Exportar (0) Imprimir
Expandir todo

Novedades en AD CS

Publicada: marzo de 2012

Actualizado: diciembre de 2012

Se aplica a: Windows Server 2012

Servicios de certificados de Active Directory (AD CS) de Windows Server® 2012 proporciona varias características y capacidades nuevas con respecto a las versiones anteriores. En este documento se describen nuevas características de implementación, administración y capacidades agregadas a AD CS en Windows Server 2012.

Los Servicios de certificados de Active Directory (AD CS) proporcionan servicios personalizables para emitir y administrar certificados de infraestructura de clave pública (PKI) usados en sistemas de seguridad de software que emplean tecnologías de clave pública. El rol de servidor de AD CS incluye seis servicios de rol:

  • Entidad de certificación (CA)

  • Inscripción web

  • Servicio de respuesta en línea

  • Servicio de inscripción de dispositivos de red

  • Servicio web de directivas de inscripción de certificados

  • Servicio web de inscripción de certificados

Para obtener información general sobre AD CS, consulte Servicios de certificados de Active Directory (AD CS).

Existen varias funcionalidades nuevas disponibles en la versión Windows Server 2012 de AD CS. Incluyen:

  • Integración con el Administrador del servidor

  • Funcionalidades de administración e implementación desde Windows PowerShell®

  • Todos los servicios de roles de AD CS se ejecutan en cualquier versión de Windows Server 2012

  • Todos los servicios de rol de AD CS pueden instalarse y ejecutarse en Server Core.

  • Compatibilidad con la renovación automática para equipos unidos que no sean del dominio

  • Aplicación de la renovación de certificados con la misma clave

  • Compatibilidad con nombres de dominio internacionalizados

  • Mayor seguridad habilitada de manera predeterminada en el servicio de rol Entidad de certificación

  • Reconocimiento de sitios de AD DS para AD CS y clientes PKI

El Administrador del servidor proporciona una interfaz gráfica de usuario centralizada para instalar y administrar el rol de servidor de AD CS y sus seis servicios de rol.

¿Qué valor aporta este cambio?

El rol de servidor de AD CS y sus servicios de roles están integrados en el Administrador del servidor, lo que permite instalar el servicio de roles de AD CS desde el menú Administrar mediante el uso de Agregar roles y características. Una vez agregado el rol de servidor, aparece AD CS en el panel Administrador del servidor como uno de los roles que se pueden administrar. Esto proporciona una ubicación central desde la que se pueden implementar y administrar AD CS y sus servicios de rol. Además, el nuevo Administrador del servidor permite administrar varios servidores desde una ubicación y ver los servicios de rol de AD CS instalados en cada servidor, revisar eventos relacionados y llevar a cabo tareas de administración en cada servidor. Para obtener más información sobre cómo funciona el nuevo Administrador del servidor, consulte Administración de varios servidores remotos con el Administrador del servidor.

¿Qué funciona de manera diferente?

Para agregar el rol de servidor de AD CS puede usar el vínculo Agregar roles y características del menú Administrar en el Administrador del servidor. El flujo de instalación de AD CS es similar al de la versión anterior, con la excepción de la separación del proceso de instalación de archivos binarios y el proceso de configuración. Anteriormente la instalación y la configuración se realizaban mediante un solo asistente. En la nueva experiencia de instalación, primero se instalan los archivos binarios y después se puede iniciar el Asistente para configuración de AD CS para configurar los servicios de rol cuyos archivos binarios ya se han instalado. Para quitar el rol de servidor de AD CS, puede usar el vínculo Quitar roles y funciones del menú Administrar.

Mediante el uso de los cmdlets de implementación de AD CS de Windows PowerShell®, pueden configurarse todos los servicios de roles de AD CS o pueden quitarse sus configuraciones. Estos nuevos cmdlets de implementación se describen en el tema de introducción a los cmdlets de implementación de AD CS. El cmdlet de administración de AD CS permite administrar el servicio de rol Entidad de certificación. Estos nuevos cmdlets de implementación se describen en el tema de introducción a los cmdlets de administración de AD CS.

¿Qué valor aporta este cambio?

Puede usar Windows PowerShell para generar scripts en implementaciones de cualquier servicio de rol de AD CS así como la capacidad de administrar el servicio de rol de CA.

¿Qué funciona de manera diferente?

Puede usar el Administrador del servidor o cmdlets de Windows PowerShell para implementar los servicios de rol de AD CS.

Todas las versiones de Windows Server 2012 permiten instalar todos los servicios de roles de AD CS.

¿Qué valor aporta este cambio?

A diferencia de las versiones anteriores, puede instalar roles de AD CS en cualquier versión de Windows Server 2012.

¿Qué funciona de manera diferente?

En Sistema operativo Windows Server® 2008 R2, los diferentes servicios de roles (anteriormente denominados componentes) tenían diferentes requisitos de versiones de sistema operativo, como se describe en Introducción a los Servicios de certificados de Active Directory. En Windows Server 2012, todos los seis servicios de roles funcionan como lo harían en cualquier versión de Windows Server 2012. La única diferencia es que encontrará AD CS con todos los seis servicios de roles disponibles para instalación en cualquier versión de Windows Server 2012.

Los seis servicios de roles de AD CS de Windows Server 2012 pueden instalarse y ejecutarse en instalaciones Server Core de Windows Server 2012 o las opciones de instalación de la interfaz de servidor básica.

¿Qué valor aporta este cambio?

A diferencia de las versiones anteriores, ahora puede ejecutar todos los servicios de roles de AD CS en las opciones de instalación de la interfaz de servidor básica o Server Core en Windows Server 2012.

¿Qué funciona de manera diferente?

Ahora puede implementar con facilidad los servicios de roles de AD CS usando el Administrador del servidor o cmdlets de Windows PowerShell operativos localmente en el equipo o remotamente a través de la red. Además, Windows Server 2012 proporciona múltiples opciones de instalación que incluso permiten instalar con una interfaz de usuario gráfica y después cambiar a la instalación de la interfaz de servidor básica o Server Core. Para obtener más información sobre las opciones de instalación, consulte Opciones de instalación de Windows Server.

Los Servicios web de inscripción de certificados es una característica que se agregó en Windows® 7 y Windows Server 2008 R2. Esta característica permite que las solicitudes de certificados en línea provengan de dominios de Servicios de dominio de Active Directory (AD DS) que no sean de confianza o incluso de equipos que no estén unidos a un dominio. AD CS en Windows Server 2012 aprovecha los Servicios web de inscripción de certificados agregando la capacidad de renovar certificados automáticamente para los equipos que son parte de dominios de AD DS que no son de confianza o no están unidos a un dominio.

¿Qué valor aporta este cambio?

Los administradores ya no tienen que renovar certificados manualmente para equipos que son miembros de grupos de trabajo o que pueden haberse unido a un dominio o bosque de AD DS distinto.

¿Qué funciona de manera diferente?

Los Servicios web de inscripción de certificados siguen funcionando como antes, pero ahora los equipos que estén fuera del dominio pueden renovar sus certificados con su certificado para autenticación.

Encontrará más información en el tema sobre la renovación basada en claves. Existen además dos guías del laboratorio de pruebas en las que se explica el uso de esta renovación basada en claves:

  1. Guía del laboratorio de pruebas: Demostrar la renovación de certificados basada en claves

  2. Minimódulo de guía de laboratorio de pruebas: Inscripción de certificados entre bosques con los servicios web de inscripción de certificados

AD CS en Windows Server 2012 presenta plantillas de certificado de la versión 4. Estas plantillas presentan varias diferencias con respecto a las versiones anteriores. Las plantillas de certificado de la versión 4:

  • admiten proveedores de servicios de cifrado (CSP) y proveedores de servicios de claves (KSP).

  • se pueden configurar para requerir la renovación con la misma clave.

  • solamente están disponibles para su uso por parte de Windows® 8 y Windows Server 2012.

  • especifican los requisitos mínimos de entidad de certificación y sistemas operativos de cliente de certificados que puede usar la plantilla.

Para ayudar a los administradores a separar qué características admite qué versión de sistema operativo, se agregó la pestaña Compatibilidad a la pestaña de propiedades de plantilla de certificado.

¿Qué valor aporta este cambio?

Las nuevas plantillas de certificado de la versión 4 proporcionan funcionalidades adicionales, como exigir la renovación con la misma clave (disponible solamente para clientes de certificado de Windows 8 y Windows Server 2012). La nueva pestaña Compatibilidad permite que los administradores establezcan diferentes combinaciones de versiones de sistemas operativos para la autoridad de certificación y los clientes de certificado, y vean solamente los parámetros de configuración que funcionarán con esas versiones del cliente.

¿Qué funciona de manera diferente?

La pestaña Compatibilidad aparece en la interfaz de usuario de propiedades de la plantilla de certificado. Esta pestaña permite seleccionar la configuración mínima de entidad de certificación y versiones de sistema operativo de cliente de certificados. La configuración de la pestaña Compatibilidad realiza un par de acciones:

  • Marca opciones como no disponibles en las propiedades de la plantilla de certificado, en función de las versiones de sistema operativo seleccionadas de cliente de certificados y entidad de certificación.

  • Para las plantillas de la versión 4, determina las versiones de sistema operativo que pueden usar la plantilla.

Los clientes anteriores a Windows 8 y Windows Server 2012 no podrán aprovechar las nuevas plantillas de la versión 4.

noteNota
Existe una instrucción en la pestaña Compatibilidad que reza Estas opciones no impedirán que los sistemas operativos anteriores usen esta plantilla. Esta declaración significa que la configuración de compatibilidad no tiene ningún efecto de restricción en plantillas de las versiones 1, 2 y 3, por lo que la inscripción se puede realizar igual que antes. Por ejemplo, en la pestaña Compatibilidad, si la versión de sistema operativo cliente mínima se configura como Windows® Vista en una plantilla de la versión 2, todavía puede inscribirse un cliente de certificado de Windows® XP para un certificado que use la plantilla de la versión 2.

Para obtener más información sobre esto cambios, consulte el tema sobre las opciones y versiones de plantillas de certificado.

AD CS en Windows Server 2012 aumenta la seguridad exigiendo la renovación de un certificado con la misma clave. Esto permite mantener el nivel de seguridad de la clave original durante todo su ciclo de vida. Windows Server 2012 admite la generación de claves protegidas mediante el módulo de plataforma segura (TPM) mediante el uso de proveedores de almacenamiento de claves (KSP) basados en TPM. La ventaja de usar KSP basados en TPM es la auténtica imposibilidad de exportar claves respaldada por el mecanismo de protección contra ataques de repetición (hammering) de los TPM. Los administradores pueden configurar plantillas de certificado para que Windows 8 y Windows Server 2012 les proporcionen prioridad más alta a los KSP basados en TPM para generar claves. Además, al usar la renovación con la misma clave, los administradores pueden estar seguros de que la clave permanecerá en el TPM tras la renovación.

noteNota
Si se introduce un número de identificación personal (PIN) incorrecto demasiadas veces, se activa la lógica de protección contra ataques de repetición del TPM. La lógica de protección contra ataques de repetición está integrada por métodos de software o hardware que aumenta la dificultad y el costo de un ataque de fuerza bruta a un PIN al rechazar los nuevos intentos de especificar el PIN hasta que haya transcurrido un tiempo determinado.

¿Qué valor aporta este cambio?

Esta característica permite a un administrador aplicar la renovación con la misma clave, lo que reduce el esfuerzo de administración (cuando las claves se renuevan automáticamente) y aumenta la seguridad de las claves (cuando las claves se almacenan mediante KSP basados en TPM).

¿Qué funciona de manera diferente?

Los clientes que reciben certificados de plantillas que están configuradas para la renovación con la misma clave deben renovar sus certificados con la misma clave, o no se podrá realizar la renovación. Además, esta opción está disponible solamente para clientes de certificados de Windows 8 y Windows Server 2012.

noteNota
  1. Para obtener más información, consulte la sección sobre renovación de certificados con la misma clave.

  2. Si la opción Renew with the same key está habilitada en una plantilla de certificado y, posteriormente, se habilita también el archivo de claves (Archive subject's encryption private key), puede que algunos certificados renovados no se archiven. Para obtener más información sobre esta situación y cómo solucionarla, consulte la sección sobre el archivo de claves y la renovación con la misma clave.

Para obtener más información, consulte la sección sobre renovación de certificados con la misma clave. Si Renovar con la misma clave está habilitada en una plantilla de certificado y, posteriormente, se habilita también el archivo de claves (Archivar clave privada de cifrado de firmante), los certificados renovados no se archivarán. Para obtener más información sobre esta situación y cómo solucionarla, consulte la sección sobre el archivo de claves y la renovación con la misma clave.

Los nombres internacionalizados son nombres que contienen caracteres que no se pueden representar en ASCII. AD CS en Windows Server 2012 admite nombres de dominio internacionalizados (IDN) en diversos escenarios.

¿Qué valor aporta este cambio?

Ahora se admiten los siguientes escenarios de IDN:

  • Inscripción de certificados para equipos que usan IDN

  • Generar y enviar una solicitud de certificado con un IDN mediante la herramienta de línea de comandos certreq.exe

  • Publicar listas de revocación de certificados (CRL) y el Protocolo de estado de certificados en línea (OCSP) en servidores que usan IDN

  • La interfaz de usuario de certificados admite IDN

  • El complemento MMC de certificados también permite IDN en Propiedades de certificado

¿Qué funciona de manera diferente?

Existe compatibilidad limitada para IDN como se indicó previamente.

Cuando una autoridad de certificación (CA) recibe una solicitud de certificado, la CA puede forzar el cifrado para la solicitud a través de RPC_C_AUTHN_LEVEL_PKT, según se describe en el artículo de MSDN sobre las constantes de nivel de autenticación (http://msdn.microsoft.com/library/aa373553.aspx). En Windows Server 2008 R2 y versiones anteriores, esta configuración no está habilitada de manera predeterminada en la CA. En una CA de Windows Server 2012, esta configuración de seguridad mejorada está habilitada de manera predeterminada.

¿Qué valor aporta este cambio?

La CA fuerza el aumento de seguridad de las solicitudes que se le envían. Este nivel de seguridad más alto requiere que los paquetes que solicitan un certificado estén cifrados, de forma que no se puedan interceptar y leer. Si esta configuración no estuviera habilitada, cualquiera con acceso a la red podría leer paquetes enviados a (o recibidos de) la CA mediante un analizador de red. Esto significa que la exposición de determinada información, como los nombres de usuarios o equipos solicitantes, los tipos de certificados para los que se van a inscribir, las claves públicas implicadas, etc. podría considerarse una infracción de privacidad En un bosque o un dominio, una fuga de datos así no supondrá un motivo de preocupación para la mayoría de las organizaciones. Sin embargo, si los atacantes tuvieran acceso al tráfico de red, podrían obtener información interna sobre la estructura y la actividad de la empresa, y usarla para ataques dedicados de ingeniería social o suplantación de identidad (phishing).

Los comandos para habilitar el nivel de seguridad mejorada de RPC_C_AUTHN_LEVEL_PKT en autoridades de certificación de Windows Server®  2003, Windows Server®  2003 R2, Windows Server®  2008 o Windows Server 2008 R2 son:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Reiniciar la autoridad de certificación
net stop certsvc
net start certsvc

Si aún dispone de equipos cliente con Windows XP que tiene que solicitar certificados a una CA para la que está habilitada esta configuración, tiene dos opciones:

  1. Actualizar los clientes de Windows XP a un sistema operativo más reciente.

  2. Reducir la seguridad de la CA con los siguientes comandos:

    1. certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

    2. net stop certsvc

    3. net start certsvc

¿Qué funciona de manera diferente?

Los clientes de Windows XP no serán compatibles con esta configuración de seguridad de nivel más alto habilitada de manera predeterminada en un CA de Windows Server 2012. Si es necesario, puede reducir la configuración de seguridad de la manera antes descrita.

Los servicios de certificados en Windows 8 y Windows Server 2012 se pueden configurar de forma que utilicen sitios de Servicios de dominio de Active Directory (AD DS) para optimizar las solicitudes de cliente de servicios de certificados. Esta funcionalidad no está habilitada de forma predeterminada en los equipos cliente de entidad de certificación (CA) o de infraestructura de clave pública (PKI).

noteNota
Para obtener más información sobre cómo habilitar el reconocimiento de sitios de AD DS, consulte el artículo Wiki de TechNet sobre reconocimiento de sitios de AD DS para AD CS y clientes PKI.

¿Qué valor aporta este cambio?

Con este cambio, los clientes de certificado de Windows 8 y Windows Server 2012 podrán encontrar una entidad de certificación en su sitio de AD DS local.

¿Qué funciona de manera diferente?

Al inscribirse para un certificado basado en una plantilla, el cliente realizar una consulta a AD DS relativa a dicha plantilla y a los objetos de CA. Después, el cliente usa la llamada de función DsGetSiteName para obtener su propio nombre de sitio. En el caso de las CA que tengan el atributo msPKI-Site-Name ya definido, el cliente de servicios de certificados averigua el coste de vínculo de sitio de AD DS del sitio de cliente para cada sitio de CA de destino. Para ello, usa una llamada de función DsQuerySitesByCost. El cliente de servicios de certificado emplea los costes de sitio devueltos para priorizar qué CA van a conceder el permiso de inscripción al cliente y dar soporte para la plantilla de certificado en cuestión. Los CA de coste más elevado serán los últimos con los que se intente establecer contacto, y únicamente si los CA anteriores no están disponibles.

noteNota
Puede que un CA no devuelva ningún coste de sitio si no tiene definido el atributo msPKI-Site-Name. Si no hay ningún coste de disponible para un CA en concreto, se le asignará el coste más elevado posible.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

Mostrar:
© 2014 Microsoft