permiso Leer para el servicio de red y, a continuación,

haga clic en Aceptar.

6. Reinicie el Servicio de respuesta en línea; para ello, escriba los siguientes comandos en el

símbolo del sistema:

Copiar código

net stop ocspsvc net start ocspsvc

Nota

Los pasos anteriores sólo se aplican si la configuración de revocación del Servicio de respuesta en línea se establece para la inscripción manual del certificado de firma de OCSP. Si la configuración de revocación está establecida para la inscripción automática de OCSP, las claves privadas deben tener los permisos correctos de forma predeterminada y los pasos anteriores no son necesarios.

Nota

Si la configuración de revocación está establecida para usar la inscripción automática de OCSP y se usa una CA de Windows Server 2003, la renovación de los certificados de firma de OCSP requerirá pasos adicionales, como se indica a continuación.

Renovación de los certificados Firma de respuesta de OCSPUna vez completada la inscripción inicial del certificado y establecida la lista de control de acceso (ACL) de claves correcta, la renovación de los certificados Firma de respuesta de OCSP es similar a la de otros certificados con una salvedad: para renovar el certificado Firma de respuesta de OCSP, es necesario realizar el procedimiento correcto durante el período que transcurre entre la renovación del certificado de la CA y la fecha de expiración del mismo. El problema surge porque, para firmar los certificados Firma de respuesta de OCSP, se debe usar la misma clave de CA utilizada para firmar los certificados emitidos. Dado que esta clave ya no está disponible en la CA, no se pueden emitir certificados de firma.

La Figura 15 ilustra el problema. Los certificados Firma de respuesta de OCSP (S1, S2) deben firmarse con la misma clave (k1) usada para firmar los certificados de entidad final (C1, C2) para los que proporcionan el estado. Una vez que se renueva la clave de la CA (t1), ésta usará la nueva clave (k2) para firmar los nuevos certificados que emite. En el período que transcurre entre la


renovación del certificado de CA (t1) y la fecha de expiración del certificado de CA renovado (t2), la CA no puede emitir ni renovar certificados Firma de respuesta de OCSP, que se pueden usar para firmar las respuestas de OCSP para los certificados válidos existentes (C1, C2).

Figura 15: problema con la renovación de certificados Firma de respuesta de OCSP

Para solucionar esta limitación, la CA de Windows Server 2008 se ha actualizado para permitir la renovación de los certificados Firma de respuesta de OCSP mediante las claves existentes. Esta característica no está habilitada de forma predeterminada. Use el procedimiento siguiente para permitir la renovación de certificados Firma de respuesta de OCSP mediante las claves de CA existentes

Para permitir la renovación de certificados Firma de respuesta de OCSP mediante las claves de CA existentes

1. En el equipo de la CA, abra una ventana del símbolo del sistema y escriba:

Copiar código

certutil -setreg ca\UseDefinedCACertInRequest 1

2. Presione ENTRAR.

3. Reinicie el servicio de CA.

Cuando se usa una CA de Windows Server 2003, no es posible renovar certificados Firma de respuesta de OCSP una vez renovado el certificado de CA. Para solucionar esta limitación, emita n certificados de firma de OCSP por cada equipo de Servicio de respuesta en línea desde la CA de Windows 2003, donde n = (número de semanas hasta la fecha de expiración de la clave de la CA)/2.

Nota

Este procedimiento se debe realizar antes de renovar el certificado de la CA.

Cada uno de los certificados emitidos debe tener un período de validez de dos semanas más que el anterior. Por ejemplo:

Certificado de firma 1: válido desde ahora hasta ahora+2 semanas




El Servicio de respuesta en línea seleccionará primero el certificado de firma con un período de validez más breve y lo usará hasta que expire.

Inscripción de un certificado Firma de respuesta de OCSP en una entidad de certificación independienteYa que las CA independientes no admiten las plantillas de certificado de la versión 2 y 3 necesarias para crear un certificado Firma de respuesta de OCSP, debe crear y enviar manualmente una solicitud de certificado Firma de respuesta de OCSP. Siga este procedimiento para inscribir un certificado Firma de respuesta de OCSP en una entidad de certificación independiente.

Para inscribir un certificado Firma de respuesta de OCSP en una entidad de certificación independiente

1. Haga clic en Inicio, elija Todos los programas, haga clic en Accesorios y, a continuación,

en Bloc de notas.

2. Copie y pegue los datos de la siguiente solicitud en el Bloc de notas:

Copiar código

[NewRequest] Subject = "CN=testca,O=Contoso,OU=nt" PrivateKeyArchive = FALSE

Exportable = TRUE UserProtected = FALSE MachineKeySet = TRUE ProviderName =

"Microsoft Enhanced Cryptographic Provider v1.0" UseExistingKeySet = FALSE

RequestType = PKCS10 [EnhancedKeyUsageExtension] object identifer="1.3.6.1.5.5.7.3.9"

[Extensions] 1.3.6.1.5.5.7.48.1.5 = Empty

3. Guarde el archivo como ocsp.inf.

4. Cierre el Bloc de notas.

5. En un símbolo del sistema, escriba:

Copiar código

certreq.exe –New ocsp.inf ocsp.req certreq.exe –Submit ocsp.req ocsp.cer certreq.exe –

Accept ocsp.cer

Una vez completado el proceso de inscripción, debe modificar la ACL de la clave privada para que el Servicio de respuesta en línea tenga acceso a la clave privada. Para obtener información sobre


los pasos necesarios para configurar los permisos de las claves privadas, consulte Configuración de la plantilla de certificado Firma de respuesta de OCSP.

Uso de un módulo de seguridad de hardware (HSM) para proteger las claves de firma de OCSPCuando se usa un HSM o una tarjeta inteligente para proteger las claves de firma de OCSP, es necesario realizar los siguientes pasos de configuración.

Modificación de las credenciales del Servicio de respuesta en líneaDe forma predeterminada, el Servicio de respuesta en línea usa las credenciales de Servicio de red. Para que el Servicio de respuesta en línea interactúe con un HSM, es necesario cambiar las credenciales del servicio a Sistema local. Siga estos pasos para configurar las credenciales del Servicio de respuesta en línea.

Para configurar las credenciales del Servicio de respuesta en línea 1. Abra el complemento Servicios.

2. Haga clic con el botón secundario en Servicio de respuesta en línea y haga clic en

Propiedades.

3. Haga clic en la ficha Iniciar sesión.

4. Haga clic en la cuenta Sistema local.

5. Active la casilla Permitir que el servicio interactúe con el escritorio y haga clic en

Aceptar.

Configuración de la plantilla Firma de respuesta de OCSPCuando se usa un HSM para proteger las claves de firma de OCSP, también es necesario configurar la plantilla Firma de respuesta de OCSP para que use el proveedor de servicios de cifrado (SCP) CryptoAPI o el proveedor de API criptográfica de nueva generación (CNG) del HSM. Si sólo está disponible el CSP CryptoAPI, debe duplicar la plantilla Firma de respuesta de OCSP de la versión 3 y crear una nueva plantilla de la versión 2 que admita los CSP CryptoAPI. Para obtener información sobre los pasos necesarios para crear una plantilla de la versión 2, consulte "Configuración de la plantilla de certificado Firma de respuesta de OCSP cuando se usa una entidad de certificación de Windows Server 2003" en la sección Configuración de la plantilla de certificado Firma de respuesta de OCSP.

Configuración del Servicio de respuesta en líneaIndependientemente de si el Servicio de respuesta en línea se implementa en un único equipo, en una matriz en clúster o en varias matrices en clúster, las herramientas de administración del Servicio de respuesta en línea ofrecen un punto único de supervisión y configuración para la implementación de dicho servicio.

Las herramientas de administración instaladas de forma predeterminada en todas las versiones de Windows Server 2008 incluyen el complemento Servicio de respuesta en línea (Figura 16), que ofrece toda la funcionalidad necesaria para administrar un Servicio de respuesta en línea.


http://technet.microsoft.com/es-es/library/cc770413(WS.10).aspx#BKMK_ConfiguringtheOCSPResponseSigningcertificatetemplate




Figura 16: complemento Servicio de respuesta en línea

El árbol de la consola del Servicio de respuesta en línea incluye las siguientes vistas:

Servicio de respuesta en línea. Esta vista ofrece información general acerca del estado de

la configuración del Servicio de respuesta en línea y permite configurar las propiedades del

mismo.

Configuración de revocación. Esta vista permite agregar, modificar y eliminar

configuraciones de revocación. Para obtener más información acerca de las configuraciones

de revocación, consulte Administración de configuraciones de revocación.

Configuración de la matriz. Esta vista permite configurar, supervisar y solucionar

problemas de los miembros de la matriz de Servicios de respuesta en línea. Para obtener

más información acerca de las configuraciones de las matrices, consulte Administración de

los miembros de una matriz.

Configuración de las propiedades del Servicio de respuesta en líneaEl Servicio de respuesta en línea proporciona un conjunto de propiedades configurables para todo el servicio que se aplican al funcionamiento del mismo.

Para abrir el cuadro de diálogo Servicio de respuesta en línea, haga clic en Propiedades del Servicio de respuesta en el menú Acción o haga clic en Propiedades del Servicio de respuesta en el panel Acción.


http://technet.microsoft.com/es-es/library/cc770413(WS.10).aspx#BKMK_ManagingArraymembers

http://technet.microsoft.com/es-es/library/cc770413(WS.10).aspx#BKMK_ManagingArraymembers


Configuración de proxy webLa memoria caché de proxy web del Servicio de respuesta en línea se implementa como una extensión ISAPI hospedada por IIS. Están habilitadas las siguientes opciones configurables (Figura 17).

Subprocesos de proxy web. Este valor se refiere al número de subprocesos que la

extensión ISAPI del Servicio de respuesta en línea asignará para atender las solicitudes. El

aumento del número de subprocesos usará más memoria del servidor y la reducción del

número de subprocesos reducirá el número de clientes a los que se puede servir de forma

simultánea. El número mínimo de subprocesos es cinco.

Entradas de caché permitidas. La memoria caché se implementa como parte de la

extensión ISAPI del Servicio de respuesta en línea y es sólo una memoria caché en

memoria. El tamaño recomendado de la memoria caché está entre 1.000 y 10.000 entradas.

Un tamaño pequeño de caché causará más errores de caché y dará como resultado una

mayor carga de operaciones de consulta y firma en el Servicio de respuesta en línea; un

tamaño grande de caché aumentará el uso de la memoria del Servicio de respuesta en

línea. Si se usa el certificado de la CA para firmar las respuestas, el tamaño de las entradas

de caché en la memoria es de 200 bytes aproximadamente; si se usa un certificado de

firmante delegado para firmar las respuestas, el tamaño de las entradas de caché en la

memoria es de 2 KB aproximadamente (asumiendo un tamaño de clave de 1.024 bytes).

Figura 17: configuración de proxy web

Configuración de auditoría


Para cumplir los requisitos de Criterio común para los sistemas de emisión de certificados seguros y para ofrecer una plataforma segura, algunas opciones de configuración y de eventos se registran en el registro de eventos de seguridad de Windows. El Servicio de respuesta en línea permite la configuración de los siguientes eventos de auditoría (Figura 18).

Iniciar o detener el Servicio de respuesta en línea. Se registrarán todos los eventos de

inicio o detención del Servicio de respuesta en línea.

Cambios en la configuración del Servicio de respuesta en línea. Se registrarán todos

los cambios en la configuración del Servicio de respuesta en línea, incluidos los cambios en

la configuración de auditoría.

Cambios en la configuración de seguridad del Servicio de respuesta en línea. Se

registrarán todos los cambios en las ACL de las interfaces de administración y solicitud del

Servicio de respuesta en línea.

Solicitudes enviadas al Servicio de respuesta en línea. Se registrarán todas las

solicitudes procesadas por el Servicio de respuesta en línea. Esta opción puede crear una

carga intensiva en el servicio y se debe evaluar de forma individual. Tenga en cuenta que

sólo generarán eventos de auditoría para las solicitudes que requieran una operación de

firma por parte del Servicio de respuesta en línea; no se registrarán las solicitudes con

respuestas anteriores en caché.

Figura 18: configuración de auditoría


Los eventos de auditoría se registrarán en el registro de seguridad de Windows sólo si se habilita la directiva Auditar el acceso a objetos.

Para habilitar la directiva Auditar el acceso a objetos 1. Abra el Editor de directivas de grupo local.

2. En Configuración del equipo, expanda Configuración de Windows, Configuración de seguridad y Directivas locales y, a continuación, haga clic en Directiva de auditoría.

3. Haga doble clic en la directiva Auditar el acceso a objetos.

4. Active la casilla Correcto o Error y, a continuación, haga clic en Aceptar.

Configuración de seguridadLas opciones de seguridad del Servicio de respuesta en línea incluyen dos entradas de permisos que se pueden establecer para usuarios y servicios con el fin de permitir o denegar el acceso a las interfaces de administración y solicitud.

Administrar Servicio de respuesta en línea. El Servicio de respuesta en línea expone una

interfaz de administración (IOCSPAdmin) que permite realizar tareas administrativas como

la creación y administración de configuraciones de revocación, así como modificar la

configuración global del Servicio de respuesta en línea.

Solicitudes de proxy. El Servicio de respuesta en línea expone una interfaz de solicitud

(IOCSPRequestD) que permite al componente proxy web del Servicio de respuesta en línea


enviar solicitudes del estado de los certificados a dicho servicio. Las aplicaciones que

envían la solicitud de OCSP no usan esta interfaz.

Administración de configuraciones de revocaciónLas configuraciones de revocación incluyen un conjunto de definiciones que permiten al Servicio de respuesta en línea proporcionar una respuesta de OCSP firmada. Estas definiciones incluyen el certificado de la CA, el certificado de firma y el origen de la información sobre revocación. Cada configuración de revocación atiende las solicitudes de un par específico de claves de CA y certificado. Se aplican las siguientes reglas:

Debe crearse una configuración de revocación diferente para cada CA que se configuró

para incluir el acceso a la información de entidad del Servicio de respuesta en línea en los

certificados emitidos.

Se debe crear una configuración de revocación diferente para cada CA que se renueve con

un nuevo par de claves.

La vista Configuración de revocación permite agregar, modificar y eliminar configuraciones de revocación.

Creación de una configuración de revocaciónEn esta sección, se examina el proceso de creación, modificación y eliminación de configuraciones de revocación.

Para crear una configuración de revocación 1. En el menú Acción o en el panel Acciones, haga clic en Agregar configuración de

revocación.

Se abre el Asistente para agregar configuración de revocación.

2. Haga clic en Siguiente.

3. En el cuadro Nombre de la página Asignar nombre a la configuración de revocación,

escriba un nombre descriptivo para la configuración de revocación (que le ayude a

identificarla entre las configuraciones de revocación disponibles) y, a continuación, haga clic

en Siguiente.

4. En la página Seleccionar ubicación de certificado de CA, seleccione la ubicación del

certificado de CA para el que esta configuración de revocación ofrece respuestas sobre el

estado del certificado.

Para que el Servicio de respuesta en línea compruebe el estado de un certificado, la

configuración de revocación debe identificar la CA que lo emitió. Hay disponibles las

opciones siguientes:


Figura 19: Seleccionar ubicación de certificado de CA

Seleccionar un certificado de una CA de empresa existente. Esta opción permite

seleccionar el certificado de CA entre los certificados de CA disponibles publicados en

AD DS o realizar una consulta sobre su certificado a una CA específica. Si se selecciona

esta opción en el paso 4, el asistente pedirá al usuario que seleccione el certificado de CA

examinando para ello las CA publicadas o los nombres de equipos de CA en AD DS (Figura

20). Una vez identificado el certificado de CA, puede comprobar los detalles del mismo si

hace clic en el vínculodel certificado en la página del asistente.

Figura 20: Elegir certificado de CA


Seleccionar un certificado del almacén de certificados local. Esta opción permite

seleccionar un certificado de CA examinando para ello el almacén de certificados del equipo

actual. Si se selecciona esta opción en el paso 4, el asistente pedirá al usuario que busque

el certificado de CA en el almacén de certificados local y lo seleccione.

Importar certificado de un archivo. Esta opción permite seleccionar un archivo de

certificado con la extensión *.cer. Si se selecciona esta opción en el paso 4, el asistente

pedirá al usuario que busque un archivo de certificado con la extensión *.cer en el sistema

de archivos y que seleccione el certificado de CA.

5. En la página Seleccionar certificado de firma (Figura 21), se debe especificar el

certificado de firma para cada configuración de revocación. Hay disponibles las opciones

siguientes:

Seleccionar automáticamente un certificado de firma. Si se selecciona esta opción, el

Servicio de respuesta en línea buscará automáticamente en el almacén de certificados

personal del equipo que hospeda el servicio un certificado que cumpla las siguientes

condiciones:

El certificado tiene un EKU de firma de OCSP.

El certificado fue emitido por la CA seleccionada en el paso 4.

El certificado es válido.


El certificado tiene una clave privada que coincide.

Si hay más de un certificado de firma disponible, se seleccionará el que tenga el período de

validez más breve.

La casilla Inscripción automática de certificado de firma de OCSP permite configurar el

Servicio de respuesta en línea para inscribir y renovar automáticamente los certificados

Firma de respuesta de OCSP para la configuración de revocación especificada. Si la CA

seleccionada en el paso 4 está configurada para emitir la plantilla Firma de respuesta de

OCSP, esta casilla se activará y los cuadros Entidad de certificación y Plantilla de certificado se rellenarán automáticamente. En caso contrario, la casilla Inscripción automática de certificado de firma de OCSP no se activará.

Nota

Cuando la funcionalidad de inscripción automática del Servicio de respuesta en línea está habilitada, los certificados inscritos se guardan en el almacén de certificados del Servicio de respuesta en línea y no en el almacén del equipo local. Para ver el certificado de firma de la configuración actual, realice este procedimiento.

Para ver el certificado de firma de la configuración actual, realice los siguientes pasos:

e. Abra el complemento Certificados.

f. Haga clic en Cuenta de servicio y, a continuación, haga clic en Siguiente.

g. Haga clic en Equipo local y en Siguiente.

h. Seleccione el Servicio de respuesta en línea en la lista de servicios disponibles y

haga clic en Finalizar.

i. El certificado de firma de la configuración actual se puede encontrar en el almacén

denominado: OCSPSVC\<nombre de configuración>.

Seleccionar manualmente un certificado de firma. Si esta opción está seleccionada, el

Servicio de respuesta en línea no asignará un certificado de firma para la configuración de

revocación. Una vez finalizado el asistente y creada la configuración de revocación, es

necesario seleccionar manualmente un certificado de firma para cada uno de los miembros

de la matriz de Servicios de respuesta en línea. La configuración de revocación no estará

operativa hasta que se realice esta operación.

Usar el certificado de CA para la configuración de revocación. Si esta opción está

seleccionada, el Servicio de respuesta en línea usará el certificado de CA seleccionado en 89


el paso 4 como certificado de firma. Esta opción sólo está disponible si el Servicio de

respuesta en línea está instalado en el equipo de la CA.

Figura 21: Seleccionar certificado de firma

6. Una vez seleccionado el certificado de firma, haga clic en Siguiente.


Es necesaria información adicional para configurar el proveedor de revocación. El cuadro de

diálogo Propiedades de proveedor de revocación permite configurar el proveedor de

revocación mediante la selección de las CRL y las //CRL de diferencia de la configuración

de revocación. El Servicio de respuesta en línea usará esta información para recuperar y

almacenar en caché las CRL y las diferencias entre listas CRL que se usarán para

proporcionar las respuestas sobre el estado de los certificados. En algunos casos, las

ubicaciones de las CRL se rellenarán según la información de AD DS. De forma

predeterminada, el proveedor de revocación recuperará una nueva CRL y una diferencia

entre listas CRL en función del período de validez especificado en la CRL. El intervalo de

actualización se puede establecer manualmente si se indica un intervalo de actualización

específico. El intervalo mínimo es cinco minutos.

Si la CA está configurada para emitir diferencias entre listas CRL, el proveedor de

revocación usará la dirección URL proporcionada en la lista CRL base para recuperar la


CRL base y usará la información incluida en la propia CRL base para recuperar las

diferencias entre listas CRL. La lista Diferencia entre listas CRL sólo se usará si desea

que el proveedor de revocación recupere las diferencias entre listas CRL de una ubicación

diferente de la especificada en la CRL base.

Figura 22: Propiedades de proveedor de revocación

8. Para cerrar el cuadro de diálogo Propiedades de proveedor de revocación, haga clic en

Aceptar.

9. Para crear la configuración de revocación, haga clic en Finalizar.

Nota

El proveedor de revocación siempre buscará una CRL válida y una diferencia entre listas CRL en el equipo local antes de intentar recuperarlas de la red. Si el Servicio de respuesta en línea está instalado en el mismo equipo que la CA, los valores configurados en el proveedor de revocación no se tienen en cuenta.

Modificación de una configuración de revocaciónUna vez creada una configuración de revocación, se puede modificar. Para hacerlo, se selecciona la configuración de revocación que se va a editar en la vista Configuración de revocación y, a continuación, se hace clic en Editar propiedades en el menú Acción o en el panel Acciones.


CRL local. La ficha CRL local permite administrar de forma local los certificados revocados de una configuración de revocación. Cuando se usa esta opción, el Servicio de respuesta en línea administra una lista local de certificados revocados, además de la CRL y la diferencia entre listas CRL de la CA. Esta característica resulta útil cuando la CA no responde y no se pueden publicar las CRL, o cuando el Servicio de respuesta en línea no puede recuperar la CRL. La información de revocación local reemplaza la información de una CRL publicada por la CA. Por ejemplo, si un certificado aparece como revocado en la CRL local pero no aparece en la CRL publicada por la CA, el Servicio de respuesta en línea seguirá emitiendo una respuesta en la que se revoca el certificado especificado.

Para agregar un certificado a la lista Certificados revocados locales, primero es necesario activar la casilla Habilitar CRL local y, a continuación, hacer clic en Agregar. El cuadro de diálogo Detalles de certificado revocado (Figura 23) requiere el número de serie del certificado, el motivo de la revocación y la fecha efectiva de la revocación.

Figura 23: cuadro de diálogo Detalles de certificado revocado

Proveedor de revocación. La ficha Proveedor de revocación permite volver a configurar el proveedor de revocación para la configuración de revocación especificada. Al hacer clic en el botón Proveedor, se mostrará el mismo cuadro de diálogo que en el Asistente para agregar configuración de revocación.

Firma. La ficha Firma (Figura 24) permite configurar las siguientes opciones de firma de respuesta:

Algoritmo hash: algoritmo hash que se usará para firmar la respuesta.

No pedir credenciales para operaciones criptográficas. Si la clave de firma está

protegida con seguridad mediante una contraseña adicional, la selección de esta opción

significa que el Servicio de respuesta en línea no pedirá la contraseña al usuario y producirá

un error de forma silenciosa. Comprender esta opción es importante cuando se usan HSM

para almacenar la clave de firma de OCSP. Si se usa un HSM y esta opción está

seleccionada, se indica a CryptoAPI que no muestre el cuadro de diálogo NIP para tener

acceso a la clave privada y se producirá un error en la operación de firma. Si esta opción no

está seleccionada, se mostrará el cuadro de diálogo NIP la primera vez que se cargue la


configuración, lo que puede ocurrir cuando se inicie el servicio o cuando se cargue la

configuración de revocación por primera vez.

Nota

No seleccione esta opción si se usa HSM para proteger las claves privadas.

Usar automáticamente certificados de firma renovados. Esta opción indica al Servicio

de respuesta en línea que use automáticamente certificados de firma renovados sin pedir al

administrador del Servicio de respuesta en línea que los asigne manualmente.

Habilitar compatibilidad con extensión NONCE. Esta opción indica al Servicio de

respuesta en línea que compruebe y procese una extensión nonce de solicitud de OCSP. Si

se incluye una extensión nonce en la solicitud de OCSP y se selecciona esta opción, el

Servicio de respuesta en línea omitirá cualquier respuesta de OCSP en caché y creará una

nueva respuesta que incluirá el valor de seguridad (nonce) suministrado en la solicitud. Si

se deshabilita esta opción y se recibe una solicitud que incluye una extensión nonce, el

Servicio de respuesta en línea rechazará la solicitud con un error "no autorizado".

Nota

El cliente OCSP de Microsoft no admite la extensión nonce.

Nota

Si se incluye una extensión no crítica en la solicitud, el Servicio de respuesta en línea no tiene en cuenta la extensión y proporciona una respuesta. Si se incluye una extensión crítica en la solicitud, el Servicio de respuesta en línea rechazará la solicitud con un error "no autorizado".

Usar cualquier certificado de firma de OCSP válido. De forma predeterminada, el

Servicio de respuesta en línea sólo usará certificados de firma emitidos por la misma CA

que emitió el certificado que se está validando. Esta opción permite modificar el

comportamiento predeterminado e indica al Servicio de respuesta en línea que use

cualquier certificado válido existente que incluya la extensión EKU de firma de OCSP.

Nota

Windows Vista no admite este modelo de implementación y se producirá un error si se selecciona esta opción.


Identificadores de Servicio de respuesta en línea. Esta opción se usa para seleccionar si

se incluirá el hash de clave o el sujeto del certificado de firma en la respuesta. Se necesita

según RFC 2560.

Figura 24: cuadro de diálogo Configuración de revocación, ficha Firma

Administración de los miembros de una matrizPara administrar las opciones globales y las configuraciones de revocación en varios equipos de Servicios de respuesta en línea, se ha introducido el concepto "matriz". Una matriz se define como uno o varios equipos que tienen instalado el Servicio de respuesta en línea y que se agrupan de forma lógica y se administran mediante el complemento Servicio de respuesta en línea. Todos los equipos miembros de una matriz tienen las mismas opciones globales y las mismas configuraciones de revocación. Para cada matriz, se define un miembro como controlador de la matriz; la función del controlador de la matriz es ayudar a resolver los conflictos de sincronización y aplicar la información de la configuración de revocación actualizada a todos los miembros de la matriz.

Cuando se abre el complemento Servicio de respuesta en línea por primera vez, verá que ya hay un miembro de la matriz en el árbol de la consola. Este miembro es el controlador de la matriz que, de forma predeterminada, es el equipo local.

Adición de miembros de la matrizPara agregar miembros de la matriz

1. En el árbol de consola, haga clic en Configuración de la matriz.


2. En el menú Acción o en el panel Acciones, haga clic en Agregar miembro de la matriz.

3. En el cuadro de diálogo Seleccionar equipo, busque el equipo del Servicio de respuesta en

línea que va a agregar a la matriz o escriba el nombre distintivo del equipo y haga clic en

Aceptar.

Después de agregar el nuevo Servicio de respuesta en línea a la matriz, el complemento Servicio de respuesta en línea sincronizará automáticamente las opciones globales y las configuraciones de revocación existentes.

Supervisión y administración de los miembros de la matrizCada miembro de la matriz se puede supervisar y administrar de forma independiente. Al hacer clic en un nodo de miembro de la matriz específico, se muestra la vista de miembro de la matriz, que incluye información sobre el estado de la configuración de revocación de cada una de las configuraciones de revocación, así como algunas opciones de configuración.

Para identificar mejor el estado de los miembros de la matriz, se mostrarán los siguientes códigos de estado en el árbol de la consola:

Controlador de la matriz: estado correcto

Controlador de la matriz: estado crítico

Controlador de la matriz: estado desconocido

Controlador de la matriz: estado de advertencia

Miembro de la matriz: estado correcto

Miembro de la matriz: estado crítico

Miembro de la matriz: estado desconocido

Miembro de la matriz: estado de advertencia

Se puede usar la vista de miembros para asignar manualmente un certificado de firma.

Para asignar manualmente un certificado de firma 1. Seleccione un nodo de miembro de la matriz.

2. Seleccione la configuración de revocación a la que se va a asignar el certificado de firma.

3. En el menú Acción o en el panel Acciones, haga clic en Asignar certificado de firma.

4. En la lista de certificados de firma disponibles, seleccione uno y haga clic en Aceptar.


Nota

Sólo se debe usar la operación Asignar certificado de firma cuando se haya seleccionado Seleccionar manualmente un certificado de firma durante la creación de una configuración de revocación.

Habilitación de la administración remotaEl Servicio de respuesta en línea se puede administrar desde otro equipo donde esté instalado el complemento Servicio de respuesta en línea. Para habilitar la administración remota, es necesario configurar las reglas del firewall.

Para habilitar la administración remota 1. Abra el complemento Firewall de Windows con seguridad avanzada.

2. Haga clic en Reglas de entrada.

3. En el panel de detalles, haga clic con el botón secundario en Servicio de respuesta en línea (DCOM de entrada) y haga clic en Habilitar regla.

4. En el panel de detalles, haga clic con el botón secundario en Servicio de respuesta en línea (RPC de entrada) y haga clic en Habilitar regla.


5. Cierre el complemento Firewall de Windows con seguridad avanzada.

Planeación de la renovación de certificados de CAComo se indica en la sección "Creación de configuraciones de revocación" de este documento, una configuración de revocación está enlazada a un par de claves de CA específico. Por lo tanto, la renovación de una CA afecta a la configuración del Servicio de respuesta en línea y al mantenimiento regular.

Cuando se crea una configuración de revocación, el identificador de la clave de certificado de la CA se almacena como la identificación de la configuración de revocación y se usa para identificar la configuración de revocación que se debe usar para atender las solicitudes de OCSP entrantes.

Descripción de la relación entre la configuración de revocación y el certificado de CACuando un certificado de CA se renueva con el mismo par de claves, la configuración de revocación existente que se creó para la CA especificada seguirá siendo válida y no es necesaria ninguna configuración adicional. Cuando se renueva una CA con un par de claves nuevo, la configuración de revocación existente continuará siendo válida para el par de claves renovado y aún válido, pero es necesario crear una nueva configuración de revocación para el nuevo par de claves de CA. Actualmente no existe una manera automática de duplicar la configuración de revocación existente y el administrador del Servicio de respuesta en línea tiene que crear manualmente dicha configuración de revocación.

Creación de una configuración de revocación para la CA renovadaEn algunos escenarios, puede ser necesario crear una configuración de revocación para un par de claves y certificado de CA antiguo, aunque válido. En este caso, se debe seleccionar el certificado de CA en el almacén del equipo local o exportarlo manualmente desde la CA como un archivo *.cer y, después, seleccionarlo durante el asistente para la creación de configuración de revocación.

Copias de seguridad y restauración del Servicio de respuesta en líneaEs esencial realizar copias de seguridad de la configuración de revocación del Servicio de respuesta en línea y de las claves de firma para que el Servicio de respuesta en línea funcione correctamente.

Configuración de revocación. Aunque se pueden volver a crear las configuraciones de

revocación, se recomienda realizar una copia de seguridad del Servicio de respuesta en

línea siempre que cambie la configuración de revocación.

Claves de firma. Puesto que las claves de firma se pueden volver a emitir en caso de

daños u otros desastres, debe realizarse una copia de seguridad de ellas sólo si la CA

emisora no está disponible. Debido a las limitaciones descritas en "Renovación de los

certificados Firma de respuesta de OCSP", cuando se usa una CA de Windows

Server 2003, Enterprise Edition, se deben realizar copias de seguridad de las claves de

firma de OCSP emitidas para los Servicios de respuesta en línea.


Dado que las herramientas de administración del Servicio de respuesta en línea pueden sincronizar las configuraciones de revocación del controlador de la matriz con los miembros de la matriz, la operación de copia de seguridad sólo se ejecutará en el controlador de la matriz de Servicios de respuesta en línea, que dispone de la información de configuración de revocación más actualizada. Para realizar una copia de seguridad de la configuración de revocación del Servicio de respuesta en línea, debe realizar una copia de seguridad de todo el estado del sistema.

Para extraer sólo las configuraciones de revocación 1. Cambie al equipo del controlador de la matriz.

2. Abra el Editor del Registro (regedit.exe).

3. Vaya hasta al siguiente subárbol del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder

4. Haga clic con el botón secundario en el subárbol y haga clic en Exportar.

5. Guarde la información en un archivo *.reg y guarde el archivo como copia de seguridad.

Tal y como se describe en "Renovación de los certificados Firma de respuesta de OCSP", la copia de seguridad de las claves de firma de OCSP sólo es necesaria cuando se usa el Servicio de respuesta en línea con una CA de Windows Server 2003. Como las claves de firma de OCSP son exclusivas de cada configuración de revocación de cada equipo de Servicio de respuesta en línea, es necesario realizar una copia de seguridad de todas las claves de firma disponibles para cada equipo de Servicio de respuesta en línea.

Para realizar una copia de seguridad de las firmas de clave del Servicio de respuesta en línea, debe realizar una copia de seguridad de todo el estado del sistema.

Migración del Servicio de respuesta en líneaEn algunos escenarios, puede que sea necesario migrar un miembro de la matriz de Servicios de respuesta en línea a un equipo nuevo. Como se indica en la sección "Copias de seguridad y restauración del Servicio de respuesta en línea", debido a que las herramientas de administración del Servicio de respuesta en línea pueden sincronizar automáticamente las configuraciones de revocación del controlador de la matriz con los miembros de la matriz, la migración del equipo se simplifica.

Para migrar un miembro de la matriz de Servicios de respuesta en línea existente a un equipo nuevo

1. Si no está habilitada la inscripción automática para el miembro de la matriz que se va a

migrar, realice la copia de seguridad de las claves de firma de OCSP mediante el

complemento Certificados.

2. Para mantener el mismo nombre del miembro de la matriz migrado, siga estos pasos:

a. Use el complemento Servicio de respuesta en línea para quitar el miembro de la matriz.


b. En Propiedades del sistema, elimine el miembro de la matriz del dominio.

3. Instale el nuevo miembro de la matriz y una el equipo al dominio.

4. Si fuera necesario, importe la copia de seguridad anterior de las claves de firma en el

almacén del equipo mediante el complemento Certificados.

5. Use el complemento Servicio de respuesta en línea para agregar un miembro de la matriz

nuevo y seleccione el equipo nuevo.

Solución de problemas del Servicio de respuesta en líneaLa solución de problemas del Servicio de respuesta en línea se puede dividir en dos subcategorías.

Problemas relacionados con el Servicio de respuesta en línea. En esta categoría se

incluyen problemas de solicitud y respuesta y la configuración del proveedor de revocación.

Problemas relacionados con las herramientas del Servicio de respuesta en línea. En

esta categoría se incluyen todos los problemas del complemento Servicio de respuesta en

línea y los relacionados con la sincronización de la configuración de revocación.

Problemas del Servicio de respuesta en línea

Nota

En aquellos escenarios en los que no existen errores ni advertencias del registro de eventos y el complemento Servicio de respuesta en línea no notifica ningún problema, compruebe el registro del Servicio de respuesta en línea para obtener más información de diagnóstico. El registro del servicio está ubicado en: unidadDelSistema\Windows\ServiceProfiles\networkservice\ocspsvc.log

Los siguientes eventos están relacionados con el estado del Servicio de respuesta en línea (ocspsvc.exe) y se muestran en el Visor de eventos del equipo.

Evento 0xC25A0014 - El Servicio de respuesta en línea no se inició: %1. (Mensaje de error).

Id. de evento 20

Nombre de evento MSG_E_GENERIC_STARTUP_FAILURE

Origen del evento OnlineResponder u OCSPSvc

Descripción El Servicio de respuesta en línea (ocspsvc.exe) no se inició. En la mayoría de los casos, el mensaje del evento incluirá el motivo en lugar del argumento %1.

Diagnóstico Los siguientes podrían ser motivos del error de inicialización del servicio:

Información del Registro dañada


No hay recursos del sistema

Resolver

1. Si la información de la descripción del error no proporciona suficiente información para

resolverlo, intente instalar primero el Servicio de respuesta en línea desde el complemento

Servicios (services.msc). Si el Servicio de respuesta en línea produce un error al iniciarse,

compruebe si en el registro de eventos hay otros errores que puedan estar relacionados.

2. Si la información del Registro está dañada, debe desinstalar y volver a instalar el Servicio de

respuesta en línea mediante el Administrador de servidores.

3. Si no hay disponibles suficientes recursos del sistema para iniciar el Servicio de respuesta

en línea, intente reiniciar el equipo o liberar recursos del sistema.

Evento 0xC25A0015 - %1(identificadorDeArchivo): El Servicio de respuesta en línea detectó una excepción en la dirección %2. Marcador = %3. La excepción es %4(códigoDeError).

Id. de evento 21

Nombre de evento MSG_E_EXCEPTION


Descripción Este evento indica un problema interno con el Servicio de respuesta en línea. Notifique el problema al servicio de atención al cliente y soporte técnico de Microsoft.

Diagnóstico No aplicable

Resolver No aplicable

Evento 0xC25A0016 - El Servicio de respuesta en línea no procesó una solicitud de %1. La solicitud era muy larga, posiblemente debido a un ataque por denegación de servicio. Si la solicitud se rechazó por error, modifique la propiedad MaxIncomingMessageSize del servicio. A menos que esté habilitado el registro detallado, este error sólo se registrará cada 20 minutos.

Id. de evento 22

Nombre de evento MSG_E_POSSIBLE_DENIAL_OF_SERVICE_ATTACK


Descripción No aplicable



Resolver Se recomienda encontrar el originador de la solicitud ya que este tipo de evento podría señalar a un usuario o aplicación malintencionados que intentan comprometer el Servicio de respuesta en línea.

El valor de MaxIncomingMessageSize se puede modificar si se crea un nuevo valor DWORD del Registro en el subárbol HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder y se establece el valor en el número máximo de bytes que desea que el Servicio de respuesta en línea pueda procesar.

Evento 0xC25A0017 - El Servicio de respuesta en línea no pudo encontrar un certificado de firma para la configuración %1(identificadorDeConfiguraciónDeCA).(%2) (Mensaje de error).

Id. de evento 23

Nombre de evento MSG_E_CACONFIG_MISSING_SIGNINGCERT


Descripción Este evento se produce cuando el Servicio de respuesta en línea encuentra un problema en la búsqueda o carga del certificado de firma de una configuración específica.

Diagnóstico Este evento podría estar causado por los siguientes motivos:

El certificado Firma de respuesta de OCSP no se encuentra en el almacén de certificados

personales del equipo.

En las configuraciones de inscripción automática en las que el propio Servicio de respuesta

en línea inscribe su certificado, significa que pudo haber un problema con la inscripción o

instalación del certificado de firma. Consulte el registro de eventos para ver si hay otros

errores o advertencias relacionados con este error. A continuación, compruebe el estado del

certificado Firma de respuesta de OCSP.

Nota

Si la configuración de revocación se ha establecido para la inscripción y renovación automáticas del certificado Firma de respuesta de OCSP, el certificado de firma se encuentra en el almacén de certificados de la cuenta del Servicio de respuesta en línea. Para verlo, abra MMC, agregue el complemento Certificados a "Cuenta de servicio" en el equipo del Servicio de respuesta en línea y seleccione la cuenta "Servicio de respuesta en línea". El certificado se encontrará en el almacén de certificados, en el nodo con el mismo nombre que la configuración de revocación.

Si la configuración de revocación se ha establecido para la inscripción y renovación manuales del certificado Firma de respuesta de OCSP, busque el certificado de firma dentro del almacén de certificados personales del equipo local del Servicio de respuesta en línea. Abra el complemento Certificados del equipo y busque el certificado de firma en el almacén de certificados personales.


Resolver

1. Si un certificado Firma de respuesta de OCSP no está presente en el almacén de

certificados personales del equipo local y la revocación se ha configurado para la inscripción

manual de dicho certificado, deberá inscribir un certificado manualmente.

2. Para las configuraciones en las que el Servicio de respuesta en línea inscribe su certificado,

la inscripción manual no funcionará y deberá consultar el registro de eventos para ver si hay

otros errores o advertencias relacionados con un error de inscripción o instalación del

certificado Firma de respuesta de OCSP. Si no hay más información disponible, compruebe

lo siguiente:

a. Compruebe que el equipo donde se ejecuta el Servicio de respuesta en línea tiene

conexión con una CA. Utilice el complemento Entidad de certificación en la CA para

comprobar que está configurada para emitir certificados basados en la plantilla Firma

de respuesta de OCSP.

b. Use el complemento Plantillas de certificado para comprobar que el equipo que

ejecuta el Servicio de respuesta en línea tiene permisos de lectura e inscripción en la

plantilla Firma de respuesta de OCSP.

3. Si existe un certificado Firma de respuesta de OCSP válido, asegúrese de que el Servicio

de respuesta en línea tenga acceso a la clave privada. De forma predeterminada, el Servicio

de respuesta en línea se ejecuta como Servicio de red, de manera que este contexto de

usuario debe tener acceso a la clave privada. Si Servicio de red no tiene acceso a la clave

privada del certificado Firma de respuesta de OCSP, siga los pasos descritos en

"Inscripción de un certificado Firma de respuesta de OCSP" en la sección Configuración de

la plantilla de certificado Firma de respuesta de OCSP para corregir el problema.

4. Si el certificado Firma de respuesta de OCSP no es válido para la firma, asegúrese de

inscribir un certificado que incluya el EKU id-kp-OCSPSigning denominado "Firma OCSP

(1.3.6.1.5.5.7.3.9)".

Evento 0x825A0019 - El certificado de firma para la configuración del Servicio de respuesta en línea %1 expirará pronto.

Id. de evento 25

Nombre de evento MSG_W_CACONFIG_SIGNINGCERT_EXPIRING





Descripción El certificado de firma de la configuración especificada está a punto de expirar. Concretamente, si el Servicio de respuesta en línea se ha configurado para inscribir automáticamente los certificados de firma, el certificado ha entrado en un período en que puede volver a inscribirse automáticamente. En las configuraciones manuales, esto significa que ha comenzado el período en que se activan los avisos de renovación.

Diagnóstico Revise la fecha de expiración del certificado especificado.

Busque el certificado de firma como se indica en las instrucciones del evento 23 del Servicio de respuesta en línea anterior y fíjese en el campo Válido hasta.

Si la configuración de revocación está establecida para la inscripción automática del certificado Firma de respuesta de OCSP, puede que no sea necesaria ninguna otra medida. Compruebe la fecha de expiración del certificado para asegurarse de que tendrá suficiente tiempo para comprobar cuándo se realizó la reinscripción automática.

Resolver En el caso de las configuraciones manuales, renueve el certificado de firma. Para ello, haga clic con el botón secundario en el certificado y haga clic en Renovar certificado con clave nueva para iniciar el Asistente para renovación de certificados.

Nota

La duración del aviso es una propiedad de todo el servicio de respuesta, expresada como un porcentaje de la vigencia del certificado. El valor predeterminado es 90%, pero se puede modificar agregando una clave del Registro DWORD denominada ReminderDuration en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OcspSvc\Responder\%Nombre de configuración de revocación\

Escriba un valor entre 1 y 100 para indicar el porcentaje deseado. Debe detener y reiniciar el Servicio de respuesta en línea para aplicar el nuevo valor.

Evento 0xC25A001A - El certificado de firma de la configuración del Servicio de respuesta en línea %1 expiró. Se rechazarán las solicitudes de OCSP de esta configuración.

Id. de evento 26

Nombre de evento MSG_E_CACONFIG_SIGNINGCERT_EXPIRED


Descripción El certificado de firma para la configuración especificada ha expirado.

Diagnóstico Revise la fecha de expiración del certificado especificado.

Si se estableció la configuración de revocación para la inscripción automática del certificado

Firma de respuesta de OCSP, es posible que haya un problema con la reinscripción

automática. Busque el certificado de firma en el almacén de certificados de la cuenta de

servicio del Servicio de respuesta en línea como se especifica en las instrucciones del


evento 23 del Servicio de respuesta en línea anterior. Si el certificado ha expirado, consulte

el registro de eventos para ver si hay otros errores o advertencias relativos a un error de

inscripción o instalación del certificado Firma de respuesta de OCSP automáticamente. Si

no hay más información disponible, compruebe lo siguiente:

1. Compruebe que el equipo donde se ejecuta el Servicio de respuesta en línea tiene

conexión con una CA.

2. Utilice el complemento Entidad de certificación en la CA para comprobar que está

configurada para emitir certificados basados en la plantilla Firma de respuesta de

OCSP o un duplicado de esta plantilla.

3. Use el complemento Plantillas de certificado para comprobar que el equipo que

ejecuta el Servicio de respuesta en línea tiene permisos de lectura e inscripción en la

plantilla Firma de respuesta de OCSP.

Si la configuración de revocación se ha establecido para la inscripción manual del

certificado Firma de respuesta de OCSP, busque el certificado de firma en el almacén de

certificados personales del equipo local del Servicio de respuesta en línea, como se indica

en las instrucciones del evento 23 del Servicio de respuesta en línea anterior.

Resolver

Si la configuración de revocación se ha establecido para la inscripción manual del certificado de firma de OCSP y existe un certificado de firma de OCSP renovado válido en el equipo del Servicio de respuesta en línea, asigne el certificado a la configuración de revocación identificada en el registro de eventos; para ello, siga estos pasos:

1. En el complemento Servicio de respuesta en línea, haga clic en Configuración de la matriz y haga clic en el nodo del equipo donde se registró la advertencia.

2. Haga clic con el botón secundario en la configuración de revocación identificada en el

registro de eventos y haga clic en Asignar certificado de firma.

3. Seleccione el certificado y haga clic en Aceptar.

4. Haga clic en Configuración de revocación, haga clic con el botón secundario en la

configuración de revocación y, a continuación, haga clic en Editar propiedades. Haga clic

en la ficha Firma.

Si la opción Usar automáticamente certificados de firma renovados no está

seleccionada, deberá volver a asignar manualmente el certificado de firma a la


configuración de revocación cada vez que se renueve el certificado de firma. Si selecciona

esta opción, la asignación se realizará automáticamente.

Si no hay un certificado de firma de OCSP renovado y válido en el almacén de certificados personales del equipo local que registró la advertencia, inscriba un nuevo certificado de firma; para ello, siga estos pasos:

1. Haga clic con el botón secundario en el almacén de certificados personales del equipo local,

seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el

Asistente para inscripción de certificados.

2. Inscriba un certificado basado en la plantilla Firma de respuesta de OCSP o en un duplicado

de esa plantilla.

Nota

Un certificado de firma de OCSP válido mostrará "Firma OCSP (1.3.6.1.5.5.7.3.9)" en la extensión Uso mejorado de clave (EKU).

3. Siga los pasos del 1 al 4 del procedimiento anterior para asignar el nuevo certificado a la

configuración de revocación.

Evento 0x825A001B - El certificado de firma para la configuración del Servicio de respuesta en línea %1 no se actualizó (%2) (Mensaje de error).

Id. de evento 27

Nombre de evento MSG_W_CACONFIG_UPDATE_THREAD_FAILED


Descripción Este evento puede ocurrir si el Servicio de respuesta en línea no logra actualizar el certificado de firma en caso de renovación.

Diagnóstico Esto sólo sucederá si el sistema agota los recursos.

Resolver Si no hay suficientes recursos del sistema para que el Servicio de respuesta en línea funcione normalmente, reinicie primero el Servicio de respuesta en línea y, a continuación, reinicie el equipo o libere recursos del sistema. Si el error continúa, llame al servicio de atención al cliente y soporte técnico de Microsoft.

Evento 0xC25A001D - No se pueden cargar los valores de la configuración del Servicio de respuesta en línea %1. Se rechazarán las solicitudes de OCSP de esta configuración (%2) (Mensaje de error).

Id. de evento 29


Nombre de evento MSG_E_CACONFIG_FAILTOLOAD


Descripción Este evento puede ocurrir si una configuración de revocación está dañada y no se puede cargar.


Resolver Siga estos pasos para resolver el problema:

1. Intente eliminar la configuración de revocación mediante el complemento Servicio de

respuesta en línea.

2. Vuelva a crear la configuración de revocación especificada.

Si no se puede cargar la configuración mediante el complemento Servicio de respuesta en línea, siga estos pasos:

1. Vaya hasta al siguiente subárbol del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder

2. Busque y elimine la configuración de revocación dañada.

Nota

Si este problema se produjo en un miembro de la matriz, debe eliminar la configuración dañada del miembro de la matriz y, después, sincronizar la matriz para volver a crear la configuración de revocación. Si este problema se encuentra en un controlador de la matriz, configure temporalmente otro equipo como controlador de la matriz, sincronice ésta y, a continuación, restablezca el equipo original como controlador de la matriz.

Evento 0x825A001F - No se pueden inicializar los contadores de rendimiento para el Servicio de respuesta en línea.

Id. de evento 31

Nombre de evento MSG_W_PERF_COUNTER_INIT_ERROR


Descripción Este evento indica un problema interno con el Servicio de respuesta en línea.

Diagnóstico Puede que el equipo que hospeda el Servicio de respuesta en línea tenga memoria insuficiente.

Resolver Abra una ventana de la consola de rendimiento de Windows (Perfmon.msc) en el equipo del Servicio de respuesta en línea para evaluar el uso de la memoria del sistema. Si fuera


necesario, resuelva los problemas de recursos agregando memoria virtual o física, o ajustando la asignación de memoria y el uso de disco duro.

Use el complemento Servicios para detener y reiniciar el Servicio de respuesta en línea.

Si el error continúa, notifíquelo al servicio de atención al cliente y soporte técnico de Microsoft.

Evento El Servicio de respuesta en línea no pudo crear una solicitud de inscripción para la plantilla del certificado de firma %2 para la configuración %1 (%3) (Mensaje de error).

Id. de evento 33

Nombre de evento MSG_E_CACONFIG_CREATE_ENROLLMENT_REQUEST_FAILED


Descripción El Servicio de respuesta en línea intentó inscribir o volver a inscribir un certificado de firma y encontró un error al generar la solicitud de certificado. El error se produjo antes de poder enviar la solicitud a una CA.

Diagnóstico Consulte en el evento los nombres de la plantilla de certificado para los que se intentó la solicitud de inscripción, así como el mensaje de error. Consulte el registro de eventos para ver si hay otros errores antes o después de este evento que pudieran proporcionar más información.

Resolver La resolución dependerá del mensaje de error y de otros errores o advertencias registrados.

Evento El Servicio de respuesta en línea encontró un error al enviar la solicitud de inscripción para la configuración %1 a la entidad de certificación %2. El identificador de la solicitud es %3 (%4) (Mensaje de error).

Id. de evento 34

Nombre de evento MSG_E_CACONFIG_SUBMIT_ENROLLMENT_REQUEST_FAILED


Descripción El Servicio de respuesta en línea intentó inscribir o volver a inscribir un certificado de firma y encontró un error al enviar la solicitud de certificado a la CA.

Diagnóstico La descripción del evento debe contener más información acerca de la causa del error, incluidos el mensaje de error y el identificador de la solicitud de CA errónea, si se hubiera devuelto.

Compruebe que el equipo donde se ejecuta el Servicio de respuesta en línea tiene conexión con una CA. Utilice el complemento Entidad de certificación en la CA para comprobar que está configurada para emitir certificados basados en la plantilla Firma de respuesta de OCSP.


Use el complemento Plantillas de certificado para comprobar que el equipo que ejecuta el Servicio de respuesta en línea tiene permisos de lectura e inscripción en la plantilla Firma de respuesta de OCSP.

Además, el identificador de solicitud proporcionado en el mensaje de error se puede usar en el equipo de la CA para diagnosticar la causa del error con más detalle.

Resolver Una vez resueltos los errores de permisos o de otro tipo, inicie una nueva inscripción usando el complemento Servicios para reiniciar el Servicio de respuesta en línea en cada miembro de la matriz, o bien haga clic con el botón secundario en Configuración de la matriz en el complemento Servicio de respuesta en línea y haga clic en Actualizar datos de revocación.

Si el error continúa, consulte el registro de eventos de la CA para ver si hay otros eventos relativos a errores de inscripción. Resuelva los problemas relacionados con el procesamiento de las solicitudes de certificados Firma de respuesta de OCSP y, a continuación, reinicie el Servicio de respuesta en línea para volver a intentar la solicitud.

Evento El Servicio de respuesta en línea no pudo instalar la respuesta de inscripción para la configuración %1 para la plantilla del certificado de firma %2. El identificador de la solicitud es %3 (%4) (Mensaje de error).

Id. de evento 35

Nombre de evento MSG_E_CACONFIG_INSTALL_ENROLLMENT_RESPONSE_FAILED


Descripción El Servicio de respuesta en línea pudo enviar a una CA una solicitud de inscripción de un certificado de firma, pero se produjo un error durante el procesamiento de la respuesta a la solicitud.

Diagnóstico En la descripción del evento, compruebe el nombre de la configuración de revocación, la plantilla de certificado para la que se intentó la solicitud de inscripción, el identificador de la solicitud de la CA y el mensaje de error.

Use el complemento Entidad de certificación para comprobar el estado y la disposición de la solicitud de certificado.

Si el certificado se emitió, asegúrese de que se firmó con el certificado de CA asociado a la configuración de revocación.

Resolver

Si el certificado se emitió, asegúrese de que se firmó con el certificado de CA asociado a la configuración de revocación; para ello, siga estos pasos:

1. En el complemento Entidad de certificación, identifique el certificado de CA que firmó el

certificado emitido de la solicitud identificada en el mensaje de error.


2. En el complemento Servicio de respuesta en línea, haga clic en Configuración de revocación, haga clic con el botón secundario en la configuración de revocación y haga clic

en Ver certificado de CA.

3. Si los certificados no coinciden, es posible que el certificado de CA se haya renovado y que

la configuración de revocación esté establecida para el certificado de CA antiguo. Para

habilitar el Servicio de respuesta en línea con el fin de que solicite que los certificados se

firmen con el certificado de CA antiguo (aunque válido), abra una línea de comandos en la

CA y escriba el siguiente comando:

certutil –setreg ca\UseDefinedCACertInRequest 1

4. Reinicie la CA.

Una vez habilitada la CA para que emita certificados de firma de OCSP basados en el certificado de CA identificado en la solicitud, envíe una nueva solicitud y actualice los datos de la configuración de revocación, de la siguiente manera:

1. En el complemento Servicio de respuesta en línea, haga clic con el botón secundario en

Configuración de la matriz y, a continuación, haga clic en Actualizar datos de revocación.

2. Asegúrese de que no se notifiquen más errores.

3. Haga clic en el nodo Servicio de respuesta en línea y asegúrese de que la configuración de

revocación se muestre como En funcionamiento.

Evento 0xC25A0011 - Error al inicializar el proxy web del Servicio de respuesta en línea. %1 (Mensaje de error).

Id. de evento 17

Nombre de evento MSG_E_FAILED_TO_INITIALIZE

Origen del evento OnlineResponderWebProxy u OCSPISAPIExtension

Descripción No se pudo inicializar la extensión ISAPI debido a un error interno.

Diagnóstico Los siguientes podrían ser motivos del error de inicialización de la extensión ISAPI:

El Servicio de respuesta en línea (ocspsvc.exe) se ha detenido.

La configuración de seguridad de DCOM de la interfaz IOCSPAdmin es incorrecta y provoca

que ISAPI no pueda actualizar la información del proxy web.


Las propiedades de configuración de todo el Servicio de respuesta en línea podrían estar

dañadas.

Resolver Siga estos pasos para resolver el problema.

1. Asegúrese de que el servicio ocspsvc.exe se está ejecutando.

2. Utilice la herramienta de línea de comandos Dcomcnfg para asegurarse de que el Servicio

de red tenga permisos de activación para la interfaz IOCSPAdmin.

3. Si sospecha que las propiedades de configuración de todo el Servicio de respuesta en línea

están dañadas, desinstale y vuelva a instalar este servicio o siga las instrucciones del

evento 29 del Servicio de respuesta en línea anterior para eliminar y actualizar la

configuración mediante el Registro o la sincronización con otros miembros de la matriz.

Evento 0x425A0014 - El Servicio de respuesta en línea detectó una configuración no válida de la propiedad %1. El valor se cambió de %2(valorExistente) a %3 (valorAjustado).

Id. de evento 20

Nombre de evento MSG_I_ADJUST_PROPERTY_VALUES

Origen del evento OnlineResponderWebProxy u OCSPISAPIExtension

Descripción Este evento indica que los valores de configuración no están en el intervalo permitido. Puede ocurrir si el Registro se modificó manualmente.



1. Para los miembros de la matriz, sincronice con el controlador de la matriz o vuelva a instalar

el Servicio de respuesta en línea.

2. Para los controladores de la matriz, establezca temporalmente otro miembro como

controlador de la matriz, sincronice la configuración y, a continuación, vuelva a establecer el

miembro original como controlador de la matriz. De lo contrario, vuelva a instalar el Servicio

de respuesta en línea.

Evento 0xC25D0010 - Con la configuración %1, el proveedor de revocación del Servicio de respuesta en línea generó un error al actualizar la información de CRL: %2. (Mensaje de error).

Id. de evento 16

Nombre de evento MSG_E_CRL_RETRIEVAL_FAILED

Origen del evento OnlineResponderRevocationProvider u OCSPRevInfoProvider110


Descripción El Servicio de respuesta en línea no pudo recuperar una CRL requerida para la configuración de revocación especificada.

Diagnóstico Siga estos pasos para diagnosticar el problema:

1. Use el complemento Servicio de respuesta en línea para comprobar que las direcciones

URL configuradas como puntos de distribución de CRL base y diferencia entre listas CRL

sean válidas.

a. Abra el complemento Servicio de respuesta en línea. En el árbol de la consola,

seleccione el nodo de configuración de revocación. En el panel de detalles, haga clic

con el botón secundario en la configuración de revocación especificada en la

descripción del evento y, a continuación, haga clic en Editar propiedades. Haga clic

en la ficha Proveedor de revocación y, a continuación, haga clic en Proveedor.

b. Observe las direcciones URL configuradas en las listas CRL base y Diferencia entre listas CRL. Utilice las herramientas de red para comprobar que el equipo del

Servicio de respuesta en línea tiene acceso a estas direcciones URL y que éstas

contienen los archivos CRL.

2. Use el complemento Entidad de certificación para comprobar las direcciones URL donde la

CA publicará las CRL base y las diferencias entre listas CRL.

a. Abra el complemento Entidad de certificación, haga clic con el botón secundario en

la CA correspondiente y, a continuación, haga clic en Propiedades. Haga clic en la

ficha Extensiones y fíjese en las direcciones URL indicadas para la extensión

Puntos de distribución de lista de revocación de certificados (CDP).

b. Observe las direcciones URL para las que se activaron las casillas Publicar las listas de revocación de certificados (CRL) en esta ubicación o Publicar diferencias CRL en esta ubicación. Compruebe que corresponden a las

ubicaciones de red que están configuradas como CRL base y diferencia entre listas

CRL en el complemento Servicio de respuesta en línea.

3. En el equipo donde se publica la CRL base, examine la extensión CRL más actualizada de

la CRL base. Compruebe que identifica una ubicación donde se encuentra la diferencia

entre listas CRL.

a. Si es necesario, vuelva a publicar la CRL actual, escribiendo el siguiente comando

en el símbolo del sistema:

certutil -crl


b. A continuación, compruebe que el Servicio de respuesta en línea puede obtener

acceso a la CRL. En el complemento Servicio de respuesta en línea, haga clic con el

botón secundario en Configuración de la matriz y, a continuación, haga clic en

Actualizar datos de revocación.

4. Si el error persiste, habilite Diagnóstico de CryptoAPI 2.0 para obtener más información.

Para obtener más información sobre cómo habilitar Diagnóstico de CryptoAPI 2.0 y una descripción de la información de diagnóstico de CryptoAPI, consulte Habilitación de Diagnóstico de CryptoAPI 2.0.

Resolver Según los resultados obtenidos tras los pasos de solución de problemas anteriores y la activación de Diagnóstico de CryptoAPI 2.0, asegúrese de que la CA publique las CRL correctamente y de que estén disponibles para el Servicio de respuesta en línea.

Evento 0xC25D0011 - Con la configuración %1, el proveedor de revocación del Servicio de respuesta en línea no tiene información de CRL o ésta se encuentra obsoleta.

Id. de evento 17

Nombre de evento MSG_E_INVALID_CRL

Origen del evento OnlineResponderRevocationProvider u OCSPRevInfoProvider

Descripción El Servicio de respuesta en línea no pudo recuperar la CRL requerida para la configuración de revocación especificada.

Diagnóstico Consulte el diagnóstico del evento 16 anterior.

Para obtener más información sobre cómo habilitar Diagnóstico de CryptoAPI 2.0 y una descripción de la información de diagnóstico de CryptoAPI, consulte Habilitación de Diagnóstico de CryptoAPI 2.0.


Evento 0xC25D0012 - Con la configuración %1, el proveedor de revocación del Servicio de respuesta en línea encontró una diferencia de CRL que hace referencia a un CRL base más reciente.

Id. de evento 18

Nombre de evento MSG_E_MISMATCHED_BASE_DELTA_CRL

Origen del evento OnlineResponderRevocationProvider u OCSPRevInfoProvider

Descripción Este evento indica que la diferencia entre listas CRL y las CRL base no coinciden. El Servicio de respuesta en línea descargó una diferencia entre listas CRL que contiene


http://technet.microsoft.com/es-es/library/cc770413(WS.10).aspx#BKMK_EnablingCryptoAPI2Diagnostics




actualizaciones de una CRL base que no se encuentra. No se puede usar una diferencia entre listas CRL sin la CRL base correspondiente; por lo tanto, la diferencia entre listas CRL no es válida.

Diagnóstico Este evento podría estar causado por los siguientes motivos:

La CA no pudo publicar la CRL base pero publicó la diferencia entre listas CRL

correctamente.

El Servicio de respuesta en línea no pudo recuperar la CRL base pero sí la diferencia entre

listas CRL.

Siga estos pasos para diagnosticar el problema:

1. Use el complemento Servicio de respuesta en línea para comprobar las direcciones URL de

las CRL base y las diferencias entre listas CRL. Siga los pasos descritos en el evento 16

anterior para asegurarse de que las direcciones URL de la CA y del Servicio de respuesta

en línea están configuradas correctamente para la publicación y recuperación de las CRL

base y las diferencias entre listas CRL.

2. Use el complemento Certificados para la cuenta de servicio del equipo del Servicio de

respuesta en línea para buscar la diferencia entre listas CRL actual. Compruebe el

BaseCRLNumber especificado en la extensión "Indicador de diferencia CRL" de la

diferencia entre listas CRL. Este número hace referencia al número de versión de una CRL

base publicada.

3. Si este número no coincide con el número de versión de una CRL base publicada, vuelva a

publicar las CRL base y las diferencias entre listas CRL escribiendo el siguiente comando

en la línea de comandos:

certutil –crl

4. Recupere los datos actualizados de la CRL en el Servicio de respuesta en línea. Reinicie el

Servicio de respuesta en línea en cada miembro de la matriz o, en el complemento Servicio

de respuesta en línea, haga clic con el botón secundario en Configuración de la matriz y

haga clic en Actualizar datos de revocación. A continuación, compruebe que las CRL

base y las diferencias entre listas CRL coincidan.

Nota

Si el problema continúa, habilite Diagnóstico de CryptoAPI 2.0 para diagnosticar la causa del problema. Para obtener más información, consulte Habilitación de Diagnóstico de CryptoAPI



2.0.


Mensajes del complemento Servicio de respuesta en líneaMensajes de Configuración de la matrizLos siguientes eventos están relacionados con el estado de los miembros de la matriz y se muestran en la vista Configuración de la matriz.

Mensaje Sin conexión

Descripción Si un miembro de la matriz está en un estado sin conexión, no es posible ponerse en contacto con él para recuperar las propiedades del Servicio de respuesta en línea ni la información de la configuración de revocación.



1. Asegúrese de que el equipo del miembro de la matriz está funcionando.

2. Asegúrese de que el Servicio de respuesta en línea (ocspsvc.exe) se está ejecutando en el

equipo del miembro de la matriz.

3. Compruebe la conectividad de red con el miembro de la matriz mediante la herramienta de

línea de comandos Ping.

4. Utilice la herramienta de línea de comandos Dcomcnfg para comprobar que el usuario

actual tiene los permisos adecuados en la interfaz IOCSPAdmin.

Mensaje Las propiedades del Servicio de respuesta no aparecen en el controlador de la matriz.

Descripción Este error puede ocurrir si se eliminó la configuración del Servicio de respuesta en línea del controlador de la matriz y el usuario actual no tiene los permisos necesarios para actualizar el Registro.


Resolver Un usuario con permisos para administrar el Servicio de respuesta en línea debe abrir el complemento Servicio de respuesta en línea. De este modo, el motor de sincronización podrá volver a sincronizar las propiedades y las configuraciones de revocación de la matriz.

Mensaje Las propiedades del Servicio de respuesta no están sincronizadas.

Descripción Este mensaje se muestra si un miembro de la matriz estaba sin conexión cuando se modificó una configuración de revocación o las propiedades del Servicio de respuesta en línea.





Resolver Un usuario con permisos para administrar el Servicio de respuesta en línea debe abrir el complemento Servicio de respuesta en línea. De este modo, el motor de sincronización podrá volver a sincronizar las propiedades y las configuraciones de revocación de la matriz.

Mensaje En línea

Descripción El miembro de la matriz está operativo.



Mensaje Estado desconocido

Descripción Este mensaje se muestra si el controlador de la matriz está sin conexión y no se pueden evaluar las propiedades del miembro de la matriz o la información de la configuración de revocación. Tenga en cuenta que esto no significa necesariamente que el miembro de la matriz no esté operativo.



1. Asegúrese de que el equipo del controlador de la matriz está funcionando.


equipo del controlador de la matriz.

3. Compruebe la conectividad de red con el controlador de la matriz mediante la herramienta

de línea de comandos Ping.



Mensaje El nombre de controlador de la matriz del miembro es incorrecto.

Descripción Esta situación se puede producir si se asignó un nuevo controlador de la matriz y las opciones de seguridad de toda la matriz se modificaron mientras el miembro de la matriz estaba sin conexión.


Compruebe que el usuario actual tenga permisos en la interfaz IOCSPAdmin.

Resolver Un usuario con permisos para administrar el Servicio de respuesta en línea debe abrir el complemento Servicio de respuesta en línea. De este modo, el motor de sincronización podrá


volver a sincronizar las propiedades y las configuraciones de revocación de la matriz. Haga clic con el botón secundario en Configuración de la matriz y haga clic en Sincronizar miembros con el controlador de la matriz para volver a sincronizar los datos de configuración del Servicio de respuesta en línea con todos los miembros de la matriz.

Mensaje El nombre de miembro de la matriz del miembro es incorrecto.

Descripción Esta situación se puede producir si se asignó un nuevo miembro de la matriz y las opciones de seguridad de toda la matriz se modificaron mientras el miembro de la matriz estaba sin conexión.


Compruebe que el usuario actual tenga permisos en la interfaz IOCSPAdmin.

Resolver Un usuario con permisos para administrar el Servicio de respuesta en línea debe iniciar el complemento Servicio de respuesta en línea. De este modo, el motor de sincronización podrá volver a sincronizar las propiedades y las configuraciones de revocación de la matriz. Use la opción Sincronizar miembros con el controlador de la matriz del nodo Matriz para volver a sincronizar los datos de configuración del Servicio de respuesta en línea con todos los miembros de la matriz.

Mensajes de Configuración de revocaciónLos siguientes eventos están relacionados con el estado de la configuración de revocación y se muestran en el complemento Servicio de respuesta en línea, en la vista Configuración de revocación.

Mensaje La configuración de revocación no está sincronizada con el controlador de la matriz.

Descripción Esta situación se puede producir si se modificó una configuración de revocación en el controlador de la matriz mientras el miembro de la matriz estaba sin conexión.


Resolver Sincronice la matriz mediante el complemento Servicio de respuesta en línea.

Mensaje Falta la configuración de revocación en el controlador de la matriz.

Descripción Esta situación se produce si el complemento Servicio de respuesta en línea está dirigido a un miembro de la matriz mientras el controlador de la matriz está sin conexión.



1. Asegúrese de que el equipo del controlador de la matriz está funcionando.


equipo del controlador de la matriz.


3. Compruebe la conectividad de red con el controlador de la matriz mediante la herramienta

de línea de comandos Ping.



Mensaje Falta la configuración de revocación en los miembros de la matriz.

Descripción Esta situación se produce si el complemento Servicio de respuesta en línea está dirigido al controlador de la matriz mientras el miembro de la matriz está sin conexión.


1. Asegúrese de que el equipo del miembro de la matriz está funcionando.


equipo del miembro de la matriz.

3. Compruebe la conectividad de red con el miembro de la matriz mediante la herramienta de

línea de comandos Ping.



Resolver Si el miembro de la matriz en línea y disponible, use la opción Sincronizar miembros con el controlador de la matriz del nodo Matriz para volver a sincronizar los datos de configuración del Servicio de respuesta en línea con todos los miembros de la matriz.

Mensaje En funcionamiento

Descripción El estado "En funcionamiento" indica que la configuración de revocación funciona como se esperaba.



Mensaje Certificado de firma defectuoso en el controlador de la matriz.

Descripción Este mensaje se produce cuando el Servicio de respuesta en línea encuentra un problema al buscar o cargar el certificado de firma de una configuración específica.

Diagnóstico Para obtener información detallada sobre el diagnóstico, consulte el evento 23 anterior.

Resolver Para obtener información detallada sobre la resolución, consulte el evento 23 anterior.

Mensaje Certificado de firma defectuoso en los miembros117


Descripción Este mensaje se produce cuando el Servicio de respuesta en línea encuentra un problema al buscar o cargar el certificado de firma de una configuración específica.

Diagnóstico Para obtener información detallada sobre el diagnóstico, consulte el evento 23 anterior.

Resolver Para obtener información detallada sobre la resolución, consulte el evento 23 anterior.

Mensaje El estado del certificado de firma todavía no está disponible para el controlador de la matriz.

Descripción Este mensaje indica que no hay ningún certificado de firma disponible para la configuración de revocación especificada.

Diagnóstico Este mensaje puede aparecer después de crear o cambiar el nombre de una configuración de revocación o después de cambiar las propiedades de la firma.

Resolver Actualice la información en el complemento Servicio de respuesta en línea; para ello, haga clic en Actualizar en el panel Acciones.

Mensaje El estado del certificado de firma todavía no está disponible para los miembros.

Descripción Este mensaje indica que no hay ningún certificado de firma disponible para la configuración de revocación especificada o que hay un certificado de firma disponible pero la configuración de revocación aún no lo ha detectado.

Diagnóstico Este mensaje puede aparecer después de crear o cambiar el nombre de una configuración de revocación o después de cambiar las propiedades de la firma.

Resolver Actualice la página de inicio; para ello, haga clic en Actualizar en el panel Acciones.

Mensaje El proveedor de revocación no funciona en el controlador de la matriz.

Descripción Este mensaje indica que la configuración de un proveedor de revocación es incorrecta en el controlador de la matriz.



1. Abra las propiedades del proveedor de revocación para la configuración de revocación

especificada.

2. Compruebe que todos los parámetros sean correctos y estén dentro del intervalo de valores

permitido.

Mensaje No se pudo recuperar las plantillas de firma de OCSP. %(mensajeDeError).


Descripción Este mensaje indica que el Servicio de respuesta en línea no pudo recuperar una lista de plantillas de certificado capaces de emitir certificados Firma de respuesta de OCSP. Por este motivo, el Servicio de respuesta en línea no puede inscribir un certificado de firma.


1. Compruebe que el equipo donde se ejecuta el Servicio de respuesta en línea tiene conexión

con una CA. Utilice el complemento Entidad de certificación en la CA para comprobar que

está configurada para emitir certificados basados en la plantilla Firma de respuesta de

OCSP.

2. Use el complemento Plantillas de certificado para comprobar que el equipo que ejecuta el

Servicio de respuesta en línea tiene permisos de lectura, inscripción e inscripción

automática en la plantilla Firma de respuesta de OCSP.


1. Configure la CA para que emita certificados basados en la plantilla Firma de respuesta de

OCSP.

2. Use el complemento Plantillas de certificado para conceder al equipo que ejecuta el Servicio

de respuesta en línea permisos de lectura, inscripción e inscripción automática en la plantilla

Firma de respuesta de OCSP.

Habilitación de Diagnóstico de CryptoAPI 2.0Diagnóstico de CryptoAPI 2.0 es una característica nueva de Windows Vista y Windows Server 2008 que permite solucionar más fácilmente los problemas relacionados con PKI. Registra información acerca de la creación y revocación de la cadena de certificados en el Visor de eventos con más detalle que las herramientas de solución de problemas de CryptoAPI anteriores.

Diagnóstico de CryptoAPI 2.0 registra los eventos que normalmente corresponden a las API de CryptoAPI 2.0 a las que se llama. Además de los parámetros y resultados de estas API, también registran detalles como todos los intentos de recuperación de red, los errores HTTP y los eventos de proxy. Si observa problemas relacionados con CryptoAPI 2.0 en su aplicación, use esta característica para reproducir el problema.

Puede habilitar esta característica en el Visor de eventos o mediante scripts de línea de comandos.

Para habilitar Diagnóstico de CryptoAPI 2.0 en el Visor de eventos 1. Para abrir el Visor de eventos, haga clic en Inicio, haga clic con el botón secundario en Mi

PC y, a continuación, haga clic en Administrar. El Visor de eventos se encuentra en la

ventana Administración de equipos, en Herramientas del sistema.

Nota119


El Visor de eventos es un complemento MMC y se necesitan privilegios administrativos para tener acceso a él.

2. En el Visor de eventos, vaya a Registros de aplicación, Microsoft, Windows y, a

continuación, CryptoAPI 2.0 para el canal de CryptoAPI 2.0.

3. Haga clic con el botón secundario en Operativo y, a continuación, haga clic en

Propiedades de registro.

4. Active la casilla Habilitar registro. De esta forma se habilita el registro de Diagnóstico de

CryptoAPI 2.0.

5. Para guardar el registro en un archivo, haga clic con el botón secundario en Operativo y

seleccione Guardar archivo de registro como.

Puede guardar el archivo de registro con el formato .elf (que se abrirá con el Visor de

eventos) o con el formato estándar .xml.

6. Si existen datos en los registros antes de reproducir el problema, se recomienda borrar los

registros. Esto permite recopilar de los registros guardados únicamente los datos relativos al

problema. Para borrar los registros, haga clic con el botón secundario en Operativo y

seleccione Vaciar registro.

También puede habilitar y guardar los registros mediante la herramienta wevtutil.exe.

Para habilitar Diagnóstico de CryptoAPI 2.0 mediante scripts de la línea de comandos 1. Haga clic con el botón secundario en el icono del programa del símbolo del sistema y haga

clic en Ejecutar como administrador.

2. En el símbolo del sistema, use los siguientes comandos:

Para habilitar el registro, escriba:

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

Para guardar el registro en un archivo, escriba:

wevtutil.exe epl Microsoft-Windows-CAPI2/Operational nombreDeArchivo.elf

Para deshabilitar el registro, escriba:

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false

Para borrar los registros, escriba:


wevtutil.exe cl Microsoft-Windows-CAPI2/Operational


Servicios de Certificados de Active Directory_2008 Server1

Documents

Transcript of Servicios de Certificados de Active Directory_2008 Server1