Exportar (0) Imprimir
Expandir todo

Revocar certificados y publicar listas de revocación de certificados

Actualizado: mayo de 2010

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Revocar certificados y publicar listas de revocación de certificados

Puede utilizar el complemento Entidad emisora de certificados para revocar un certificado, para administrar la publicación de la lista de revocación de certificados (CRL) y para especificar los Puntos de distribución CRL (CDP) publicados en cada certificado emitido por la entidad emisora de certificados (CA).

Revocar un certificado

Para contribuir a mantener la integridad de la infraestructura de claves públicas (PKI) de una organización, el administrador de una entidad emisora de certificados debe revocar un certificado si el sujeto del certificado deja la organización, si la clave privada del sujeto del certificado se ha comprometido, o si algún otro suceso relativo a la seguridad indica que ya no interesa que un certificado se considere "válido". Cuando una entidad emisora de certificados revoca un certificado, éste se agrega a la lista de revocación de certificados (CRL) de dicha entidad. Puede adoptar la forma de una CRL nueva o una CRL de diferencias, que es una CRL de menor tamaño que enumera los certificados revocados desde la última CRL completa.

Para obtener más información acerca de la función de la revocación de certificados y la comprobación de revocación en una infraestructura de claves públicas, vea Revocación de certificados. Para obtener información acerca de los procedimientos para revocar un certificado, vea Revocar un certificado emitido. Para obtener instrucciones acerca de cómo mostrar la lista de revocaciones de certificados actual, vea Ver la lista de revocación de certificados.

Programar la publicación de la lista de revocación de certificados (CRL)

Una de las características de los Servicios de Certificate Server es que todas las CA publican automáticamente una lista de revocaciones de certificados actualizada después de un intervalo de tiempo especificado por el administrador de la entidad emisora de certificados. Este intervalo de tiempo se conoce como el "período de publicación" de la lista de revocaciones de certificados. Una vez realizada la instalación inicial de una entidad emisora de certificados, el período de publicación de la lista de revocaciones de certificados se establece en una semana (según la hora local del equipo, a partir de la fecha en que la CA se instalara por primera vez). Puede consultar el procedimiento para cambiar el intervalo de publicación de la lista de revocación de certificados de una entidad emisora de certificados en Programar la publicación de la lista de revocación de certificados. Los períodos de publicación de CRL y CRL de diferencias pueden programarse de manera independiente.

El administrador de una entidad emisora de certificados debe saber que el período de publicación de una CRL es distinto del período de validez de una CRL. El período de validez de una CRL es el período de tiempo que un comprobador de un certificado considera que la CRL tiene autoridad. Mientras el comprobador de un certificado tenga una CRL válida en su caché local, no intentará recuperar otra CRL de la entidad emisora de certificados que la publica.

El período de publicación de una CRL lo establece el administrador de la entidad emisora de certificados. No obstante, el período de validez de la CRL se extiende desde el período de publicación para permitir la replicación de Active Directory. De forma predeterminada, los Servicios de Certificate Server extienden el período de publicación un 10% (hasta un máximo de 12 horas) para establecer el período de validez. De este modo, por ejemplo, si una entidad emisora de certificados publica una CRL cada 24 horas, el período de validez se establece en 26,4 horas.

Además, existe una desfase de reloj de 10 minutos más que se agregan al período de validez en cualquier extremo del período de publicación, por lo que una CRL será válida 10 minutos antes del inicio de su período de publicación para admitir cualquier variación en la configuración del reloj del equipo.

Existen entradas del Registro que permiten a un administrador controlar la variación entre el período de publicación y el período de validez para una replicación de directorio más lenta. Para obtener información acerca de estas entradas del Registro, vea Kits de recursos e implementación de Microsoft Windows.

Cuando se determina la programación para la publicación de la CRL, existe una relación entre el rendimiento y la seguridad. Cuanta mayor es la frecuencia de publicación de las CRL, más actualizados están los clientes con la lista de CRL revocadas y menor es la posibilidad de que acepten certificados revocados recientemente. No obstante, una publicación frecuente puede tener resultados negativos en el rendimiento de la red y del cliente. Para ayudar a reducir esta carga, pueden utilizarse CRL de diferencias si el entorno las admite.

Usar listas de revocación de certificados de diferencias

Las CRL pueden llegar a ser muy largas en entidades emisoras de certificados grandes que experimentan importantes cifras de revocación de certificados. Esto puede convertirse en una carga para los clientes que las descargan con frecuencia. Para ayudar a reducir las descargas frecuentes de CRL largas, pueden publicarse CRL de diferencias. De este modo, el cliente puede descargar la CRL de diferencias más actualizada y combinarla con la CRL de base más reciente para obtener una lista completa de los certificados revocados. Dado que el cliente suele tener la CRL almacenada localmente en la caché, el uso de las CRL de diferencias puede mejorar notablemente el rendimiento.

Para utilizar las CRL de diferencias, la aplicación de cliente deberá conocer la existencia de las CRL de diferencias y utilizarlas explícitamente para la comprobación de revocaciones. Si el cliente no utiliza CRL de diferencias, recuperará la CRL de la entidad emisora de certificados cada vez que actualice su caché, independientemente de si existe una CRL de diferencias o no. Por este motivo, debería comprobar que las aplicaciones en cuestión utilizan las CRL de diferencias y configurar la entidad emisora de certificados del modo apropiado. Si los clientes no admiten el uso de CRL de diferencias, no debería configurar la entidad emisora de certificados para que publique CRL de diferencias o debería configurarla de manera que las CRL y las CRL de diferencias se publiquen en el mismo intervalo. Esto permitiría que las aplicaciones futuras que admitan CRL de diferencias puedan utilizarlas, a la vez que proporciona CRL actuales a todas las aplicaciones. Observe que todas las aplicaciones que utilizan CryptoAPI en Windows XP y en la familia Windows Server 2003 emplean CRL de diferencias.

Publicar una lista de revocaciones de certificados antes del siguiente período de publicación programado

También puede publicar una CRL previa petición en cualquier momento; por ejemplo, cuando un certificado valioso vea comprometida su seguridad. Si elige publicar una CRL fuera del programa establecido se restablece el período de publicación programado para iniciarse en ese momento. En otras palabras, si publica manualmente una CRL en medio de un período de publicación programado, el período de publicación de la CRL se reinicia.

Conviene tener en cuenta que los clientes que poseen una copia en caché de la CRL anteriormente publicada seguirán utilizándola hasta que caduque su período de validez, aunque se publique una CRL nueva. La publicación manual de una CRL no afecta a las copias en caché de las listas de revocaciones de certificados que permanecen válidas, simplemente ponen una CRL a disposición de los sistemas que no tienen una copia en caché de una CRL válida.

Para obtener información acerca de los procedimientos para forzar la publicación inmediata de una CRL o CRL de diferencias, vea Publicar manualmente la lista de revocación de certificados.

Puntos de distribución CRL y el nombre de archivo de la lista de revocaciones de certificados

Todos los certificados emitidos por una entidad emisora de certificados de Microsoft tienen puntos de distribución CRL que forman parte de su contenido. Un punto de distribución CRL indica a un comprobador de certificados la ubicación en la red donde puede recuperar la copia actual de la lista de revocaciones de certificados o de la lista de revocaciones de certificados de diferencias. Para obtener información acerca de los procedimientos para asignar los puntos de distribución de la lista de revocación de certificados, vea Especificar puntos de distribución de la lista de revocaciones de certificados en certificados emitidos.

De forma predeterminada, los archivos de lista de revocaciones de certificados y de lista de revocaciones de certificados de diferencias se publican en la entidad emisora de certificados en la siguiente ubicación:

raízDelSistema\System32\Certsrv\Certenroll

El formato del nombre de archivo de la lista de revocaciones de certificados es el "nombre limpio" de la entidad emisora de certificados, seguido (entre paréntesis) del "Id. de clave" de la CA (si el certificado de la CA se ha renovado con una clave nueva) y una extensión .crl. Consulte la tabla para ver algunos ejemplos de nombres de archivo CRL basados en historiales de renovación de ejemplos de una entidad emisora de certificados:

 

Caso Nombre del archivo CRL

Entidad emisora de certificados denominada "MiCA" a la que jamás se renovó su certificado de CA

mica.crl

Entidad emisora de certificados denominada "MiCA" que se renovó una vez con la misma clave

mica.crl

Lista de revocaciones de certificados de diferencias para una entidad emisora de certificados denominada "MiCA" que se renovó una vez con la misma clave

mica+.crl

Entidad emisora de certificados denominada "MiCA" que se renovó una vez con una clave nueva

mica(1).crl

Entidad emisora de certificados denominada "MiCA" que se renovó dos veces con una clave nueva

mica(2).crl

Para obtener más información acerca del "nombre limpio" de una entidad emisora de certificados, vea Instalar y configurar una entidad emisora de certificados.

Para obtener más información acerca de la renovación de una entidad emisora de certificados, vea Renovar una entidad emisora de certificados.

Habilitar la comprobación de revocaciones basada en Web y compatible con Netscape

Para permitir que las extensiones de comprobación de revocaciones basada en Web y compatible con Netscape se puedan agregar a todos los certificados, ejecute el siguiente comando certutil desde el símbolo del sistema en la entidad emisora de certificados:

certutil -SetReg Policy\RevocationType +AspEnable

A continuación, detenga e inicie el servicio Entidad emisora de certificados. Los certificados emitidos por la entidad emisora de certificados después de su reinicio incluirán la extensión.

Importante

  • Como los clientes que emplean este tipo de comprobación de revocaciones tendrán acceso a la entidad emisora de certificados a través de páginas Web, los Servicios de Internet Information Server deberán tener acceso para leer la información de revocación de la entidad emisora de certificados. Si IIS no posee al menos acceso de sólo lectura a la entidad emisora de certificados, la entidad emisora de certificados rechaza el acceso y la información de revocación no se encontrará disponible.

Para obtener más información acerca del comando certutil, vea Certutil.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

Mostrar:
© 2014 Microsoft