Establecer una jerarquía de certificados

El primer paso para establecer una jerarquía de certificados es que un administrador de dominio instale una entidad emisora de certificados (CA) raíz.

El proceso de instalación de una entidad raíz de Servicios de Certificate Server genera un certificado de una CA raíz con la clave pública y la firma digital de las entidades emisoras de certificados, creadas con la clave privada de la raíz. Si la entidad raíz se instaló mediante Servicios de Certificate Server en un servidor con acceso al servicio de directorio Active Directory, el certificado de la entidad raíz se colocará automáticamente en el almacén de certificados Entidades emisoras de certificados raíz de confianza de todos los usuarios, con lo que se establece confianza en todo el dominio en la entidad emisora de certificados raíz.

Si la organización utiliza una entidad emisora de certificados que no es de Microsoft fuera de la organización como entidad raíz, necesitará obtener el certificado raíz y distribuirlo a cualquier usuario y equipo que necesite establecer una relación de confianza con la entidad raíz. Una forma de distribuir este tipo de certificado raíz a los usuarios de Windows XP y de la familia Windows Server 2003 es utilizar una lista de certificados de confianza (CTL) mediante Directiva de grupo. Para obtener más información acerca de cómo distribuir certificados raíz de terceros mediante Directiva de grupo, vea Directiva de confianza de la empresa.

Si la organización utiliza su propia entidad emisora de certificados (CA) que no es de Microsoft como entidad raíz, tendrá que obtener el certificado raíz y distribuirlo a cualquier usuario y equipo que necesite establecer una relación de confianza con la entidad raíz de la CA. Una forma de distribuir un certificado raíz a los usuarios de Windows XP y de la familia Windows Server 2003 es utilizar una configuración de directiva de Entidades emisoras de certificados raíz de confianza mediante Directiva de grupo. Para obtener más información acerca de cómo distribuir certificados raíz que no son de Microsoft utilizando Directiva de grupo, vea Directivas para establecer la confianza de las entidades emisoras de certificados raíz.

Una vez establecida la confianza en una entidad raíz, puede instalar entidades emisoras de certificados (CA) que sean subordinadas a la entidad emisora de certificados raíz, así como entidades emisoras de certificados subordinadas que estén subordinadas a otras entidades emisoras de certificados subordinadas. Con esta operación, puede crear una cadena de relaciones principal-secundario entre las entidades emisoras de certificados que realizan distintas funciones en la infraestructura de claves públicas (PKI) de una organización. La única diferencia apreciable en el proceso de instalación entre una entidad emisora de certificados raíz y una entidad emisora de certificados subordinada es que la entidad emisora de certificados subordinada genera una solicitud de certificado para enviarla a otra entidad emisora de certificados en lugar de crear un certificado autofirmado. Esta solicitud puede enrutarse automáticamente a entidades emisoras de certificados en línea a través de Active Directory o manualmente, si están desconectadas. En ambos casos, el certificado resultante debe instalarse en la nueva entidad emisora de certificados subordinada para iniciar la operación.

Observe que existe una relación entre las entidades emisoras de certificados de empresa y el modelo de confianza de dominio de la familia Windows Server 2003, aunque ello no implica asignaciones directas entre las relaciones de confianza de entidades emisoras de certificados y las relaciones de confianza entre dominios. Nada impide que una misma CA pueda prestar servicio a entidades de varios dominios o incluso a entidades fuera del límite de los dominios. De igual modo, un determinado dominio puede tener varias entidades emisoras de certificados de empresa y raíz.

Para obtener una breve introducción a las jerarquías de certificados, vea Jerarquías de entidades emisoras de certificados.

Para obtener información detallada acerca de cómo planear las jerarquías de certificados, vea Kits de recursos e implementación de Microsoft Windows.