Seguridad
Una eficaz herramienta nueva para la administración de certificados
Kevin Dallmann
Resumen:
- Arquitectura de ILM-CM
- Administración y plantillas
- Creación de un flujo de trabajo
Es un día tranquilo en el trabajo cuando, de repente, recibe una llamada del equipo de soporte técnico: caducó un certificado en uno de los sistemas de producción. Ahora el sistema no funciona y la compañía perderá productividad (y dinero) hasta que se renueva el certificado.
Si usted es el responsable de administrar un entorno de infraestructura de claves públicas (PKI), estoy seguro de que le habrá sorprendido que un certificado haya caducado inesperadamente. El día tranquilo ya no es más que un sueño.
Cuando Microsoft agregó los servicios PKI a Windows® 2000 y Windows Server® 2003, era una manera económica y buena mediante la que las compañías podían implementar su propio entorno PKI interno. Lamentablemente, los servicios PKI de Microsoft® no tenían la capacidad para administrar el ciclo de vida de los certificados generados. Sin embargo, Microsoft adquirió recientemente un producto de administración de certificados y lanzó Identity Lifecycle Manager (ILM), que combinaba la administración de certificados con las características de aprovisionamiento y control de identidades de Microsoft® Identity Integration Server (MIIS). Este artículo tratará sobre cómo ILM le puede ayudar a administrar certificados y tarjetas inteligentes en su organización.
Arquitectura de ILM-CM
El núcleo de la arquitectura de la administración de certificados ILM (ILM-CM) es el servidor ILM-CM y los componentes relacionados (consulte la figura 1). El servidor ILM-CM se puede instalar en un solo servidor configurado para interactuar con una o varias entidades emisoras de certificados (CA). ILM-CM requiere SQL Server™, que almacena información acerca del certificado, directivas y otros datos relacionados que se usan para administrar el entorno de certificados. Para administrar los permisos de usuarios y seguridad, el servidor ILM-CM también requiere Active Directory®. Consulte la figura 2 para conocer los componentes y las versiones necesarios.
Figure 2 Compatibilidad de la infraestructura de ILM-CM
| Componentes | Versiones |
| Active Directory | Windows Server 2003 |
| Servidor de base de datos | SQL Server 2000 SP3 o superior o SQL Server 2005 |
| Entidad emisora de certificados | Windows Server 2003 Enterprise Edition o Data Center Edition |
| SMTP | Servidor SMTP |
Figura 1** Arquitectura de ILM-CM **
Cuando el entorno de ILM-CM esté completamente instalado, todas las solicitudes de certificados se comunicarán al servidor ILM-CM. El servidor ILM-CM se encarga de almacenar toda la información relacionada con el certificado en la base de datos de SQL Server, que se puede usar para crear informes adicionales de certificados, enviar avisos y mantener un entorno de flujo de trabajo.
La arquitectura del software de ILM-CM consta fundamentalmente de tres partes de alto nivel: el servidor ILM-CM, complementos de CA y componentes de cliente. El software del servidor se puede instalar y ejecutar en una entidad emisora de certificados o en un servidor que se use principalmente para ILM-CM. A continuación, el servidor ILM-CM se comunica con las CA, con la base de datos de SQL Server y con Active Directory. El servidor también ofrece un portal web que los administradores de certificados pueden usar para configurar las directivas y los flujos de trabajo de certificados, así como para que los suscriptores de certificados soliciten y renueven sus certificados de software.
Para que la CA se comunique con el servidor ILM-CM, deben instalarse y configurarse los módulos de salida y directiva de ILM-CM en todas las CA que desee administrar. Estos dos módulos se usan para registrar información de certificados en la base de datos. Cuando una CA emite un certificado, el módulo de salida se encarga de enviar esa información al servidor ILM-CM, que, a su vez, registra la información acerca del certificado en la base de datos.
Si prevé administrar tarjetas inteligentes en su entorno, deberá instalar el software de cliente de tarjeta inteligente de ILM-CM. Este software debe instalarse en todos los equipos cliente que vayan a interactuar con el servidor ILM-CM.
Instalación de ILM-CM
La instalación del servidor ILM-CM es bastante sencilla, un asistente le guiará por el proceso. Pero, antes de ejecutar el asistente, deberá realizar unas cuantas funciones de preinstalación.
La primera cosa que requiere ILM-CM es Active Directory y una ampliación del esquema de ILM-CM. La ampliación del esquema agrega algunos atributos de seguridad adicionales de Microsoft .NET Framework que ILM-CM necesita para implementar las plantillas de perfil.
También deberá instalar .NET Framework 2.0 y los componentes mencionados anteriormente (SQL Server, CA y el servidor SMTP). Si va a instalar ILM-CM en un servidor separado de la CA, deberá instalar los módulos de ILM-CM en las CA ejecutando el asistente de instalación de ILM-CM en las CA. Cuando la instalación haya finalizado, debería poder conectarse al portal de ILM-CM especificando en el explorador la dirección http://hostname/CLM.
Para habilitar la notificación de caducidad/renovación de certificados, configure el servicio de ILM-CM en el servidor ILM-CM. Empiece por crear una cuenta apropiada en Active Directory. Entre en los servicios de ILM-CM y agregue esa cuenta como cuenta de inicio de sesión. A continuación, agregue ese usuario a los administradores locales y al grupo IIS_WPG en el servidor ILM-CM, así como a "Actuar como parte del sistema operativo, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso" mediante directivas de grupo. Cuando haya configurado el servicio de ILM-CM, el servidor ILM-CM podrá buscar en la base de datos de SQL Server los certificados caducados y enviar notificaciones por correo electrónico a los propietarios o administradores de los certificados.
Administración de ILM-CM
ILM-CM se administra a través de una interfaz web que se divide en áreas funcionales relacionadas con tareas de administración de usuarios, certificados y tarjetas inteligentes. Cuando se conecta al portal de ILM-CM con los privilegios administrativos apropiados, se muestran varias tareas administrativas que le permiten administrar el entorno de ILM-CM (consulte la figura 3). La sección de tareas comunes ofrece opciones de administración, tales como inscribir a los usuarios a un nuevo conjunto de certificados o una tarjeta inteligente. También puede administrar y aprobar solicitudes.
Figura 3** Tareas del portal de administración de ILM-CM **(Hacer clic en la imagen para ampliarla)
Si necesita localizar usuarios o certificados, use el área de tareas para administrar usuarios y certificados. Estas tareas le permiten buscar, recuperar, revocar o renovar certificados. También puede buscar una lista de revocación.
Si su organización usa tarjetas inteligentes, le será de utilidad la sección para administrar tarjetas inteligentes de usuario. Si, por ejemplo, un usuario ha bloqueado su tarjeta, el administrador de certificados puede desbloquear la tarjeta aquí. También puede buscar y ver tarjetas inteligentes en el lector de tarjetas local.
El área de solicitudes de la interfaz permite a los administradores de certificados revisar y aprobar las solicitudes de certificado de usuario. Por ejemplo, podría ver todos los certificados que se incluyen en una solicitud de estado pendiente. En el área de administración puede crear y administrar plantillas de perfil. Por último, el área de informes se usa, como se imaginará, para desarrollar y crear informes relacionados con usuarios y certificados.
Al autenticarse en el portal de ILM-CM, si su cuenta no tiene privilegios administrativos, se le dirigirá a una página de suscriptor que ofrece funciones de administración sin intervención del administrador para los usuarios de certificados (consulte la figura 4). Desde este portal, los usuarios pueden ver y administrar sus certificados y tarjetas inteligentes de acuerdo con su configuración de directivas. Algunos ejemplos de tareas comunes son solicitar certificados o una tarjeta inteligente, revisar los certificados existentes y cambiar los códigos PIN de tarjetas inteligentes.
Figura 4** Página del portal del suscriptor para la autoadministración del usuario **(Hacer clic en la imagen para ampliarla)
Para cualquier organización, poder ofrecer un proceso de flujo de trabajo delegado y de alta calidad para emitir, renovar, reemplazar y revocar certificados o tarjetas inteligentes puede suponer un desafío. Ahora, con ILM-CM tiene la posibilidad de delegar estas tareas para ofrecer una mayor garantía de seguridad. Supongamos que tiene un usuario que ha olvidado el código PIN de su tarjeta inteligente. Gracias al modelo de flujo de trabajo delegado, el usuario podría llamar a la línea de soporte técnico y el personal de soporte técnico le realizaría unas cuantas preguntas de verificación. Si el usuario responde a las preguntas correctamente, el personal de soporte técnico podría desbloquear la tarjeta inteligente del usuario. Otro ejemplo de flujo de trabajo delegado sería la recuperación de un certificado EFS (sistema de archivos cifrado) de usuario en caso de eliminación accidental o extravío de un equipo portátil.
Plantillas de perfil
Una plantilla de perfil es el componente fundamental que habilita un proceso completo de administración de flujos de trabajo para ILM-CM. Una plantilla de perfil se considera como un solo objeto administrativo que contiene una o más plantillas de certificado. Las plantillas de perfil se crean y configuran para administrar el funcionamiento del proceso de flujo de trabajo en el entorno de certificados. El aspecto clave de una plantilla de perfil es que puede contener varias plantillas de certificado, que se pueden administrar como un solo elemento. Esto significa que los usuarios se pueden administrar con una plantilla que puede realizar un seguimiento del proceso del certificado a lo largo de su ciclo de vida.
Las plantillas de perfil se pueden configurar para que almacenen los certificados en un equipo (basado en software) o en una tarjeta inteligente (basada en hardware). Puede crear estas plantillas duplicando una muestra del portal de administrador de ILM-CM. Dentro de la plantilla de perfil, puede definir diferentes componentes de directivas de administración (consulte la figura 5).
Figura 5** Una plantilla de perfil **(Hacer clic en la imagen para ampliarla)
Muchos de los componentes de directiva se pueden aplicar a los perfiles de software y de tarjeta inteligente (consulte la figura 6). Algunos de estos componentes merecen un comentario adicional. Durante el proceso de inscripción de certificados, puede usar el componente de directiva de inscripción para definir ciertos criterios relacionados con el flujo del proceso de inscripción. Por ejemplo, podría configurar una colección de datos, de modo que el usuario tenga que especificar información como, por ejemplo, los códigos de departamento, la dirección de correo electrónico y el administrador. También podría crear definiciones que impriman automáticamente un documento oficial cuando el usuario se haya inscrito a un certificado.
Figure 6 Directivas de perfil de software
| Componente | Descripción |
| Detalles del perfil | Proporciona los detalles generales de la plantilla de perfil. Aquí puede agregar una o más plantillas de certificado a la plantilla de perfil. |
| Directiva de duplicados | Define las entidades de flujo de trabajo de un certificado existente. |
| Directiva de inscripción | Define el flujo de trabajo del proceso de inscripción. |
| Directiva de actualización en línea | Es similar a la directiva de renovación, con la diferencia de que puede actualizar los certificados que caducan, el contenido del certificado, las plantillas y los subprogramas de tarjeta inteligente. |
| Directiva de recuperación en nombre de | Recupera los certificados o la clave privada de un usuario. |
| Directiva de renovación | Define el flujo de trabajo de renovación cuando caduca un certificado. |
| Directiva de rehabilitación | Define el proceso para rehabilitar un certificado. |
| Directiva de recuperación | Define el flujo de trabajo para recuperar un certificado de usuario almacenado en un equipo que fue eliminado, reconstruido o robado. |
| Directiva de revocación | Define el flujo de trabajo para revocar todos los certificados de un perfil. |
La directiva de actualización en línea puede ser muy útil para su organización. Es similar a la directiva de renovación, con la diferencia de que puede actualizar el contenido del certificado, las plantillas del certificado y los subprogramas de tarjetas inteligentes, además de actualizar el propio certificado cuando está a punto de caducar. Para usar todas las funciones de esta directiva, debe habilitar el servicio de ILM-CM y el archivo web.config para permitir el acceso a un atributo multivalor en Active Directory. También debe instalar el servicio de actualización en línea en el equipo cliente.
La directiva de recuperación en nombre de puede ser útil si la compañía usa el cifrado EFS. Suponga que alguien elimina accidentalmente su certificado de cifrado. Podría usar este componente de directiva para configurar un flujo de trabajo en el que el equipo de seguridad de asistencia solicite la clave privada del usuario. Entonces, el usuario podría recuperar su clave privada en un correo electrónico con una contraseña secreta que generó el servidor ILM-CM. Por último, tendría que ir a un vínculo web secreto en el servidor ILM-CM para recuperar el certificado con sus claves privadas asociadas. La directiva de recuperación en nombre de también es muy útil cuando un empleado deja la organización, pero es necesario recuperar sus datos para fines de archivado, administrativos u otros.
Para ofrecer un proceso de renovación más seguro, la directiva de renovación le permite configurar y enviar por correo electrónico la antigua contraseña secreta que necesitan los usuarios para renovar sus certificados. Si revoca un certificado y, después, desea rehabilitarlo y eliminarlo de la Lista de revocación de certificados (CRL), la directiva de rehabilitación puede definir ese proceso de flujo de trabajo.
Los dos componentes de directiva exclusivos y asociados sólo con directivas de certificado de software, y no con tarjetas inteligentes, son la directiva de recuperación y la directiva de revocación. Si se elimina un certificado de usuario almacenado en un equipo o un equipo se vuelve a montar o se roba, la directiva de recuperación podría definir el proceso para restaurar el certificado o las claves si están archivadas en la CA. La directiva de revocación permite al administrador establecer un motivo estático de revocación o dejar que la persona que realiza la solicitud de revocación designe el motivo en el momento de la revocación.
Hay cinco directivas de administración adicionales específicas para las plantillas de perfil de tarjeta inteligente, tal como se muestra en la figura 7.
Figure 7 Directivas de perfil de tarjeta inteligente
| Componente | Descripción |
| Directiva de sustitución | Define el perfil en caso de pérdida o robo de la tarjeta inteligente de un usuario. |
| Directiva de deshabilitación | Define el proceso de deshabilitar certificados en una tarjeta inteligente antes de su caducidad. |
| Directiva de retirada | Define el proceso para revocar todos los certificados de una tarjeta inteligente. |
| Directiva de desbloqueo | Define quién puede desbloquear el PIN de usuario de una tarjeta inteligente. |
| Directiva de tarjetas temporales | Define una tarjeta de reemplazo a corto plazo. El usuario recibe certificados de firma nuevos, pero podría descifrar sus datos obteniendo los certificados de cifrado del perfil existente. |
Puede definir diferentes operaciones para la directiva de retirada, como por ejemplo, borrar datos de usuario de la tarjeta inteligente, bloquear los códigos PIN del usuario y el administrador, y restablecer el código PIN del administrador. La directiva de desbloqueo suele usarse cuando un usuario olvida su código PIN o se envió una tarjeta nueva con un código PIN asignado por ILM-CM. Entonces, el usuario solicita el desbloqueo de la tarjeta inteligente.
Al igual que en el caso de los productos administrativos, la creación de informes es una característica muy útil aquí. La capacidad para capturar una instantánea del entorno de certificados o tarjetas inteligentes es muy importante para cualquier organización. ILM-CM incluye varios informes integrados con inventarios de tarjeta inteligente, resúmenes de solicitudes, uso y caducidad de certificados, etc. Al igual que en otros sistemas de informes, si necesita informes adicionales, puede escribir una consulta personalizada, ya que todos los datos están almacenados en una base de datos de SQL Server.
Desarrollo de un flujo de trabajo
Veamos ahora cómo puede ayudarle ILM-CM a definir un proceso de flujo de trabajo productivo. Supongamos que tiene varios administradores de sistemas responsables de la administración y el mantenimiento de certificados SSL en sus sistemas. La primera pregunta es: ¿Cuáles son los aspectos clave del proceso?
En función del tipo de sistema, el proceso puede requerir diferentes métodos de creación del archivo de solicitud de certificado. Así que la primera tarea consiste en desarrollar una página de intranet que contenga instrucciones detalladas sobre cómo crear la solicitud de certificado para todos los sistemas.
Cuando el administrador haya creado el archivo de solicitud, puede enviarlo al portal de usuarios de ILM-CM para la aprobación del certificado. El administrador puede usar el proceso de flujo de trabajo de ILM-CM para definir varios aprobadores que deberán comprobar y aprobar una solicitud de certificado. Una vez que se haya aprobado un certificado, el usuario puede recuperarlo en ILM-CM. ILM-CM coloca la información del certificado en una base de datos de SQL Server, de modo que los administradores pueden recuperar información histórica.
Un año más tarde, cuando se acerque la fecha de caducidad del certificado, ILM-CM enviará una notificación por correo electrónico al solicitante para informarle de que el certificado está a punto de caducar y debe renovarse. Con este proceso de flujo de trabajo, evitará las situaciones en que los certificados caducan inesperadamente y le arruinan el día.
Resumen
Si su compañía usa un entorno de Microsoft PKI, ILM-CM puede ayudarle a administrarlo. ILM-CM permite a las organizaciones mejorar los procesos de autenticación de seguridad y reducir los costos y la complejidad de la administración de certificados digitales y tarjetas inteligentes. ILM-CM también le servirá como base para desarrollar procesos de flujo de trabajo de certificados y tarjetas inteligentes de los que tantas compañías carecen hoy en día.
Además, Microsoft ha implementado la compatibilidad con API externa para ILM-CM. Si su organización usa aplicaciones personalizadas, puede interconectar dichas aplicaciones para sacar partido de la compatibilidad de la API de ILM-CM.
Para obtener más información acerca de ILM-CM, consulte microsoft.com/technet/clm. También está disponible una guía de inicio rápido (go.microsoft.com/fwlink/?LinkId=87336).
Kevin Dallmann es consultor jefe de ingenieros de sistemas en Accenture y es, principalmente, responsable de la compatibilidad con Active Directory y entornos PKI para empresas grandes. Kevin tiene los certificados MCSE y MCT e imparte cursos de Microsoft.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.