Imparten: Gustavo García Manzano

Francisco Bermejo Díaz

¿Qué es el complemento Certificados?

El complemento Certificados es la herramienta principal para que los usuarios y administradores
vean y administren los certificados para un usuario, un equipo o un servicio.
El complemento Certificados permite al usuario solicitar, renovar, buscar, ver, mover, copiar y
eliminar certificados.
Por qué usar el complemento Certificados
El complemento Certificados es una herramienta versátil para administrar certificados para un
usuario, un equipo o un servicio. Se puede usar para saber qué certificados hay almacenados en
un equipo, dónde están almacenados o las opciones de configuración para dichos certificados.
Además, con el complemento Certificados, el usuario puede iniciar los asistentes que simplifican
las tareas de:


Inscripción para certificados nuevos


Renovación de certificados existentes


Búsqueda de certificados


Importación de certificados


Exportación o copia de seguridad de certificados
En la mayoría de los casos, los usuarios no tienen que administrar personalmente sus certificados
y sus almacenes de certificados. Los administradores pueden llevar a cabo esta tarea mediante la
configuración de directivas y con programas que usen certificados.
Los administradores son los principales usuarios del complemento Certificados y, como tales,
pueden realizar numerosas tareas de administración de certificados en sus almacenes de
certificados personales, así como en los almacenes de certificados de cualquier equipo o servicio
que puedan administrar. Los usuarios solo pueden administrar certificados de su almacén personal.
Para obtener información acerca de los certificados y cómo usar el complemento Certificados, vea
los siguientes temas:


Introducción a los certificados


Agregar el complemento Certificados a MMC


Administrar certificados


Solucionar problemas relacionados con los certificados


Recursos para certificados
Introducción a los certificados


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Se aplica a: Windows 7, Windows Server 2008 R2
Un certificado de clave pública, por lo general conocido simplemente como un "certificado", es una
declaración firmada digitalmente que enlaza el valor de una clave pública con la identidad de una
persona, un dispositivo o un servicio que posee la clave privada correspondiente. Una de las
ventajas principales de los certificados es que los host ya no tienen que mantener ningún conjunto
de contraseñas para sujetos individuales que necesiten como requisito previo autenticarse para
tener acceso. Por el contrario, el host simplemente establece la confianza en un emisor de
certificados.
La mayor parte de los certificados de uso común se basan en el estándar de certificados X.509 v3.
Normalmente, los certificados contienen la información siguiente:


Valor de la clave pública del sujeto


Información del identificador del sujeto, como el nombre y la dirección de correo electrónico.


Período de validez (el tiempo durante el que el certificado se considera válido).


Información del identificador del emisor.


La firma digital del emisor, que da fe de la validez del enlace entre la clave pública del sujeto
y la información del identificador de sujeto.
Un certificado sólo es válido para el período especificado en éste; cada certificado contiene las
fechas Válido desde y Válido hasta, que marcan el límite del período de validez. Una vez que el
período de validez del certificado ha transcurrido, el sujeto del certificado que ha expirado debe
solicitar un certificado nuevo.


Uso de certificados


Claves públicas y privadas


Formatos de archivos de certificado
Uso de certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Los certificados se pueden usar para lo siguiente:


Autenticación, que comprueba la identidad de alguien o de algo.


Privacidad, que garantiza que la información esté disponible solo para los destinatarios
deseados.


Cifrado, que oculta información de forma que los lectores no autorizados no puedan
descifrarla.


Firmas digitales, que facilitan la integridad y la obligatoriedad de aceptar los mensajes.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Estos servicios pueden ser importantes para la seguridad de las comunicaciones. Además, muchas
aplicaciones usan certificados, como las aplicaciones de correo electrónico y los exploradores web.
Autenticación
La autenticación es fundamental para que la comunicación sea más segura. Los usuarios deben
poder demostrar su identidad a aquéllos con los que se comunican y deben ser capaces de
comprobar la identidad de los otros. La autenticación de la identidad en una red es compleja
porque las partes que se comunican no se conocen físicamente. Esto puede permitir que una
persona desconocida intercepte mensajes o se haga pasar por otra persona o entidad.
Privacidad
Por lo tanto, si se transmite información confidencial entre dos dispositivos en cualquier tipo de red,
es recomendable que los usuarios usen alguna clase de cifrado para mantener la privacidad de sus
datos.
Cifrado
El cifrado se puede entender como el hecho de guardar algo valioso dentro de una caja fuerte
cerrada con llave. Por el contrario, el descifrado se puede comparar con abrir la caja y recuperar el
elemento valioso. En los equipos, los datos confidenciales que adquieren la forma de mensajes de
correo electrónico, archivos en un disco y archivos que se transmiten a través de la red, se pueden
cifrar mediante una clave. Los datos cifrados y la clave usada para cifrar los datos son ininteligibles.
Para obtener más información acerca del cifrado y los certificados, consulte Recursos para
certificados.
Firmas digitales
Una firma digital es una forma de asegurar la integridad y el origen de los datos. Proporciona una
evidencia de que los datos no se han modificado desde que se firmaron y confirma la identidad de
la persona o entidad que los firmó. Esto posibilita las importantes características de seguridad de
integridad y ausencia de rechazo, que resultan esenciales para asegurar las transacciones de
comercio electrónico.
Normalmente, las firmas digitales se usan cuando los datos se distribuyen en formato de texto
simple o sin cifrar. En estos casos, aunque la confidencialidad del propio mensaje puede no hacer
preciso el cifrado, podría haber un motivo convincente para asegurar que los datos se encuentran
en su formato original y no han sido enviados por un impostor porque, en un entorno informático
distribuido, cualquier persona en la red con los recursos adecuados puede leer o modificar el texto
simple, esté autorizada o no.
Claves públicas y privadas
Se aplica a: Windows 7, Windows Server 2008 R2
En el cifrado de claves públicas, se usan dos claves diferentes para cifrar y descifrar la información.
La clave privada solo la conoce su propietario, mientras que la clave pública se puede revelar y
poner a disposición de otras entidades en la red.
Estas dos claves son distintas, aunque complementarias por lo que respecta a su función. Por
ejemplo, una clave pública del usuario se puede publicar en un certificado de una carpeta de modo
que otras personas de la organización puedan obtener acceso a ella. El remitente de un mensaje
puede recuperar el certificado del usuario de los Servicios de dominio de Active Directory, obtener
la clave pública del certificado y, a continuación, cifrar el mensaje con la clave pública del
destinatario. La información cifrada con la clave pública sólo se puede descifrar con la clave


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

privada correspondiente del conjunto, que permanece con su propietario, que es el destinatario del
mensaje.
Formatos de archivos de certificado
Se aplica a: Windows 7, Windows Server 2008 R2
Las operaciones de importación y exportación de certificados admiten cuatro formatos de archivo.
Elija el formato que cumpla sus requisitos específicos.


Intercambio de información personal (PKCS #12)

El formato Intercambio de información personal (PFX, también denominado PKCS #12)
admite el almacenamiento seguro de certificados, claves privadas y todos los certificados en
una ruta de certificación.

El formato PKCS #12 es el único formato de archivo que se puede usar para exportar un
certificado y su clave privada.


Estándar de sintaxis de cifrado de mensajes (PKCS #7)

E l formato PKCS #7 admite el almacenamiento de certificados y todos los certificados en la
ruta de certificación.


DER binario codificado X.509

El formato de reglas de codificación distinguible (DER) admite el almacenamiento de un
certificado único. Este formato no admite el almacenamiento de la clave privada o la ruta de
certificación.


X.509 codificado base 64

El formato Base64 admite el almacenamiento de un certificado único. Este formato no
admite el almacenamiento de la clave privada o la ruta de certificación.
Agregar el complemento Certificados a MMC
Se aplica a: Windows 7, Windows Server 2008 R2
Puede usar el complemento Certificados para administrar certificados para un usuario, un equipo o
una cuenta de servicio. Para cambiar entre la administración de certificados para la cuenta de
usuario, un equipo o un servicio, debe agregar instancias independientes del complemento
Certificados a la consola.


Para una cuenta de usuario


Para una cuenta de equipo


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Para un servicio
Usuarios o Administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para agregar el complemento Certificados a MMC para una cuenta de usuario
1. Haga clic en Inicio, escriba mmc en el cuadro Buscar programas y archivos y, a
continuación, presione ENTRAR.
2. En el menú Archivo, haga clic en Agregar o quitar complemento.
3. En Complementos disponibles, haga doble clic en Certificados y, a continuación:


Si ha iniciado una sesión como administrador, haga clic en Mi cuenta de usuario y,
a continuación, en Finalizar.


Si ha iniciado sesión como usuario, se abrirá automáticamente el complemento
Certificados.
4. Si no tiene más complementos que agregar a la consola, haga clic en Aceptar.
5. Para guardar esta consola, en el menú Archivo, haga clic en Guardar.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario.
Administradores locales es la pertenencia al grupo mínima necesaria para completar este
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
Para agregar el complemento Certificados a MMC para una cuenta de equipo
1. Haga clic en Inicio, escriba mmc en el cuadro Buscar programas y archivos y, a
continuación, presione ENTRAR.
2. En el menú Archivo, haga clic en Agregar o quitar complemento.
3. En Complementos disponibles, haga doble clic en Certificados.
4. Seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.
5. Realice una de estas acciones:


Para administrar certificados para el equipo local, haga clic en Equipo local y, a
continuación, en Finalizar.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Para administrar certificados para un equipo remoto, haga clic en Otro equipo y, a
continuación, escriba el nombre del equipo, o haga clic en Examinar para
seleccionar el nombre del equipo y, a continuación, haga clic en Finalizar.
6. Si no tiene más complementos que agregar a la consola, haga clic en Aceptar.
7. Para guardar esta consola, en el menú Archivo, haga clic en Guardar.
Consideraciones adicionales


Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el
equipo local o tener delegada la autoridad correspondiente. Si el equipo está unido a un
dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este
procedimiento. Como práctica recomendada de seguridad, considere la posibilidad de usar
la opción Ejecutar como para llevar a cabo este procedimiento.


Para administrar certificados para otro equipo, puede crear otra instancia del complemento
Certificados o hacer clic con el botón secundario en Certificados (Nombre del equipo) y, a
continuación, en Conectarse a otro equipo.
Administradores locales es la pertenencia al grupo mínima necesaria para completar este
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
Para agregar el complemento Certificados a MMC para un servicio
1. Haga clic en Inicio, escriba mmc en el cuadro Buscar programas y archivos y, a
continuación, presione ENTRAR.
2. En el menú Archivo, haga clic en Agregar o quitar complemento.
3. En Complementos disponibles, haga doble clic en Certificados.
4. Seleccione Cuenta de servicio y, a continuación, haga clic en Siguiente.
5. Realice una de estas acciones:


Para administrar certificados para servicios en el equipo local, haga clic en Equipo
local y, después, en Siguiente.


Para administrar certificados para un servicio en un equipo remoto, haga clic en Otro
equipo y, a continuación, escriba el nombre del equipo, o haga clic en Examinar
para seleccionar el nombre del equipo y, a continuación, haga clic en Siguiente.
6. Seleccione el servicio para el que administra los certificados.
7. Haga clic en Finalizar y, después, en Cerrar.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

8. Si no tiene más complementos que agregar a la consola, haga clic en Aceptar.
9. Para guardar esta consola, en el menú Archivo, haga clic en Guardar.
Consideraciones adicionales


Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el
equipo local o tener delegada la autoridad correspondiente. Si el equipo está unido a un
dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este
procedimiento. Como práctica recomendada de seguridad, considere la posibilidad de usar
la opción Ejecutar como para llevar a cabo este procedimiento.


Para administrar certificados de un servicio en otro equipo, puede crear otra instancia del
complemento Certificados o hacer clic con el botón secundario en Certificados - Servicio
(Nombre de servicio) en Nombre de equipo y, a continuación, hacer clic en Conectarse a
otro equipo.
Administrar certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Los certificados los suele emitir un equipo, un usuario o un servicio concretos con un propósito
específico, con determinada duración y, a menudo, para destinatarios concretos. Por consiguiente,
en ocasiones puede que necesite obtener certificados adicionales, renovar los existentes, examinar
o modificar las propiedades de un certificado o mover los certificados. Aunque muchas de estas
tareas se pueden realizar para un solo usuario, equipo o servicio, se recomienda que el
administrador realice algunas otras tareas automáticamente desde un servidor. En las siguientes
secciones se describen algunas tareas comunes de administración de certificados y el
procedimiento para completarlas.


Obtener un certificado


Renovar un certificado


Ver certificados


Modificar las propiedades de un certificado


Eliminar un certificado


Buscar certificados


Mover certificados


Automatizar la administración de certificados
Obtener un certificado
Se aplica a: Windows 7, Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para realizar una inscripción de un certificado, la solicitud del certificado la debe hacer el usuario, el
equipo o el servicio que obtiene acceso a la clave privada asociada a la clave pública que formará
parte del certificado. Según las directivas de clave pública establecidas por el administrador del
sistema, los usuarios, los equipos y los servicios pueden realizar una inscripción automática de
certificados sin la intervención del usuario.
Además, los usuarios pueden obtener certificados mediante lo siguiente:


Inicio de la inscripción automática desde el complemento Certificados.


Solicitud de certificados con el Asistente para solicitud de certificados.


Solicitud de un certificado a través de web.
Además, los administradores pueden solicitar certificados de usuario con tarjeta inteligente y
certificados de tarjeta inteligente para iniciar una sesión en el sistema en nombre de otros usuarios
con su certificado de agente de inscripción.
En los siguientes temas se incluyen los procedimientos para la obtención de certificados:


Realizar una inscripción automática de un certificado desde el complemento Certificados


Solicitar certificados mediante el Asistente para solicitud de certificados


Solicitar un certificado a través de web


Realizar inscripciones de certificados en nombre de otros usuarios
Solicitar certificados mediante el Asistente para solicitud de certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Cuando solicite certificados de una entidad de certificación empresarial de Windows, podrá usar el
Asistente para solicitud de certificados que se encuentra en el complemento Certificados. Este
asistente le guía en los siguientes pasos:


Seleccionar la entidad de certificación a la que enviará la solicitud.


Seleccionar la plantilla de certificados apropiada que se usará para el nuevo certificado.

Las plantillas de certificados son configuraciones predefinidas que proporcionan valores
comunes para la solicitud de certificados. Las plantillas de certificados describen el
propósito para el que se va a usar el certificado solicitado. La lista de las plantillas de
certificados disponible está determinada por los tipos de certificados para cuya emisión está
configurada la CA y si el administrador del sistema le ha concedido los derechos de acceso
a la plantilla de certificados.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



(Opcional) Usar Opciones avanzadas en el Asistente para solicitud de certificados para
seleccionar el proveedor de servicios de cifrado (CSP) para el par de claves asociado a la
solicitud de certificados.
Para obtener instrucciones acerca de cómo abrir y usar el Asistente para solicitud de certificados,
consulte Solicitar un certificado.
También puede usar el Asistente para solicitud de certificados con el fin de solicitar un certificado
nuevo de una CA de empresa mediante un par de claves existente que ya este asociado a otro
certificado.
Referencias adicionales


Solicitar un certificado


Crear una solicitud de certificado personalizada


Guardar una solicitud de certificado en un archivo


Firmar solicitudes de certificado


Obtener un certificado
Solicitar un certificado
Se aplica a: Windows 7, Windows Server 2008 R2
Puede usar el complemento Certificados para solicitar certificados. Puede solicitar cualquier tipo de
certificado disponible y preconfigurado por el administrador de la entidad de certificación (CA) que
va a procesar la solicitud de certificado.
Usuarios o Administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para solicitar un certificado
1. Abra el complemento Certificados para un usuario o un equipo.
2. En el árbol de consola, haga clic en Certificados: usuario actual o en Certificados
(equipo local). Seleccione el almacén de certificados Personal.
3. En el menú Acción, seleccione Todas las tareas y, a continuación, haga clic en Solicitar
un nuevo certificado para iniciar el asistente para inscripción de certificados. Haga clic en
Siguiente.
4. Haga clic en los tipos de certificado que desee solicitar.
5. Puede hacer clic en Detalles para revisar información adicional acerca de cada certificado.
Si aparece un símbolo de precaución debajo del certificado, puede que necesite
proporcionar información adicional antes de solicitar ese tipo de certificado. Haga clic en el
mensaje Se necesita más información para inscribir este certificado. Haga clic aquí


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

para configurar el mensaje y proporcione la información solicitada (por ejemplo, un nombre
de sujeto o la ubicación de un certificado de firma válido).
6. Para terminar, haga clic en Inscribir.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio sólo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Para abrir el complemento Certificados, consulte Agregar el complemento Certificados a
MMC.


Solamente puede usar este procedimiento para solicitar certificados de una CA empresarial.
Para solicitar certificados de una CA autónoma, tiene que solicitar los certificados a través
de páginas web. La página web para una CA basada en Windows se encuentra en
http://servername/certsrv, donde servername es el nombre del servidor que hospeda la CA.


Si el tipo de certificado solicitado debe aprobarse antes de emitirse, tendrá que recuperar el
certificado completado a través de páginas web.


Para solicitar un certificado Estándar de firma digital (DSS) de una CA de empresa, debe
seleccionar la plantilla de certificado Sólo firma de usuario en el Asistente para solicitud de
certificados.


Nombres de sujeto


Se aplica a: Windows 7, Windows Server 2008 R2


El titular de la clave privada asociada a un certificado se conoce como sujeto. Puede ser un
usuario, un programa o prácticamente cualquier objeto, equipo o servicio.


Como el nombre del sujeto puede variar en gran medida según quién o qué sea, será
necesaria cierta flexibilidad a la hora de proporcionarle un nombre en la solicitud de
certificado. Windows puede crear el nombre del sujeto automáticamente a partir de la
información del sujeto almacenada en los Servicios de dominio de Active Directory (AD DS)
o lo puede suministrar manualmente el mismo sujeto (por ejemplo, mediante el uso de
páginas web de inscripción de certificados para crear y enviar una solicitud de certificado.


Las entidades de certificación (CA) incluyen el complemento Plantillas de certificado para
configurar las plantillas de certificados. Use la ficha Nombre de sujeto en la hoja de
propiedades de la plantilla del certificado para configurar las opciones de nombre del sujeto.


Proporcionado por el solicitante


Cuando se selecciona la opción Proporcionado por el solicitante, la opción Usar
información de sujeto de certificados existentes para las solicitudes de renovación de
inscripción automática se encuentra disponible para simplificar la tarea de agregar el
nombre del sujeto a la solicitud de renovación del certificado y para permitir que los


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

certificados generados por los equipos se puedan renovar automáticamente. La información
del sujeto a partir de certificados existentes no se usa para la renovación automática de
certificados de usuario.


La opción Usar información de sujeto de certificados existentes para las solicitudes de
renovación de inscripción automática permite que el cliente de inscripción de certificados
lea la información sobre el nombre del sujeto y el nombre alternativo del sujeto a partir de un
certificado existente generado por un equipo basado en la misma plantilla de certificado
cuando se crean automáticamente solicitudes de renovación o se usa el complemento
Certificados. Esta opción se aplica a los certificados generados por equipos que han
caducado, han sido revocados o se encuentran dentro del período de renovación.


Creación a partir de AD DS


Cuando se selecciona la opción Construir a partir de esta información de Active
Directory, se pueden configurar las siguientes opciones adicionales:


Formato de nombre de sujeto
Valor Descripción
Nombre común La CA crea el nombre del sujeto a partir del nombre común (CN)
obtenido de AD DS. Este nombre debe ser único en el dominio,
aunque puede no ser único en una empresa.
Nombre completo (DN) La CA crea el nombre del sujeto a partir del nombre completo
obtenido de AD DS. De este modo se garantiza que el nombre sea
único en una empresa.
Incluir el nombre de
correo electrónico en el
nombre del sujeto.
Si el campo del nombre del correo electrónico se rellena en el
objeto de usuario de Active Directory, este nombre de correo
electrónico se incluye con un nombre común o con un nombre
completo como parte del nombre del sujeto.
Ninguno No se necesita ningún valor de nombre para este certificado.


Incluir esta información en el nombre de sujeto alternativo
Valor Descripción
Nombre de correo
electrónico
Si el campo de nombre de correo electrónico se rellena en el objeto de
usuario de Active Directory, se usará dicho nombre de correo
electrónico.
Nombre DNS Es el nombre de dominio completo (FQDN) del sujeto que solicitó el
certificado. Es el nombre usado con más frecuencia en los certificados


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

de equipo.
Nombre principal del
usuario (UPN)
El nombre principal del usuario forma parte del objeto de usuario de
Active Directory y es el que se usa.
Nombre principal de
servicio (SPN)
El nombre principal de servicio forma parte del objeto de usuario de
Active Directory y es el que se usa.
Extensiones de certificado
Se aplica a: Windows 7, Windows Server 2008 R2
La ficha Extensiones permite al administrador definir directivas de aplicación específicas,
directivas de emisión, tipos de sujeto del certificado y atributos de uso de las claves para una
plantilla de certificado.
Directivas de aplicación
Las directivas de aplicación son un conjunto de opciones que informan a un destino de que el
sujeto tiene un certificado que se puede usar para ejecutar una determinada tarea. En un
certificado se representan mediante un identificador de objeto que se define para una aplicación
determinada. Este identificador de objeto se incluye en el certificado emitido. Cuando un sujeto
presenta su certificado, el destino puede examinarlo para comprobar la directiva de aplicación y
determinar si el sujeto puede ejecutar la acción solicitada.
Directivas de emisión
Las directivas de emisión, llamadas también directivas de certificado, definen las medidas usadas
para identificar al sujeto del certificado y, por lo tanto, definen también el nivel de garantía para un
certificado emitido. Por ejemplo, puede que la organización necesite organizar una reunión
presencial antes de emitir el certificado para ofrecer un nivel de garantía superior para el certificado
emitido.
Tipo de sujeto del certificado
El tipo de sujeto del certificado, llamado también información de la plantilla de certificado, define el
propósito del certificado o la plantilla de certificado.
La extensión del tipo de sujeto de certificado no se puede modificar. Si el administrador necesita
aplicar un tipo de sujeto específico al certificado, debe duplicar una plantilla de certificado que
incluya el tipo de sujeto requerido.
Uso de claves
Los certificados permiten a los sujetos realizar determinadas tareas. Con el fin de ayudar a
controlar el uso de un certificado más allá de su finalidad pretendida, se aplican restricciones a los
certificados automáticamente. El uso de claves es un método de restricción que determina el uso
de un certificado. De esta forma, el administrador puede emitir certificados que únicamente pueden
usarse para tareas específicas o certificados que pueden utilizarse para una amplia gama de
funciones. Si no se especifica ningún uso de claves, el certificado se puede usar para cualquier
propósito.
En el caso de las firmas, el uso de claves se puede limitar a uno o varios de los propósitos
siguientes:


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Firma digital


La firma es una prueba de origen (sin rechazo)


Firma de certificados


Firma de CRL
Para el uso de claves cifrado, están disponibles las siguientes opciones:


Intercambio de claves sin cifrado de claves


Intercambio de claves sólo con cifrado de claves
Atributos
Además de la información requerida por la entidad emisora (CA) para crear el certificado solicitado,
una solicitud de certificado también incluye atributos que describen cómo fue creada. Los atributos
de la solicitud de certificado incluyen la versión del sistema operativo y aplicación usados para
crear la solicitud, el proveedor de servicios de cifrado usado para generar el par de claves, la
plantilla de certificados en la que se basa la solicitud y otros detalles.
Los atributos se agregan automáticamente a las solicitudes de certificado que se crean mediante el
complemento Certificados y que se almacenan en la base de datos de la CA con cada solicitud de
certificado.
Proveedores de servicios de cifrado
Se aplica a: Windows 7, Windows Server 2008 R2
Un proveedor de servicios de cifrado (CSP) es un programa que ofrece servicios de autenticación,
codificación y cifrado para que las aplicaciones basadas en Windows obtengan acceso mediante la
interfaz de programación de aplicaciones criptográficas de Microsoft (CryptoAPI). Cada proveedor
ofrece una implementación distinta de CryptoAPI. Algunos proporcionan algoritmos de cifrado más
seguros, mientras que otros usan componentes de hardware, como las tarjetas inteligentes.
Si genera una solicitud de un certificado nuevo, la información de dicha solicitud se transfiere
primero del programa solicitante a CryptoAPI. CryptoAPI pasa los datos correspondientes a un CSP
instalado en el equipo o en un dispositivo al que puede obtener acceso el equipo. Si el CSP se
basa en software, genera una clave pública y una clave privada, a menudo denominadas par de
claves, en el equipo. Si el CSP se basa en hardware, como un CSP de tarjeta inteligente, indicará a
un componente de hardware que construya el par de claves.
Después de generar las claves, un CSP de software cifra y, a continuación, asegura la clave
privada. El CSP de tarjeta inteligente almacena la clave privada en una tarjeta inteligente. A
continuación, la tarjeta inteligente controla el acceso a la clave.
La clave pública se envía a la entidad de certificación (CA), junto con la información del solicitante
del certificado. Una vez que la CA comprueba que la solicitud de certificado cumple las directivas,
usará su propia clave privada para crear una firma digital en el certificado y, a continuación, lo
emitirá para el solicitante. La CA presenta el certificado al solicitante del certificado junto con la
opción para instalarlo en el almacén de certificados adecuado del equipo o del dispositivo de
hardware.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Crear una solicitud de certificado personalizada
Se aplica a: Windows 7, Windows Server 2008 R2
Los administradores suelen configurar las plantillas de certificado por anticipado para que se
puedan usar para solicitar o realizar inscripciones de certificados. Las solicitudes personalizadas se
pueden usar para modificar una plantilla de certificado a fin de que satisfaga requisitos especiales o
para crear un nuevo certificado no basado en una plantilla. Además, se pueden usar para guardar
una solicitud de certificado en un archivo para su procesamiento en otro momento o en otro equipo.
Para completar este procedimiento, el requisito mínimo es la pertenencia al grupo Usuarios o
Administradores locales. Revise los detalles de "Consideraciones adicionales" en este tema.
Para crear una solicitud de certificado personalizada
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola, haga doble clic en Personal y, a continuación, haga clic en
Certificados.
3. En el menú Acción, elija Todas las tareas y Operaciones avanzadas y, a continuación,
haga clic en Crear solicitud personalizada para iniciar el asistente para inscripción de
certificados. Haga clic en Siguiente.
4. En la página Solicitud personalizada, en la lista Plantillas, realice una de las acciones
siguientes:


Si sabe qué tipo de certificado desea y va a aceptar las opciones de configuración
predeterminadas, seleccione la plantilla de certificado correspondiente.


Si necesita un certificado totalmente personalizado, seleccione Clave CNG (sin
plantilla) o Clave heredada (sin plantilla).
Nota
Las claves CNG pueden no ser compatibles con todas la aplicaciones.
5. Cada plantilla de certificado incluida en un conjunto estándar de extensiones puede
proporcionar información de identificación del sujeto adicional o información de uso de la
clave, lo que especifica las tareas (por ejemplo, la firma o el cifrado) para las que se puede
usar la clave. Si desea usar solo las extensiones personalizadas especificadas, seleccione
la casilla Suprimir las extensiones predeterminadas.
6. Seleccione el formato de archivo que desee usar para la solicitud de certificado:


PKCS #10 es un formato usado con frecuencia para las solicitudes de certificados.


CMC se puede usar para preparar las solicitudes que se van a enviar a una entidad
de certificación que no es de Microsoft.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

7. Haga clic en Siguiente.
8. Haga clic en Detalles para ver los detalles de la solicitud de certificado. Si desea
personalizar aún más la solicitud, haga clic en Propiedades y rellene las opciones que
desee. Cuando haya terminado, haga clic en Aceptar para cerrar Propiedades de
certificado y, a continuación, haga clic en Siguiente.
9. Escriba el nombre del archivo y la ruta de acceso y haga clic en Finalizar.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.
Guardar una solicitud de certificado en un archivo
Se aplica a: Windows 7, Windows Server 2008 R2
Puede preparar una solicitud de certificado para su uso posterior o para conservar una copia de la
solicitud incluso si se procesa al mismo tiempo que se guarda.
Los usuarios o administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para guardar una solicitud de certificado en un archivo PKCS #10 o CMC
1. Abra un explorador web.
2. Abra http://servername/certsrv, donde servername es el nombre del servidor web donde se
hospedan las páginas de inscripción en web de la entidad de certificación (CA).
3. Haga clic en Solicitar un certificado y, en Solicitud de certificado avanzada, haga clic en
Crear y enviar una solicitud a esta CA.
4. Escriba la información de identificación solicitada y cualquier otra opción necesaria.
5. En Opciones adicionales, seleccione el formato de archivo que desee usar.
6. En Nombre de ruta completa, escriba una ruta de acceso y un nombre de archivo.
7. Haga clic en Enviar. El archivo se guarda en el escritorio del equipo.
8. Si ha terminado de usar las páginas de inscripción en web, cierre el explorador web.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



El componente que habilita la inscripción web en esta versión de Windows es distinto del
componente que habilita la inscripción web en Windows Server 2003 y Windows XP. Las
páginas de inscripción de CA de Windows Server 2003 se deben actualizar para admitir
equipos con los sistemas operativos Windows Vista o Windows 7. Para obtener más
información, vea el sitio web Ayuda y soporte técnico de Windows
(http://go.microsoft.com/fwlink/?LinkId=85331 (puede estar en inglés)).


Firmar solicitudes de certificado


Se aplica a: Windows 7, Windows Server 2008 R2


En algunos casos, las solicitudes de certificado se deben firmar digitalmente mediante un
certificado de agente de inscripción o de firma válido para que la entidad de certificación
(CA) pueda procesar la solicitud.
Importante
Una vez que el usuario tiene el certificado de agente de inscripción, puede realizar una
inscripción de un certificado y generar una tarjeta inteligente en nombre de cualquier usuario de
la organización. La tarjeta inteligente resultante se puede usar para iniciar una sesión en la red
y suplantar al usuario real. Dada la gran capacidad del certificado de agente de inscripción, se
recomienda que la organización mantenga unas directivas de seguridad de alto nivel para estos
certificados.


Un escenario para minimizar el riesgo de uso incorrecto del certificado de agente de
inscripción es contar con una CA subordinada con controles administrativos muy estrictos
en la organización que solo se use para emitir certificados de agente de inscripción. Una
vez emitidos los certificados de agente de inscripción, el administrador de la CA puede
deshabilitar la emisión de certificados de agente de inscripción hasta que vuelva a ser
necesaria.


Al restringir los administradores que pueden usar el servicio de CA en la CA subordinada, el
servicio se puede mantener en línea para la generación y distribución de listas de
revocación de certificados (CRL) si es necesario.


Otras CA de la jerarquía pueden seguir emitiendo certificados de agente de inscripción si la
configuración de directiva cambia, aunque puede determinar si la emisión de certificados de
agente de inscripción es correcta mediante la comprobación regular del registro de
certificados emitidos para cada CA.
Introducción al Servicio web de directiva de inscripción de certificados
Se aplica a: Windows Server 2008 R2
El Servicio web de directiva de inscripción de certificados es un servicio de rol de los Servicios de
certificados de Active Directory (AD CS) que permite que los usuarios y equipos obtengan
información sobre directivas de inscripción de certificados. Junto con el Servicio web de inscripción
de certificados, permite la inscripción de certificados basada en directivas si el equipo cliente no es
miembro de un dominio o si un miembro del dominio no está conectado al dominio.
El Servicio web de directiva de inscripción de certificados utiliza el protocolo HTTPS para
comunicar la información sobre directivas de certificados a los equipos clientes de la red. El servicio
web usa el protocolo LDAP para recuperar la directiva de certificados de los Servicios de dominio
de Active Directory (AD DS) y guarda en caché la información sobre directivas para atender las
solicitudes de los clientes. En versiones anteriores de AD CS, solo los equipos cliente del dominio
que usan el protocolo LDAP pueden obtener acceso a la información sobre directivas de
certificados. Esto restringe la emisión de certificados basados en directivas a los límites de
confianza establecidos por los bosques de AD DS.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

La publicación de la directiva de inscripción a través de HTTPS permite los nuevos escenarios de
implementación que se describen a continuación:


Inscripción de certificados a través de los límites del bosque para reducir el número de
entidades de certificación (CA) en una empresa.


Implementación de extranet para emitir certificados para usuarios que trabajan a distancia y
socios comerciales.
Introducción al Servicio web de inscripción de certificados
Se aplica a: Windows Server 2008 R2
El Servicio web de inscripción de certificados es un servicio de rol de Servicios de certificados de
Active Directory (AD CS) que permite a los usuarios y equipos realizar la inscripción de certificados
con el protocolo HTTPS. Junto con el Servicio web de directiva de inscripción de certificados,
permite la inscripción de certificados basada en directivas si el equipo cliente no es miembro de un
dominio o si un miembro del dominio no está conectado al dominio.
El Servicio web de inscripción de certificados usa el protocolo HTTPS para aceptar solicitudes de
certificados de los equipos cliente de la red y devolver a éstos los certificados emitidos. El Servicio
web de inscripción de certificados usa el protocolo DCOM para conectar a la entidad de
certificación (CA) y completar la inscripción de certificados en nombre del solicitante. En versiones
anteriores de AD CS, la inscripción de certificados basada en directivas solo la pueden realizar los
equipos cliente miembro que usan el protocolo DCOM. Esto limita la emisión de certificados a los
límites de confianza establecidos por los dominios y bosques de Active Directory.
La inscripción de certificados sobre HTTPS habilita los siguientes escenarios de implementación
nuevos:


Inscripción de certificados entre límites de bosques para reducir el número de entidades de
certificación en una empresa


Implementación de extranet para emitir certificados a trabajadores móviles y socios
empresariales
Servidores de directivas de inscripción de certificados
Se aplica a: Windows Server 2008 R2
La directiva de inscripción de certificados proporciona las ubicaciones de las entidades de
certificación (CA) y los tipos de certificados que se pueden solicitar. Las organizaciones que utilizan
Servicios de dominio de Active Directory (AD DS) pueden usar la directiva de grupo para
proporcionar una directiva de inscripción de certificados a los miembros del dominio mediante la
Consola de administración de directivas de grupo para configurar los valores de directiva de
inscripción de certificados. El complemento Certificados se puede utilizar para configurar los
valores de directiva de inscripción de certificados para equipos cliente individuales a menos que la
configuración de la directiva de grupo esté establecida para deshabilitar la directiva de inscripción
configurada por el usuario.
Utilice los siguientes procedimientos para configurar los valores de directiva de inscripción de
certificados:


Administrar la directiva de inscripción de certificados mediante la directiva de grupo


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Administrar directiva de inscripción de certificados mediante el complemento Certificados
Administrar la directiva de inscripción de certificados mediante la directiva de grupo
Se aplica a: Windows Server 2008 R2
Este tema describe los procedimientos y aplicaciones utilizados para establecer la configuración de
directivas de inscripción de certificados.
Establecer la configuración de directivas de inscripción de certificados mediante la directiva
de grupo
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del
dominio.
Para establecer la configuración de directivas de inscripción de certificados en la directiva
de grupo
1. Haga clic en Inicio, escriba gpmc.msc en el cuadro Buscar programas y archivos y, a
continuación, presione ENTRAR.
2. En el árbol de consola, expanda el bosque y el dominio que contienen la directiva que
desea editar y haga clic en Objetos de directiva de grupo.
3. Haga clic con el botón secundario en la directiva que desee modificar y, a continuación,
haga clic en Editar.
4. En el árbol de consola, en Configuración del equipo\Directivas\Configuración de
Windows\Configuración de seguridad, haga clic en Directivas de clave pública.
5. Haga doble clic en Cliente de Servicios de servidor de certificados - Directiva de
inscripción de certificados. Para obtener más información acerca de la configuración de
este cuadro de diálogo, vea la tabla "Cuadro de diálogo Cliente de Servicios de servidor de
certificados - Propiedades de directivas de inscripción de certificados" más adelante en este
tema.
6. Haga clic en Agregar para abrir el cuadro de diálogo Servidor de directivas de
inscripción de certificados. Para obtener más información acerca de la configuración de
este cuadro de diálogo, vea la tabla "Cuadro de diálogo Servidor de directivas de inscripción
de certificados" más adelante en este tema.
7. Realice una de estas acciones:


Para agregar la directiva de inscripción proporcionada por Servicios de dominio de
Active Directory (AD DS), active la casilla Usar URI de controlador de dominio de
Active Directory predeterminado.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



En el cuadro Especifique el URI del servidor de directivas de inscripción,
escriba un URI para el servidor de directivas de inscripción de certificados.
8. En la lista Tipo de autenticación, seleccione el tipo de autenticación requerido por el
servidor de directivas de inscripción.
9. Haga clic en Validar y revise los mensajes del área Propiedades del servidor de
directivas de inscripción de certificados. El botón Agregar solo está disponible cuando
el URI del servidor de directivas de inscripción y el tipo de autenticación son válidos.
10. Haga clic en Agregar.
Nota
Si el servidor de directivas de inscripción admite una directiva de inscripción que ya aparece en
Lista de directivas de inscripción de certificados, el servidor agregado no se mostrará por
separado. Haga clic en Propiedades para comprobar que el servidor de directivas de
inscripción que se ha agregado aparece en la lista Servidores de directivas de inscripción.
Para obtener más información acerca de la configuración de este cuadro de diálogo, vea la
tabla "Cuadro de diálogo Propiedades del servidor de directivas de inscripción de certificados"
más adelante en este tema.
Referencia de interfaz de usuario
Las tablas siguientes describen la configuración disponible en los cuadros de diálogo Cliente de
Servicios de servidor de certificados - Propiedades de directivas de inscripción de
certificados, Servidor de directivas de inscripción de certificados y Propiedades del servidor
de directivas de inscripción de certificados.
Cuadro de diálogo Cliente de Servicios de servidor de certificados - Propiedades de directiva
de inscripción de certificados
Opción Descripción
Modelo de
configuración
Especifica si la configuración de directiva está habilitada en la
directiva de grupo.
Lista de directivas de
inscripción de
certificados
Muestra la lista de directivas de inscripción incluidas en la
configuración de directiva. Una de las directivas mostradas debe
aparecer como la directiva predeterminada mediante la activación
de la casilla Predeterminada.
Agregar Abre el cuadro de diálogo Servidor de directivas de inscripción
de certificados, que se usa para agregar un servidor de directivas


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

de inscripción.
Quitar Quita de la lista la directiva de inscripción seleccionada y todos los
servidores de directivas de inscripción asociados.
Propiedades Abre el cuadro de diálogo Propiedades del servidor de
directivas de inscripción de certificados, que muestra los
detalles de la directiva y una lista de los servidores de directivas de
inscripción para la directiva de inscripción seleccionada.
Deshabilitar directiva de
inscripción configurada
por el usuario
Deshabilita la directiva de inscripción configurada por usuarios y
aplicaciones. Solo se utilizará una directiva de inscripción
configurada en la directiva de grupo.

Cuadro de diálogo Servidor de directivas de inscripción de certificados
Opción Descripción
Usar URI de controlador
de dominio de Active
Directory
predeterminado
Especifique el URI LDAP del servidor de directivas de inscripción
predeterminado y el tipo de autenticación Integrada de Windows.
Configurar nombre
descriptivo
Este botón solo está disponible cuando se ha seleccionado Usar
URI de controlador de dominio de Active Directory
predeterminado.
Esta opción se usa para configurar un nombre para la directiva de
inscripción que se muestra en lugar del nombre de directiva o el
identificador de directiva de inscripción predeterminados. Los
usuarios pueden ver el nombre especificado en el asistente para
inscripción de certificados y en otras aplicaciones.
Nota
Si más de un servidor de directivas de inscripción admite la
misma directiva de inscripción, cada servidor debe
configurarse para usar el mismo nombre descriptivo de
directiva de inscripción. En los servicios web de directivas de
inscripción, el valor de nombre descriptivo es una
configuración de la aplicación que se establece mediante el
Administrador del servidor. Si la configuración de nombre
descriptivo ya se ha establecido en cada servicio web de


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

directivas de inscripción, agregue los URI de servicios web de
directivas de inscripción antes de agregar el URI LDAP del
controlador de dominio. De esta manera, se garantiza que los
valores del nombre descriptivo sean los mismos.

Especifique el URI del
servidor de directivas de
inscripción
Especifica el URI del Servicio web de directiva de inscripción de
certificados. El URI debe usar HTTPS.
Tipo de autenticación Especifica el tipo de autenticación que se usa para conectar con el
URI especificado. El tipo de autenticación especificado debe
coincidir con el tipo de autenticación requerido por el Servicio web
de directiva de inscripción de certificados.
Están disponibles los siguientes tipos de autenticación:
 Anónima. No se proporcionan credenciales al conectar con el
servidor de directivas de inscripción de certificados.
 Integrada de Windows. La autenticación integrada de
Windows usa el protocolo Kerberos y es adecuada para
miembros de dominios de AD DS.
 Nombre de usuario y contraseña. Durante la inscripción de
certificados, los usuarios deberán especificar un nombre de
usuario y una contraseña.
 Certificado X.509. Durante la inscripción de certificados, los
usuarios deberán seleccionar un certificado para la
autenticación.
Validar Se conecta al URI especificado mediante el tipo de autenticación
que se haya seleccionado para verificar los detalles siguientes:
 Existe una conexión SSL al servidor de directivas de
inscripción.
 El servidor de directivas de inscripción devuelve una directiva
de inscripción válida.
 La directiva de inscripción no se ha incluido previamente en la
configuración de la directiva de grupo.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Antes de que se pueda agregar un URI del servidor de directivas
de inscripción, se requiere su validación. Si el URI especificado y
el tipo de autenticación son válidos, se mostrarán el identificador
de directiva de inscripción y el nombre descriptivo. Si hay algún
problema con la validación, aparecerán mensajes de error o
advertencia.
Agregar Agrega el URI del servidor de directivas de inscripción y la
directiva de inscripción validada a la configuración de la directiva
de grupo. El botón Agregar solo está disponible después de que
el URI del servidor de directivas de inscripción y el tipo de
autenticación se hayan validado.

Cuadro de diálogo Propiedades del servidor de directivas de inscripción de certificados
Opción Descripción
Servidores de
directivas de
inscripción
Muestra la lista de servidores de directivas de inscripción que admiten la
directiva de inscripción.
Quitar Quita el servidor de directivas de inscripción seleccionado. Si se quitan
todos los servidores de directivas de inscripción, la directiva de inscripción
también se eliminará.
Habilitar para la
inscripción y la
renovación
automáticas
Especifica que la directiva de inscripción se usa para la inscripción
automática cuando esta característica está habilitada.
En los equipos que ejecutan Windows 7 y no son miembros de un dominio,
la inscripción automática está habilitada de forma predeterminada. En los
equipos que son miembros de un dominio, la inscripción automática debe
ser habilitada en la directiva de grupo. Para conocer los procedimientos de
configuración de la inscripción automática, vea Administración de la
inscripción de certificados (http://go.microsoft.com/fwlink/?LinkId=143282
(puede estar en inglés)).
Requerir
validación
segura durante
la inscripción
Especifica que los clientes de inscripción requieren la validación de la ruta
de certificación de la CA emisora durante
Administrar directiva de inscripción de certificados mediante el complemento Certificados
Se aplica a: Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

En este tema se describen los procedimientos y las aplicaciones usados para agregar servidores
de directivas de inscripción y administrar directivas de inscripción con el complemento Certificados.
Estos procedimientos se pueden usar para configurar directivas de inscripción que permitan a los
usuarios solicitar certificados de las entidades de certificación (CA) comerciales que ofrecen
servicios de inscripción en Internet o CA empresariales en una organización.
Configuración de directivas de inscripción de certificados
El cuadro de diálogo Servidor de directivas de inscripción de certificados se usa para agregar
servidores de directivas de inscripción y se puede abrir con el cuadro de diálogo Administrar
directivas de inscripción o el asistente para inscripción de certificados.
Para configurar las directivas de inscripción de certificados
1. Haga clic en Inicio, escriba certmgr.msc en el cuadro Buscar programas y archivos y
presione ENTRAR.
2. En el árbol de consola, haga clic en Personal.
3. Realice una de estas acciones:


En el menú Acción, apunte a Todas las tareas, Operaciones avanzadas y, a
continuación, haga clic en Administrar directivas de inscripción. En Lista de
directivas de inscripción de certificados, haga clic en Agregar. Para obtener más
información acerca de las opciones de este cuadro de diálogo, vea la tabla "Cuadro
de diálogo Administrar directivas de inscripción" posteriormente en este tema.


En el menú Acción, apunte a Todas las tareas y, a continuación, haga clic en
Solicitar un nuevo certificado para iniciar el asistente para inscripción de
certificados. Haga clic en Siguiente y, a continuación, en la página Seleccionar
directiva de inscripción de certificados, haga clic en Agregar nueva. Para
obtener más información acerca de las opciones de este cuadro de diálogo, vea la
tabla "Cuadro de diálogo Servidor de directivas de inscripción de certificados"
posteriormente en este tema.
4. En el cuadro Especifique el URI del servidor de directivas de inscripción, escriba un
URI de servidor de directivas de inscripción de certificado.
5. En la lista Tipo de autenticación, seleccione el tipo de autenticación requerido por el
servidor de directivas de inscripción.
6. Haga clic en Validar y, a continuación, revise los mensajes del área Propiedades del
servidor de directivas de inscripción de certificados. El botón Agregar solo está
disponible después de validar el URI del servidor de directivas de inscripción y el tipo de
autenticación.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

7. Haga clic en Agregar.
Nota
Si el servidor de directivas de inscripción agregado admite una directiva de inscripción que se
muestra en Lista de directivas de inscripción de certificados, el servidor agregado no
aparecerá por separado. Haga clic en Propiedades para comprobar que el servidor de
directivas de inscripción agregado aparece en la lista Servidores de directivas de inscripción.
Para obtener más información acerca de las opciones de este cuadro de diálogo, vea la tabla
"Cuadro de diálogo Propiedades del servidor de directivas de inscripción de certificados"
posteriormente en este tema.
Referencia de interfaz de usuario
En las tablas siguientes se describen las opciones disponibles en el cuadro de diálogo Administrar
directivas de inscripción, el cuadro de diálogo Servidor de directivas de inscripción de
certificados y el cuadro de diálogo Propiedades del servidor de directivas de inscripción de
certificados.
Cuadro de diálogo Administrar directivas de inscripción
Opción Descripción
Lista de directivas de
inscripción de
certificados
Muestra la lista de las directivas de inscripción incluidas en la
configuración de directivas. Una de las directivas mostradas se debe
especificar como la directiva predeterminada mediante la activación de
la casilla Predeterminada.
Agregar Abra el cuadro de diálogo Servidor de directivas de inscripción de
certificados, que se usa para agregar un servidor de directivas de
inscripción.
Quitar Quita la directiva de inscripción seleccionada y todos los servidores de
directivas de inscripción asociados de la lista.
Propiedades Abra el cuadro de diálogo Propiedades del servidor de directivas
de inscripción de certificados, que muestra los detalles de la
directiva y la lista de servidores de directivas de inscripción para la
directiva de inscripción seleccionada.

Cuadro de diálogo Servidor de directivas de inscripción de certificados
Opción Descripción


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Especifique el URI
del servidor de
directivas de
inscripción
Especifica el URI del Servicio web de directivas de inscripción de
certificados. El URI debe usar HTTPS.
Tipo de autenticación Especifica el tipo de autenticación usado para conectarse al URI
especificado. El tipo de autenticación especificado debe coincidir con
el tipo de autenticación requerido por el Servicio web de directivas de
inscripción de certificados.
Los siguientes tipos de autenticación están disponibles:
 Anónima. No se proporciona ninguna credencial al conectarse al
servidor de directivas de inscripción de certificados.
 Integrada en Windows. La autenticación integrada en Windows
usa el protocolo Kerberos y es adecuada para los miembros de
dominio de AD DS.
 Nombre de usuario y contraseña. Durante la inscripción de
certificados, a los usuarios se les pedirá que especifiquen un
nombre de usuario y una contraseña.
 Certificado X.509. Durante la inscripción de certificados, a los
usuarios se les pedirá que seleccionen un certificado para la
autenticación.
Validar Conecta con el URI especificado con el tipo de autenticación
especificado para comprobar los siguientes detalles:
 Se puede realizar una conexión SSL con el servidor de directivas
de inscripción.
 El servidor de directivas de inscripción devuelve una directiva de
inscripción válida.
 La directiva de inscripción ya no está incluida en la configuración
de directiva de grupo.
La validación es necesaria para poder agregar un URI de servidor de
directivas de inscripción. Si el URI especificado y el tipo de
autenticación son válidos, se muestran el identificador de directivas de
inscripción y el nombre descriptivo. Los mensajes de error o


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

advertencia se muestran si hay un problema con la validación.
Agregar Agrega el URI del servidor de directivas de inscripción y la directiva de
inscripción validada a la configuración de directiva de grupo. El botón
Agregar solo está disponible después de validar el URI del servidor
de directivas de inscripción y el tipo de autenticación.
Cuadro de diálogo Propiedades del servidor de directivas de inscripción de certificados
Opción Descripción
Lista Servidores
de directivas de
inscripción
Muestra la lista de servidores de directivas de inscripción que admiten la
directiva de inscripción.
Quitar Quita el servidor de directivas de inscripción seleccionado. Si se quitan
todos los servidores de directivas de inscripción, también se eliminará la
directiva de inscripción.
Habilitar para la
inscripción y la
renovación
automáticas
Especifica que se usa la directiva de inscripción para la inscripción
automática cuando se habilita dicha inscripción.
En los equipos que ejecutan Windows 7 y que no son miembros de un
dominio, se habilita la inscripción automática de forma predeterminada. En
equipos que son miembros de un dominio, se debe habilitar la inscripción
automática en la directiva de grupo. Vea el tema acerca de la
administración de la inscripción de certificados
(http://go.microsoft.com/fwlink/?LinkID=143282) para obtener información
acerca de los procedimientos de configuración de inscripción automática.
Requerir
validación
segura durante
la inscripción
Especifica que los clientes de inscripción requieren la validación de la ruta
de certificación de CA de emisión

Solicitar un certificado a través de web
Se aplica a: Windows 7, Windows Server 2008 R2
Es posible obtener acceso a las entidades de certificación (CA) mediante páginas de inscripción en
web de CA, que se pueden usar para realizar una serie de tareas relativas a la solicitud de
certificados. La ubicación predeterminada de las páginas de inscripción en web de CA es
http://servername/certsrv, donde servername es el nombre del servidor que hospeda las páginas de
inscripción en web de CA.
Referencias adicionales


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Enviar una solicitud de certificado de usuario a través de Web


Enviar una solicitud de certificado a través de web


Solicitar un certificado mediante un archivo PKCS #10 o PKCS #7


Comprobar una solicitud de certificado pendiente


Obtener un certificado
Enviar una solicitud de certificado de usuario a través de Web
Se aplica a: Windows 7, Windows Server 2008 R2
Cuando solicite certificados de una entidad de certificación (CA) independiente de Windows, use
las páginas de inscripción web de CA. Además, se pueden usar las páginas de inscripción web
para solicitar certificados de las CA empresariales si desea establecer características de solicitud
opcionales que no estén disponibles en el Asistente para solicitud de certificados, como marcar las
claves como exportables, definir la longitud de la clave, elegir el algoritmo hash o guardar la
solicitud en un archivo.
Para completar este procedimiento, el requisito mínimo es pertenecer al grupo Usuarios o
Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.
Para enviar una solicitud de certificado de usuario a través de Web
1. Abra un explorador web.
2. Abra https://servername/certsrv, donde servername es el nombre del servidor que hospeda
las páginas de inscripción web de CA.
3. Haga clic en Solicitar un certificado.
4. En Solicitar un certificado, seleccione el tipo de certificado que desee:
a. Si se trata de una CA de empresa, haga clic en Certificado de usuario.
b. Si se trata de una CA independiente, seleccione Certificado de explorador web o
Certificado de protección de correo electrónico.
5. En la página Identificando información, escriba la información de identificación para la
solicitud de certificado si es necesario.
6. (Opcional) Haga clic en Más opciones para especificar el proveedor de servicios de cifrado
(CSP) y si desea habilitar la protección segura de claves privadas. (Esto significa que, cada
vez que se use la clave privada, recibirá un aviso).
7. Haga clic en Enviar.
8. Realice una de estas acciones:


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Si aparece la página web Certificado pendiente, vea Comprobar una solicitud de
certificado pendiente para obtener información acerca del procedimiento para
comprobar un certificado pendiente.


Si se muestra la página web Certificado emitido, haga clic en Instalar este
certificado.
Consideraciones adicionales


Para que un usuario obtenga un certificado mediante la inscripción web, el administrador
debe configurar los premisos correspondientes en las plantillas de certificado en las que se
basa el certificado solicitado.
Enviar una solicitud de certificado a través de web
Se aplica a: Windows 7, Windows Server 2008 R2
La directiva de una entidad de certificación (CA) determina los tipos de certificados que el usuario
puede solicitar y las opciones que puede configurar. Si se habilita, puede usar la página web
Solicitud de certificado avanzada para configurar las siguientes opciones para cada certificado
solicitado:


Plantilla de certificado (de una CA de empresa) o Tipo de certificado necesario (de una
CA independiente). Indica las aplicaciones para las que se puede usar la clave pública en el
certificado, como la autenticación de clientes o el correo electrónico.


Proveedor de servicios de cifrado (CSP). Los proveedores de servicios de cifrado se
encargan de crear claves, destruirlas y usarlas para realizar una serie de operaciones de
cifrado. Cada proveedor ofrece una implementación distinta de CryptoAPI. Algunos
proporcionan algoritmos de cifrado más seguros, mientras que otros usan componentes de
hardware, como las tarjetas inteligentes.


Tamaño de la clave. La longitud, en bits, de la clave pública del certificado. En general, las
claves largas resultan más difíciles de vulnerar para un usuario malintencionado que las
claves cortas.


Algoritmo hash. Un buen algoritmo hash hace que sea computacionalmente imposible
crear dos entradas independientes que tengan el mismo valor hash. Entre los algoritmos
hash típicos se incluyen MD2, MD4, MD5 y SHA-1.


Uso de la clave. Cómo se puede usar la clave privada. Intercambio quiere decir que la
clave privada se puede usar para permitir el intercambio de información confidencial. Firma
quiere decir que la clave privada sólo se puede usar para crear una firma digital. Ambos
quiere decir que la clave se puede usar para realizar funciones de intercambio y firma.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Crear conjunto de claves nuevo o Usar el conjunto de claves establecido. Puede usar
un par de clave privada y clave pública almacenado en el equipo o crear un par para un
certificado.


Habilitar protección segura de clave privada. Si habilita la protección segura de clave
privada, se le pedirá la contraseña cada vez que sea necesario usar la clave privada.


Marcar esta clave como exportable. Al marcar claves como exportables, puede guardar la
clave privada y la clave pública en un archivo PKCS #12. Resulta útil si cambia de equipo y
desea mover el par de claves o si desea quitar el par de claves y asegurarlas en otro lugar.


Almacenar el certificado en el almacén de certificados del equipo local. Seleccione
esta opción si el equipo va a necesitar obtener acceso a la clave privada asociada al
certificado cuando otros usuarios inicien una sesión. Seleccione esta opción cuando intente
enviar solicitudes de certificados a equipos (como servidores web) en vez de enviar
certificados a usuarios.


Formato de la solicitud. Esta sección se puede usar para seleccionar los formatos PKCS
#10 o CMC. Si desea enviar la solicitud más tarde, también puede seleccionar Guardar
solicitud en un archivo.
Usuarios o Administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para enviar una solicitud de certificado avanzada a través de web
1. Abra un explorador web.
2. Abra https://servername/certsrv, donde servername es el nombre del servidor web que
hospeda las páginas de inscripción en web de CA.
3. Haga clic en Solicitar un certificado.
4. Haga clic en Solicitud de certificado avanzada.
5. Haga clic en Crear y enviar una solicitud a esta CA.
6. Escriba la información de identificación solicitada y cualquier otra opción necesaria.
7. Haga clic en Enviar.
8. Realice una de estas acciones:


Si aparece la página web Certificado pendiente, vea el tema acerca de la
Comprobar una solicitud de certificado pendiente para obtener información acerca
del procedimiento para comprobar un certificado pendiente.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Si aparece la página web Certificado emitido, haga clic en Instalar este
certificado.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio sólo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Para que un usuario obtenga un certificado mediante la inscripción en web, el administrador
debe configurar los premisos adecuados en las plantillas de certificado en que se basa el
certificado solicitado.
Solicitar un certificado mediante un archivo PKCS #10 o PKCS #7
Se aplica a: Windows 7, Windows Server 2008 R2
No siempre es posible enviar una solicitud de certificado en línea a una entidad de certificación
(CA). En estos casos, es posible que pueda enviar la solicitud de certificado como un archivo
PKCS #7 o PKCS #10. En general, los archivos PKCS #10 se usan para enviar una solicitud de un
certificado nuevo, mientras que los archivos PKCS #7 se usan para enviar una solicitud para
renovar un certificado existente.
Para completar este procedimiento, el requisito mínimo es pertenecer al grupo Usuarios o
Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.
Para solicitar un certificado mediante un archivo PKCS #10 o PKCS #7
1. Abra un explorador web.
2. Abra https://servername/certsrv, donde servername es el nombre del servidor web que
hospeda las páginas de inscripción web de CA.
3. Haga clic en Solicitar un certificado y, a continuación, en Solicitud de certificado
avanzada.
4. Haga clic en Enviar una solicitud de certificados con un archivo codificado en base64
CMC o PKCS #10o una solicitud de renovación con un archivo codificado en base64
PKCS #7.
5. En el Bloc de notas, haga clic en Archivo, haga clic en Abrir, seleccione el archivo
PKCS #10 o PKCS #7 y, a continuación, haga clic en Edición, Seleccionar todo, Edición y
Copiar. En la página web, haga clic en el cuadro Guardar solicitud. Haga clic en Edición
y, a continuación, en Pegar para pegar el contenido de la solicitud de certificado en el
cuadro.
6. Si se va a conectar a una CA empresarial, elija la plantilla de certificado que desee usar.
7. Si tiene atributos que agregar a la solicitud de certificado, especifíquelos en Atributos
adicionales.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

8. Haga clic en Enviar.
9. Realice una de estas acciones:


Si aparece la página web Certificado pendiente, vea Comprobar una solicitud de
certificado pendiente.


Si se muestra la página web Certificado emitido, haga clic en Descargar cadena
de certificados. Guarde el archivo en el disco duro y, a continuación, importe el
certificado a su almacén de certificados. Para obtener información acerca del
procedimiento para importar un certificado, vea Importar un certificado.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


El servidor web para una CA debe estar configurado para usar autenticación HTTPS.


Si envía la solicitud e inmediatamente después aparece un mensaje en el que se le
pregunta si desea enviarla aunque no contenga una etiqueta "BEGIN" o "END", haga clic en
Aceptar.
Comprobar una solicitud de certificado pendiente
Se aplica a: Windows 7, Windows Server 2008 R2
Si envía una solicitud de certificado a una entidad de certificación (CA) empresarial de Windows, se
procesa de inmediato y se rechaza o se concede, a menos que la plantilla del certificado se haya
configurado para que requiera la aprobación de un administrador de certificados.
Cuando envíe una solicitud de certificado a una CA independiente de Windows, se procesará
inmediatamente o, de forma predeterminada, se considerará pendiente hasta que el administrador
de la CA apruebe o rechace la solicitud. En el caso de una solicitud pendiente, el solicitante del
certificado tendrá que usar las páginas de inscripción web de CA para comprobar el estado de los
certificados pendientes.
Para completar este procedimiento, el requisito mínimo es pertenecer al grupo Usuarios o
Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.
Para comprobar una solicitud de certificado pendiente
1. Abra un explorador web.
2. Abra https://servername/certsrv, donde servername es el nombre del servidor web que
hospeda las páginas de inscripción web de CA.
3. Haga clic en Ver el estado de una solicitud de certificado pendiente.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

4. Si no hay solicitudes de certificados pendientes, se mostrará un mensaje que lo indica. En
caso contrario, seleccione la solicitud de certificado que desee comprobar y haga clic en
Siguiente.
5. Compruebe las solicitudes de certificados pendientes:


En espera. Debe esperar a que el administrador de la CA emita el certificado. Para
quitar la solicitud de certificado, haga clic en Quitar.


Emitido. Para instalar el certificado, haga clic en Instalar este certificado.


Denegado. Póngase en contacto con el administrador de la entidad de certificación
para obtener más información.
6. Si ha terminado de usar las páginas de inscripción web de CA, cierre el explorador web.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.
Realizar inscripciones de certificados en nombre de otros usuarios
Se aplica a: Windows 7, Windows Server 2008 R2
Los usuarios no siempre pueden realizar una inscripción de un certificado en su propio nombre.
Puede ser el caso de un certificado de tarjeta inteligente de usuario. De forma predeterminada, solo
los administradores de dominio tienen permiso para solicitar un certificado en nombre de otro
usuario. No obstante, un usuario distinto del administrador de dominio puede tener obtener un
permiso para ser agente de inscripción. El usuario se convierte en un agente de inscripción
mediante la inscripción de un certificado de agente de inscripción.
Importante
Una vez que el usuario tiene el certificado de agente de inscripción, puede realizar una
inscripción de un certificado y generar una tarjeta inteligente en nombre de cualquier usuario de
la organización. La tarjeta inteligente resultante se puede usar para iniciar una sesión en la red
y suplantar al usuario real. Dada la gran capacidad del certificado de agente de inscripción, se
recomienda que la organización mantenga unas directivas de seguridad de alto nivel para estos
certificados.
La pertenencia al grupo Usuarios y un certificado de agente de inscripción son los requisitos
mínimos para completar este procedimiento. Revise los detalles de "Consideraciones adicionales"
en este tema.
Para realizar la inscripción de un certificado en nombre de otros usuarios
1. Abra el complemento Certificados para un usuario.
2. En el árbol de consola, expanda el almacén Personal y, a continuación, haga clic en
Certificados.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

3. En el menú Acción, apunte a Todas las tareas, Operaciones avanzadas y, a
continuación, haga clic en Inscribirse en nombre de para iniciar el asistente para
inscripción de certificados. Haga clic en Siguiente.
4. Busque el certificado de agente de inscripción que va a usar para firmar la solicitud de
certificado que está procesando. Haga clic en Siguiente.
5. Seleccione el tipo de certificado para el que desee inscribirse. Cuando esté preparado para
solicitar un certificado, haga clic en Inscribir.
6. Después de que el Asistente para renovación de certificados haya finalizado correctamente,
haga clic en Cerrar.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Para abrir el
complemento Certificados, vea Agregar el complemento Certificados a MMC.


Autoridades de registro


Se aplica a: Windows 7, Windows Server 2008 R2


Una autoridad de registro es un equipo configurado para que un administrador solicite y
recupere los certificados emitidos en nombre de otros usuarios.


No es necesario instalar la autoridad de registro en el mismo equipo que la entidad de
certificación para la que procesa las solicitudes de certificado.
Renovar un certificado
Se aplica a: Windows 7, Windows Server 2008 R2
Cada certificado tiene un período de validez. Después del final de dicho período, el certificado ya
no se considera una credencial aceptable ni utilizable. El complemento Certificados permite renovar
un certificado emitido desde una entidad de certificación (CA) de empresa de Windows antes o
después del final del período de validez mediante el Asistente para renovación de certificados.
Puede renovar el certificado con el mismo conjunto de claves que usó antes o con un conjunto de
claves nuevo. Esta decisión se puede basar en una serie de factores, entre los que se incluyen la
duración del certificado, la duración de la clave existente o futura, el valor de los datos protegidos
por el par de claves y la posibilidad de que un usuario malintencionado haya obtenido una clave
privada.
Antes de renovar un certificado, debe conocer:


La CA que emite el certificado.


(Opcional) Si desea un nuevo par de clave pública y privada para el certificado, el proveedor
de servicios de cifrado (CSP) que debe usarse para generar el par de claves.
Windows proporciona una notificación de expiración para que sepa que los certificados de usuario
o equipo específicos han expirado o están a punto de expirar. En la mayoría de los casos, la
inscripción automática renueva estos certificados la próxima vez que se conecta a la red e inicia
una sesión en el equipo.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

En los siguientes temas se incluyen los procedimientos para la renovación de certificados:


Renovar un certificado con una clave nueva


Renovar un certificado con la misma clave
Además, si pega el contenido de un archivo PKCS #7, puede renovar los certificados emitidos tanto
por entidades de certificación empresariales de Windows como por CA independientes de Windows
con las páginas de inscripción en Web de CA. Para obtener más información, consulte el siguiente
tema:


Solicitar un certificado mediante un archivo PKCS #10 o PKCS #7
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio sólo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.
Renovar un certificado con la misma clave
Se aplica a: Windows 7, Windows Server 2008 R2
La renovación de un certificado con la misma clave proporciona un nivel de compatibilidad máximo
con los usos anteriores del par de claves correspondiente, aunque no aumenta la seguridad del
certificado y el par de claves.
Los usuarios o administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para renovar un certificado con la misma clave
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola, expanda el almacén Personal y haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que está renovando.
4. En el menú Acción, seleccione Todas las tareas y Operaciones avanzadas y, a
continuación, haga clic en Renovar este certificado con la misma clave para iniciar el
Asistente para renovación de certificados.
5. Si se incluye más de un certificado en la ventana Solicitar certificados, seleccione el
certificado que desee renovar. Realice una de estas acciones:


Use los valores predeterminados para renovar el certificado.


Haga clic en Detalles y, a continuación, haga clic en Propiedades para proporcionar
su propia configuración de renovación de certificados. Es necesario conocer la
entidad de certificación (CA) que emite el certificado.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

6. Haga clic en Inscribir. Después de que el Asistente para renovación de certificados haya
finalizado correctamente, haga clic en Finalizar.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC.


Una vez renovado, el certificado antiguo se archivará.


Solamente puede usar este procedimiento para solicitar certificados de una CA empresarial.
Para solicitar certificados de una CA independiente, tiene que solicitar los certificados a
través de páginas web. Las páginas web para una CA de Windows están ubicadas en
http://servername/certsrv, donde servername es el nombre del servidor donde se hospeda la
CA.
Renovar un certificado con una clave nueva
Se aplica a: Windows 7, Windows Server 2008 R2
La renovación de un certificado con una clave nueva permite seguir usando un certificado existente
y los datos asociados, a la vez que se aumenta la seguridad de la clave asociada al certificado.
Esto puede ser conveniente si el uso de un certificado nuevo provoca interrupciones y el certificado
existente no se ha puesto en riesgo.
Para completar este procedimiento, el requisito mínimo es pertenecer al grupo Usuarios o
Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.
Para renovar un certificado con una clave nueva
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola, expanda el almacén Personal y, a continuación, haga clic en
Certificados.
3. En el panel de detalles, seleccione el certificado que va a renovar.
4. En el menú Acción, seleccione Todas las tareas y, a continuación, haga clic en Renovar
certificado con clave nueva para abrir el Asistente para renovación de certificados.
5. En el Asistente para renovación de certificados, realice una de las siguientes acciones:


Use los valores predeterminados para renovar el certificado.


(Solo para usuarios avanzados) Haga clic en Detalles y, a continuación, en
Propiedades para proporcionar su propia configuración de renovación de
certificados. Tiene que conocer el proveedor de servicios de cifrado (CSP) y la


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

entidad emisora de certificados (CA) que emite el certificado.

Debe seleccionar la longitud de clave de la clave pública (medida en bits) asociada
al certificado.

También puede optar por habilitar la protección de claves privadas seguras. Al
habilitar la protección de claves privadas seguras, garantizará que se pida la
contraseña cada vez que se use la clave privada. Esto es útil si desea asegurarse de
que la clave privada no se usa sin su conocimiento.
6. Cuando esté preparado para solicitar un certificado, haga clic en Inscribir. Después de que
el Asistente para renovación de certificados haya finalizado correctamente, haga clic en
Cerrar.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC.


Una vez renovado, el certificado antiguo y el par de claves se archivarán.


Solamente puede usar este procedimiento para solicitar certificados de una CA de empresa.
Para solicitar certificados de una CA independiente, tiene que solicitar los certificados a
través de páginas web. Las páginas web para una CA de Windows se encuentran en
http://servername/Certsrv, donde servername es el nombre del servidor que hospeda la CA.
Ver certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Los certificados se pueden emitir y usar para muchos propósitos. Puede ser útil examinar los
almacenes de certificados, la información y las propiedades de los certificados y la información
acerca de los certificados archivados y revocados.


Mostrar almacenes de certificados


Ver información de certificados


Ver las propiedades del certificado


Ver los certificados en un archivo PKCS #7


Mostrar certificados archivados


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Ver detalles de la lista de revocación de certificados
Mostrar almacenes de certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Mediante el complemento Certificados, puede mostrar el almacén de certificados de un usuario, un
equipo o un servidor según el propósito para el que se emitió el certificado o mediante sus
categorías de almacenamiento lógico. Cuando se muestran los certificados según sus categorías
de almacenamiento, también se puede optar por mostrar los almacenes físicos, incluida la jerarquía
de almacenamiento del certificado. Se recomienda sólo para usuarios con experiencia.
Si tiene derechos de usuario para hacerlo, puede importar o exportar certificados de cualquier
carpeta del almacén de certificados. Además, si la clave privada asociada con un certificado está
marcada como disponible para exportar, puede exportar ambos a un archivo PKCS #12.
Windows también puede publicar certificados en Servicios de dominio de Active Directory (AD DS).
La publicación de un certificado en AD DS permite a todos los usuarios o equipos que tengan los
permisos adecuados recuperar el certificado cuando sea necesario.
Almacenes de certificados
Los certificados se pueden mostrar por propósito o por almacenes lógicos, como se indica en la
tabla siguiente. De forma predeterminada, el complemento Certificados muestra los certificados por
almacenes lógicos.
Nota
La lista de almacenes de certificados por propósito no incluye todos los posibles casos.

Mostrar
por
Nombre de
carpeta Contenido
Almacén
lógico
Personal Certificados asociados a las claves privadas a las que tiene
acceso. Son los certificados que se han emitido para usted o
para el equipo o servicio cuyos certificados administra.
Entidades de
certificación raíz
de confianza
Entidades de certificación de confianza (CA) de forma
implícita. Incluye todos los certificados del almacén de otras
entidades de certificación raíz, además de los certificados raíz
de su organización y Microsoft.
Si es un administrador y desea agregar certificados de una
entidad de certificación que no es de Microsoft a este almacén
para todos los equipos de un dominio de Active Directory,
puede utilizar la directiva de grupo para distribuir certificados
raíz de confianza en su organización.
Confianza Un contenedor para las listas de certificados de confianza.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

empresarial Una lista de certificados de confianza proporciona un
mecanismo para confiar en los certificados raíz firmados de
otras organizaciones y limitar los propósitos para los que se
confía en esos certificados.
Entidades de
certificación
intermedias
Certificados emitidos para entidades de certificación
subordinadas. Si es administrador, puede usar la directiva de
grupo para distribuir certificados al almacén de entidades de
certificación intermedias.
Personas de
confianza
Certificados emitidos a personas o entidades finales en las
que se confía de forma explícita. Casi siempre, se trata de
certificados firmados por el propio emisor o certificados que
los que se confía de forma explícita en una aplicación como
Microsoft Outlook. Si es administrador, puede usar la directiva
de grupo para distribuir certificados al almacén de personas
de confianza.
Otras personas Certificados emitidos a personas o entidades finales en las
que se confía de forma implícita. Estos certificados tienen que
formar parte de una jerarquía de certificados de confianza. En
la mayoría de las ocasiones, se trata de certificados
almacenados en la caché para servicios como el Sistema de
cifrado de archivos (EFS), donde los certificados se usan para
crear la autorización de descifrado de un archivo cifrado.
Editores de
confianza
Certificados de entidades de certificación en las que se confía
mediante directivas de restricción de software. Si es
administrador de dominio, puede usar la directiva de grupo
para distribuir certificados al almacén de editores de
confianza.
Certificados no
permitidos
Son certificados en los que se ha decidido no confiar de forma
explícita mediante la directiva de restricción de software o
cuando se le presenta la decisión en el correo o en un
explorador web. Si es administrador de dominio, puede usar
la directiva de grupo para distribuir certificados al almacén de
certificados no permitidos.
Entidades de
certificación raíz
de tercero
Certificados raíz de confianza de entidades de certificación
distintas de Microsoft y su organización. No puede usar la
directiva de grupo para distribuir certificados al almacén de
entidades de certificación raíz de tercero.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Solicitudes de
inscripción de
certificado
Solicitudes de certificado pendientes o rechazadas.
Objeto de usuario
de Active
Directory
Certificados asociados a su objeto de usuario y publicados en
AD DS.
Propósito Autenticación del
servidor
Certificados que los programas servidor usan para
autenticarse ante los equipos cliente.
Autenticación del
cliente
Certificados que los programas cliente usan para autenticarse
ante los servidores.
Firma de código Certificados asociados a pares de claves usados para firmar
contenido activo.
Correo seguro Certificados asociados a pares de claves usados para firmar
mensajes de correo electrónico.
Sistema de
cifrado de
archivos
Certificados asociados a pares de claves que cifran y
descifran la clave simétrica usada para cifrar y descifrar datos
mediante el EFS.
Recuperación de
archivos
Certificados asociados a pares de claves que cifran y
descifran la clave simétrica usada para recuperar datos
cifrados mediante el EFS.
Cuando consulte los certificados por almacenes lógicos, ocasionalmente verá lo que parecen ser
dos copias del mismo certificado en el almacén. Esto se debe a que el mismo certificado se
encuentra en almacenes físicos independientes pertenecientes a un almacén lógico. Cuando el
contenido de los almacenes de certificados físicos se combina en una vista de almacén lógico, se
muestran ambas instancias del mismo certificado.
Puede comprobarlo al configurar las Opciones de vista de modo que se muestren los Almacenes
físicos de certificados y, a continuación, observar si el certificado se almacena en almacenes
físicos independientes en el mismo almacén lógico. Puede comprobar que es el mismo certificado
mediante la comparación de los números de serie.
Referencias adicionales


Más información acerca de los almacenes de certificados


Mostrar certificados por almacenes lógicos de certificados


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Mostrar certificados según su propósito


Mostrar certificados archivados


Mover certificados
Más información acerca de los almacenes de certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Windows almacena un certificado localmente en el equipo o el dispositivo que lo ha solicitado o, en
el caso de un usuario, en el equipo o el dispositivo que el usuario usó para solicitarlo. La ubicación
de almacenamiento se llama almacén de certificados. Normalmente, un almacén de certificados
tendrá muchos certificados, posiblemente emitidos por diferentes entidades de certificación.
Puede ver los certificados según su propósito (por ejemplo, Autenticación del cliente y Firma de
código) o según los roles lógicos (por ejemplo, Personal, Editoresde confianza o Entidades de
certificación raíz de confianza).
Además, puede usar las opciones del almacén de certificados para ver los certificados archivados y
la estructura de almacenamiento de los almacenes de certificados.
Referencias adicionales


Mostrar certificados por almacenes lógicos de certificados


Mostrar certificados según su propósito
Mostrar certificados por almacenes lógicos de certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Los almacenes de certificados lógicos organizan certificados en categorías funcionales lógicas para
usuarios, equipos y servicios. El uso de almacenes de certificados lógicos elimina la necesidad de
almacenar duplicados de objetos de clave pública comunes, como los certificados raíz de
confianza, las listas de certificados de confianza (CTL) y las listas de revocación de certificados
(CRL) para usuarios, equipos y servicios.
Para completar este procedimiento, el requisito mínimo es pertenecer al grupo Usuarios o
Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.
Para mostrar certificados por almacenes de certificados lógicos
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola, haga clic en actual, Certificados (equipo local) o en Certificados:
servicio.
3. En el menú Ver, haga clic en Opciones.
4. En Organizar el modo de visualización por, haga clic en Almacenes lógicos de
certificados y, a continuación, en Aceptar. El encabezado de la columna Nombre de
almacén lógico aparecerá en el panel de detalles.
Consideraciones adicionales


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC.


Cuando vea certificados por almacén lógico, verá ocasionalmente lo que parecen ser dos
copias del mismo certificado en el almacén. Esto se debe a que el mismo certificado se
encuentra en almacenes físicos independientes pertenecientes a un almacén lógico.
Cuando el contenido de los almacenes de certificados físicos se combina en una vista de
almacén lógico, se muestran ambas instancias del mismo certificado.

Puede comprobarlo al configurar la opción de vista de modo que se muestren los
almacenes de certificados físicos y, a continuación, observar que el certificado está
almacenado en almacenes físicos independientes en el mismo almacén lógico. Para
comprobar que es el mismo certificado, compare los números de serie.
Mostrar certificados según su propósito
Se aplica a: Windows 7, Windows Server 2008 R2
Puede ver y revisar los certificados según su uso (por ejemplo, la autenticación del cliente o la
recuperación de claves) y no según sus roles lógicos.
Usuarios o Administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para mostrar los certificados según su propósito
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola, haga clic en Certificados: usuario actual, Certificados (equipo
local) o Certificados: servicio.
3. En el menú Ver, haga clic en Opciones.
4. En Organizar el modo de visualización por, haga clic en Propósito del certificado y, a
continuación, en Aceptar. El encabezado de la columna Propósitos planteados aparecerá
en el panel de detalles.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio sólo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Para abrir el complemento Certificados, consulte Agregar el complemento Certificados a
MMC.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Ver información de certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Haga doble clic en un certificado para ver sus propiedades y usos previstos. Esta información se
muestra en tres fichas: General, Detalles y Ruta de certificación.


General (ficha)


Detalles (ficha)


Ruta de certificación (ficha)
General (ficha)
Se aplica a: Windows 7, Windows Server 2008 R2
Puede ver información acerca de los campos, las extensiones y las propiedades que definen un
certificado emitido si hace doble clic en uno de los certificados que se muestran en el almacén de
certificados.
Al hacer clic en la ficha General, se proporciona una introducción general al certificado, incluida la
siguiente información:


Usos admitidos del certificado. Información de resumen (por ejemplo, acerca de las
aplicaciones, la firma, el cifrado o la autenticación) relativa al uso del certificado. En esta
sección se explica también si el certificado ha expirado o si no es válido.


Entidad para la que se emitió el certificado. Nombre del destinatario del certificado. Los
destinatarios pueden ser usuarios finales, equipos o entidades como las entidades de
certificación (CA).


Emisor del certificado. Nombre de la CA que emitió el certificado.


Período de validez del certificado. Empieza en la fecha en que el certificado comienza a
ser válido y termina en la fecha en que el certificado expira.


Declaración del emisor. Al hacer clic en el botón Declaración del emisor, se abre una
ventana independiente que contiene información adicional sobre el certificado o una
dirección URL donde se puede obtener información adicional.
Detalles (ficha)
Se aplica a: Windows 7, Windows Server 2008 R2
La ficha Detalles proporciona la siguiente información acerca del certificado:


Versión. Número de versión de X.509.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Número de serie. Número de serie exclusivo que asigna al certificado la entidad de
certificación (CA) que lo emite. El número de serie es exclusivo para todos los certificados
emitidos por una CA determinada.


Algoritmo de firma. Algoritmo hash que la CA usa para firmar digitalmente el certificado.


Emisor. Información acerca de la CA que ha emitido el certificado.


Válido desde. Fecha en que el certificado empieza a ser válido.


Válido hasta. Fecha en que el certificado deja de ser válido.


Asunto. Nombre del usuario, equipo, dispositivo o CA para los que se ha emitido el
certificado. Si la CA emisora existe en un servidor de miembros de dominio en la empresa,
será un nombre distintivo dentro de ella. De lo contrario, puede ser un nombre completo y
una dirección de correo electrónico u otro identificador personal.


Clave pública. Tipo de clave pública y longitud asociada al certificado.


Algoritmo de identificación. Algoritmo hash que genera una síntesis de datos (o
identificación) para las firmas digitales.


Huella digital. Síntesis (o identificación) de los datos del certificado.


Nombre descriptivo. (Opcional) Un nombre para mostrar que se usará en lugar del nombre
en el campo Asunto.


Uso mejorado de claves. (Opcional) Propósitos para los que se puede usar este
certificado.
Existen extensiones X.509 v3 adicionales que pueden usarse en un certificado. Si las hay, también
se mostrarán.
Referencias adicionales


Períodos de validez de los certificados


Algoritmos hash


Proveedores de servicios de cifrado


Instrucciones para usar formatos de firma alternativos


Acerca de la validez de los certificados


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Cada certificado tiene un período de validez. Después del final de dicho período, el
certificado ya no se considera una credencial aceptable ni utilizable.


Puede renovar el certificado con el mismo conjunto de claves que usó antes o con un
conjunto de claves nuevo.


Antes de renovar el certificado, debe conocer la CA emisora. (Opcional) Si desea un nuevo
par de clave pública y privada para el certificado, es necesario saber quién es el proveedor
de servicios de cifrado (CSP) que debe usarse para generar el par de claves.


Para obtener más información, consulte Renovar un certificado con una clave nueva y
Renovar un certificado con la misma clave.


Además, para renovar los certificados emitidos tanto por CA empresariales como por CA
independientes con las páginas de inscripción en web de CA, puede pegar el contenido de
un archivo PKCS #7. Para obtener más información, consulte Solicitar un certificado
mediante un archivo PKCS #10 o PKCS #7.


Algoritmos hash


Se aplica a: Windows 7, Windows Server 2008 R2


Un algoritmo hash genera un valor hash de un dato, como un mensaje o una clave de
sesión. Con un algoritmo hash correcto, los cambios de los datos de entrada pueden
modificar cada bit del valor hash resultante. Por este motivo, los algoritmos hash resultan
útiles para detectar cualquier modificación de un objeto de datos como, por ejemplo, un
mensaje. Además, un buen algoritmo hash hace que sea computacionalmente imposible
crear dos entradas independientes que tengan el mismo valor hash. Entre los algoritmos
hash típicos se incluyen MD5, SHA-1 y SHA-256.


Referencias adicionales


Ruta de certificación (ficha)


Se aplica a: Windows 7, Windows Server 2008 R2


Si usa la ficha Ruta de certificación, puede ver la ruta de acceso del certificado
seleccionado las entidades de certificación (CA) que emiten el certificado.


Antes de confiar en un certificado, Windows debe comprobar si el certificado procede de
una fuente confiable. Este proceso de comprobación se llama validación de ruta.


La validación de ruta implica el procesamiento de certificados de clave pública, y el emisor
certifica de forma jerárquica hasta que la ruta de certificación termina en un certificado
autofirmado de confianza. Normalmente, se trata de un certificado de CA raíz. Si hay un
problema con uno de los certificados de la ruta o si no se encuentra un certificado, se
considera que la ruta de certificación no es de confianza.


Una ruta de certificación típica incluye un certificado raíz y uno o más certificados
intermedios. Al hacer clic en Ver certificado, puede obtener más información acerca de los
certificados para cada CA de la ruta.
Ver las propiedades del certificado
Se aplica a: Windows 7, Windows Server 2008 R2
El cuadro de diálogo Propiedades de certificado muestra los valores de las propiedades de
certificado en cuatro fichas.


Propiedades de certificado: ficha General


Propiedades del certificado: ficha Certificados cruzados


Ficha OCSP de propiedades de certificado


Ficha Validación extendida de Propiedades de certificado


Propiedades de certificado: ficha General


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Se aplica a: Windows 7, Windows Server 2008 R2


La ficha General se puede usar para proporcionar un nombre para mostrar y una
descripción que ayuden a diferenciar dos certificados que son similares, por ejemplo dos
certificados de firma únicos.


También se puede usar la ficha General para habilitar o deshabilitar propósitos o usos
específicos del certificado.
Nota
Solo se pueden agregar propósitos permitidos según las instrucciones y restricciones impuestas
al emitir el certificado por primera vez.
Propiedades del certificado: ficha Certificados cruzados
Se aplica a: Windows 7, Windows Server 2008 R2
Los certificados cruzados se usan para establecer la confianza entre jerarquías de certificación
independientes; por ejemplo, en redes independientes o en partes de una red. En estos casos, los
certificados cruzados se suelen configurar para:


Definir los espacios de nombres para los que los certificados emitidos en una jerarquía de
certificación se pueden usar y aceptar en la segunda jerarquía.


Especificar los usos admisibles de los certificados emitidos por una entidad de certificación
(CA) de certificados cruzados.


Definir las prácticas de emisión que se deben seguir para un certificado emitido por una CA
de certificados cruzados con el fin de que se considere válido en la otra jerarquía.


Crear una confianza administrada entre jerarquías de certificación independientes.
La ficha Certificados cruzados se puede usar para agregar las ubicaciones de descarga de
certificados cruzados.
Si se usan certificados cruzados, en la información de la ficha Certificados cruzados se describe
qué tipos de restricciones se aplicaron, si procede.
Los certificados cruzados se pueden usar en entornos de intranet y extranet.
Ficha OCSP de propiedades de certificado
Se aplica a: Windows Server 2008 R2
Los administradores usan la ficha OCSP para agregar direcciones URL del Respondedor del
Protocolo de estado de certificados en línea (OCSP) a certificados de la entidad de certificación
(CA) emisora, que se distribuyen mediante la directiva de grupo a miembros del dominio de Active
Directory. Esto permite a las organizaciones agregar Respondedores de OCSP a una
infraestructura de clave pública (PKI) existente sin tener que volver a emitir el certificado de CA o
cualquier certificado emitido anteriormente por la CA. Las direcciones URL del Respondedor de
OCSP proporcionadas de este modo se usan para comprobar el estado de revocación de los
certificados emitidos por la CA.
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo
Administradores de organización.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para agregar una dirección URL del Respondedor de OCSP a un certificado de CA
1. Haga clic en Inicio y, a continuación, en Ejecutar. Escriba gpmc.msc y, a continuación,
haga clic en Aceptar para abrir la Consola de administración de directivas de grupo
(GPMC).
2. En el árbol de consola, expanda el bosque y el dominio que contienen la directiva que
desea modificar y, a continuación, haga clic en Objetos de directiva de grupo.
3. Haga clic con el botón secundario en la directiva que desee modificar y, a continuación,
haga clic en Editar.
4. En el árbol de consola, en Configuración del equipo, expanda Directivas, Configuración
de Windows, Configuración de seguridad, Directivas de clave pública y Entidades de
certificación intermedias.
5. Si no se muestra ningún certificado de CA, exporte el certificado de CA desde la CA
emisora e impórtelo en Entidades de certificación intermedias. Vea Exportar un
certificado.
6. Haga clic con el botón secundario en el certificado de CA, haga clic en Propiedades y, a
continuación, haga clic en la ficha OCSP.
7. Escriba una dirección URL del Respondedor de OCSP y haga clic en Agregar URL.
8. Si desea impedir que los miembros de dominio descarguen las CRL de las ubicaciones de
puntos de distribución de CRL especificadas en los certificados emitidos, active la casilla
Deshabilitar listas de revocación de certificados (CRL).
Precaución
No se recomienda deshabilitar las CRL. El OCSP tiene prioridad sobre las CRL cuando se
proporcionan direcciones URL para ambos. Sin embargo, el proceso de comprobación de
revocación determina cuándo la descarga y el almacenamiento en caché de una única CRL es
más eficaz que varias solicitudes de OCSP.
9. Haga clic en Aceptar para guardar los cambios.
Nota
Los miembros del dominio aplican los cambios en la directiva de grupo periódicamente según el
intervalo de actualización de la directiva de grupo, durante el inicio del equipo y durante el inicio
de sesión de usuario. El intervalo de actualización predeterminado es de 90 minutos. Para
actualizar inmediatamente la directiva de grupo en un miembro del dominio, ejecute el comando
Gpupdate.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Ficha Validación extendida de Propiedades de certificado
Se aplica a: Windows Server 2008 R2
Los administradores usan la ficha Validación extendida para agregar una directiva de certificado
de validación extendida para certificados raíz que se distribuyen por directiva de grupo. La adición
de la directiva de certificado de validación extendida a certificados raíz y certificados emitidos para
sitios web de Intranet ofrece un indicador visual de que un sitio es de confianza.
Estos procedimientos se deben completar para usar certificados de validación extendida para sitios
web de Intranet.
1. Agregue una directiva de certificado de validación extendida a una plantilla de certificado.
2. Agregue una directiva de certificado de validación extendida a un certificado raíz.
3. Emita certificados de validación extendida para sitios web de Intranet.
Adición de una directiva de certificado de validación extendida a una plantilla de certificado
Además del certificado raíz, la directiva de certificado de validación extendida también se debe
incluir en certificados emitidos para sitios web de la intranet y en todos los certificados de entidad
de certificación (CA) de emisión en la ruta de acceso de certificación.
En este procedimiento, puede modificar una plantilla de certificado que se usa para emitir
certificados de servidor web en la organización o cualquier plantilla de certificado que cumpla los
siguientes requisitos.


La plantilla de certificado es de la versión 2 o de la versión 3.


El propósito del certificado incluye la firma y el cifrado.


La extensión de la directiva de aplicación incluye la autenticación del servidor.
La CA de emisión debe cumplir los requisitos siguientes:


La ruta de certificación del certificado de CA de emisión incluye un certificado raíz que
incluye una directiva de certificado de validación extendida.


El certificado de CA de emisión incluye la directiva Todas las directivas de emisión o la
directiva de certificado de validación extendida.


La CA de emisión es una CA empresarial.
Para poder completar este procedimiento, el requisito mínimo es pertenecer al grupo
Administradores de empresas.
Para agregar una directiva de certificado de validación extendida a una plantilla de
certificado


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

1. En la CA de emisión, abra el Administrador del servidor. En el árbol de consola, expanda
Roles, expanda Servicios de certificados de Active Directory y, a continuación, haga clic
en Plantillas de certificado.
2. Haga doble clic en una plantilla que se use para emitir certificados para sitios web de
Intranet.
3. Haga clic en la ficha Extensiones.
4. Haga clic en Directivas de aplicación y, a continuación, haga clic en Editar para abrir el
cuadro de diálogo Editar extensión de directivas de aplicación.
5. Haga clic en Agregar para abrir el cuadro de diálogo Agregar directivas de aplicación.
6. Haga clic en Nueva para abrir el cuadro de diálogo Nueva directiva de aplicación.
7. Escriba un nombre para la directiva de certificado de validación extendida. El nombre
aparecerá en las extensiones de certificados emitidos y en las propiedades de plantilla del
complemento Plantillas de certificado.
8. Un valor de identificador de objeto único (denominado también OID) se genera
automáticamente. Copie el valor del identificador de objeto para usarlo en el siguiente
procedimiento. Haga clic en Aceptar.
9. En la lista Directivas de aplicación, seleccione la directiva que ha creado. Haga clic en
Aceptar.
10. Haga clic en Aceptar para guardar la extensión de directiva de aplicación. En la ficha
Extensiones, compruebe que la directiva de certificado de validación extendida aparece en
el cuadro Descripción de directivas de aplicación.
11. Haga clic en la ficha Seguridad. Compruebe que los grupos o usuarios que solicitan
certificados para sitios web de la intranet tiene los permisos Leer e Inscribir.
12. Haga clic en Aceptar para guardar la plantilla de certificado.
13. En el árbol de consola, haga doble clic en la CA.
14. En el árbol de consola, haga clic con el botón secundario en Plantillas de certificado, haga
clic en Nueva y, a continuación, haga clic en Plantilla de certificado que se va a emitir
para abrir el cuadro de diálogo Habilitar plantillas de certificados.
15. Seleccione la plantilla de certificado con la directiva de certificado de validación extendida y
haga clic en Aceptar.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Adición de una directiva de certificado de validación extendida a un certificado raíz
Para poder completar este procedimiento, el requisito mínimo es pertenecer al grupo
Administradores de empresas.
Para agregar una directiva de certificado de validación extendida a un certificado raíz
1. Haga clic en Inicio y, a continuación, en Ejecutar. Escriba gpmc.msc y haga clic en
Aceptar para abrir la Consola de administración de directivas de grupo (GPMC).
2. En el árbol de consola, expanda el bosque y el dominio que contiene la directiva que desea
editar y, a continuación, haga clic en Objetos de directiva de grupo.
3. Haga clic con el botón secundario en la directiva que desee modificar y, a continuación,
haga clic en Editar.
4. En el árbol de consola, en Configuración del equipo, expanda Directivas, Configuración
de Windows, Configuración de seguridad, Directivas de clave pública y Entidades de
certificación raíz de confianza.
5. Si no se muestra ningún certificado raíz, exporte el certificado de CA de la CA raíz e importe
el certificado en Entidades de certificación raíz de confianza. Vea Exportar un certificado.
6. Haga clic con el botón secundario en el certificado raíz, haga clic en Propiedades y, a
continuación, haga clic en la ficha Validación extendida.
7. Escriba un valor de identificador de objeto que represente la directiva de certificado de
validación extendida en la organización. Si ha creado la directiva de certificado de validación
extendida con el procedimiento anterior, use el mismo valor de identificador de objeto.
8. Haga clic en Agregar OID y, a continuación, haga clic en Aceptar para guardar los
cambios.
Nota
Los cambios de la directiva de grupo se aplican por miembros de dominio periódicamente
según el intervalo de actualización de la directiva de grupo, durante el inicio del equipo y
durante el inicio de sesión del usuario. El intervalo de actualización predeterminado es de 90
minutos. Para actualizar inmediatamente la directiva de grupo en un miembro del dominio,
ejecute el comando Gpupdate.

Ver los certificados en un archivo PKCS #7
Se aplica a: Windows 7, Windows Server 2008 R2
Si se exportan y guardan varios certificados como archivos PKCS #7 o si ha pasado algún tiempo
desde la creación del último archivo, puede que no sea obvio qué certificados contiene un archivo


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

PKCS #7. El siguiente procedimiento permite revisar los certificados incluidos en un archivo
PKCS #7.
Para poder completar este procedimiento debe pertenecer como mínimo al grupo Usuarios o
Administradores local. Revise los detalles en la sección "Consideraciones adicionales" de este
tema.
Para ver los certificados de un archivo #PKCS #7
1. Abra el Explorador de Windows.
2. Busque el archivo PKCS #7 que contiene los certificados que desea ver.
3. En el panel de detalles, haga doble clic en el archivo PKCS #7.
4. En el árbol de la consola, haga doble clic en la carpeta que contiene el archivo PKCS #7 y,
a continuación, haga clic en Certificados. Los certificados que contiene el archivo PKCS #7
se mostrarán en el panel de detalles.
Consideraciones adicionales


Normalmente, un archivo PKCS #7 tiene la extensión de archivo .p7b, pero no siempre es
así. Como con cualquier otro archivo de datos, el creador del archivo tiene control sobre el
nombre y sobre si se usa o no esta extensión.
Mostrar certificados archivados
Se aplica a: Windows 7, Windows Server 2008 R2
Los certificados archivados son certificados que han expirado o que se han renovado. En muchos
casos, es conveniente conservar los certificados archivados, en vez de eliminarlos. Por ejemplo,
podría mantener un certificado archivado para comprobar las firmas digitales de los documentos
antiguos que se firmaron con la clave del certificado que ahora se ha renovado o ha expirado.
Para completar este procedimiento, el requisito mínimo es la pertenencia al grupo Usuarios o
Administradores locales. Revise los detalles de "Consideraciones adicionales" en este tema.
Para mostrar certificados archivados
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el menú Ver, haga clic en Opciones.
3. En Mostrar lo siguiente, active la casilla Certificados archivados y haga clic en Aceptar.
4. Haga clic en uno de los almacenes de certificados. En el panel de detalles, los certificados
archivados se identifican con el atributo A en la columna Estado.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Ver detalles de la lista de revocación de certificados


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Se aplica a: Windows 7, Windows Server 2008 R2


Las listas de revocación de certificados (CRL) se usan para distribuir información acerca de
los certificados revocados a los usuarios, los equipos y las aplicaciones que intentan
comprobar la validez de los certificados.


En la ficha Lista de revocación se incluyen los números de serie de los certificados
revocados y la fecha de la revocación. El campo Entrada de revocación también puede
proporcionar información acerca de la razón por el que se revocó el certificado.


En la ficha General se proporciona información adicional acerca de la CRL, incluidos la CA
que emitió la CRL, la fecha en la que se emitió, la fecha en que se emitirá la siguiente CRL
y el nombre del punto de distribución CRL.
Modificar las propiedades de un certificado
Se aplica a: Windows 7, Windows Server 2008 R2
Puede modificar las propiedades de un certificado por varios motivos:


Adición o modificación de un nombre para mostrar para ayudar a distinguirlo de otros
certificados similares.


Cambio del propósito del certificado mediante la adición o la deshabilitación de propósitos.


Especificación de ubicaciones de descarga de certificados cruzados.
Los usuarios o administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
Para modificar las propiedades de un certificado
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola en el almacén lógico donde se almacena el certificado que desea
mover, haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que desea modificar.
4. En el menú Acción, haga clic en Propiedades.
5. Realice los cambios deseados:
a. Para cambiar el nombre para mostrar de un certificado, en Nombre descriptivo,
escriba el nombre nuevo.
b. Para cambiar la descripción del certificado, en Descripción, escriba la descripción
nueva.
c. Para habilitar todos los propósitos del certificado, en Propósitos de certificado,
haga clic en Habilitar todos los propósitos para este certificado.
d. Para deshabilitar todos los propósitos del certificado, en Propósitos de certificado,
haga clic en Deshabilitar todos los propósitos para este certificado.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

e. Para designar un propósito específico para el certificado, en Propósitos de
certificado, haga clic en Habilitar sólo los siguientes propósitos y seleccione las
casillas correspondientes.
f. Para modificar las propiedades de los certificados cruzados, haga clic en la ficha
Certificados cruzados, haga clic en Especifique ubicaciones adicionales de
certificados cruzados, escriba la dirección URL en que se pueden obtener los
certificados cruzados y haga clic en Agregar dirección URL.
g. Haga clic en Aceptar para aceptar todos los cambios.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador.
Eliminar un certificado
Se aplica a: Windows 7, Windows Server 2008 R2
Los certificados pueden quedarse obsoletos por una serie de motivos (por ejemplo, si se ponen en
peligro, se dañan o se sustituyen por un certificado nuevo). No obstante, aunque el certificado se
elimine, no se elimina la clave privada correspondiente.
Importante
Antes de eliminar un certificado, asegúrese de que no va a necesitarlo más adelante para
propósitos como la lectura de documentos anteriores cifrados con la clave privada del
certificado.
Para completar este procedimiento, el requisito mínimo es pertenecer al grupo Usuarios o
Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.
Para eliminar un certificado
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola, en el almacén lógico que contenga el certificado que vaya a eliminar,
haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que desee eliminar. Para seleccionar
varios certificados, mantenga presionada la tecla CTRL y haga clic en cada certificado.
4. En el menú Acción, haga clic en Eliminar.
5. Haga clic en Sí si está seguro de que desea eliminar de forma definitiva el certificado.
Consideraciones adicionales


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solamente los puede administrar un administrador o
un usuario que tenga los permisos correspondientes.


Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC.


Puede ser recomendable exportar el certificado para hacer una copia de seguridad antes de
eliminarlo. Para obtener información acerca del procedimiento para exportar un certificado,
vea Exportar un certificado.
Buscar certificados
Se aplica a: Windows 7, Windows Server 2008 R2
El cuadro Buscar certificados permite encontrar certificados según los criterios que especifique.
Para completar este procedimiento, el requisito mínimo es pertenecer al grupo Usuarios o
Administradores local. Revise los detalles en "Consideraciones adicionales" de este tema.
Para buscar un certificado
1. En el árbol de consola, haga clic en el nodo superior Certificados de un usuario, un equipo
o un servicio.
2. En el menú Acción, haga clic en Buscar certificados.
3. Escriba la información solicitada. Están disponibles las opciones siguientes:


Buscar en. Busca en un almacén de certificados determinado o en todos ellos.


Buscar en el campo. Permite limitar una búsqueda a uno de los siguientes campos:


Emitido por. El nombre o parte del nombre del emisor.


Emitido para. El nombre o parte del nombre de la entidad para la que se emitió el
certificado.


Hash MD5. El valor de huella digital o parte del valor de huella digital del hash
MD5 usado para este certificado.


Número de serie. El número de serie o parte del número de serie del certificado.


Hash SHA1. El valor de huella digital o parte del valor de huella digital del hash
SHA1 usado para este certificado.


Contiene. El nombre, parte del nombre, el número de serie, parte del número de
serie, el valor de huella digital o parte del valor de huella digital que desee buscar.
4. Después de especificar la información necesaria, haga clic en Buscar ahora.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solamente los puede administrar un administrador o
un usuario que tenga los permisos correspondientes.
Mover certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Muchas aplicaciones buscan un certificado sólo en un almacén de certificados. Si el certificado no
se encuentra en el almacén de certificados que necesita, puede moverlo de un almacén a otro.
Los usuarios o administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para mover un certificado
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el almacén lógico donde se almacena el certificado que desea mover, haga clic en
Certificados.
3. En el panel de detalles, haga clic en el certificado que está moviendo. (Para seleccionar
más de un certificado, mantenga presionada la tecla CTRL y haga clic en cada certificado).
4. En el menú Acción, haga clic en Cortar.
5. En el árbol de consola, haga clic en el almacén lógico al que desea mover el certificado.
6. En el menú Acción, haga clic en Pegar.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio solo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC.


En el complemento Certificados, solo puede mover un objeto dentro de los almacenes de
certificados. Por ejemplo, no puede mover un objeto a una carpeta en el Explorador de
Windows. Para mover un certificado a o desde una carpeta del sistema de archivos o de un
dispositivo de almacenamiento extraíble, vea Importar un certificado, Exportar un certificado
y Exportar un certificado con la clave privada.
Importar un certificado
Se aplica a: Windows 7, Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Sólo debe importar los certificados obtenidos de fuentes de confianza. Importar un certificado no
confiable podría comprometer la seguridad de cualquier componente del sistema que usara el
certificado importado.
Puede importar un certificado en cualquier almacén lógico o físico. En la mayoría de los casos,
importará los certificados en el almacén personal o en el almacén de las entidades de certificación
raíz de confianza, en función de si el certificado es para usted o si es un certificado de entidad de
certificación (CA) raíz.
Usuarios o Administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para importar un certificado
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola, haga clic en el almacén lógico en el que desee importar el
certificado.
3. En el menú Acción, seleccione Todas las tareas y haga clic en Importar para iniciar el
Asistente para importación de certificados.
4. Escriba el nombre del archivo que contiene el certificado que se va a importar. (También
puede hacer clic en Examinar y navegar hasta el archivo).
5. Si es un archivo PKCS #12, haga lo siguiente:


Escriba la contraseña usada para cifrar la clave privada.


(Opcional) Si desea poder usar la protección de clave privada segura, active la
casilla Habilitar la protección segura de clave privada.


(Opcional) si desea realizar una copia de seguridad o transportar sus claves
posteriormente, active la casilla Marcar esta clave como exportable.
6. Realice una de estas acciones:


Si el certificado debe colocarse automáticamente en un almacén de certificados
según el tipo de certificado, haga clic en Seleccionar automáticamente el almacén
de certificados en base al tipo de certificado.


Si desea especificar dónde se almacena el certificado, seleccione Colocar todos
los certificados en el siguiente almacén, haga clic en Examinar y seleccione el
almacén de certificados que desee usar.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio sólo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Para abrir el complemento Certificados, consulte Agregar el complemento Certificados a
MMC.


Al habilitar la protección de claves privadas seguras se asegurará de que se pida una
contraseña cada vez que se use la clave privada. Esto es útil si desea asegurarse de que la
clave privada no se usa sin su conocimiento.


El archivo del que importa los certificados permanecerá intacto después de que haya
terminado de importar los certificados. Puede usar el Explorador de Windows para eliminar
el archivo si ya no lo necesita.
Exportar un certificado
Se aplica a: Windows 7, Windows Server 2008 R2
Puede exportar un certificado para importar una copia a otro equipo o dispositivo o para almacenar
una copia en una ubicación segura.
Si va a exportar certificados para importarlos en un equipo en el que se ejecuta Windows, PKCS #7
es el formato de exportación preferido. Este formato conserva la cadena de entidades de
certificación (la ruta de certificación) de cualquier certificado que incluya contrafirmas asociadas a
las firmas.
Si va a exportar certificados para importarlos a un equipo en el que se ejecuta otro sistema
operativo, es posible que el formato PKCS #7 esté admitido. Si no está admitido, se proporcionan
el formato binario codificado con DER o el formato codificado en base 64 para asegurar la
interoperabilidad.
Para completar este procedimiento hay que pertenecer como mínimo al grupo Usuarios o
Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.
Para exportar un certificado
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.
2. En el árbol de consola, en el almacén lógico que contiene el certificado que se va a
exportar, haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que desee exportar.
4. En el menú Acción, seleccione Todas las tareas y haga clic en Exportar.
5. En el Asistente para exportación de certificados, haga clic en No exportar la clave privada.
(Esta opción solo aparecerá si la clave privada está marcada como exportable y tiene
acceso a ella).
6. Proporcione la información siguiente en el Asistente para exportación de certificados:


Haga clic en el formato de archivo que desee usar para almacenar el certificado
exportado: un archivo codificado mediante DER, un archivo codificado base 64 o un
archivo PKCS #7.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Si exporta el certificado a un archivo PKCS #7, también puede incluir todos los
certificados de la ruta de certificación.
7. Si es necesario, en Contraseña, escriba una contraseña para cifrar la clave privada que va
a exportar. En Confirmar contraseña, escriba la contraseña otra vez y haga clic en
Siguiente.
8. En Nombre de archivo, escriba el nombre y la ruta de acceso del archivo PKCS #7 en el
que se almacenarán el certificado exportado y la clave privada. Haga clic en Siguiente y,
después, en Finalizar.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio sólo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.


Para abrir el complemento Certificados, consulte Agregar el complemento Certificados a
MMC.


Después de finalizar el Asistente para exportación de certificados, el certificado
permanecerá en el almacén de certificados, además de en el nuevo archivo. Si desea quitar
el certificado del almacén de certificados, tendrá que eliminarlo.
Exportar un certificado con la clave privada
Se aplica a: Windows 7, Windows Server 2008 R2
En algunos casos puede que desee exportar un certificado con su clave privada para almacenarlo
en un medio extraíble o para su uso en otro equipo. Hay algunas restricciones para este
procedimiento:


Una clave privada solo se puede exportar cuando se especifica en la solicitud de certificado
o la plantilla de certificado utilizadas para crear el certificado.


De forma predeterminada, la protección de alto nivel (también conocida como iteration
count) está habilitada en el Asistente para exportación de certificados cuando se exporta un
certificado con su clave privada asociada. La protección segura no es compatible con
algunos programas, por lo que deberá desactivar la casilla Permitir protección segura si
utiliza la clave privada con algún programa que no sea compatible con la protección segura.
Usuarios o Administradores locales son las pertenencias a grupos mínimas requeridas para
completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.
Para exportar un certificado con la clave privada
1. Abra el complemento Certificados para un usuario, un equipo o un servicio.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

2. En el árbol de consola, en el almacén lógico que contenga el certificado que vaya a
exportar, haga clic en Certificados.
3. En el panel de detalles, haga clic en el certificado que desee exportar.
4. En el menú Acción, seleccione Todas las tareas y haga clic en Exportar.
5. En el Asistente para exportación de certificados, haga clic en Exportar la clave privada.
(Esta opción sólo aparecerá si la clave privada está marcada como exportable y tiene
acceso a ella).
6. En Formato de archivo de exportación, realice alguna de las siguientes acciones y, a
continuación, haga clic en Siguiente.


Para incluir todos los certificados en la ruta de certificación, active la casilla Si es
posible, incluir todos los certificados en la ruta de acceso de certificación.


Para eliminar la clave privada si la exportación es correcta, active la Eliminar la
clave privada si la exportación es correcta.


Para exportar las propiedades extendidas del certificado, active la casilla Exportar
todas las propiedades extendidas.
7. En Contraseña, escriba una contraseña para cifrar la clave privada que va a exportar. En
Confirmar contraseña, escriba la contraseña otra vez y haga clic en Siguiente.
8. En Nombre de archivo, escriba el nombre y la ruta de acceso del archivo PKCS #12 que
almacenará el certificado exportado y la clave privada. Haga clic en Siguiente y, después,
en Finalizar.
Después de finalizar el Asistente para exportación de certificados, el certificado permanecerá en el
almacén de certificados además de incluirse en el archivo recién creado. Si desea quitar el
certificado del almacén de certificados, tendrá que eliminarlo.
Consideraciones adicionales


Un usuario o un administrador puede administrar los certificados de usuario. Los certificados
emitidos para un equipo o un servicio sólo los puede administrar un administrador o un
usuario que tenga los permisos correspondientes.
Automatizar la administración de certificados
Se aplica a: Windows 7, Windows Server 2008 R2
La administración de certificados de forma individual puede ser una tarea laboriosa, si no imposible.
Muchas organizaciones administran los certificados con la configuración de directiva de grupo
establecida en un servidor y aplicada a los equipos cliente de un dominio, un grupo o una unidad
organizativa. Las siguientes opciones se pueden ver en un equipo cliente, aunque se suelen
configurar en un servidor.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Credenciales móviles


Validación de rutas de certificados
Credenciales móviles
Se aplica a: Windows 7, Windows Server 2008 R2
Las credenciales móviles permiten a las organizaciones administrar certificados y claves privadas
en Servicios de dominio de Active Directory (AD DS), además de información acerca del estado de
la aplicación o la configuración.
Cómo funcionan las credenciales móviles
Las credenciales móviles usan los mecanismos de inscripción automática e inicio de sesión para
descargar certificados y claves de forma segura en un equipo local siempre que el usuario inicie
una sesión y, si se desea, quitarlos cuando el usuario cierra la sesión. Además, la integridad de
estas credenciales se mantiene en todas las condiciones, incluso cuando se actualizan los
certificados o cuando los usuarios inician una sesión en más de un equipo al mismo tiempo.
En el procedimiento siguiente se describe el funcionamiento de las credenciales digitales móviles.
1. Un usuario inicia una sesión en un equipo cliente conectado a un dominio de Active
Directory.
2. Como parte del proceso de inicio de sesión, se aplica la directiva de grupo de credenciales
móviles al equipo del usuario.
3. Si es la primera vez que se usan las credenciales móviles, los certificados del almacén de
certificados del usuario en el equipo cliente se copian en AD DS.
4. Si el usuario ya tiene certificados en AD DS, los certificados del almacén de certificados del
usuario del equipo cliente se comparan con los certificados almacenados para el usuario en
AD DS.
5. Si los certificados del almacén de certificados del usuario están actualizados, no se realiza
ninguna otra acción. Sin embargo, si AD DS tiene almacenados certificados más recientes
para el usuario, estas credenciales se copian en el equipo cliente. Sin embargo, si el equipo
cliente tiene almacenados certificados más recientes para el usuario, estas credenciales se
copian en AD DS.
6. Si se necesitan certificados adicionales en el equipo cliente, se procesan las solicitudes de
inscripción automática de certificados pendientes.
Nota
Los certificados recién emitidos se almacenan en el almacén de certificados del equipo cliente y


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

se replican en AD DS.
7. Cuando el usuario inicia una sesión en otro equipo cliente conectado al dominio, se aplica la
misma configuración de directiva de grupo y, una vez más, las credenciales se replican
desde AD DS. Las credenciales móviles sincronizan y resuelven los posibles conflictos entre
los certificados y las claves privadas de los equipos cliente en los que inicie una sesión el
usuario, así como en AD DS.
Importante
Es posible que en los entornos con múltiples dominios y en los dominios con varios
controladores de dominio, las credenciales no estén inmediatamente disponibles cuando el
usuario inicia una sesión en la red con un controlador de dominio justo después de haberse
emitido un certificado en un equipo que valida la identidad del usuario con otro controlador de
dominio. Las credenciales solo estarán disponibles cuando haya finalizado la replicación entre
los dos dominios o controladores de dominio.
8. Cuando el certificado del usuario expira, el certificado antiguo se archiva automáticamente
en el perfil del usuario en el equipo y en AD DS.
Las credenciales móviles se activan cada vez que cambia una clave privada o un certificado en el
almacén de certificados local del usuario, siempre que el usuario bloquea o desbloquea su equipo,
y siempre que se actualiza la directiva de grupo.
Se firman y se cifran todas las comunicaciones relacionadas con los certificados entre los
componentes del equipo local y entre el equipo local y AD DS.
Validación de rutas de certificados
Se aplica a: Windows 7, Windows Server 2008 R2
Dado que el uso de certificados para una comunicación segura y para la protección de los datos va
en aumento, los administradores pueden usar la directiva de certificado de confianza para
aumentar el control del uso de los certificados y el rendimiento de la infraestructura de claves
públicas mediante el uso de la configuración de validación de rutas de certificados.
La configuración de validación de rutas de certificados en la directiva de grupo permite a los
administradores:


Administrar certificados raíz de confianza. Esta configuración de directiva permite controlar
en qué certificados de entidad de certificación (CA) raíz y en qué certificados de confianza
del mismo nivel de los almacenes de certificados de usuario y certificados raíz se puede
confiar.


Administrar editores de confianza. Esta configuración de directiva controla qué certificados
de firma de código (Authenticode) se pueden aceptar para su uso en la organización y
bloquea los certificados que no son de confianza según la directiva.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Administrar la recuperación de red y la validación de rutas. Esta configuración de directiva
se puede usar para compensar situaciones en las que se produce un error de descarga de
una lista de revocación de certificados (CRL) porque la CRL es demasiado grande y las
condiciones de red no son óptimas.


Directiva de administración de comprobación de revocación. Esta configuración de directiva
se puede usar para coordinar el uso de CRL y Respondedores en línea durante la
comprobación de revocación. Esta opción también permite al administrador ampliar la
vigencia de las duraciones recibidas de un Respondedor en línea o una CRL.
Administrar certificados raíz de confianza
Se aplica a: Windows 7, Windows Server 2008 R2
Debido al creciente número de certificados que se usan en la actualidad y de emisiones de
certificados, algunas organizaciones administran los certificados de confianza e impiden a los
usuarios del dominio configurar su propio conjunto de certificados raíz de confianza. Además,
puede que algunas organizaciones deseen identificar y distribuir certificados raíz de confianza
específicos para habilitar escenarios empresariales en los que son necesarias las relaciones de
confianza.
Este tema incluye procedimientos para las siguientes tareas:


Administrar certificados raíz de confianza en un equipo local


Administrar certificados raíz de confianza en un dominio


Agregar certificados al almacén de entidades de certificación raíz de confianza en un equipo
local


Agregar certificados al almacén de entidades de certificación raíz de confianza en un
dominio
Administrar certificados raíz de confianza en un equipo local
Para poder completar este procedimiento debe pertenecer como mínimo al grupo
Administradores.
Para administrar certificados raíz de confianza en un equipo local
1. Haga clic en Inicio y en Iniciar búsqueda, escriba mmc y, a continuación, presione
ENTRAR.
2. En el menú Archivo, haga clic en Agregar o quitar complemento.
3. En Complementos disponibles, haga clic en Editor de objetos de directiva de grupo
local,haga clic en Agregar, seleccione el equipo cuyo objeto de directiva de grupo (GPO)
local desee editar y, a continuación, haga clic en Finalizar.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

4. Si no tiene más complementos que agregar a la consola, haga clic en Aceptar.
5. En el árbol de consola, vaya a Directiva de equipo local, Configuración de equipo,
Configuración de Windows, Configuración de seguridad y, a continuación, haga clic en
Directivas de clave pública.
6. Haga doble clic en Configuración de validación de rutas de certificadosy, a
continuación,haga clic en la ficha Almacenes.
7. Active la casilla Definir esta configuración de directiva.
8. En Almacenes de certificados por usuario, desactive las casillas Permitir el uso de
entidades de certificación raíz para validar certificados y Permitir que los usuarios
confíen en certificados de confianza del mismo nivel.
9. En Almacenes de certificados raíz, seleccione la entidad de certificación raíz en la que los
equipos cliente pueden confiar y, a continuación, haga clic en Aceptar para aplicar la nueva
configuración.
Administrar certificados raíz de confianza en un dominio
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del
dominio.
Para administrar certificados raíz de confianza en un dominio
1. Abra Administrador del servidor y, en Resumen de características, haga clic en
Agregar características. Active la casilla Administración de directivas de grupo, haga
clic en Siguiente y, a continuación, haga clic en Instalar.
2. Una vez que la página Resultados de la instalación muestra que la instalación de la
Consola de administración de directivas de grupo (GPMC) es correcta, haga clic en Cerrar.
3. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Administración de directivas de grupo.
4. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y
dominio que contiene el GPO de la Directiva de dominio predeterminada que desea
editar.
5. Haga clic con el botón secundario en el GPO de la Directiva de dominio predeterminada
y, a continuación, haga clic en Editar.
6. En GPMC, vaya a Configuración del equipo, Configuración de Windows,
Configuración de seguridad y haga clic en Directivas de clave pública.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

7. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Almacenes.
8. Active la casilla Definir esta configuración de directiva.
9. En Almacenes de certificados por usuario, desactive las casillasPermitir el uso de
entidades de certificación raíz para validar certificados y Permitir que los usuarios
confíen en certificados de confianza del mismo nivel.
10. En Almacenes de certificados raíz, seleccione la entidad de certificación raíz en la que los
equipos cliente pueden confiar y, a continuación, haga clic en Aceptar para aplicar la nueva
configuración.
Agregar certificados al almacén de entidades de certificación raíz de confianza en un equipo
local
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo
Administradores.
Para agregar certificados al almacén de entidades de certificación raíz de confianza en un
equipo local
1. Haga clic en Inicio y en Iniciar búsqueda, escriba mmc y, a continuación, presione
ENTRAR.
2. En el menú Archivo, haga clic en Agregar o quitar complemento.
3. En Complementos disponibles, haga clic en Certificados y,a continuación, haga clic en
Agregar.
4. En Este complemento administrará siempre certificados de, haga clic en Cuenta de
equipo y, a continuación, en Siguiente.
5. Haga clic en Equipo local y en Finalizar.
6. Si no tiene más complementos que agregar a la consola, haga clic en Aceptar.
7. En el árbol de consola, haga doble clic en Certificados.
8. Haga clic con el botón secundario en el almacén Entidades de certificación raíz de
confianza.
9. Haga clic en Importar para importar los certificados y siga los pasos del Asistente para
importación de certificados.
Agregar certificados al almacén de entidades de certificación raíz de confianza en un
dominio


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del
dominio.
Para agregar certificados al almacén de entidades de certificación raíz de confianza en un
dominio
1. Abra Administrador del servidor y, en Resumen de características, haga clic en
Agregar características. Active la casilla Administración de directivas de grupo, haga
clic en Siguiente y, a continuación, haga clic en Instalar.
2. Una vez que la página Resultados de la instalación muestra que la instalación de GPMC
es correcta, haga clic en Cerrar.
3. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Administración de directivas de grupo.
4. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y
dominio que contiene el GPO de la Directiva de dominio predeterminada que desea
editar.
5. Haga clic con el botón secundario en el GPO de la Directiva de dominio predeterminada
y, a continuación, haga clic en Editar.
6. En GPMC, vaya a Configuración del equipo, Configuración de Windows,
Configuración de seguridad y haga clic en Directivas de clave pública.
7. Haga clic con el botón secundario en el almacén Entidades de certificación raíz de
confianza.
8. Haga clic en Importar y siga los pasos del Asistente para importación de certificados para
importar los certificados.
Administrar editores de confianza
Se aplica a: Windows 7, Windows Server 2008 R2
La firma de software se usa cada vez más entre los editores de software y los programadores para
comprobar si las aplicaciones proceden de un origen de confianza. No obstante, muchos usuarios
no entienden o prestan poca atención a los certificados de firma asociados a las aplicaciones que
instalan.
La configuración de directiva de la ficha Editores de confianza de la directiva de validación de
rutas de certificados permite a los administradores controlar qué certificados se pueden aceptar
como procedentes de un editor de confianza.
Este tema incluye procedimientos para las siguientes tareas:


Establecer la configuración de la directiva Editores de confianza en un equipo local


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Establecer la configuración de la directiva Editores de confianza en un dominio


Permitir que solo los administradores puedan administrar los certificados usados para la
firma de código en un equipo local


Permitir que solo los administradores puedan administrar los certificados usados para la
firma de código en un dominio
Establecer la configuración de la directiva Editores de confianza en un equipo local
Para poder completar este procedimiento debe pertenecer como mínimo al grupo
Administradores.
Para establecer la configuración de la directiva Editores de confianza en un equipo local
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a
continuación, presione ENTRAR.
2. En el árbol de consola, en Directiva de equipo local\Configuración del
equipo\Configuración de Windows\Configuración de seguridad, haga clic en Directivas
de clave pública.
3. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Editores de confianza.
4. Active la casilla Definir esta configuración de directiva, seleccione la configuración de
directiva que desea aplicar y, a continuación, haga clic en Aceptar para aplicar la nueva
configuración.
Establecer la configuración de la directiva Editores de confianza en un dominio
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del
dominio.
Para establecer la configuración de la directiva Editores de confianza en un dominio
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en
Administrador de servidores.
2. En Resumen de características, haga clic en Agregar características. Active la casilla
Administración de directivas de grupo, haga clic en Siguiente y, a continuación, haga
clic en Instalar.
3. Una vez que la página Resultados de la instalación muestra que la instalación de la
Consola de administración de directivas de grupo (GPMC) es correcta, haga clic en Cerrar.
4. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Administración de directivas de grupo.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

5. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y
dominio que contiene el objeto de directiva de grupo (GPO) de la Directiva
predeterminada de dominio que desea editar.
6. Haga clic con el botón secundario en el GPO de la Directiva de dominio predeterminada
y, a continuación, haga clic en Editar.
7. En el árbol de consola, en Configuración del equipo\Configuración de
Windows\Configuración de seguridad, haga clic en Directivas de clave pública.
8. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Editores de confianza.
9. Active la casilla Definir esta configuración de directiva, seleccione la configuración de
directiva que desea aplicar y, a continuación, haga clic en Aceptar para aplicar la nueva
configuración.
Permitir que solo los administradores puedan administrar los certificados usados para la
firma de código en un equipo local
Para poder completar este procedimiento debe pertenecer como mínimo al grupo
Administradores.
Para que sólo los administradores puedan administrar los certificados usados para la firma
de código en un equipo local
1. Haga clic en Inicio, escriba gpedit.msc en Buscar programas y archivos y, a
continuación, presione ENTRAR.
2. En el árbol de consola, en Directiva de dominio predeterminada o Directiva de equipo
local, haga doble clic en Configuración del equipo, Configuración de Windows y
Configuración de seguridad y después haga clic en Directivas de clave pública.
3. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Editores de confianza.
4. Active la casilla Definir esta configuración de directiva.
5. En Administración de editores de confianza, haga clic en Permitir que sólo los
administradores administren editores de confianza y, a continuación, haga clic en
Aceptar para aplicar la nueva configuración.
Permitir que solo los administradores puedan administrar los certificados usados para la
firma de código en un dominio
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del
dominio.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para que sólo los administradores puedan administrar los certificados usados para la firma
de código en un dominio
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en
Administrador de servidores.
2. En Resumen de características, haga clic en Agregar características. Active la casilla
Administración de directivas de grupo, haga clic en Siguiente y, a continuación, haga
clic en Instalar.
3. Una vez que la página Resultados de la instalación muestra que la instalación de GPMC
es correcta, haga clic en Cerrar.
4. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Administración de directivas de grupo.
5. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y
dominio que contiene el GPO de la Directiva de dominio predeterminada que desea
editar.
6. Haga clic con el botón secundario en el GPO de la Directiva de dominio predeterminada
y, a continuación, haga clic en Editar.
7. En el árbol de consola, en Configuración del equipo\Configuración de
Windows\Configuración de seguridad, haga clic en Directivas de clave pública.
8. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Editores de confianza.
9. Active la casilla Definir esta configuración de directiva, realice los cambios oportunos y, a
continuación, haga clic en Aceptar para aplicar la nueva configuración
Administrar la recuperación de red y la validación de rutas
Se aplica a: Windows 7, Windows Server 2008 R2
Para que sean eficaces, los datos relacionados con los certificados como es el caso de los
certificados raíz de confianza, los certificados cruzados y las listas de revocación de certificados
(CRL) se deben actualizar en el momento oportuno. Las opciones de recuperación de red y
validación de rutas permiten a los administradores:


Actualizar automáticamente los certificados en el programa de certificados raíz de Microsoft.


Configurar los valores de tiempo de espera de recuperación para las CRL y la validación de
rutas (los valores predeterminados altos pueden ser útiles si las condiciones de la red no
son óptimas).


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Habilitar la recuperación de certificados del emisor durante la validación de rutas.


Definir la frecuencia de descarga de los certificados cruzados.
Este tema incluye procedimientos para las siguientes tareas:


Aumentar la opción de tiempo de espera de recuperación en CRL amplias de un equipo
local


Aumentar la opción de tiempo de espera de recuperación en CRL amplias de un dominio
Administración de la recuperación de CRL
La obtención de datos de revocación de certificados en el momento oportuno es fundamental para
un uso seguro de los certificados. No obstante, se pueden producir problemas si se agota el tiempo
de espera de la comprobación de la validación y la recuperación de los datos de la revocación
debido a que se transmiten más datos de los previstos.
Las opciones de recuperación de red de la directiva de grupo de claves públicas permiten a los
administradores administrar los valores de tiempo de espera de recuperación de red.
Aumentar la opción de tiempo de espera de recuperación en CRL amplias de un equipo local
Administradores es la pertenencia a grupos mínima necesaria para completar este procedimiento.
Para aumentar la opción de tiempo de espera de recuperación en CRL amplias de un equipo
local
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a
continuación, presione ENTRAR.
2. En el árbol de consola, en Directiva de equipo local\Configuración del
equipo\Configuración de Windows\Configuración de seguridad, haga clic en Directivas
de clave pública.
3. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Recuperación de red.
4. Active la casilla Definir esta configuración de directiva.
5. En Configuración de tiempos predeterminados de espera para recuperación,
especifique un valor de tiempo de espera en el cuadro Tiempo predeterminado de espera
para recuperar direcciones URL (en segundos) y haga clic en Aceptar para aplicar la
nueva configuración.
Aumentar la opción de tiempo de espera de recuperación en CRL amplias de un dominio
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del
dominio.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para aumentar la opción de tiempo de espera de recuperación en CRL amplias de un
dominio
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en
Administrador del servidor.
2. En Resumen de características, haga clic en Agregar características. Active la casilla
Administración de directivas de grupo, haga clic en Siguiente y, a continuación, haga
clic en Instalar.
3. Una vez que la página Resultados de la instalación muestra que la instalación de la
Consola de administración de directivas de grupo (GPMC) es correcta, haga clic en Cerrar.
4. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Administración de directivas de grupo.
5. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y
dominio que contiene el objeto de directiva de grupo (GPO) de la Directiva
predeterminada de dominios que desea editar.
6. Haga clic con el botón secundario en el GPO de la Directiva predeterminada de dominios
y, a continuación, haga clic en Editar.
7. En el árbol de consola, en Configuración del equipo\Configuración de
Windows\Configuración de seguridad, haga clic en Directivas de clave pública.
8. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Recuperación de red.
9. Active la casilla Definir esta configuración de directiva.
10. En Configuración de tiempos predeterminados de espera para recuperación,
especifique un valor de tiempo de espera en el cuadro Tiempo predeterminado de espera
para recuperar direcciones URL (en segundos) y haga clic en Aceptar para aplicar la
nueva configuración.
Directiva de administración de comprobación de revocación
Se aplica a: Windows 7, Windows Server 2008 R2
La revocación de un certificado invalida un certificado como credencial de seguridad de confianza
antes de la expiración programada de su período de validez. Una infraestructura de clave pública
(PKI) depende de la comprobación distribuida de las credenciales en las que no es necesario que
haya comunicación directa con la entidad de confianza central que avala dichas credenciales.
Para admitir de manera eficaz la revocación de certificados, el equipo cliente deberá determinar si
el certificado es válido o si ha sido revocado. Para permitir diversas situaciones, los Servicios de
certificados de Active Directory son compatibles con varios métodos de revocación de certificados


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

estándares del sector. Entre ellos se incluye la publicación de listas de revocación de certificados
(CRL) y las diferencias de CRL en diversas ubicaciones para que los clientes tengan acceso a
ellas, incluidos los Servicios de dominio de Active Directory, los servidores web y los recursos
compartidos de archivos de red. En Windows, los datos de la revocación también están disponibles
en una serie de opciones mediante las respuestas del estado del Protocolo de estado de
certificados en línea (OCSP).
Nota
Las CRL se publican en las ubicaciones de red especificadas de forma periódica, desde donde
las pueden descargar los equipos cliente. Las respuestas de OCSP son respuestas firmadas
digitalmente que indican si un certificado concreto se ha revocado o suspendido, o bien si su
estado es desconocido. Los servicios de respuesta de OCSP obtienen los datos de las CRL
publicadas o se pueden actualizar directamente desde la base de datos de estados de
certificados de una entidad de certificación (CA).
Además, la directiva de grupo de claves públicas permite a los administradores mejorar el uso de
las CRL y los servicios de respuesta de OCSP, sobre todo en situaciones en que las CRL son muy
amplias o las condiciones de la red reducen el rendimiento.
En este tema se incluyen procedimientos para realizar las siguientes tareas:


Configurar los valores de revocación en un equipo local


Configurar los valores de revocación en un dominio


Ampliar el período de validez para las respuestas de CRL y OCSP en un equipo local


Ampliar el período de validez para las respuestas de CRL y OCSP en un dominio
Configurar los valores de revocación en un equipo local
Para poder completar este procedimiento debe pertenecer como mínimo al grupo
Administradores.
Para configurar los valores de revocación en un equipo local
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a
continuación, presione ENTRAR.
2. En el árbol de consola, en Directiva de equipo local\Configuración del
equipo\Configuración de Windows\Configuración de seguridad, haga clic en Directivas
de clave pública.
3. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Revocación.
4. Active la casilla Definir esta configuración de directiva, seleccione las opciones de
directiva que desea aplicar y, a continuación, haga clic en Aceptar para aplicar la nueva
configuración.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Configurar los valores de revocación en un dominio
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del
dominio.
Para configurar los valores de revocación en un dominio
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en
Administrador de servidores.
2. En Resumen de características, haga clic en Agregar características. Active la casilla
Administración de directivas de grupo, haga clic en Siguiente y, a continuación, haga
clic en Instalar.
3. Una vez que la página Resultados de la instalación muestra que la instalación de la
Consola de administración de directivas de grupo (GPMC) es correcta, haga clic en Cerrar.
4. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Administración de directivas de grupo.
5. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y
dominio que contiene el objeto de directiva de grupo (GPO) de la Directiva
predeterminada de dominios que desea editar.
6. Haga clic con el botón secundario en el GPO de la Directiva predeterminada de dominios
y, a continuación, haga clic en Editar.
7. En el árbol de consola, en Configuración del equipo\Configuración de
Windows\Configuración de seguridad, haga clic en Directivas de clave pública.
8. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Revocación.
9. Active la casilla Definir esta configuración de directiva, seleccione las opciones de
directiva que desea aplicar y, a continuación, haga clic en Aceptar para aplicar la nueva
configuración.
Ampliar el período de validez para las respuestas de CRL y OCSP en un equipo local
Para poder completar este procedimiento debe pertenecer como mínimo al grupo
Administradores.
Para ampliar el período de validez para las respuestas de CRL y OCSP en un equipo local
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a
continuación, presione ENTRAR.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

2. En el árbol de consola, en Directiva de equipo local\Configuración del
equipo\Configuración de Windows\Configuración de seguridad, haga clic en Directivas
de clave pública.
3. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Revocación.
4. Active la casilla Definir esta configuración de directiva y, a continuación, active la casilla
Permitir que todas las respuestas CRL y OSCP sigan siendo válidas tras finalizar su
duración.
5. En el cuadro Tiempo que se puede ampliar el período de validez, especifique un valor en
horas y haga clic en Aceptar para aplicar la nueva configuración.
Ampliar el período de validez para las respuestas de CRL y OCSP en un dominio
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del
dominio.
Para ampliar el período de validez para las respuestas de CRL y OCSP en un dominio
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en
Administrador de servidores.
2. En Resumen de características, haga clic en Agregar características. Active la casilla
Administración de directivas de grupo, haga clic en Siguiente y, a continuación, haga
clic en Instalar.
3. Una vez que la página Resultados de la instalación muestra que la instalación de GPMC
es correcta, haga clic en Cerrar.
4. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Administración de directivas de grupo.
5. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y
dominio que contiene el GPO de la Directiva predeterminada de dominios que desea
editar.
6. Haga clic con el botón secundario en el GPO de la Directiva predeterminada de dominios
y, a continuación, haga clic en Editar.
7. En el árbol de consola, en Configuración del equipo\Configuración de
Windows\Configuración de seguridad, haga clic en Directivas de clave pública.
8. Haga doble clic en Configuración de validación de rutas de certificados y, a
continuación, haga clic en la ficha Revocación.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

9. Active la casilla Definir esta configuración de directiva y, a continuación, active la casilla
Permitir que todas las respuestas CRL y OSCP sigan siendo válidas tras finalizar su
duración.
10. En el cuadro Tiempo que se puede ampliar el período de validez, especifique un valor en
horas y haga clic en Aceptar para aplicar la nueva configuración.
Solucionar problemas relacionados con los certificados
Se aplica a: Windows 7, Windows Server 2008 R2
En esta sección se enumeran algunos problemas comunes que puede encontrar al usar el
complemento Certificados o al trabajar con los certificados.
¿Qué problema tiene?


No puedo realizar la inscripción de un certificado nuevo con el Asistente para solicitud de
certificados.


Aparece un mensaje que indica que debo realizar la inscripción de un certificado nuevo,
pero el proceso de inscripción no se realiza correctamente.


No puedo realizar la inscripción de un certificado nuevo a través de web.


No puedo seguir usando el certificado.
No puedo realizar la inscripción de un certificado nuevo con el Asistente para solicitud de
certificados.
Causa: el tipo de certificado solicitado no está disponible.
Solución: póngase en contacto con el administrador.
Aparece un mensaje que indica que debo realizar la inscripción de un certificado nuevo,
pero el proceso de inscripción no se realiza correctamente.
Causa: para que los clientes reciban los certificados, es necesario que se puedan poner en
contacto con la entidad de certificación (CA) que va a procesar la solicitud.
Solución: si la CA está desconectada, la solicitud de certificado se debe procesar manualmente
mediante su copia y traslado físico a la CA para su procesamiento. En caso contrario, espere hasta
que la CA vuelva a tener conexión e inténtelo de nuevo.
Causa: si la CA tiene conexión y no se puede realizar la inscripción, puede que los permisos de
inscripción automática no se hayan configurado correctamente.
Solución: el administrador debe modificar la lista de control de acceso para la plantilla de
certificado para conceder permisos de lectura, inscripción e inscripción automática para los
destinatarios del certificado.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

No puedo realizar la inscripción de un certificado nuevo a través de web.
Causa: las páginas de inscripción web de la CA en el servidor con el que intenta ponerse en
contacto se deben actualizar para procesar las solicitudes de certificado en esta versión de
Windows.
Solución: póngase en contacto con el administrador.
No puedo seguir usando el certificado.
Causa: el certificado ha expirado o no es válido para el propósito planteado.
Solución: vea el certificado para determinar la fecha de expiración. Si el certificado expiró, use el
Asistente para renovación de certificados para renovarlo. Si el certificado no expiró, compruebe si
es válido para el propósito deseado. Si no lo es, solicite un certificado nuevo para el propósito
deseado.




Plantillas de certificado
Se aplica a: Windows Server 2008 R2
Las plantillas de certificado pueden simplificar en gran medida la tarea de administrar una entidad
de certificación (CA) permitiendo a un administrador emitir certificados configurados previamente
para tareas seleccionadas. El complemento Plantillas de certificado permite a un administrador
llevar a cabo las siguientes tareas:


Ver las propiedades de cada plantilla de certificado


Copiar y modificar plantillas de certificado


Controlar qué usuarios y equipos pueden leer las plantillas e inscribirse para los certificados.


Realizar otras tareas administrativas relacionadas con las plantillas de certificado
Referencias adicionales


Conceptos de plantilla de certificado


Administración de plantillas de certificado


Solución de problemas de plantillas de certificado


Recursos adicionales para plantillas de certificado


Conceptos de plantilla de certificado


Se aplica a: Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Las plantillas de certificado son una parte fundamental de las entidades de certificación (CA)
de empresa. Constituyen un elemento importante de la directiva de certificado para un
entorno, que es el conjunto de reglas y formatos para la administración, uso e inscripción de
certificados.


Cuando una CA recibe una solicitud de certificado, deben aplicarse a dicha solicitud grupos
de reglas y opciones de configuración a fin de llevar a cabo la función solicitada, como la
emisión o la renovación de un certificado. Estas reglas pueden ser sencillas o complejas, y
pueden aplicarse a todos los usuarios o a grupos de usuarios específicos. Las plantillas de
certificado son conjuntos de reglas y opciones que se configuran en una CA para que se
apliquen a las solicitudes de certificado que se reciban. Las plantillas de certificado también
dan instrucciones al cliente sobre cómo crear y enviar una solicitud de certificado válida.


Los certificados basados en una plantilla de certificado sólo pueden ser emitidos por una CA
de empresa. Las plantillas se almacenan en Servicios de dominio de Active Directory (AD
DS) para su uso por parte de todas las CA del bosque. Esto permite a la CA tener acceso
en todo momento a la plantilla estándar actual y garantiza la aplicación uniforme de la
directiva de certificado en todo el bosque.


Los administradores de CA empresariales basadas en Windows Server 2008 pueden usar
una serie de plantillas de certificado predefinidas. Para obtener más información, consulte
Plantillas de certificado predeterminadas.


Las plantillas de certificado incorporadas en Windows Server 2008, Windows Server 2003 y
Windows 2000 admiten diferentes niveles de configuración. Para obtener más información,
consulte Versiones de plantillas de certificado.


Plantillas de certificado predeterminadas


Se aplica a: Windows Server 2008 R2


En las entidades de certificación (CA) empresariales basadas en Windows Server 2008, se
incluye una serie de plantillas de certificado configuradas previamente y diseñadas para
satisfacer las necesidades de la mayoría de las organizaciones. Dichas plantillas se
describen en la tabla siguiente.



Nombre Descripción
Uso de
claves
Tipo de
sujeto
¿Publicado en
Servicios de
dominio de
Active
Directory
(AD DS)?
Versión
de
plantilla
Administrador Permite la firma de
listas de confianza y la
autenticación de
usuarios.
Firma y
cifrado
Usuario Sí 1
Sesión
autenticada
Permite al sujeto
autenticarse en un
servidor web.
Firma Usuario No 1


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

EFS básico Usada por el Sistema
de cifrado de archivos
(EFS) para cifrar datos.
Cifrado Usuario Sí 1
Intercambio de
CA
Se usa para almacenar
claves que están
configuradas para el
archivo de claves
privadas.
Cifrado Equipo No 2
Cifrado CEP Permite al propietario
del certificado actuar
como autoridad de
registro para las
solicitudes del Protocolo
de inscripción de
certificados simple
(SCEP).
Cifrado Equipo No 1
Firma de código Se usa para firmar
software digitalmente.
Firma Usuario No 1
Equipo Permite a un equipo
autenticarse en la red.
Firma y
cifrado
Equipo No 1
Entidad de
certificación
cruzada
Se usa para
certificación cruzada y
subordinación
certificada.
Firma CA
certificada
de forma
cruzada
Sí 2
Replicación del
directorio de
correo
electrónico
Se usa para replicar
correo electrónico
dentro de AD DS.
Firma y
cifrado
Equipo Sí 2
Controlador de
dominio
Usada por
controladores de
dominio como
certificados para todos
los fines.
Firma y
cifrado
Equipo Sí 1
Autenticación Se usa para autenticar Firma y Equipo No 2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

de controlador
de dominio
usuarios y equipos de
Active Directory.
cifrado
Agente de
recuperación de
EFS
Permite al sujeto
descifrar archivos
cifrados previamente
con EFS.
Cifrado Usuario No 1
Agente de
inscripción
Se usa para solicitar
certificados en nombre
de otro sujeto.
Firma Usuario No 1
Agente de
inscripción (PC)
Se usa para solicitar
certificados en nombre
de otro PC.
Firma Equipo No 1
Intercambiar
agente de
inscripción
(solicitud sin
conexión)
Se usa para solicitar
certificados en nombre
de otro sujeto y
proporcionar el nombre
del sujeto en la solicitud.
Firma Usuario No 1
Intercambiar
sólo la firma
Usada por el Servicio de
administración de
claves de Microsoft
Exchange para emitir
certificados a usuarios
de Exchange para
firmar correo electrónico
digitalmente.
Firma Usuario No 1
Intercambiar
usuario
Usada por el Servicio de
administración de
claves de Microsoft
Exchange para emitir
certificados a usuarios
de Exchange para cifrar
correo electrónico.
Cifrado Usuario Sí 1
IPSEC Usada por el protocolo
de seguridad de Internet
(IPsec) para firmar,
cifrar y descifrar
Firma y
cifrado
Equipo No 1


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

digitalmente
comunicaciones de red.
IPSEC (solicitud
sin conexión)
Usada por IPsec para
firmar, cifrar y descifrar
digitalmente
comunicaciones de red
cuando el nombre del
sujeto se indica en la
solicitud.
Firma y
cifrado
Equipo No 1
Autenticación
Kerberos
Se usa para autenticar
usuarios y equipos de
Active Directory.
Firma y
cifrado
Equipo No 2
Key Recovery
Agent
Recupera claves
privadas que se
archivan en la CA.
Cifrado Key
Recovery
Agent
No 2
Firma de
respuesta de
OCSP
Usada por un servicio
Respondedor en línea
para firmar respuestas a
solicitudes de estado de
certificado.
Firma Equipo No 3
Servidor RAS e
IAS
Habilita servidores de
acceso remoto y
servidores de Servicio
de autenticación de
Internet (IAS) para que
autentiquen su identidad
en otros equipos.
Firma y
cifrado
Equipo No 2
Entidad de
certificación raíz
Se usa para demostrar
la identidad de la CA
raíz.
Firma CA No 1
Enrutador
(solicitud sin
conexión)
Usada por un enrutador
cuando se solicita a
través de una solicitud
SCEP desde una CA
que posee un certificado
Firma y
cifrado
Equipo No 1


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

de cifrado CEP.
Inicio de sesión
de Tarjeta
inteligente
Permite al propietario
autenticarse mediante
una tarjeta inteligente.
Firma y
cifrado
Usuario No 1
Usuario de
tarjeta
inteligente
Permite al propietario
autenticar y proteger el
correo electrónico
mediante una tarjeta
inteligente.
Firma y
cifrado
Usuario Sí 1
Entidad de
certificación
subordinada
Se usa para demostrar
la identidad de la CA
raíz. El emisor es la CA
raíz o primaria.
Firma CA No 1
Firma de listas
de confianza
Permite al propietario
firmar digitalmente una
lista de confianza.
Firma Usuario No 1
Usuario Usada por los usuarios
para autenticación de
correo electrónico, EFS
y cliente.
Firma y
cifrado
Usuario Sí 1
Sólo firma de
usuario
Permite a los usuarios
firmar datos
digitalmente.
Firma Usuario No 1
Servidor web Demuestra la identidad
de un servidor web.
Firma y
cifrado
Equipo No 1
Autenticación
de estación de
trabajo
Permite a los equipos
cliente que autentiquen
su identidad en los
servidores.
Firma y
cifrado
Equipo No 2


Cuando se duplica una plantilla de certificado de la versión 1 o de la versión 2, el duplicado
se puede convertir en una plantilla de las versiones 2 o 3 para poder configurar las opciones
avanzadas disponibles en las versiones más recientes. No obstante, las plantillas de
certificado de la versión 3 sólo pueden ser emitidas por CA empresariales basadas en
Windows Server 2008 y usadas por clientes en equipos que estén ejecutando Windows


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Server 2008 o Windows Vista. Para obtener más información, consulte Versiones de
plantillas de certificado.


Para obtener información sobre las opciones de configuración de plantillas de certificado,
consulte Configuración de una plantilla de certificado.
Versiones de plantillas de certificado
Se aplica a: Windows Server 2008 R2
Los Servicios de certificados de Active Directory (AD CS) proporcionan estas versiones de plantillas
de certificados disponibles en las entidades de certificación (CA) empresariales.
Plantillas de certificado de la versión 1
Las plantillas de certificado de la versión 1 admiten las necesidades generales de certificado y
proporcionan compatibilidad con los clientes y con las CA emisoras que ejecuten los sistemas
operativos de Windows 2000. Las plantillas de la versión 1 se instalan de manera predeterminada
durante la configuración de la CA y no pueden ser eliminadas. La única propiedad que puede
modificarse en la plantilla de la versión 1 es el conjunto de permisos asignados que controlan el
acceso a la plantilla.
Opciones de inscripción


Inscripción automática


Scripts personalizados


Las configuraciones de la solicitud de certificados automática en la directiva de grupo
sólo se puede usar para los certificados de equipo


Inscripción manual


Complemento certificados


Páginas de inscripción en web de CA
Disponibilidad de la plantilla


Todas las ediciones de Windows Server 2008 R2


Todas las ediciones de Windows Server 2008


Todas las ediciones de Windows Server 2003 R2


Todas las ediciones de Windows Server 2003


Todas las ediciones de Windows 2000 Server
Plantillas de certificado de la versión 2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Las plantillas de certificado de la versión 2 se presentaron en Windows Server 2003 y se pueden
configurar por un administrador para controlar la manera en que se solicitan, emiten y usan los
certificados. Las plantillas de la versión 2 proporcionan compatibilidad para la inscripción
automática de certificados.
Opciones de inscripción


Inscripción automática


Inscripción automática en Windows Server 2008, Windows Vista, Windows Server 2003 y
Windows XP Professional


Scripts personalizados


Inscripción manual


Asistente para inscripción de certificados


Páginas de inscripción en web de CA
Disponibilidad de la plantilla


Todas las ediciones de Windows Server 2008 R2


Windows Server 2008, Enterprise y Datacenter


Windows Server 2003 R2, Enterprise y Datacenter


Windows Server 2003, Enterprise y Datacenter
Plantillas de certificado de la versión 3
Además de las características y la inscripción automática de las plantillas de la versión 2, las
plantillas de certificado de la versión 3 admiten algoritmos criptográficos de Suite B. Suite B fue
creado por la National Security Agency de EE.UU. para especificar los algoritmos criptográficos que
deben usar los organismos gubernamentales de EE.UU. para mantener a salvo información
confidencial.
Disponibilidad de la plantilla


Todas las ediciones de Windows Server 2008 R2


Windows Server 2008, Enterprise y Datacenter
Referencias adicionales


Conceptos de plantilla de certificado


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Plantillas de certificado predeterminadas


Creación de una plantilla de certificado nueva


Configuración de la inscripción de certificados automática
Administración de plantillas de certificado
Se aplica a: Windows Server 2008 R2
En los temas de esta sección se describe cómo realizar las siguientes tareas básicas de
administración de plantillas de certificado.


Instalación del complemento Plantillas de certificado


Conexión a un controlador de dominio de escritura


Actualización de plantillas existentes


Creación de una plantilla de certificado nueva


Eliminar una plantilla de certificado


Cambiar el nombre de una plantilla de certificado


Configuración de una plantilla de certificado


Configuración de una plantilla de certificado


Emisión de certificados basados en plantillas de certificados
Instalación del complemento Plantillas de certificado
Se aplica a: Windows Server 2008 R2
El complemento Plantillas de certificado permite ver y administrar información crítica sobre todas
las plantillas de certificado de un dominio.
Entre los campos más importantes del complemento Plantillas de certificado se incluyen:


Nombre para mostrar plantilla: este campo describe el propósito del certificado. Cuando
una organización crea una plantilla de certificado personalizada, puede ser útil usar una
convención de nomenclatura que ayude a los administradores a identificar la entidad de
certificación (CA) o parte de la organización asociada a la plantilla.


Entidades de certificación con compatibilidad mínima: Las opciones configurables en
las plantillas de certificado basadas en Windows difieren en función de la versión del


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

sistema operativo. Por lo tanto, no todas las plantillas de certificado son compatibles con
todas las CA basadas en Windows Server.


Versión: si las configuraciones de la plantilla de certificado evolucionan a lo largo del
tiempo, la capacidad de realizar un seguimiento de la información de versión se vuelve
importante por motivos de compatibilidad y soporte técnico.
Es preciso ser administrador local para instalar el complemento Plantillas de certificado y
pertenecer a Admins. del dominio para usar el complemento Plantillas de certificado. Para
obtener más información, consulte Implementación de la administración basada en funciones.
Para instalar el complemento Plantillas de certificado
1. Haga clic en Inicio, Ejecutar y, a continuación, escriba mmc.
2. En el menú Archivo, haga clic en Agregar o quitar complemento.
3. En el cuadro de diálogo Agregar o quitar complementos, haga doble clic en el
complemento Plantillas de certificado para agregarlo a la lista. Haga clic en Aceptar.
De manera predeterminada, el complemento Plantillas de certificado se instala automáticamente al
instalar una CA en un servidor. El complemento Plantillas de certificado se puede instalar en un
servidor diferente mediante el Administrador del servidor para instalar las herramientas de los
Servicios de certificados de Active Directory (AD CS).
Es preciso ser administrador local para instalar las Herramientas de administración de servidor
remoto. Es preciso pertenecer al grupo Admins. del dominio para obtener acceso a las plantillas
de certificado de un dominio y administrarlas. Para obtener más información, vea el tema acerca de
la Implementación de la administración basada en funciones.
Para administrar plantillas de certificado desde un servidor remoto
1. Abra el Administrador del servidor.
2. En Resumen de características, haga clic en Agregar características.
3. Expanda Herramientas de administración de servidor remoto y Herramientas de
administración de funciones.
4. Active la casilla Servicios de certificados de Active Directory, haga clic en Siguiente y, a
continuación, haga clic en Instalar.
5. Cuando se haya completado el proceso de instalación, haga clic en Cerrar.
6. Haga clic en Inicio, escriba mmc y presione Entrar.
7. En el menú Archivo, haga clic en Agregar o quitar complemento.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

8. Haga clic en el complemento Plantillas de certificado, haga clic en Agregar, compruebe
que el controlador de dominio que alberga las plantillas de certificado que desea administrar
está seleccionado y, a continuación, haga clic en Aceptar.
Puede usar el complemento Plantillas de certificado para administrar plantillas de certificado en otro
dominio diferente.
Para llevar a cabo este procedimiento, es preciso ser un administrador de dominio o de empresa en
el otro dominio. Para obtener más información, vea el tema acerca de la Implementación de la
administración basada en funciones.
Para administrar las plantillas de certificado en un dominio diferente
1. Haga clic con el botón secundario en el complemento Plantillas de certificado y, a
continuación, haga clic en Conectar a otro controlador de dominio de escritura.
2. Para escribir el nombre de un dominio diferente, haga clic en Cambiar. Para seleccionar un
controlador de dominio diferente al existente, haga clic en Seleccione un controlador de
dominio de escritura.
3. Si ha seleccionado anteriormente un controlador de dominio alternativo, puede volver al
controlador de dominio original haciendo clic en Controlador de dominio de escritura
predeterminado.
Conexión a un controlador de dominio de escritura
Se aplica a: Windows Server 2008 R2
Si tiene varios controladores de dominio, puede que no todas las plantillas de certificado se
repliquen en todos los controladores de dominio, incluidos los controladores de dominio de sólo
lectura.
Nota
Los controladores de dominio de sólo lectura, introducidos en Windows Server 2008, son
controladores de dominio que albergan una copia de sólo lectura de la base de datos del
dominio.
No obstante, es posible recuperar o modificar plantillas de certificado desde un controlador de
dominio de escritura específico.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para obtener acceso a las plantillas de certificado de un controlador de dominio de escritura
1. Abra el complemento Plantillas de certificado.
2. En el árbol de consola, haga clic con el botón secundario en Plantillas de certificado y, a
continuación, haga clic en Conectar a otro controlador de dominio de escritura.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

3. Compruebe el nombre del dominio y haga clic en Aceptar.
Actualización de plantillas existentes
Se aplica a: Windows Server 2008 R2
Cuando se actualiza una entidad de certificación (CA), puede que sea necesario actualizar el
esquema de Active Directory para admitir los nuevos atributos de la plantilla de certificado. Para
obtener más información acerca de la actualización del esquema de Active Directory con
Adprep.exe, consulte la referencia de la línea de comandos
(http://go.microsoft.com/fwlink/?LinkID=20331) (puede estar en inglés).
Además, es necesario actualizar las plantillas de certificado a fin de incluir y configurar estos
atributos. Al actualizar las plantillas de certificado se aplican los permisos de seguridad adecuados
a las plantillas de certificado existentes y se instala cualquier plantilla de certificado nueva que esté
disponible.
Si no se lleva a cabo este procedimiento antes de actualizar las CA a Windows Server 2008 R2, se
le pedirá que lo haga al abrir el complemento Plantillas de certificado. Si en la empresa ya se ha
realizado este procedimiento, no verá ningún mensaje al abrir dicho complemento.
El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o
un grupo equivalente.
Para instalar plantillas nuevas y actualizar las existentes
1. Abra el complemento Plantillas de certificado.
2. Cuando se le indique que instale nuevas plantillas de certificado, haga clic en Aceptar.
Consideraciones adicionales


Una vez actualizada la CA e instaladas las plantillas de certificado, puede crear copias
nuevas de la versión 2 o 3 de cualquiera de las plantillas de certificado del dominio. Para
obtener más información, consulte Creación de una plantilla de certificado nueva.
Creación de una plantilla de certificado nueva
Se aplica a: Windows Server 2008 R2
Es posible crear una plantilla de certificado nueva duplicando una plantilla existente y usando las
propiedades de la misma como predeterminadas para la plantilla nueva. Las diferentes
aplicaciones y tipos de entidades de certificación (CA) admiten distintas plantillas de certificado. Por
ejemplo, algunas plantillas de certificado sólo pueden ser emitidas y administradas por CA
empresariales que ejecuten Windows Server 2003, y otras pueden exigir que la entidad de
certificación ejecute Windows Server 2008. Revise la lista de plantillas de certificado
predeterminadas y examine las propiedades de las mismas a fin de identificar la plantilla de
certificado que mejor satisfaga sus necesidades. De esta manera se reduce al mínimo el trabajo de
configuración que es necesario llevar a cabo.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o
un grupo equivalente. Para obtener más información, vea el tema acerca de la Implementación de
la administración basada en funciones.
Para crear una plantilla de certificado nueva
1. Abra el complemento Plantillas de certificado.
2. Haga clic con el botón secundario en la plantilla de la que desea copiar y, a continuación,
haga clic en Plantilla duplicada.
3. Elija la versión mínima de CA que desea admitir.
4. Escriba un nuevo nombre para esta plantilla de certificado.
5. Realice los cambios que sean necesarios y haga clic en Aceptar.
Eliminar una plantilla de certificado
Se aplica a: Windows Server 2008 R2
Es posible eliminar una plantilla de certificado cuando se desea que deje de estar disponible.
Cuando se elimina una plantilla de certificado, los certificados basados en la plantilla no se pueden
volver a emitir. Si se usan entidades de certificación (CA) de empresa, esto afectará a todas las CA
del bosque. Las plantillas de certificado no se pueden recuperar una vez que se eliminan.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para eliminar una plantilla de certificado
1. Abra el complemento Plantillas de certificado.
2. Haga clic con el botón secundario en la plantilla que desea eliminar y, a continuación, haga
clic en Eliminar.
3. Haga clic en Sí para confirmar que desea eliminar la plantilla.
Cambiar el nombre de una plantilla de certificado
Se aplica a: Windows Server 2008 R2
El administrador puede cambiar los nombres de las plantillas de certificado personalizadas. No se
pueden cambiar los nombres de las plantillas de certificado predeterminadas. Use el cuadro de
diálogo Cambiar nombres para cambiar el nombre de la plantilla y el nombre para mostrar
plantilla.
El nombre de la plantilla es un atributo de nombre común del objeto de plantilla de certificado en los
Servicios de dominio de Active Directory (AD DS) y sólo se actualiza ese objeto de plantilla cuando
se cambia el nombre de la plantilla. Si la plantilla modificada fue previamente publicada para emitir
entidades de certificación (CA) o agregada a una lista de plantillas reemplazadas, entonces esas
acciones deben repetirse para mantener la coherencia del entorno de la infraestructura de clave
pública (PKI).


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para cambiar el nombre de la plantilla de certificado
1. En la CA, abra el complemento Plantillas de certificado.
2. Haga clic en la plantilla que desea modificar. En el menú Acción, haga clic en Cambiar
nombres.
Nota
Cuando se selecciona un certificado predeterminado, no se muestra Cambiar nombres. No se
pueden cambiar los nombres de las plantillas de certificado predeterminadas.
3. Escriba un nuevo nombre en el cuadro Nombre de plantilla o en Nombre para mostrar
plantilla, o en ambos.
4. Haga clic en Aceptar para guardar los cambios.
Importante
Los cambios de nombre de la plantilla pueden requerir los siguientes procedimientos
adicionales:
 Si se reemplaza la plantilla modificada por otra, actualice la plantilla reemplazante
agregando la plantilla modificada a la lista de plantillas reemplazadas. Vea el tema acerca
del Reemplazar plantillas.
 Si se publicó la plantilla modificada para CA emisoras, actualice la lista de plantillas de
certificado en cada CA emisora. Vea el tema Agregar una plantilla de certificado a una
entidad de certificación.

Configuración de una plantilla de certificado
Se aplica a: Windows Server 2008 R2
Cuando se crea una plantilla de certificado nueva, también es posible personalizar sus
propiedades, extensiones y otras características generales importantes.


Administración de plantillas de certificado


Propiedades generales de plantillas de certificado


Extensiones de plantillas de certificado


Tratamiento de solicitudes


Criptografía


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Reemplazar plantillas


Nombres de sujeto


Servidor de plantillas de certificado
Propiedades generales de plantillas de certificado
Se aplica a: Windows Server 2008 R2
La ficha General contiene información sobre renovación y validez de los certificados que se emitan
basados en una plantilla de certificado.
Las opciones predeterminadas de períodos de renovación y validez para los certificados emitidos
por los Servicios de certificados de Active Directory (AD CS) han sido diseñadas para satisfacer la
mayoría de las necesidades de seguridad. No obstante, puede que desee especificar opciones de
renovación y validez diferentes, como períodos de duración o renovación más cortos para los
certificados de determinados grupos de usuarios.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para modificar el período de renovación o validez de una plantilla de certificado
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha General, compruebe los valores actuales de los períodos de validez y
renovación, modifíquelos como corresponda y, a continuación, haga clic en Aplicar.
La opción Publicar certificado en Active Directory determina si la información sobre la plantilla
de certificado se pondrá a disposición de toda la empresa.
La opción No volver a inscribir automáticamente si ya existe un certificado duplicado de
Active Directory se aplica cuando el sujeto intenta inscribirse para un certificado basado en esta
plantilla desde un equipo en el que se esté ejecutando Windows XP o posterior. Con esta opción, la
inscripción automática de certificados no enviará ninguna solicitud de nueva inscripción si existe un
certificado duplicado en Servicios de dominio de Active Directory (AD DS). Esto permite renovar los
certificados, pero impide que se emitan varios certificados duplicados.
La opción Para la renovación automática de certificados de tarjeta inteligente, usar la clave
existente si no se puede crear una clave nueva habilita la clave existente para que se use si no
se puede crear ninguna clave nueva durante la renovación de un certificado de tarjeta inteligente.
Esta opción ayuda a prevenir los errores de renovación de certificados de tarjeta inteligente que
podrían aparecer cuando una tarjeta inteligente se queda sin espacio en disco.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para configurar la publicación de certificados en AD DS


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha General, seleccione la opción de Active Directory que corresponda y, a
continuación, haga clic en Aplicar.
Extensiones de plantillas de certificado
Se aplica a: Windows Server 2008 R2
Una entidad de certificación (CA) procesa las solicitudes de certificado mediante un conjunto
definido de reglas. Las plantillas de certificado se pueden personalizar con una serie de
extensiones que regulan su uso. Estas extensiones pueden incluir:


Directivas de emisión. Una directiva de emisión (conocida también como directiva de
certificado o inscripción) es un grupo de reglas administrativas que se implementan al emitir
certificados. Dichas reglas se representan en un certificado mediante un identificador de
objeto (denominado también OID) que se define en la CA. Este identificador de objeto se
incluye en el certificado emitido. Cuando un sujeto presenta su certificado, éste puede
examinarse en el destino para comprobar la directiva de emisión y determinar si el nivel de
la misma es suficiente para llevar a cabo la acción solicitada. Para obtener más información,
consulte Requisitos de emisión.


Directivas de aplicación. Las directivas de aplicación otorgan la importante capacidad de
decidir qué certificados pueden usarse para determinados fines. Esto permite emitir
certificados tranquilamente sin tener que preocuparse de que se usen incorrectamente o
para fines distintos de los previstos. Las directivas de aplicación a veces se denominan uso
de claves extendido o mejorado. Puesto que algunas implementaciones de aplicaciones de
infraestructura de clave pública (PKI) no pueden interpretar las directivas de aplicación,
tanto dichas directivas de aplicación como las secciones de uso mejorado de claves
aparecen en los certificados emitidos por una CA basada en Windows Server. Para obtener
más información, consulte Directiva de aplicación.


Uso de claves. Los certificados permiten a los sujetos realizar determinadas tareas. Con el
fin de ayudar a controlar el uso de un certificado más allá de su finalidad pretendida, se
aplican restricciones a los certificados automáticamente. El uso de claves es un método de
restricción que determina el uso de un certificado. De esta forma, el administrador puede
emitir certificados que pueden usarse únicamente para tareas específicas, o bien
certificados que pueden usarse para una amplia gama de funciones. Para obtener más
información, consulte Uso de claves.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Archivo de claves. Cuando los sujetos pierden sus claves privadas, cualquier información
que se haya cifrado de forma persistente con la correspondiente clave pública queda
inaccesible. Para ayudar a evitar esta circunstancia, el archivo de claves permite cifrar y
archivar las claves de un sujeto en la base de datos de la CA cuando se emiten los
certificados. Si un sujeto pierde sus claves, la información puede recuperarse de la base de
datos y entregarse al sujeto. Esto permite recuperar la información cifrada en lugar de
perderla. Para obtener más información, consulte Tratamiento de solicitudes.


Restricciones básicas. Las restricciones básicas se usan para garantizar que los
certificados de CA se usan sólo en aplicaciones determinadas. Un ejemplo es la longitud de
la ruta de acceso, que se puede especificar como una restricción básica. La longitud de una
ruta de acceso define el número de CA permitidas por debajo de la CA actual. Esta
restricción de longitud de ruta de acceso garantiza que las CA situadas al final de dicha ruta
pueden usar únicamente certificados de entidad final, y no certificados de CA. Para obtener
más información, consulte Restricciones básicas.


Comprobación de no revocación de OCSP. Esta extensión aparece sólo en la nueva
plantilla de certificado Firma de respuesta de OCSP y en los duplicados derivados de dicha
plantilla. No puede agregarse a ninguna otra plantilla de certificado. Esta extensión indica a
la CA que incluya la extensión Comprobación de no revocación de OCSP (id-pkix-ocsp-
nocheck) en el certificado emitido y que no incluya en el mismo las extensiones de punto de
distribución Acceso a la información de entidad y Lista de revocación de certificados (CLR).
Esto se debe a que no se comprueba el estado de revocación de los certificados Firma de
respuesta de OCSP. Esta extensión se aplica sólo si la solicitud de certificado contiene
Firma de respuesta de OCSP en las directivas de aplicación y uso mejorado de clave.
Referencias adicionales


Configuración de una plantilla de certificado


Requisitos de emisión


Directiva de aplicación


Uso de claves


Restricciones básicas


Marcar la directiva de aplicación o de emisión como crítica
Requisitos de emisión
Se aplica a: Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Una entidad de certificación (CA) procesa las solicitudes de certificado mediante un conjunto
definido de reglas. La CA puede emitir algunos certificados sin prueba de identificación y requerir
dicha prueba para emitir otros tipos de certificados. Esto proporciona niveles de seguridad
diferentes para los distintos certificados. Dichos niveles de seguridad se representan en los
certificados como directivas de emisión.
Una directiva de emisión (conocida también como directiva de certificado o inscripción) es un grupo
de reglas administrativas que se implementan al emitir certificados. Dichas reglas se representan
en un certificado mediante un identificador de objeto (denominado también OID) que se define en la
CA. Este identificador de objeto se incluye en el certificado emitido. Cuando un sujeto presenta su
certificado, éste puede examinarse en el destino para comprobar la directiva de emisión y
determinar si el nivel de la misma es suficiente para llevar a cabo la acción solicitada.
Windows Server 2008 R2, Windows Server 2008 y Windows Server 2003 incluyen cuatro directivas
de emisión predefinidas:


Todas las directivas de emisión (2.5.29.32.0). Todas las directivas de emisión indica que
la directiva de emisión incluye a todas las otras directivas. Normalmente, este identificador
de objeto se asigna sólo a certificados de CA.


Seguridad baja (1.3.6.1.4.1.311.21.8.x.y.z.1.400). El identificador de objeto de seguridad
baja se usa para representar certificados que se emiten sin requisitos de seguridad
adicionales.
Nota
La porción x.y.z del identificador de objeto es una secuencia numérica generada al azar y única
para cada bosque de Active Directory.


Seguridad media (1.3.6.1.4.1.311.21.8.x.y.z.1.401). El identificador de objeto de seguridad
media se usa para representar certificados que tienen requisitos de seguridad adicionales
para la emisión. Por ejemplo, un certificado de tarjeta inteligente que se emita en una
reunión presencial con un emisor de tarjetas inteligentes puede considerarse un certificado
de seguridad media y contener el identificador de objeto de seguridad media.


Seguridad alta (1.3.6.1.4.1.311.21.8.x.y.z.1.402). El identificador de objeto de seguridad
alta se usa para representar certificados que se emiten con el máximo nivel de seguridad.
Por ejemplo, la emisión de un certificado de Key Recovery Agent podría requerir
comprobaciones adicionales en segundo plano y una firma digital de un responsable de
aprobación, ya que la persona que posee dicho certificado puede recuperar material de
clave privada de una CA de empresa.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Además, es posible crear identificadores de objetos propios para representar directivas de emisión
personalizadas.
Cuando los sujetos emiten solicitudes de certificados a una CA, dicha solicitud puede aprobarse
automáticamente o dejarse en un estado de "pendiente". Un estado pendiente se usa normalmente
para los certificados que requieren un nivel elevado de seguridad y, por lo tanto, más tareas de
administración y comprobación de la solicitud. Existe una serie de opciones que permiten
configurar los requisitos de autenticación y firma para certificados de emisión basados en una
plantilla.

Opción Descripción
Aprobación del
administrador de
certificados de entidad
de certificación
Todos los certificados se colocan en el contenedor de pendientes a la
espera de que un administrador de certificados los apruebe o
deniegue.
Este número de firmas
autorizadas
Esta opción requiere que uno o más sujetos firmen digitalmente la
solicitud de certificado para poder emitirla. Esto habilita varios
parámetros más de configuración.
Tipo de directiva que se
requiere en la firma
Las firmas necesarias para emitir un certificado deben contener una
directiva de aplicación específica, una directiva de emisión o ambas.
De esta manera, la CA determina si la firma es adecuada para
autorizar la emisión del certificado del sujeto. Esta opción se habilita
cuando se establece Este número de firmas autorizadas.
Directiva de aplicación Especifica la directiva de aplicación que se comprueba cuando se
firma una solicitud de certificado. Esta opción se habilita al establecer
Tipo de directiva que se requiere en la firma en Directiva de
aplicación o La directiva de aplicación y la de emisión.
Directiva de emisión Especifica la directiva de emisión que se comprueba cuando se firma
una solicitud de certificado. Esta opción se habilita al establecer Tipo
de directiva que se requiere en la firma en Directiva de emisión o
La directiva de aplicación y la de emisión.
La capacidad de modificar o crear directivas de aplicación nuevas sólo está disponible con las
plantillas de certificado de las versiones 2 y 3. Para obtener más información, consulte Plantillas de
certificado predeterminadas.
Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla modificada
si ya tienen un certificado válido basado en la plantilla anterior. Para obtener más información a
este respecto, consulte Volver a inscribir a todos los propietarios de certificados.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para modificar una directiva de emisión
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Requisitos de emisión.
4. Proporcione la información solicitada.
Directiva de aplicación
Se aplica a: Windows Server 2008 R2
Las directivas de aplicación otorgan la importante capacidad de decidir qué certificados pueden
usarse para determinados fines. Esto permite emitir certificados tranquilamente sin tener que
preocuparse de que se usen para fines distintos de los previstos.
Las directivas de aplicación son un conjunto de opciones que informan a un destino de que el
sujeto tiene un certificado que se puede usar para ejecutar una determinada tarea. Dichas reglas
se representan en un certificado mediante un identificador de objeto (denominado también OID)
que se define para una aplicación dada. Este identificador de objeto se incluye en el certificado
emitido. Cuando un sujeto presenta su certificado, el destinatario del certificado puede examinar
dicho certificado para comprobar la directiva de aplicación y determinar si el sujeto puede ejecutar
la acción solicitada.
Las directivas de aplicación a veces se denominan uso de claves extendido o mejorado. Puesto
que algunas implementaciones de aplicaciones de infraestructura de clave pública (PKI) no pueden
interpretar las directivas de aplicación, tanto dichas directivas de aplicación como las secciones de
uso mejorado de clave aparecen en los certificados emitidos por una entidad de certificación (CA)
basada en Windows Server. En la siguiente tabla se enumeran algunas directivas de aplicación de
uso habitual.

Propósito Identificador de objeto
Autenticación del cliente 1.3.6.1.5.5.7.3.2
Certificado de cifrado de CA 1.3.6.1.4.1.311.21.5
Inicio de sesión de tarjeta inteligente 1.3.6.1.4.1.311.20.2.2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Firma de documento 1.3.6.1.4.1.311.10.3.12
Recuperación de archivos 1.3.6.1.4.1.311.10.3.4.1
Recuperación de clave 1.3.6.1.4.1.311.10.3.11
Firma de listas de confianza de Microsoft 1.3.6.1.4.1.311.10.3.1
Subordinación certificada 1.3.6.1.4.1.311.10.3.10
Firmante de listas de raíz 1.3.6.1.4.1.311.10.3.9
La capacidad de modificar o crear directivas de aplicación nuevas sólo está disponible con las
plantillas de certificado de las versiones 2 y 3. Para obtener más información, consulte Plantillas de
certificado predeterminadas.
Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla modificada
si ya tienen un certificado válido basado en la plantilla anterior. Para obtener más información a
este respecto, consulte Volver a inscribir a todos los propietarios de certificados.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para agregar una directiva de aplicación
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha Extensiones, haga clic en Directivas de aplicación y, a continuación, haga clic
en Editar.
4. En Editar extensión de directivas de aplicación, haga clic en Agregar.
5. En Agregar directivas de aplicación, haga clic en la directiva de aplicación que desea
agregar y, a continuación, haga clic en Aceptar.
Puede que la directiva de aplicación que desea no esté disponible. En ese caso, puede crear una
directiva de aplicación nueva.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para crear una directiva de aplicación
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha Extensiones, haga clic en Directivas de aplicación y, a continuación, haga clic
en Editar.
4. En Editar extensión de directivas de aplicación, haga clic en Agregar.
5. En Agregar directivas de aplicación, haga clic en Nuevas.
6. Proporcione la información solicitada.
Referencias adicionales
Uso de claves
Se aplica a: Windows Server 2008 R2
Los certificados permiten a los sujetos realizar determinadas tareas. Con el fin de ayudar a
controlar el uso de un certificado más allá de su finalidad pretendida, se aplican restricciones a los
certificados automáticamente. Estas restricciones pueden aplicarse mediante la extensión del uso
de claves.
El uso de claves es un método de restricción que determina el uso de un certificado. De esta forma,
el administrador puede emitir certificados que pueden usarse únicamente para tareas específicas, o
bien certificados que pueden usarse para una amplia gama de funciones. Las descripciones del
uso de claves incluyen "Firma digital" y "Permitir sólo intercambio de claves con cifrado".
El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o
un grupo equivalente. Para obtener más información, vea el tema acerca de la Implementación de
la administración basada en funciones.
Para modificar el uso de claves
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha Extensiones, haga clic en Uso de la clave y, a continuación, haga clic en
Editar.
4. Seleccione las opciones de uso de claves que desee agregar o quitar y, a continuación,
haga clic en Aceptar dos veces.
Nota


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

No todas las opciones de uso de claves pueden modificarse en todas las plantillas de
certificado.
El uso de certificados también puede administrarse mediante la extensión de directivas de
aplicación. Para obtener más información, consulte Directiva de aplicación.
Restricciones básicas
Se aplica a: Windows Server 2008 R2
Las entidades de certificación (CA) deben tener un certificado para poder emitir certificados. Estas
entidades usan la clave privada asociada a dicho certificado para firmar digitalmente los
certificados emitidos. Cuando una CA obtiene un certificado de otra CA, es posible que la CA
primaria desee controlar si dicho certificado se puede usar para emitir certificados a otros
servidores de certificados. Esto es una restricción básica.
Las restricciones básicas se usan para garantizar que un certificado se usa sólo en aplicaciones
determinadas. Un ejemplo es la longitud de la ruta de acceso, que se puede especificar como una
restricción básica.
El siguiente procedimiento sólo funciona con plantillas de certificado que emiten certificados que
firman otros certificados, como las CA con certificación cruzada y CA raíz.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para cambiar las restricciones básicas
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha Extensiones, haga clic en Restricciones básicas y, a continuación, haga clic
en Editar.
4. En Edición de extensión de restricciones básicas, proporcione la información solicitada.
Consideraciones adicionales


Este procedimiento es aplicable a las plantillas de las versiones 2 y 3. Para obtener más
información, consulte Versiones de plantillas de certificado.
Marcar la directiva de aplicación o de emisión como crítica
Se aplica a: Windows Server 2008 R2
Un identificador de objeto debe describir todas las directivas de aplicación y de emisión que se
definan. La inclusión de un identificador de objeto de directiva de emisión en un certificado emitido


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

indica que dicho certificado se emitió satisfaciendo los requisitos de emisión asociados al objeto de
directiva de emisión.
De manera predeterminada, las directivas de aplicación o de emisión no son críticas. Convertirlas
en tales puede ayudar a garantizar que un certificado no se use de manera inadecuada. No
obstante, también incrementa las posibilidades de que el certificado no sea compatible con todas
las aplicaciones.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para marcar una directiva de aplicación o de emisión como crítica
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha Extensiones, haga clic en Directivas de emisión o Directivas de aplicación y,
a continuación, haga clic en Editar.
4. Active la casilla Marcar esta extensión como crítica.
5. Haga clic en Aceptar.
Consideraciones adicionales


Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla
modificada si ya tienen un certificado válido basado en la plantilla antigua. Para obtener más
información a este respecto, consulte Volver a inscribir a todos los propietarios de
certificados.
Referencias adicionales


Extensiones de plantillas de certificado


Identificadores de objeto


Requisitos de emisión


Directiva de aplicación


Tratamiento de solicitudes


Se aplica a: Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



La ficha Tratamiento de la solicitud define el propósito de una plantilla de certificado, los
proveedores de servicios de cifrado (CSP) compatibles, la longitud mínima de la clave, la
exportabilidad, las opciones de inscripción automática, y si debe solicitarse protección
segura de claves privadas.


Propósito del certificado


El propósito del certificado define el uso principal que se desea dar al certificado y puede
ser uno de los cuatro que se describen en la siguiente tabla.



Opción Propósito
Cifrado Contiene claves criptográficas para cifrado y descifrado.
Firma Contiene claves criptográficas para firmar datos únicamente.
Firma y cifrado Abarca todos los usos principales de la clave criptográfica de un
certificado, incluido el cifrado y descifrado de datos, el inicio de
sesión o la firma digital de datos.
Firma e inicio de sesión
mediante tarjeta
inteligente
Permite iniciar la sesión con una tarjeta inteligente y firmar datos
digitalmente; no se puede usar para cifrar datos.



Nota
El archivo de claves sólo es posible si el propósito del certificado se establece en Cifrado o
Firma y cifrado.


Opciones de archivo


Las entidades de certificación (CA) pueden archivar las claves de un sujeto en sus bases de
datos al emitirse los certificados. Si un sujeto pierde sus claves, la información puede
recuperarse de la base de datos y entregarse a los sujetos de forma segura.


Las opciones del archivo de claves de la siguiente tabla se establecen en la ficha
Tratamiento de la solicitud.



Opción Propósito
Archivar clave
privada de cifrado de
Si la CA emisora está configurada para el archivo de claves, la clave


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

sujeto privada del sujeto se archivará.
Permitir que la clave
privada se pueda
exportar
La clave privada del sujeto se puede exportar a un archivo para
realizar copias de seguridad o transferencias a otro equipo.
Borrar certificados
revocados o
caducados (no
archivar)
Si un certificado se renueva por motivos de expiración o revocación,
el certificado emitido anteriormente se quita del almacén de
certificados del sujeto. De forma predeterminada, esta opción no está
activada y se archiva el certificado.
Incluir los algoritmos
simétricos que
permite el sujeto
Cuando el sujeto solicita el certificado, puede proporcionar una lista
de algoritmos simétricos compatibles. Esta opción permite a la CA
emisora incluir dichos algoritmos en el certificado, aun cuando no
sean reconocidos o admitidos por ese servidor.


Opciones de acciones de usuario


La ficha Tratamiento de la solicitud también permite definir varias de las opciones de
entrada de usuario que se describen en esta tabla para una plantilla de certificado.



Opción Propósito
Inscribir el sujeto sin exigir
ninguna acción por parte del
usuario
Esta opción permite la inscripción automática sin la
interacción del usuario; se trata de la opción predeterminada
para los certificados de usuario y de equipo.
Preguntar al usuario durante
la inscripción
Si se deshabilita esta opción, los usuarios no tienen que
proporcionar ninguna entrada para la instalación de un
certificado basado en la plantilla de certificado.
Preguntar al usuario durante
la inscripción y requerir la
acción del usuario cuando se
use una clave privada
Esta opción permite al usuario establecer una contraseña
segura de protección de claves privadas en la clave privada
del usuario cuando se genere la clave, y exige al usuario
que la use siempre que se utilicen el certificado y la clave
privada.


Otras opciones de tratamiento de solicitudes de la versión 3


La ficha Tratamiento de la solicitud para las plantillas de certificado de la versión 3 se ha
actualizado a fin de admitir las nuevas opciones disponibles en la ficha Criptografía,
además de otros cambios. Dichas opciones se enumeran en la tabla siguiente.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz




Opción Propósito
Usar el algoritmo
simétrico
avanzado para
enviar la clave a la
CA
Esta opción permite al administrador elegir el algoritmo Estándar de
cifrado avanzado (AES) para cifrar claves privadas mientras se
transfieren a la CA para el archivo de claves. Si se selecciona esta
opción, el cliente usará el cifrado simétrico de AES-256 (junto con el
certificado de intercambio de la CA para cifrado asimétrico) para enviar
la clave privada a la CA para archivarla. Si no se selecciona esta opción,
se usa el algoritmo simétrico 3DES. Puesto que el archivo de claves está
pensado para claves de cifrado (no claves de firma), esta opción se
habilita sólo cuando el propósito del certificado se establece en Cifrado.
Agregar permisos
de lectura a
Servicio de red en
la clave privada
Esta opción permite que una lista de control de acceso (ACL)
personalizado se defina en las claves privadas de los certificados de
equipos basados en cualquier plantilla de certificado de equipo versión 3
excepto la CA raíz, la CA subordinada o las plantillas de CA cruzada.
Sólo se necesita una lista de control de acceso (ACL) personalizada
cuando una cuenta de servicio que requiere acceso a la clave privada no
se incluye en los permisos predeterminados. Los permisos
predeterminados aplicados a la clave privada por el cliente de inscripción
de certificado de Microsoft y el proveedor de almacenamiento de la clave
de software incluye el permiso de Control total para el grupo de
administradores y la cuenta de sistema local. Los proveedores ajenos a
Microsoft pueden aplicar diferentes permisos predeterminados y pueden
no ser compatibles con listas de control de acceso personalizadas
definidas por el uso de esta opción. Consulte la documentación del
proveedor para obtener más información.
Nota
Esta opción reemplazó la opción Agregar permisos de lectura a
Servicio de red en la clave privada. En Windows Server 2008 R2,
los permisos predeterminados aplicados a la clave privada de los
certificados firma de respuesta de OCSP incluyen el permiso de
lectura para la cuenta de servicio de Respondedor en línea y
permisos de control total para el grupo de administradores y para la
cuenta de sistema local.






Para obtener más información acerca de las opciones asociadas a las plantillas de
certificado de la versión 3, consulte Criptografía.


Otras opciones de tratamiento de solicitudes de la versión 2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Además de las opciones de archivo de claves, es posible definir opciones generales que
afectan a todos los certificados basados en plantillas de certificado de la versión 2. Dichas
opciones se enumeran en la tabla siguiente.



Opción Propósito
Tamaño mínimo
de clave
Especifica el tamaño mínimo, en bits, de la clave que se generará para
este certificado.
Proveedores de
servicios de
cifrado
Es una lista de proveedores de servicios de cifrado (CSP) que se usará
para inscribir certificados para la plantilla dada. Al seleccionar uno o varios
CSP, el certificado se configura para que funcione sólo con dichos CSP. El
CSP debe instalarse en el equipo cliente para que pueda usarse durante la
inscripción. Si se elige un CSP específico y no está disponible en un
equipo cliente, la inscripción dará error.

Criptografía
Se aplica a: Windows Server 2008 R2
La ficha Criptografía está disponible para las plantillas de certificado de la versión 3. Esta ficha
sustituye al cuadro de diálogo de selección del proveedor de servicios de cifrado (CSP) usada para
seleccionar proveedores para las plantillas de certificado de la versión 2. La ficha Criptografía se
usa para configurar las siguientes propiedades:


Nombre de algoritmo: Seleccione un algoritmo compatible con el par de claves del
certificado emitido. La lista sólo muestra aquellos algoritmos compatibles con las
operaciones de cifrado requeridas para el propósito de certificado seleccionado en la ficha
Control de solicitudes. La siguiente tabla describe la relación entre el propósito de
certificado y los algoritmos disponibles.

Propósito Algoritmos
Cifrado ECDH_P256
ECDH_P384
ECDH_P521
RSA
Firma DSA
ECDSA_P256
ECDSA_P384


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

ECDSA_P521
RSA
Firma y cifrado ECDH_P256
ECDH_P384
ECDH_P521
RSA
Firma e inicio de sesión mediante tarjeta inteligente ECDH_P256
ECDH_P384
ECDH_P521
RSA


Tamaño mínimo de clave: esta opción permite especificar un tamaño mínimo necesario
para las claves que se usen con el algoritmo elegido. De manera predeterminada, se usará
la longitud mínima de clave para el algoritmo elegido que admita el equipo.


Proveedores: las plantillas de la versión 2 ofrecen una lista de proveedores de servicios de
cifrado de CryptoAPI, mientras que las plantillas de la versión 3 ofrecen una lista de
proveedores CNG (Cryptography Next Generation) que se completa dinámicamente. La lista
incluye todos los proveedores disponibles en el equipo que satisfacen los criterios
especificados por una combinación de las siguientes opciones de configuración: Nombre de
algoritmo y Tamaño mínimo de clave en la ficha Criptografía, y Propósito y Permitir
que la clave privada se pueda exportar en la ficha Tratamiento de la solicitud.


Algoritmo hash: esta opción permite elegir un algoritmo hash avanzado. De manera
predeterminada, están disponibles los siguientes algoritmos: AES-GMAC, MD2, MD4, MD5,
SHA1, SHA256, SHA384 y SHA512.


Usar formato de firma alternativo: cuando se selecciona el algoritmo RSA, esta casilla
permite especificar que las solicitudes de certificados creadas para esta plantilla incluyan
una firma discreta en formato PKCS #1 V2.1.
Nota
Esta opción sólo se aplica a la solicitud de certificado, no al certificado emitido por la CA desde
esta plantilla.
Reemplazar plantillas
Se aplica a: Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Puede haber ocasiones en las que desee modificar las propiedades de un tipo de certificado que ya
se ha emitido para los clientes. Esto puede realizarse creando una plantilla de certificado
actualizada para el propósito de dicho certificado y especificando que desea que los sujetos de los
certificados basados en la plantilla antigua obtengan nuevos certificados basados en la plantilla
nueva. Este procedimiento obliga a los sujetos a obtener certificados nuevos antes de la fecha de
renovación especificada en la plantilla de certificado original.
El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o
un grupo equivalente. Para obtener más información, vea el tema acerca de la Implementación de
la administración basada en funciones.
Para reemplazar plantillas
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Plantillas reemplazadas.
4. Haga clic en Agregar.
5. Haga clic en una o varias plantillas para reemplazarlas y, a continuación, haga clic en
Aceptar.
6. Realice cualquier otro cambio que desee en la plantilla y haga clic en Aceptar.
7. Nombres de sujeto
8. Se aplica a: Windows 7, Windows Server 2008 R2
9. El titular de la clave privada asociada a un certificado se conoce como sujeto. Puede ser un
usuario, un programa o prácticamente cualquier objeto, equipo o servicio.
10. Como el nombre del sujeto puede variar en gran medida según quién o qué sea, será
necesaria cierta flexibilidad a la hora de proporcionarle un nombre en la solicitud de
certificado. Windows puede crear el nombre del sujeto automáticamente a partir de la
información del sujeto almacenada en los Servicios de dominio de Active Directory (AD DS)
o lo puede suministrar manualmente el mismo sujeto (por ejemplo, mediante el uso de
páginas web de inscripción de certificados para crear y enviar una solicitud de certificado.
11. Las entidades de certificación (CA) incluyen el complemento Plantillas de certificado para
configurar las plantillas de certificados. Use la ficha Nombre de sujeto en la hoja de
propiedades de la plantilla del certificado para configurar las opciones de nombre del sujeto.
12. Proporcionado por el solicitante
13. Cuando se selecciona la opción Proporcionado por el solicitante, la opción Usar
información de sujeto de certificados existentes para las solicitudes de renovación de
inscripción automática se encuentra disponible para simplificar la tarea de agregar el
nombre del sujeto a la solicitud de renovación del certificado y para permitir que los
certificados generados por los equipos se puedan renovar automáticamente. La información


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

del sujeto a partir de certificados existentes no se usa para la renovación automática de
certificados de usuario.
14. La opción Usar información de sujeto de certificados existentes para las solicitudes de
renovación de inscripción automática permite que el cliente de inscripción de certificados
lea la información sobre el nombre del sujeto y el nombre alternativo del sujeto a partir de un
certificado existente generado por un equipo basado en la misma plantilla de certificado
cuando se crean automáticamente solicitudes de renovación o se usa el complemento
Certificados. Esta opción se aplica a los certificados generados por equipos que han
caducado, han sido revocados o se encuentran dentro del período de renovación.
15. Creación a partir de AD DS
16. Cuando se selecciona la opción Construir a partir de esta información de Active
Directory, se pueden configurar las siguientes opciones adicionales:
17. Formato de nombre de sujeto
Valor Descripción
Nombre común La CA crea el nombre del sujeto a partir del nombre común (CN)
obtenido de AD DS. Este nombre debe ser único en el dominio,
aunque puede no ser único en una empresa.
Nombre completo (DN) La CA crea el nombre del sujeto a partir del nombre completo
obtenido de AD DS. De este modo se garantiza que el nombre sea
único en una empresa.
Incluir el nombre de
correo electrónico en el
nombre del sujeto.
Si el campo del nombre del correo electrónico se rellena en el
objeto de usuario de Active Directory, este nombre de correo
electrónico se incluye con un nombre común o con un nombre
completo como parte del nombre del sujeto.
Ninguno No se necesita ningún valor de nombre para este certificado.
18. Incluir esta información en el nombre de sujeto alternativo
Valor Descripción
Nombre de correo
electrónico
Si el campo de nombre de correo electrónico se rellena en el objeto de
usuario de Active Directory, se usará dicho nombre de correo
electrónico.
Nombre DNS Es el nombre de dominio completo (FQDN) del sujeto que solicitó el
certificado. Es el nombre usado con más frecuencia en los certificados
de equipo.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Nombre principal del
usuario (UPN)
El nombre principal del usuario forma parte del objeto de usuario de
Active Directory y es el que se usa.
Nombre principal de
servicio (SPN)
El nombre principal de servicio forma parte del objeto de usuario de
Active Directory y es el que se usa.

Servidor de plantillas de certificado
Se aplica a: Windows Server 2008 R2
Los escenarios de emisión de certificados de alto volumen, como las implementaciones de
Protección de acceso a redes (NAP) con cumplimiento del protocolo de seguridad de Internet
(IPsec), crean necesidades de infraestructura de clave pública única (PKI). Para cubrir estas
necesidades, se pueden usar las siguientes opciones que se presentan en Windows
Server 2008 R2 para configurar las plantillas de certificado para el uso por entidades de
certificación (CA) de alto volumen. Estas opciones están disponibles en la ficha Servidor de la hoja
de propiedades de la plantilla de certificado.
No almacenar certificados y solicitudes en la base de datos de CA.
Los certificados emitidos en escenarios de alto volumen suelen caducar tan solo horas después de
haber sido emitidos. La CA emisora procesa un alto volumen de solicitudes de certificado. De forma
predeterminada, se almacena un registro de cada solicitud y certificado emitido en la base de datos
de CA. Un volumen elevado de solicitudes incrementa el índice de crecimiento de la base de datos
de CA y los costos de administración.
La opción No almacenar certificados y solicitudes en la base de datos de CA configura la
plantilla para que la CA procese las solicitudes de certificados sin agregar registros a la base de
datos.
Importante
La CA emisora debe configurarse de forma que sea compatible con las solicitudes de
certificados que tienen esta opción habilitada. En la CA emisora, ejecute el siguiente comando:
CertUtil.exe –SetReg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS.
No incluir información de revocación en los certificados emitidos
La revocación de certificados de algunas CA de alto volumen no es beneficiosa ya que,
generalmente, el certificado caduca horas después de ser emitido.
La opción No incluir información de revocación en los certificados emitidos configura la
plantilla de manera que la información de revocación no se incluye en los certificados emitidos. De
este modo, se evita tener que comprobar el estado de revocación durante la validación del
certificado y se reduce el tiempo de validación.
Nota
Se recomienda esta opción siempre que se use la opción No almacenar certificados y


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

solicitudes en la base de datos de la CA.

Implementación de plantillas de certificado
Se aplica a: Windows Server 2008 R2
Cuando se crea una entidad de certificación (CA) de empresa, las plantillas de certificado se
almacenan en los Servicios de dominio de Active Directory (AD DS) y pueden ponerse a
disposición de todas las CA de empresa del bosque. Esto simplifica la replicación, la administración
de seguridad y la actualización de plantillas de certificado cuando una CA se actualiza a una
versión más reciente de un sistema operativo Windows Server. Tenga en cuenta que ello requiere
que el grupo Admins. del dominio del dominio raíz cuente con permisos de Control total en todas
las plantillas de certificado, o que dichos permisos se hayan concedido a otro grupo o usuario.
Una vez planeadas y creadas las plantillas de certificado adecuadas, éstas se replicarán
automáticamente en todos los controladores de dominio de la empresa. Normalmente, esta
replicación requiere unas ocho horas para completarse. Por ello, debería crear la plantilla de
certificado y dejar que se replicase antes de emitir certificados para los clientes basados en la
plantilla de certificado. Lo mejor es llevar esto a cabo durante algún momento de inactividad del
entorno. Configurar plantillas y usar certificados antes de que finalice la replicación puede tener
consecuencias no deseadas.


Administración de plantillas de certificado


Agregar una plantilla de certificado a una entidad de certificación


Quitar una plantilla de certificado de una entidad de certificación
Agregar una plantilla de certificado a una entidad de certificación
Se aplica a: Windows Server 2008 R2
Para que una entidad de certificación (CA) pueda emitir certificados, la plantilla de certificado debe
agregarse a una CA.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para agregar una plantilla de certificado a una entidad de certificación
1. Abra el complemento Entidad de certificación y haga doble clic en el nombre de la CA.
2. Haga clic con el botón secundario en Plantillas de certificado, haga clic en Nueva y, a
continuación, haga clic en Plantilla de certificado que se va a emitir.
3. Seleccione la plantilla de certificado y haga clic en Aceptar.
Quitar una plantilla de certificado de una entidad de certificación
Se aplica a: Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

En algunas ocasiones, puede ser necesario quitar una plantilla de certificado de una entidad de
certificación (CA), por ejemplo para evitar la confusión cuando se agregue una versión más
reciente de la plantilla de certificado.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para quitar una plantilla de certificado de una CA
1. Abra el complemento Entidad de certificación.
2. En el árbol de consola, haga clic en Plantillas de certificado.
3. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea eliminar y, a continuación, haga clic en Eliminar.
Emisión de certificados basados en plantillas de certificados
Se aplica a: Windows Server 2008 R2
Los Servicios de certificados de Active Directory (AD CS) admiten varios métodos de inscripción y
renovación, incluidos la inscripción automática sin interacción del cliente y métodos de inscripción
interactiva como el Asistente para solicitud de certificados y las páginas web de AD CS.
Nota
Si implementa entidades de certificación (CA) ajenas a Microsoft o aplicaciones de inscripción y
renovación de certificados personalizadas, debe realizar la configuración que requieran dichas
CA y aplicaciones.
La manera en que un cliente obtiene un certificado se controla, en gran parte, mediante las
propiedades de seguridad de la plantilla de certificado.
Cuando las plantillas de certificado se publican en un servidor, cada plantilla contiene una lista de
control de acceso (ACL) que define las operaciones específicas que un sujeto puede realizar en un
certificado.

Opción Descripción
Control total El usuario o grupo seleccionado puede realizar cualquier acción en esta
plantilla.
Leer El usuario o grupo seleccionado puede leer esta plantilla.
Escribir El usuario o grupo seleccionado puede modificar esta plantilla.
Inscripción El usuario o grupo seleccionado puede enviar una solicitud de emisión o
renovación de certificado basada en esta plantilla.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Nota
Para recuperar de manera automática los certificados Firma de respuesta
de OCSP, las cuentas de servicio Respondedor en línea requieren
permisos de inscripción, no de inscripción automática.

Inscripción
automática
El usuario o grupo seleccionado puede enviar una solicitud de certificado
basada en esta plantilla mediante una inscripción automática.
Nota
El permiso de inscripción automática no incluye el permiso de inscripción.
Para usar el permiso de inscripción automática, conceda los dos
permisos.

El uso más habitual de los certificados es para realizar inscripción de sujetos con la inscripción
automática permitida. En este caso, el sujeto debe tener permisos de lectura, inscripción e
inscripción automática.
Si no desea inscribir automáticamente a los usuarios, pero desea que la inscripción manual o a
través de la web esté disponible, lo apropiado es conceder permisos de lectura e inscripción.
Si los sujetos ya poseen un certificado, sólo necesitarán permisos de lectura e inscripción para
renovar dicho certificado, tanto si usan la inscripción automática como si no.
Los permisos de escritura y control total deben reservarse para los administradores de CA a fin de
garantizar que las plantillas se configuren de forma adecuada.


Administración de plantillas de certificado


Configuración de la inscripción de certificados automática


Permitir a los sujetos solicitar un certificado basado en una plantilla


Volver a inscribir a todos los propietarios de certificados


Modificación de una directiva de emisión


Configuración de la publicación de certificados en los Servicios de dominio de Active
Directory
Configuración de la inscripción de certificados automática
Se aplica a: Windows Server 2008 R2
La inscripción automática es una característica muy útil de los Servicios de certificados de Active
Directory (AD CS). Permite al administrador configurar sujetos para que la inscripción en
certificados, la recuperación de certificados emitidos y la renovación de certificados expirados se
realice automáticamente sin requerir la interacción del sujeto. El sujeto no necesita estar al tanto de


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

ninguna de las operaciones de certificado, a no ser que la plantilla de certificado se configure para
interactuar con el sujeto.
Para configurar adecuadamente la inscripción automática de sujetos, el administrador debe planear
la plantilla o plantillas de certificado que deben usarse. Varias opciones de configuración de la
plantilla de certificado afectan directamente al comportamiento de la inscripción automática de
sujetos. Para obtener más información acerca de estos valores de configuración, consulte:


Requisitos de emisión


Directiva de aplicación


Uso de claves


Reemplazar plantillas
El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o
un grupo equivalente. Para obtener más información, vea el tema acerca de la Implementación de
la administración basada en funciones.
Para configurar la inscripción de certificados automática
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. Haga clic en las fichas de Propiedades, incluidas General, Tratamiento de la solicitud y
Requisitos de emisión, y modifíquelas si es necesario.
4. En la ficha Seguridad, seleccione un nombre de usuario o grupo. Active la casilla Permitir
situada junto a Inscripción automática y, a continuación, haga clic en Aplicar.
Permitir a los sujetos solicitar un certificado basado en una plantilla
Se aplica a: Windows Server 2008 R2
Los usuarios pueden obtener los certificados que sean necesarios mediante el Asistente para
solicitud de certificados a fin de solicitar un certificado basado en una plantilla de certificado. Para
poder hacer esto, debe habilitar la plantilla de certificado para dichas operaciones.
Para configurar adecuadamente la inscripción de sujetos, el administrador debe planear la plantilla
o plantillas de certificado que deben usarse. Varias opciones de configuración de la plantilla de
certificado afectan directamente al comportamiento de la inscripción de certificados. Para obtener
más información acerca de estos valores de configuración, consulte:


Requisitos de emisión


Directiva de aplicación


Uso de claves


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Reemplazar plantillas
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para permitir que los sujetos soliciten un certificado basado en una plantilla
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha Seguridad, agregue los grupos, equipos o usuarios a los que desea permitir
solicitudes de certificados.
4. En Nombres de grupos o usuarios, haga clic en uno de los objetos nuevos y, a
continuación, en Permisos para nombreDeObjeto, en la columna Permitir, active las
casillas Leer e Inscribir.
5. Repita el paso anterior para cada uno de los objetos nuevos.
inscribir a todos los prop...
Modificación de una directiva de emisión
Se aplica a: Windows Server 2008 R2
Un certificado puede solicitarlo cualquier sujeto que tenga, como mínimo, permisos de lectura y de
inscripción para la plantilla de certificado correspondiente. En ocasiones, puede que el
administrador desee imponer algunas restricciones al proceso que se produce una vez formulada la
solicitud de certificado. Estas restricciones otorgan al administrador el control sobre los certificados
que se emiten y la forma en que se lleva a cabo el proceso. Este tipo de restricción se conoce
como directiva de emisión (también denominada directiva de certificado o de inscripción). Las
directivas de emisión pueden incluir requisitos para la aprobación del administrador de certificados,
varios requisitos de firma autorizada, y si deben implementarse directivas de aplicación y de
emisión para un certificado determinado. Para obtener más información, consulte Directiva de
aplicación.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para modificar una directiva de emisión
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Requisitos de emisión.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

4. Proporcione la información solicitada.
5. Haga clic en Aplicar.
Consideraciones adicionales


Este procedimiento es aplicable a las plantillas de certificado de las versiones 2 y 3. Para
obtener más información, consulte Versiones de plantillas de certificado.

Volver a inscribir a todos los propietarios de certificados
Se aplica a: Windows Server 2008 R2
Este procedimiento se usa cuando se ha realizado un cambio crítico en la plantilla de certificado y
se desea que todos los sujetos que poseen un certificado basado en esta plantilla vuelvan a
inscribirse lo más rápido posible. El sujeto volverá a inscribirse la próxima vez que compruebe la
versión del certificado con la versión de la plantilla en la entidad de certificación (CA).
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para volver a inscribir a todos los propietarios de certificados
1. Abra el complemento Plantillas de certificado.
2. Haga clic con el botón secundario en la plantilla que desea usar y, a continuación, haga clic
en Volver a inscribir a todos los poseedores de certificados.

Configuración de la publicación de certificados en los Servicios de dominio de Active
Directory
Se aplica a: Windows Server 2008 R2
Una entidad de certificación (CA) basada en Windows Server puede agregar certificados emitidos
para sujetos de Active Directory al objeto de Active Directory correspondiente. Esto permite a otros
usuarios de Servicios de dominio de Active Directory (AD DS) encontrar y usar fácilmente el
certificado del sujeto. Hay dos opciones de configuración (en la ficha General de la hoja de
propiedades de la plantilla de certificado) que afectan a la manera en que funciona esta
característica:


Publicar certificado en Active Directory. Cuando un sujeto obtiene un certificado basado
en esta plantilla, el certificado emitido se agregará al objeto de Active Directory de dicho
sujeto.


No volver a inscribir automáticamente si ya existe un certificado duplicado de Active
Directory. Cuando el sujeto intenta inscribirse para un certificado basado en esta plantilla,
los equipos con Windows XP o posterior comprobarán si existe un certificado duplicado en
AD DS. Si es así, la inscripción automática no enviará una nueva solicitud de inscripción.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Esto permite renovar los certificados, pero impide que se emitan varios certificados
duplicados.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para configurar la publicación de certificados en AD DS
1. Abra el complemento Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que
desea cambiar y, a continuación, haga clic en Propiedades.
3. En la ficha General, active la casilla correspondiente a la opción de Active Directory que
desee y, a continuación, haga clic en Aplicar.
Solución de problemas de plantillas de certificado
Se aplica a: Windows Server 2008 R2
En esta sección se enumeran algunos problemas comunes que pueden aparecer al usar el
complemento Plantillas de certificado o al trabajar con plantillas de certificado. Para obtener más
información acerca de la solución de problemas relacionados con las plantillas de certificado,
consulte el tema sobre solución de problemas de los Servicios de certificados de Active Directory
(http://go.microsoft.com/fwlink/?LinkId=89215) (puede estar en inglés).
¿De qué problema se trata?


El complemento Plantillas de certificado no muestra ninguna lista de plantillas después de
solicitar la instalación de plantillas de certificado nuevas


No se están emitiendo certificados a los clientes


Se emiten certificados a los sujetos, pero se produce un error en las operaciones
criptográficas con dichos certificados


Los controladores de dominio no obtienen certificados de controlador de dominio


Los clientes no pueden obtener certificados a través de la inscripción automática


Los nombres de las plantillas de certificado del complemento no son coherentes entre sí en
vistas o ventanas


La clave privada no se puede exportar desde los certificados de tarjeta inteligente, aun
cuando se ha seleccionado Permitir que la clave privada se pueda exportar en la plantilla de
certificado


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



La plantilla de certificado se ha modificado, pero algunas entidades de certificación (CA)
tienen todavía la versión no modificada


La clave privada no se archiva a pesar de que he seleccionado la opción Archivar clave
privada de cifrado de sujeto y he configurado la CA para que solicite la recuperación de
claves


La inscripción automática me solicita que renueve un certificado que no me pertenece y
tengo certificados en mi almacén de certificados personales que yo no he puesto ahí
El complemento Plantillas de certificado no muestra ninguna lista de plantillas después de solicitar
la instalación de plantillas de certificado nuevas


Causa: las plantillas de certificado no se han replicado todavía en la entidad de certificación
(CA) a la que está conectado el equipo. Esta replicación es parte de la replicación de Active
Directory.


Solución: espere a que se repliquen las plantillas de certificado y vuelva a abrir el
complemento Plantillas de certificado.
No se están emitiendo certificados a los clientes


Causa: la duración del certificado de emisión usado por la entidad de certificación (CA) es
más corta que el período superpuesto de plantilla configurado para la plantilla de certificado
solicitada. Esto significa que el certificado emitido sería apto inmediatamente para la
reinscripción. En lugar de emitir y renovar continuamente este certificado, la solicitud de
certificado no se procesa.


Solución: renueve el certificado de emisión usado por la entidad de certificación.
Se emiten certificados a los sujetos, pero se produce un error en las operaciones criptográficas con
dichos certificados


Causa: el proveedor de servicios de cifrado (CSP) no coincide con las opciones de uso de
claves o no existe.


Solución: confirme que ha establecido en la plantilla un CSP que admite el tipo de
operación criptográfica para la que se usará el certificado.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Los controladores de dominio no obtienen certificados de controlador de dominio


Causa: se ha deshabilitado la inscripción automática mediante las opciones de
configuración de directiva de grupo para controladores de dominio. Los controladores de
dominio obtienen sus certificados mediante la inscripción automática.


Solución: habilite la inscripción automática para controladores de dominio.


Causa: la configuración predeterminada de la Solicitud de certificados automática para
controladores de dominio se ha quitado de la directiva predeterminada de controladores de
dominio.


Solución: cree una nueva Solicitud de certificados automática en la directiva
predeterminada de controladores de dominio para la plantilla de certificado del controlador
de dominio.
Los clientes no pueden obtener certificados a través de la inscripción automática


Causa: los permisos de seguridad deben configurarse para permitir a los sujetos previstos
la inscripción y la inscripción automática en la plantilla de certificado. Ambos permisos son
necesarios para habilitar la inscripción automática.


Solución: modifique la lista de control de acceso discrecional (DACL) de la plantilla de
certificado para otorgar permisos de lectura, inscripción e inscripción automática a los
sujetos que desee.
Los nombres de las plantillas de certificado del complemento no son coherentes entre sí en vistas o
ventanas


Causa: se está usando Sitios y servicios de Active Directory para ver las plantillas de
certificado. Es posible que este complemento no muestre una vista tan precisa como
Plantillas de certificado.


Solución: use el complemento Plantillas de certificado para administrar las plantillas de
certificado.
La clave privada no se puede exportar desde los certificados de tarjeta inteligente, aun cuando se
ha seleccionado Permitir que la clave privada se pueda exportar en la plantilla de certificado


Causa: las tarjetas inteligentes no permiten exportar claves privadas una vez que se
escriben en la tarjeta inteligente.


Solución: ninguna.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

La plantilla de certificado se ha modificado, pero algunas entidades de certificación (CA) tienen
todavía la versión no modificada


Causa: las plantillas de certificado se replican entre entidades de certificación con el
proceso de replicación de Active Directory. Puesto que esta replicación no es instantánea,
puede que la nueva versión de la plantilla esté disponible para todas las entidades de
certificación con algo de retraso.


Solución: espere a que la plantilla modificada se haya replicado en todas las entidades de
certificación. Para visualizar las plantillas de certificado que están disponibles en la CA, use
la herramienta de línea de comandos Certutil.exe.
La clave privada no se archiva a pesar de que he seleccionado la opción Archivar clave privada de
cifrado de sujeto y he configurado la CA para que solicite la recuperación de claves


Causa: las claves privadas no se archivarán si el uso de claves para la plantilla de
certificado está establecido en Firma. Esto se debe a que el uso de firma digital requiere
que la clave no sea recuperable.


Solución: Ninguna
La inscripción automática me solicita que renueve un certificado que no me pertenece y tengo
certificados en mi almacén de certificados personales que yo no he puesto ahí


Causa: cuando se usa la estación de inscripción de tarjeta inteligente en el equipo del
administrador para renovar o cambiar el certificado almacenado en la tarjeta inteligente, el
certificado de la tarjeta inteligente se copia en el almacén de certificados privado del
administrador. Este certificado puede procesarse mediante inscripción automática e
indicarle que comience el proceso de renovación.


Solución: haga clic en Iniciar para comenzar el proceso de renovación de inscripción
automática. Puesto que el certificado no es suyo, el proceso de inscripción automática
terminará cuando haga clic en Iniciar. Si desea quitar los certificados de su almacén de
certificados personales, puede eliminarlos manualmente.
Respondedor en línea
Se aplica a: Windows Server 2008 R2
El servicio Respondedor en línea de Microsoft permite configurar y administrar la comprobación de
revocaciones y validación del Protocolo de estado de certificados en línea (OCSP) en redes
basadas en Windows. El complemento Respondedor en línea permite configurar y administrar
configuraciones de revocación y matrices de Respondedor en línea para admitir clientes de
infraestructura de clave pública (PKI) en diversos entornos.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



¿Qué es un Respondedor en línea?


Configuración de los Respondedores en línea en una red


Administración de Servicios de respuesta en línea


Administración de una configuración de revocación


Administración de una matriz de Respondedores en línea


Solución de problemas de Servicios de respuesta en línea
¿Qué es un Respondedor en línea?
Se aplica a: Windows Server 2008 R2
Un Respondedor en línea es un servidor de confianza que recibe y responde las solicitudes de
clientes individuales de información acerca del estado de un certificado.
El uso de Respondedores en línea es uno de los dos métodos más comunes para transmitir
información acerca de la validez de los certificados. A diferencia de las listas de revocación de
certificados (CRL), que se distribuyen periódicamente y contienen información acerca de todos los
certificados que se han revocado o suspendido, un Respondedor en línea recibe y responde sólo
solicitudes individuales de clientes que requieren información sobre el estado de un certificado. La
cantidad de datos recuperados por solicitud permanece constante, independientemente del número
de certificados revocados que pueda existir.
En muchos casos, los Respondedores en línea pueden procesar las solicitudes de estado de
certificados de forma más eficiente que las CRL. Por ejemplo:


Clientes que se conectan a la red de forma remota y no necesitan ni disponen de las
conexiones de alta velocidad necesarias para descargar grandes CRL.


Una red que necesita administrar períodos de máxima actividad en la comprobación de
revocaciones, por ejemplo, cuando un gran número de usuarios inician sesión o envían
correo electrónico firmado simultáneamente.


Una organización que necesita un método eficaz para distribuir los datos de revocación para
los certificados emitidos desde una entidad de certificación (CA) que no es de Microsoft.


Una organización que desea proporcionar sólo los datos de comprobación de revocaciones
necesarios para comprobar las solicitudes individuales de estado de certificados y no quiere
que la información sobre todos los certificados revocados o suspendidos esté disponible.


Componentes de un Respondedor en línea


Se aplica a: Windows Server 2008 R2


El servicio de rol Respondedor en línea de Windows Server 2008 R2 está formado por los
siguientes componentes.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz




Componente Descripción
Servicio
Respondedor en
línea
El servicio Respondedor en línea descodifica una solicitud de estado
de revocación para un certificado específico, evalúa el estado de ese
certificado y devuelve una respuesta firmada que contiene la
información solicitada sobre el estado del certificado. El servicio
Respondedor en línea es un componente independiente de una
entidad de certificación (CA).
Respondedor en
línea
Un equipo en el cual se ejecutan el servicio Respondedor en línea y el
proxy web del Respondedor en línea. Además, se puede configurar
como Respondedor en línea un equipo que hospede una CA, pero
deberá mantener las CA y los Respondedores en línea en equipos
independientes. Un único Respondedor en línea puede proporcionar
información de estado de revocación de certificados emitidos por una o
varias CA. La información de revocación de CA puede admitirse en
más de un Respondedor en línea.
Nota
Se puede instalar un Respondedor en línea en cualquier equipo
con Windows Server 2008 R2 Enterprise o Windows
Server 2008 R2 Datacenter. Los datos de revocación de
certificados se derivan de una lista pública de revocación de
certificados (CRL). Ésta puede proceder de la CA de un equipo
con Windows Server 2008 R2, Windows Server 2008, Windows
Server 2003 o Windows 2000 Server, o de una CA que no sea
Microsoft.

Proxy web de
Respondedor en
línea
La interfaz del servicio del Respondedor en línea se implementa como
una extensión ISAPI (Internet Server API) hospedada por Internet
Information Services (IIS). El proxy web recibe y descodifica las
solicitudes y almacena en caché las respuestas durante un período de
tiempo configurable.
Configuración de
revocación
Una configuración de revocación incluye todas las opciones necesarias
para responder a las solicitudes de estado de certificado que se han
emitido mediante una clave de CA específica. Estos valores de
configuración incluyen el certificado de CA, el certificado de firma del
Respondedor en línea y el tipo de proveedor de revocación que se va a
usar.
Proveedor de Un proveedor de revocación es el módulo de software que, junto con


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

revocación otra configuración de revocación, habilita a un Respondedor en línea
para la comprobación del estado de un certificado. El proveedor de
revocación de Windows Server 2008 R2 usa datos de las CRL para
proporcionar esta información de estado.
Matriz de
Respondedores en
línea
Una matriz de Respondedores en línea contiene uno o varios
Respondedores en línea. Existen diversas razones para agregar
Respondedores en línea adicionales a una matriz de Respondedores
en línea, incluidas las consideraciones geográficas, la escalabilidad, las
consideraciones de diseño de red o la tolerancia a errores en caso de
que un Respondedor en línea específico no esté disponible. Los
Respondedores de una matriz de Respondedores en línea se conocen
como miembros de la matriz.
Controlador de la
matriz de
Respondedores en
línea
Cuando varios Respondedores en línea se combinan en una matriz, se
debe designar a uno de ellos como controlador de la matriz. Aunque
cada Respondedor en línea de la matriz se puede configurar y
administrar de forma independiente, en caso de conflictos, la
información de configuración del controlador de la matriz invalidará las
opciones de configuración de los otros miembros de la matriz.

Funcionamiento de los Servicios de respuesta en línea
Se aplica a: Windows Server 2008 R2
La mayoría de las aplicaciones que dependen de certificados X.509 necesitan validar el estado de
los certificados que usan cuando se realizan operaciones de autenticación, firma o cifrado. Esta
comprobación de la validez y revocación de certificados se lleva a cabo en todos los certificados de
una cadena de certificados, hasta el certificado raíz. Si el certificado raíz, o cualquier certificado de
la cadena, no es válido, los certificados que se encuentran por debajo del certificado no válido de la
cadena también carecerán de validez.
La validación incluye lo siguiente:


La firma de cada certificado es válida.


La fecha y hora actual están dentro del período de validez de cada certificado.


Ningún certificado está dañado ni tiene un formato incorrecto.
Además, se comprueba el estado de revocación de cada certificado de la cadena de certificados.
La comprobación de revocación se puede realizar mediante la lista de revocación de certificados
(CRL) o mediante respuestas del Protocolo de estado de certificados en línea (OCSP).
¿Qué es OCSP?
El Respondedor en línea de Microsoft implementa el protocolo OCSP, que permite que el
destinatario de un certificado pueda enviar una solicitud de estado de certificado a un Respondedor


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

de OCSP mediante el Protocolo de transferencia de hipertexto (HTTP). Este Respondedor de
OCSP devuelve una respuesta definitiva y firmada digitalmente donde se indica el estado del
certificado. La cantidad de datos recuperada por solicitud es constante, independientemente del
número de certificados revocados en la CA.
Para obtener más información, consulte RFC 2560, sobre el Protocolo de estado de certificados en
línea (OCSP) de la infraestructura de clave pública X.509
(http://go.microsoft.com/fwlink/?LinkID=71068) (puede estar en inglés).
Respondedor en línea
La implementación de Microsoft de OCSP (Respondedor en línea) se divide en componentes
cliente y servidor. El componente cliente se integra en la biblioteca CryptoAPI 2.0, mientras que el
componente servidor se introduce como un nuevo servicio suministrado por el rol de servidor
Servicios de certificados de Active Directory (AD CS). El siguiente proceso describe cómo
interactúan los componentes cliente y servidor:
1. Cuando una aplicación intenta comprobar un certificado que especifica ubicaciones de
Respondedores de OCSP, el componente cliente busca primero en la memoria local y las
cachés de disco una respuesta OCSP en caché que contenga datos actuales de
revocación.
2. Si no encuentra una respuesta en caché aceptable, se envía una solicitud a un
Respondedor en línea mediante el protocolo HTTP.
3. El proxy web del Respondedor en línea decodifica y comprueba la solicitud. Si la solicitud es
válida, se busca la información de revocación necesaria para cumplimentar la solicitud en la
caché del proxy web. Si la información actual no está disponible en la caché, la solicitud se
envía al servicio Respondedor en línea.
4. El servicio Respondedor en línea recibe la solicitud y comprueba una CRL local, si está
disponible, y una copia en caché de la CRL más reciente emitida por la CA.
5. Si el certificado no aparece en las listas de revocación locales o en caché, el proveedor de
revocación obtiene una CRL de CA actualizada, si está disponible, de las ubicaciones
enumeradas en la configuración de revocación, a fin de comprobar el estado del certificado.
A su vez, el proveedor devuelve el estado del certificado al servicio Respondedor en línea.
6. A continuación, el proxy web codifica y envía la respuesta al cliente para informarle de que
el certificado es válido. También guarda en caché una copia de la respuesta durante un
período de tiempo limitado, en caso de que existan solicitudes de estado adicionales sobre
este certificado.
Configuración de los Respondedores en línea en una red
Se aplica a: Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

La configuración de los servicios Respondedor en línea implica varios pasos interrelacionados.
Algunos de estos pasos se deben realizar en la entidad de certificación (CA) que se usará para
emitir los certificados de firma del Protocolo de estado de certificados en línea (OCSP) necesarios
para que un Respondedor en línea funcione. Estos pasos incluyen la configuración de la plantilla de
certificado adecuada, la habilitación de la plantilla de certificado, y la configuración y formalización
de la inscripción automática del certificado, de forma que el equipo que hospeda el Respondedor
en línea disponga de los certificados necesarios para que éste funcione.
La instalación y configuración de un Respondedor en línea implica el uso del Administrador del
servidor para instalar el servicio Respondedor en línea, el uso del complemento Plantillas de
certificado para configurar y publicar las plantillas de certificado Firma de respuesta de OCSP, el
uso del complemento Entidad de certificación para incluir extensiones OCSP en los certificados que
emitirá y para emitir certificados Firma de respuesta de OCSP, y el uso del complemento
Respondedor en línea para crear una configuración de revocación.
Los siguientes temas describen los pasos necesarios para llevar a cabo estos pasos de instalación
y configuración, y cómo comprobar que la instalación se ha realizado correctamente.


Configurar una entidad de certificación (CA) para admitir Respondedores de OCSP


Configurar un Respondedor en línea


Creación de una configuración de revocación


Comprobación de una instalación de Respondedor en línea
Configurar una entidad de certificación (CA) para admitir Respondedores de OCSP
Se aplica a: Windows Server 2008 R2
Para funcionar adecuadamente, un Respondedor en línea debe tener un certificado de firma de
respuesta de Protocolo de estado de certificados en línea (OCSP). Este certificado de firma del
Servicio de respuesta de OCSP también es necesario si se usa un Respondedor de OCSP que no
es de Microsoft.
La configuración de una entidad de certificación (CA) para que admita Respondedores de OCSP
incluye los siguientes pasos:
1. Configurar las plantillas de certificado y las propiedades de emisión de los certificados de
firma de respuesta de OCSP.
2. Configurar los permisos de inscripción para los equipos que hospedarán los Respondedores
en línea.
3. Si es una CA basada en Windows Server 2003, habilite la extensión OCSP en los
certificados emitidos.
4. Agregar la ubicación del Respondedor en línea o del Respondedor de OCSP a la extensión
de acceso a información de entidad de certificación en la CA.
5. Habilitar la plantilla de certificado Firma de respuesta de OCSP para la CA.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

La plantilla de certificado que se usó para emitir un certificado Firma de respuesta de OCSP debe
contener una extensión con el título "Comprobación de no revocación de OCSP" y la directiva de
aplicación de firma de OCSP. También se deben configurar los permisos para permitir que el
equipo que hospedará al Respondedor en línea inscriba este certificado.
Se debe seguir el siguiente procedimiento para una CA que se instale en un equipo con Windows
Server 2008 R2 o Windows Server 2008.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información acerca de la administración de una infraestructura de clave pública (PKI), vea
Implementación de la administración basada en funciones.
Para configurar una plantilla de certificado para un certificado Firma de respuesta de OCSP
emitido por una CA basada en Windows Server 2008 R2 o una CA basada en Windows
Server 2008
1. Abra el complemento Plantillas de certificado.
Nota
Si está realizando este procedimiento en un equipo que no tiene una CA o un Respondedor en
línea instalado, es posible que deba instalar las Herramientas de administración remota del
servidor de Servicios de certificados de Active Directory (AD CS) a fin de usar el complemento
Plantillas de certificado. Para obtener más información acerca de las Herramientas de
administración remota del servidor, vea Administración de un Respondedor en línea desde otro
equipo.
2. Haga clic con el botón secundario en la plantilla Firma de respuesta de OCSP y, a
continuación, haga clic en Propiedades.
3. Haga clic en la ficha Seguridad. En Nombre de grupo o de usuario, haga clic en Agregar.
4. Haga clic en Tipos de objeto, active la casilla Equipos y, a continuación, haga clic en
Aceptar.
5. Escriba el nombre o localice y seleccione el equipo que hospeda los Respondedores en
línea o los Respondedores OCSP, y haga clic en Aceptar.
6. En el cuadro de diálogo Nombres de grupos o usuarios, haga clic en el nombre del
equipo y, en el cuadro de diálogo Permisos, active las casillas Leer e Inscribir Después,
haga clic en Aceptar.
Siga el siguiente procedimiento para una CA que se instale en un equipo con Windows
Server 2003. El procedimiento se debe realizar en un equipo con Windows Server 2008 R2 o
Windows Server 2008.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más
información acerca de la administración de una PKI, vea Implementación de la administración
basada en funciones.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para configurar una plantilla de certificado para un certificado Firma de respuesta de OCSP
emitido por una CA basada en Windows Server 2003
1. Abra el complemento Plantillas de certificado.
2. Haga clic con el botón secundario en la plantilla Firma de respuesta de OCSP y, a
continuación, haga clic en Duplicar. Haga clic en Windows 2003 Server, Enterprise
Edition y, a continuación, haga clic en Aceptar.
3. Haga clic en la ficha Seguridad. En Nombre de grupo o de usuario, haga clic en Agregar
y, a continuación, escriba el nombre o localice y seleccione el equipo que hospeda los
servicios Respondedor en línea o los servicios Respondedor de OCSP.
4. Haga clic en Tipos de objeto, active la casilla Equipos y, a continuación, haga clic en
Aceptar.
5. Escriba el nombre o localice y seleccione el equipo que hospeda los Respondedores en
línea o los Respondedores de OCSP, y haga clic en Aceptar.
6. En el cuadro de diálogo Nombres de grupos o usuarios, haga clic en el nombre del
equipo y, en el cuadro de diálogo Permisos, active las casillas Leer e Inscribir
Nota
La plantilla de certificado Firma de respuesta de OCSP predeterminada contiene una extensión
con el título "Comprobación de no revocación de OCSP". No elimine esta extensión, ya que
muchos clientes la usan para comprobar que las respuestas firmadas con el certificado de firma
son válidas.
Si la CA se instala en un equipo con Windows Server 2003, debe realizar el siguiente
procedimiento a fin de configurar el módulo de directiva en la CA para emitir certificados que
incluyan esta extensión.
Para completar este procedimiento debe ser un administrador local. Para obtener más información
acerca de la administración de una PKI, vea Implementación de la administración basada en
funciones.
Para preparar un equipo que ejecute Windows Server 2003 para emitir certificados de Firma
de respuesta de OCSP
1. En el equipo que hospeda la CA, abra una ventana del símbolo del sistema y escriba:

Copiar código
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
2. Detenga y vuelva a iniciar la CA. Puede hacer esto en un símbolo del sistema mediante la
ejecución de los siguientes comandos:


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz


Copiar código
net stop certsvc
net start certsvc
Para configurar su CA para OCSP, debe usar el complemento Entidad de certificación para llevar a
cabo los siguientes pasos de configuración:


Agregar la ubicación del Respondedor en línea o del Respondedor de OCSP a la extensión
de acceso a información de entidad de certificación.


Habilitar la plantilla de certificado para la CA.
Para completar este procedimiento, debe ser un administrador de CA. Para obtener más
información acerca de la administración de una PKI, vea Implementación de la administración
basada en funciones.
Para configurar una CA para que admita servicios Respondedor en línea o servicios
Respondedor de OCSP
1. Abra el complemento Entidad de certificación.
2. En el árbol de consola, haga clic en el nombre de la CA.
3. En el menú Acción, haga clic en Propiedades.
4. Haga clic en la ficha Extensiones.
5. En la lista Seleccionar extensión, haga clic en Acceso a la información de entidad (AIA)
y, a continuación, haga clic en Agregar.
6. Especifique las ubicaciones desde las cuales los usuarios pueden obtener los datos de
revocación de certificados como, por ejemplo, http://computername/ocsp.
7. Active la casilla Incluir en la extensión del Protocolo de estado de certificados en línea
(OCSP).
8. En el árbol de consola del complemento Entidad de certificación, haga clic con el botón
secundario en Plantillas de certificados y, a continuación, haga clic en Plantilla de
certificado que se va a emitir.
9. En Habilitar plantillas de certificados, seleccione la plantilla Firma de respuesta de
OCSP y cualquier otra plantilla de certificado que haya configurado anteriormente y, a
continuación, haga clic en Aceptar.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

10. Haga doble clic en Plantillas de certificado y compruebe que las plantillas de certificado
modificadas aparecen en la lista.
Configurar un Respondedor en línea
Se aplica a: Windows Server 2008 R2
Se puede instalar un Respondedor en línea en cualquier equipo con Windows Server 2008 R2
Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise o Windows
Server 2008 Datacenter. Los datos de revocación de certificado pueden proceder de una entidad
de certificación (CA) de un equipo con Windows Server 2008 R2, Windows Server 2008 o Windows
Server 2003, o de una CA que no sea de Microsoft.
Nota
También debe instalar Internet Information Services (IIS) en este equipo antes de que pueda
instalarse el Respondedor en línea.
Se puede usar el siguiente procedimiento si no se han instalado los servicios de rol Servicios de
certificados de Active Directory (AD CS) (como una CA) en este equipo.
El mínimo requerido para completar este procedimiento es la pertenencia al grupo
Administradores local o un grupo equivalente. Para obtener más información acerca de la
administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para instalar el servicio Respondedor en línea
1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Administrador del servidor.
2. Haga clic en Administrar roles. En Servicios de certificados de Active Directory, haga
clic en Agregar servicios de rol. Si ya se ha instalado en este equipo un servicio de rol AD
CS diferente, active la casilla Servicios de certificados de Active Directory en el panel
Resumen de roles y, a continuación, haga clic en Agregar servicios de rol.
3. En la página Seleccionar servicios de rol, active la casilla Protocolo de estado de
certificados en línea.
Aparecerá un mensaje que explica que también se deben instalar IIS y WAS (Windows
Activation Service) para la compatibilidad con OCSP.
4. Haga clic en Agregar servicios de rol requeridos y, a continuación, haga clic en
Siguiente tres veces.
5. En la página Confirmar opciones de instalación, haga clic en Instalar.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

6. Cuando finalice la instalación, revise la página de estado para comprobar que la instalación
se ha realizado correctamente.
Consideraciones adicionales


Antes de usar un Respondedor en línea, se debe crear una configuración de revocación.
Vea Creación de una configuración de revocación.


De manera predeterminada, el filtrado de solicitudes de IIS 7.0 bloquea el signo más (+),
que se usa en la dirección URL de las diferencias entre listas CRL. Para permitir la
recuperación de las diferencias entre listas CRL, modifique la configuración de ISS
mediante el establecimiento de allowDoubleEscaping=true en el elemento
requestFiltering de la sección system.web de la configuración de IIS. Para obtener más
información acerca de la configuración de filtros de solicitudes de IIS 7.0, vea IIS 7.0:
Configurar filtros de solicitudes en IIS 7.0 (http://go.microsoft.com/fwlink/?LinkId=136512).
Seguridad Nota
Permitir que determinados caracteres pasen el filtro de solicitudes puede tener como resultado
un nivel reducido de seguridad, lo que puede ser inaceptable en algunos entornos. Para obtener
una explicación de este tipo de amenaza, vea el capítulo 12 de la publicación Writing Secure
Code (http://go.microsoft.com/fwlink/?LinkId=136514).
Creación de una configuración de revocación
Se aplica a: Windows Server 2008 R2
Un Respondedor en línea puede hacer que la información de revocación esté disponible desde
varias entidades de certificación (CA) y varios certificados de CA. Sin embargo, cada CA y
certificado de CA que sirve un Respondedor en línea requiere una configuración de revocación
independiente.
Una configuración de revocación incluye todas las opciones necesarias para responder a las
solicitudes de estado con relación a los certificados que se han emitido mediante una clave de CA
específica. Estos valores de configuración incluyen:


Certificado de CA. Este certificado se puede encontrar en Servicios de dominio de
Active Directory (AD DS), en el almacén de certificados local, o se puede importar desde un
archivo.


Certificado de firma para el Respondedor en línea. Este certificado de firma se puede
seleccionar automáticamente, se puede seleccionar manualmente (esto implica un paso de
importación adicional después de agregar la configuración de revocación) o puede usar el
certificado de CA seleccionado para que sirva también como certificado de firma.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Proveedor de revocación. El proveedor de revocación proporcionará los datos de
revocación que usa esta configuración. Para un proveedor de Windows Server 2008 R2 o
Windows Server 2008, esta información se especifica como una o varias direcciones URL
donde se pueden obtener CRL base y diferencias entre listas CRL válidas.
Antes de empezar a agregar una nueva configuración de revocación, asegúrese de tener
disponible la información de la lista anterior.
Para llevar a cabo este procedimiento, debe tener el permiso de Administrar Respondedor en
línea en todos los Servicios de respuesta en línea de la matriz. Para obtener más información
acerca de la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para agregar una configuración de revocación a un Respondedor en línea
1. Abra el complemento Respondedor en línea.
2. En el árbol de consola, haga clic en Configuración de revocación.
Aparecerá una lista de las configuraciones de revocación existentes en el panel de detalles.
3. En el panel Acciones, haga clic en Agregar configuración de renovación para iniciar el
Asistente para agregar configuración de revocación.
4. Suministre la información que solicita el asistente.


Para obtener más información acerca de la página Seleccionar ubicación de
certificado de CA, consulte Configuración de revocación de certificados de CA.


Para obtener más información acerca de la página Seleccionar certificado de
firma, vea Certificados de firma de configuración de revocación.
5. Cuando se haya especificado toda la información, haga clic en Finalizar y, a continuación,
haga clic en Sí para completar el proceso de configuración.
Puede modificar las propiedades de una configuración de revocación existente, ver su certificado
de CA o eliminar la configuración de revocación. Para ello, selecciónela y haga clic en Editar
propiedades en el panel Acciones.
Se pueden modificar las siguientes propiedades de una configuración de revocación:


CRL local. Para obtener más información, vea Administración de datos de revocación
mediante CRL locales.


Proveedor de revocación. Para obtener más información, vea Propiedades de los
proveedores de revocación.


Firma. Para obtener más información, vea Firma del proveedor de revocación.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Configuración de revocación de certificados de CA
Se aplica a: Windows Server 2008 R2
Siga el criterio siguiente para seleccionar el certificado de configuración de revocación:


Si el certificado de entidad de certificación (CA) se ha publicado en Servicios de dominio de
Active Directory (AD DS) y el equipo que va a configurar tiene acceso a esta información en
AD DS, haga clic en Seleccionar un certificado de una CA empresarial existente.


Si no se tiene acceso a AD DS y conoce el nombre del certificado de CA que se encuentra
en el almacén de certificados raíz local, haga clic en Seleccionar un certificado del
almacén de certificados local.
Nota
Esta opción no está disponible si el Respondedor en línea no está en el mismo equipo que el
complemento Respondedor en línea.


Si no se tiene acceso a AD DS y el certificado de CA (con una extensión .cer) está
disponible en un medio extraíble, haga clic en Importar certificado de un archivo.
Certificados de firma de configuración de revocación
Se aplica a: Windows Server 2008 R2
Las siguientes opciones están disponibles para seleccionar un certificado de firma de configuración
de revocación:


Por lo general, la opción predeterminada, Seleccionar automáticamente un certificado de
firma, es suficiente para las necesidades de la mayoría de las organizaciones. Esta opción
permite que el proceso de instalación de la configuración de revocación identifique un
certificado de firma adecuado en el almacén de certificados local. Sin embargo, si también
habilita una opción para realizar la inscripción automática de un certificado de firma, el
servicio Respondedor en línea realizará la inscripción y usará ese certificado de firma.


Cuando selecciona Seleccionar manualmente un certificado de firma, el Respondedor
en línea no asignará ningún certificado y el usuario tendrá que seleccionar manualmente
certificados de firma para cada uno de los miembros de la matriz de Servicios de respuesta
en línea.


Usar el certificado de CA para la configuración de revocación se puede seleccionar si el
Respondedor en línea está instalado en el mismo equipo que la entidad de certificación
(CA).


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Nota
La instalación predeterminada de los servicios Respondedor en línea no admite la inscripción
automática del certificado Firma de respuesta de OCSP (Protocolo de estado de certificados en
línea) desde un módulo de seguridad de hardware (HSM) que requiera interacción por parte del
usuario. Si necesita usar un HSM para distribuir certificados Firma de respuesta de OCSP, debe
modificar el servicio Respondedor en línea para que se ejecute como Sistema local con la
interacción habilitada. Además, en la ficha Firma de la página Propiedades del Respondedor
en línea, se debe desactivar la casilla No mostrar interfaz de usuario para operaciones
criptográficas.

Propiedades de los proveedores de revocación
Se aplica a: Windows Server 2008 R2
El proveedor de revocación recupera la lista de revocación de certificados (CRL) de una entidad de
certificación (CA) y usa la lista de revocación para determinar el estado de revocación de un
certificado. Use la hoja de propiedades Proveedor de revocación para especificar una o más
ubicaciones para una CRL y una diferencia opcional entre listas CRL, y para definir el intervalo de
actualización para recuperar CRL actualizadas.
Ubicaciones de CRL base y de diferencias CRL
La ubicación de CRL y diferencias CRL se puede especificar en los formatos descritos en la
siguiente tabla. Todas las ubicaciones de CRL definidas en la extensión de punto de distribución
del certificado de CA se agregan al proveedor de revocación durante la instalación del servicio
Respondedor en línea.

Forma
to de
ubicac
ión Ejemplo
HTTP http://OnlineResponderHost/OCSP/CRLFile.crl
LDAP ldap:CN=CACommonName,CN=CAHostName,CN=CDP,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Fabrikam,DC=com?certificateRevocationLi
st?base?objectClass=cRLDistributionPoint
Se pueden proporcionar varias ubicaciones para una CRL. El orden de la lista define el orden de
prioridad. Si dos CRL no contienen la misma lista de revocación, se usará una CRL que aparezca
en una posición superior.
Intervalo de actualización
El intervalo de actualización predeterminado se define como el período de validez de la CRL. El
intervalo también se puede definir en minutos para actualizar las CRL con mayor frecuencia.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Firma del proveedor de revocación
Se aplica a: Windows Server 2008 R2
La ficha Firma de la página Propiedades del Respondedor en línea muestra el algoritmo hash
que se usa para comprobar las operaciones de firma de las respuestas a los clientes del
Respondedor en línea.
Se pueden configurar las siguientes opciones de firma:


No pedir credenciales para operaciones criptográficas. Si la clave de firma está
fuertemente protegida mediante una contraseña adicional, la selección de esta opción
significa que el Respondedor en línea no pedirá la contraseña al usuario y producirá un
error de forma silenciosa.
Nota
No seleccione esta opción si se usa un módulo de seguridad de hardware (HSM) para proteger
las claves privadas.


Usar automáticamente certificados de firma renovados. Indica al Respondedor en línea
que use automáticamente certificados de firma renovados sin pedir al administrador del
Respondedor en línea que los asigne manualmente.


Habilitar compatibilidad con extensión NONCE. Indica al Respondedor en línea que
inspeccione y procese una solicitud de Protocolo de estado de certificados en línea (OCSP)
que incluye una extensión de valor de seguridad (nonce). Si se incluye una extensión nonce
en la solicitud de OCSP y se selecciona esta opción, el Respondedor en línea omitirá
cualquier respuesta de OCSP en caché y creará una nueva respuesta que incluirá el valor
de seguridad (nonce) suministrado en la solicitud. Si se deshabilita esta opción y se recibe
una solicitud que incluye una extensión nonce, el Respondedor en línea rechazará la
solicitud con un error de "no autorizado".
Nota
El cliente OCSP de Microsoft no admite la extensión nonce.


Usar cualquier certificado de firma de OCSP válido. De forma predeterminada, el
Respondedor en línea sólo usará certificados de firma emitidos por la misma entidad de
certificación (CA) que emitió el certificado que se va a validar. Esta opción permite modificar
el comportamiento predeterminado e indica al Respondedor en línea que use cualquier
certificado válido existente que incluya la extensión EKU de firma de OCSP.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Nota
Los clientes que ejecuten versiones de Windows anteriores a Windows Vista con Service Pack
(SP1) no admiten esta opción y las solicitudes de estado de certificado de estos clientes
producirán errores si está seleccionada esta opción.
Se pueden usar las siguientes opciones de identificador de Respondedor en línea para seleccionar
si se incluye en la respuesta la hash de clave o el sujeto del certificado de firma.


Hash de clave del certificado de firma. Algunos proveedores de servicios de cifrado
(CSP) requieren el hash de clave del certificado de firma para obtener acceso a las claves
privadas.


Sujeto del certificado de firma. Algunos proveedores de servicios de cifrado requieren el
sujeto del certificado de firma para obtener acceso a las claves privadas.
Comprobación de una instalación de Respondedor en línea
Se aplica a: Windows Server 2008 R2
Una vez que ha finalizado la configuración de un Respondedor en línea, puede comprobar si
funciona adecuadamente confirmando si es posible realizar la inscripción automática de
certificados, revocar certificados y hacer que los datos de revocación precisos estén disponibles en
el Respondedor en línea.
Para completar este procedimiento, debe ser administrador de la entidad de certificación (CA). Para
obtener más información acerca de la administración de una infraestructura de clave pública (PKI),
vea Implementación de la administración basada en funciones.
Para comprobar que el Respondedor en línea funciona adecuadamente
1. En la CA, configure varias plantillas de certificado para la inscripción automática de equipos
y usuarios.
2. Después de haber publicado las nuevas plantillas de certificado en los Servicios de dominio
de Active Directory (AD DS), abra un símbolo del sistema en el equipo cliente y escriba el
siguiente comando para iniciar la inscripción automática del certificado:
certutil -pulse
Nota
La replicación de la información sobre nuevos certificados en todos los controladores de
dominio puede tardar varias horas.
3. En el equipo cliente, use el complemento Certificados para comprobar que se han emitido
los nuevos certificados. Si no se han emitido, repita el paso 2. También puede reiniciar el
equipo cliente para iniciar la inscripción automática del certificado.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

4. En la CA, use el complemento Entidad de certificación para ver y revocar uno o más de los
certificados emitidos. Para ello, haga clic en Entidad de certificación (Equipo)\Nombre de
CA\Certificados emitidos y seleccione el certificado que desee revocar. En el menú
Acción, seleccione Todas las tareas y haga clic en Revocar certificado. Seleccione la
causa de la revocación del certificado y haga clic en Sí.
5. En el complemento Entidad de certificación, publique una nueva lista de revocación de
certificados (CRL). Para ello, haga clic en Entidad de certificación (Equipo)\Nombre de
CA\Certificados revocados en el árbol de consola. En el menú Acción, seleccione Todas
las tareas y haga clic en Publicar.
6. En el equipo cliente, use el complemento Certificados para exportar uno de los certificados
emitidos y guardarlo como un archivo X.509.
7. Abra un símbolo del sistema y escriba el siguiente comando:
certutil –url <exportedcert.cer>
8. En el cuadro de diálogo Herramienta de recuperación de URL, seleccione OCSP (desde
AIA) y haga clic en Recuperar. Una vez recuperada la CRL, se mostrará el estado
Comprobado.
Administración de Servicios de respuesta en línea
Se aplica a: Windows Server 2008 R2
Existen procedimientos disponibles para realizar las siguientes tareas básicas de administración del
Respondedor en línea:


Agregar el complemento Respondedor en línea a una consola


Auditoría de las operaciones del Respondedor en línea


Administración de un Respondedor en línea desde otro equipo


Modificar el proxy web del Respondedor en línea


Agregar ubicaciones de OCSP a certificados emitidos


Renovación de certificados de Firma de respuesta de OCSP con una clave existente
Agregar el complemento Respondedor en línea a una consola
Se aplica a: Windows Server 2008 R2
Puede usar el complemento Respondedor en línea para supervisar y administrar el servicio
Respondedor en línea y las configuraciones de revocación en este u otro equipo.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Debe tener el permiso de Administrar Respondedor en línea en el servidor que hospeda el
Respondedor en línea para completar este procedimiento. Para obtener más información acerca de
la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para agregar el complemento Respondedor en línea a una consola
1. Haga clic en Inicio, escriba mmc y presione Entrar.
2. En el menú Archivo, haga clic en Agregar o quitar complemento.
3. En Complementos disponibles, haga doble clic en Respondedor en línea, seleccione el
equipo donde está instalado el Respondedor en línea y, a continuación, haga clic en
Finalizar.
4. Si no tiene más complementos que agregar a la consola, haga clic en Aceptar.
5. Para guardar esta consola, en el menú Archivo, haga clic en Guardar.
Auditoría de las operaciones del Respondedor en línea
Se aplica a: Windows Server 2008 R2
Puede supervisar las operaciones de un Respondedor en línea mediante el registro de los eventos
en el registro de eventos de seguridad de Windows. El Respondedor en línea permite la
configuración de los siguientes eventos de auditoría:


Iniciar o detener el servicio Respondedor en línea. Se registrarán todos los eventos de
inicio o detención del servicio Respondedor en línea.


Cambios en la configuración del Respondedor en línea. Se registrarán todos los
cambios en la configuración del Respondedor en línea, incluidos los cambios en la
configuración de auditoría.


Cambios en la configuración de seguridad del Respondedor en línea. Se registrarán
todos los cambios en la lista de control de acceso (ACL) de las interfaces de administración
y solicitud de servicio Respondedor en línea.


Solicitudes enviadas al Respondedor en línea. Se registrarán todas las solicitudes
procesadas por el servicio Respondedor en línea. Esta opción puede crear una carga
intensiva en el servicio y se debe evaluar de forma individual. Tenga en cuenta que sólo
generarán y auditarán eventos las solicitudes que requieran una operación de firma por
parte del Respondedor en línea; no se registrarán las solicitudes con respuestas anteriores
en caché.
Debe tener el permiso de Administrar Respondedor en línea en el servidor que hospeda el
Respondedor en línea para completar este procedimiento. Para obtener más información acerca de


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para habilitar la auditoría de las operaciones del Respondedor en línea
1. Abra el complemento Respondedor en línea y seleccione el Respondedor en línea.
2. Haga clic en Propiedades del Respondedor en el menú Acción o haga clic en
Propiedades del Respondedor en el panel Acción.
3. Haga clic en la ficha Auditar, seleccione las opciones de auditoría del Respondedor en
línea que desee registrar y, a continuación, haga clic en Aceptar.
Los eventos de auditoría se registrarán en el registro de seguridad de Windows sólo si se habilita la
directiva Auditar el acceso a objetos.
Para completar este procedimiento debe ser un administrador en el servidor que hospeda el
Respondedor en línea. Para obtener más información acerca de la administración de una PKI, vea
Implementación de la administración basada en funciones.
Para habilitar la directiva Auditar el acceso a objetos
1. Abra el Editor de directivas de grupo local.
2. En Configuración del equipo, expanda Configuración de Windows, Configuración de
seguridad y Directivas locales y, a continuación, haga clic en Directiva de auditoría.
3. Haga doble clic en la directiva Auditar el acceso a objetos.
4. Active la casilla Correcto o Error y, a continuación, haga clic en Aceptar.
Administración de un Respondedor en línea desde otro equipo
Se aplica a: Windows Server 2008 R2
Una ventaja de los Respondedores en línea es que se pueden implementar para proporcionar
servicios de comprobación de revocaciones en una ubicación remota o incluso fuera de la intranet
local. No obstante, esto requiere, con frecuencia, la capacidad de administrar el Respondedor en
línea desde otro equipo.
De forma predeterminada, el complemento Respondedor en línea se instala automáticamente al
instalar un Respondedor en línea en un servidor. El complemento Respondedor en línea se puede
instalar en un servidor diferente mediante el Administrador del servidor para instalar las
herramientas de los Servicios de certificados de Active Directory (AD CS).
Antes de habilitar la administración remota, se deben configurar las opciones de firewall
relacionadas con el Respondedor en línea en el equipo que lo hospeda.
Para configurar las opciones de firewall, debe ser administrador local. Para obtener más
información acerca de la administración de una infraestructura de clave pública (PKI), vea
Implementación de la administración basada en funciones.
Para configurar las opciones de firewall para habilitar la administración remota de un
Respondedor en línea


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

1. Abra el Administrador del servidor.
2. En Configuración, expanda Firewall de Windows con seguridad avanzada.
3. Expanda Reglas de entrada y haga clic en Servicio Respondedor en línea (DCOM de
entrada).
4. En el panel Acciones, haga clic en Habilitar regla.
5. Haga clic en Servicio Respondedor en línea (RPC de entrada), y en el panel Acción,
haga clic en Habilitar regla.
6. Para identificar usuarios o equipos autorizados que pueden tener acceso al Respondedor
en línea a través de cada una de las reglas de entrada del firewall del Respondedor en
línea, en el panel Acciones, haga clic en Propiedades para cada una de estas reglas y, a
continuación, haga clic en la ficha Usuarios y equipos.
Es preciso ser administrador local en el equipo remoto para instalar las Herramientas de
administración remota del servidor. Debe tener el permiso de Administrar Respondedor en línea
en el servidor que hospeda el Respondedor en línea para completar este procedimiento. Para
obtener más información acerca de la administración de una PKI, vea Implementación de la
administración basada en funciones.
Para administrar un Respondedor en línea remoto
1. En el equipo remoto, abra el Administrador del servidor.
2. En Resumen de características, haga clic en Agregar características.
3. Expanda Herramientas de administración de servidor remoto y Herramientas de
administración de roles.
4. Active la casilla Servicios de certificados de Active Directory, haga clic en Siguiente y, a
continuación, haga clic en Instalar.
5. Cuando se haya completado el proceso de instalación, haga clic en Cerrar.
6. Haga clic en Inicio, escriba mmc y presione Entrar.
7. En el menú Archivo, haga clic en Agregar o quitar complemento.
8. Haga clic en el complemento Respondedor en línea, en Agregar y, a continuación, en
Aceptar.
9. En el árbol de consola, haga doble clic en el Respondedor en línea.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

10. En el menú Acción, haga clic en Redirigir Respondedor para identificar el Respondedor
en línea que desea administrar.
Consideraciones adicionales


Si el equipo desde el que desea realizar tareas de administración remota ejecuta Windows
Vista, puede obtener el paquete de Herramientas de administración remota del servidor del
Centro de descarga de Microsoft (http://go.microsoft.com/fwlink/?LinkId=89361) (puede
estar en inglés).


Si hay un firewall entre el Respondedor en línea y el equipo remoto, el firewall se debe
configurar para que permita que el tráfico pase a través del puerto 80 entre Internet
Information Services (IIS) y el Respondedor en línea. Se pueden conseguir resultados
similares mediante la capacidad de servidor proxy inverso de Microsoft Internet Security and
Acceleration (ISA) Server.


Es posible que sea necesario configurar los permisos DCOM para habilitar los
Respondedores en línea en una matriz y que se autentiquen entre sí.
Modificar el proxy web del Respondedor en línea
Se aplica a: Windows Server 2008 R2
La caché de proxy web del Respondedor en línea representa la interfaz de servicio del
Respondedor en línea. Se implementa como una extensión de la Interfaz de programación de
aplicaciones para servidores de Internet (ISAPI) hospedada por Internet Information Services (IIS) y
realiza las siguientes operaciones:


Descodificación de la solicitud. Después de que el proxy web del Respondedor en línea
reciba una solicitud, el componente descodificador intentará descodificarla y extraer el
número de serie del certificado para validarlo.


Almacenamiento en caché de la respuesta. Después de recibir una solicitud y de extraer
el número de serie del certificado, el proxy web del Respondedor en línea buscará una
respuesta válida en la caché local. El período de validez del elemento en caché se
establece de forma predeterminada en el período de validez de la lista de revocación de
certificados (CRL) desde la que se genera la respuesta.
Puede modificar las siguientes configuraciones relacionadas con el proxy web de un Respondedor
en línea:


Subprocesos de proxy web. Este valor se refiere al número de subprocesos que la
extensión ISAPI del Respondedor en línea asignará para atender las solicitudes. El aumento
del número de subprocesos usará más memoria del servidor y la reducción del número de
subprocesos reducirá el número de clientes a los que se puede servir de forma simultánea.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Entradas de caché permitidas. La caché se implementa como parte de la extensión ISAPI
del Respondedor en línea y es sólo una caché de memoria interna. El tamaño recomendado
de la caché está entre 1.000 y 10.000 entradas. El número mínimo de entradas de caché es
cinco. Un tamaño pequeño de caché causará más errores de caché y dará como resultado
una mayor carga de operaciones de consulta y firma por parte del servicio Respondedor en
línea; un tamaño grande de caché aumentará el uso de la memoria del Respondedor en
línea.
Debe tener el permiso de Administrar Respondedor en línea en el servidor que hospeda el
Respondedor en línea para completar este procedimiento. Para obtener más información acerca de
la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para modificar el proxy web del Respondedor en línea
1. Abra el complemento Respondedor en línea y seleccione el Respondedor en línea.
2. Haga clic en Propiedades del Respondedor en el menú Acción o haga clic en
Propiedades del Respondedor en el panel Acción.
3. Haga clic en la ficha Proxy web, modifique las opciones de proxy web que desea cambiar y,
a continuación, haga clic en Aceptar.
4. Agregar ubicaciones de OCSP a certificados emitidos
5. Se aplica a: Windows Server 2008 R2
6. La ubicación de un Respondedor en línea se especifica como una dirección URL en la
extensión de acceso a información de entidad de certificación en un certificado. Cuando una
entidad de certificación (CA) emite un certificado, le agrega la extensión de acceso a la
información de entidad de certificación; cuando un cliente necesita comprobar el estado de
revocación de un certificado, enviará la solicitud de estado de certificado a esta dirección
URL.
7. La ficha Propiedades de OCSP permite agregar direcciones URL de Respondedor en línea
a certificados emitidos anteriormente que no incluyen una extensión de acceso a
información de entidad de certificación. Si una organización agrega un Respondedor en
línea a una infraestructura de clave pública (PKI) existente, esta configuración permite usar
las respuestas del Protocolo de estado de certificados en línea (OCSP) para los certificados
existentes y elimina la necesidad de volver a emitirlos. Cuando se agrega una ubicación de
descarga de OCSP a un certificado de CA raíz o intermedio, esa ubicación se usará para
recuperar la respuesta de OCSP para todos los certificados emitidos por esa CA específica.
Nota
Las ubicaciones de descarga de OCSP que se han agregado a través de la ficha Propiedades
de OCSP se comprueban antes que cualquier otra ubicación de descarga que ya exista en un
certificado. Si necesita agregar un marcador de posición URL, use la siguiente dirección:
http://localhost.

Renovación de certificados de Firma de respuesta de OCSP con una clave existente


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Se aplica a: Windows Server 2008 R2
Los certificados de Firma de respuesta del Protocolo de estado de certificados en línea (OCSP)
necesitan estar firmados por la misma entidad de certificación (CA) que se usó para firmar los
certificados de entidad final para la cual se suministra el estado.
Una vez que se renueva la clave de la CA, ésta usará la nueva clave para firmar los nuevos
certificados que emite. En el período entre el momento en que un certificado de CA se renueva y la
fecha de expiración del certificado de CA original, la CA no puede emitir ni renovar certificados de
Firma de respuesta de OCSP. Esto puede evitar que un Respondedor en línea firme respuestas de
OCSP.
Para solucionar este problema, las CA basadas en Windows Server 2008 R2 y Windows Server
2008 se pueden configurar para modificar el comportamiento predeterminado y permitir que los
certificados de firma de respuesta de OCSP se emitan mediante una clave de CA renovada.
Para completar este procedimiento debe ser un administrador en el servidor que hospeda la CA.
Para obtener más información acerca de la administración de una infraestructura de clave pública
(PKI), vea Implementación de la administración basada en funciones.
Para permitir la renovación de certificados de Firma de respuesta de OCSP mediante claves
de CA existentes
1. En el equipo de la CA, abra una ventana del símbolo del sistema y escriba:
certutil -setreg ca\UseDefinedCACertInRequest 1
2. Presione ENTRAR.
3. Reinicie el servicio de CA.
Administración de una configuración de revocación
Se aplica a: Windows Server 2008 R2
Una configuración de revocación incluye todas las opciones necesarias para responder a las
solicitudes de estado de certificado que se han emitido mediante una clave de entidad de
certificación (CA) específica. Estos valores de configuración incluyen el certificado de CA, el
certificado de firma del Respondedor en línea y el tipo de proveedor de revocación que se va a
usar.
Existen procedimientos disponibles para realizar las siguientes tareas de administración de
revocación:


Auditoría de los cambios en la configuración de revocación


Administración de la seguridad del Respondedor en línea


Administración de datos de revocación mediante CRL locales


Eliminación de una configuración de revocación
Auditoría de los cambios en la configuración de revocación
Se aplica a: Windows Server 2008 R2


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Puede supervisar los cambios en las configuraciones de revocación mediante el registro de los
eventos en el registro de eventos de seguridad de Windows. El Respondedor en línea permite la
configuración de los siguientes eventos de auditoría relacionados con la configuración de
revocación:


Cambios en la configuración del Respondedor en línea. Se registrarán todos los
cambios en la configuración del Respondedor en línea, incluidos los cambios en la
configuración de auditoría.


Cambios en la configuración de seguridad del Respondedor en línea. Se registrarán
todos los cambios en la lista de control de acceso (ACL) de las interfaces de administración
y solicitud del servicio Respondedor en línea.
Debe tener el permiso de Administrar Respondedor en línea en el servidor que hospeda el
Respondedor en línea para completar este procedimiento. Para obtener más información acerca de
la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para configurar la auditoría de los cambios en las configuraciones de revocación
1. Abra el complemento Respondedor en línea y seleccione el Respondedor en línea.
2. Haga clic en Propiedades del Respondedor en el menú Acción o haga clic en
Propiedades del Respondedor en el panel Acción.
3. Haga clic en la ficha Auditar, seleccione las opciones de auditoría del Respondedor en
línea que desee registrar y, a continuación, haga clic en Aceptar.
Los eventos de auditoría se registrarán en el registro de seguridad de Windows sólo si se habilita la
directiva Auditar el acceso a objetos.
Para completar este procedimiento debe ser un administrador en el servidor que hospeda el
Respondedor en línea. Para obtener más información acerca de la administración de una
infraestructura de clave pública (PKI), vea Implementación de la administración basada en
funciones.
Para habilitar la directiva Auditar el acceso a objetos
1. Abra el Editor de directivas de grupo local.
2. En Configuración del equipo, expanda Configuración de Windows, Configuración de
seguridad y Directivas locales y, a continuación, haga clic en Directiva de auditoría.
3. Haga doble clic en la directiva Auditar el acceso a objetos.
4. Active la casilla Correcto o Error y, a continuación, haga clic en Aceptar.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Referencias adicionales


Administración de una configuración de revocación


Administración de la seguridad del Respondedor en línea


Administración de datos de revocación mediante CRL locales


Eliminación de una configuración de revocación


Auditoría de las operaciones del Respondedor en línea
Administración de la seguridad del Respondedor en línea
Se aplica a: Windows Server 2008 R2
Se pueden usar tres entradas de control de acceso (ACE) para controlar el acceso administrativo a
un Respondedor en línea, cada una de las cuales se puede configurar para Permitir o Denegar:


Lectura. Define quién puede usar el complemento Respondedor en línea para ver
información acerca del Respondedor en línea.


Administrar Respondedor en línea. Define quién puede usar el complemento
Respondedor en línea para modificar la configuración del servicio Respondedor en línea.
Estos permisos se deben conceder de forma muy selectiva.


Solicitudes de proxy. Habilita un proxy web del Respondedor en línea para el envío de
solicitudes de estado de certificado al servicio Respondedor en línea.
Debe tener el permiso de Administrar Respondedor en línea en el servidor que hospeda el
Respondedor en línea para completar este procedimiento. Para obtener más información acerca de
la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para modificar la configuración de seguridad del Respondedor en línea
1. Abra el complemento Respondedor en línea, haga clic con el botón secundario en el
Respondedor en línea que desea administrar y, a continuación, haga clic en Propiedades.
2. Haga clic en la ficha Seguridad.
3. Agregue el usuario o grupo para el cual desea establecer los permisos y, a continuación,
active las casillas Permitir o Denegar para cada ACE.
4. Haga clic en Aceptar.
Referencias adicionales


Administración de una configuración de revocación


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Auditoría de los cambios en la configuración de revocación


Administración de datos de revocación mediante CRL locales


Eliminación de una configuración de revocación
Administración de datos de revocación mediante CRL locales
Se aplica a: Windows Server 2008 R2
El comportamiento ideal sería que los datos de revocación de certificados se administraran en una
ubicación central y estuvieran disponibles de forma inmediata para todos los usuarios potenciales.
Sin embargo, esto no siempre es posible en entornos complejos de red.
No obstante, las organizaciones que usan Servicios de respuesta en línea pueden crear una lista
de revocación de certificados (CRL) para administrar localmente los datos de revocación de
certificados durante algunos intervalos cuando el Servicio de respuesta en línea no puede obtener
los datos de revocación actualizados de una entidad de certificación (CA) o de otro Servicio de
respuesta en línea. La próxima vez que se establezca una conexión, los datos de la CRL local se
pueden replicar en la CRL de la CA y quitar la CRL local. Hasta que no se quite la CRL local, ésta
tendrá precedencia sobre la información del estado de revocaciones del proveedor de
revocaciones.
Debe tener el permiso de Administrar Servicio de respuesta en línea en el servidor que hospeda
el Servicio de respuesta en línea para completar este procedimiento. Para obtener más información
acerca de la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para modificar los datos de certificado en una CRL local
1. Abra el complemento Servicio de respuesta en línea.
2. En el árbol de consola, haga clic en Configuración de revocación.
Aparecerá una lista de las configuraciones de revocación existentes en el panel de detalles.
3. Haga clic con el botón secundario en una configuración de revocación y, luego, haga clic en
Lista de revocación de certificados local.
4. En el cuadro de diálogo Lista de revocación de certificados local, seleccione el
certificado cuyos datos desea modificar.
5. Haga clic en Actualizar.
6. Modifique los valores que desee cambiar.
7. Haga clic en Aceptar dos veces para salir del cuadro de diálogo Lista de revocación de
certificados local.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Cuando los datos de revocación locales se hayan sincronizado con los datos de revocación de toda
la CA, debe eliminar todos los datos de la CRL local.
Debe tener el permiso de Administrar Servicio de respuesta en línea en el servidor que hospeda
el Servicio de respuesta en línea para completar este procedimiento. Para obtener más información
acerca de la administración de una PKI, vea Implementación de la administración basada en
funciones.
Para eliminar uno o más certificados de una CRL local
1. Abra el complemento Servicio de respuesta en línea.
2. En el árbol de consola, haga clic en Configuración de revocación.
Aparecerá una lista de las configuraciones de revocación existentes en el panel de detalles.
3. Haga clic con el botón secundario en una configuración de revocación y, a continuación,
haga clic en Lista de revocación de certificados local.
4. En el cuadro de diálogo Lista de revocación de certificados local, seleccione el
certificado o certificados que desee quitar de la CRL local.
5. Haga clic en Quitar.
6. Haga clic en Aceptar dos veces para salir del cuadro de diálogo Lista de revocación de
certificados local.
Referencias adicionales


Administración de una configuración de revocación


Auditoría de los cambios en la configuración de revocación


Administración de la seguridad del Respondedor en línea


Eliminación de una configuración de revocación
Eliminación de una configuración de revocación
Se aplica a: Windows Server 2008 R2
Las configuraciones de revocación son versátiles y se pueden modificar en cualquier momento, a
menos que los cambios entren en conflicto con la configuración del controlador de la matriz. No
obstante, es posible que, en ocasiones, necesite eliminar una configuración de revocación. Por
ejemplo:


El certificado de CA ha expirado y la configuración de revocación ya no es necesaria.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



La configuración de revocación está dañada y es más sencillo instalar una configuración de
revocación nueva en lugar de la configuración dañada.
Debe tener el permiso de Administrar Respondedor en línea en el servidor que hospeda el
Respondedor en línea para completar este procedimiento. Para obtener más información acerca de
la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para eliminar una configuración de revocación de un Respondedor en línea
1. Abra el complemento Respondedor en línea.
2. En el árbol de consola, haga clic en Configuración de revocación.
Aparecerá una lista de las configuraciones de revocación existentes en el panel de detalles.
3. Haga clic con el botón secundario en la configuración de revocación que desee eliminar y, a
continuación, haga clic en Eliminar.
Referencias adicionales


Administración de una configuración de revocación


Auditoría de los cambios en la configuración de revocación


Administración de la seguridad del Respondedor en línea


Administración de datos de revocación mediante CRL locales
Administración de una matriz de Respondedores en línea
Se aplica a: Windows Server 2008 R2
Cuando se usan varios Respondedores en línea, necesitan organizarse en una estructura lógica
denominada matriz de Respondedores en línea. Debido a que los Respondedores en línea están
diseñados para responder a solicitudes de estado de certificado individuales, una matriz de
Respondedores en línea ayuda a distribuir las solicitudes de estado entre varios Respondedores en
línea dispersos geográficamente.
Se debe designar un Respondedor en línea de la matriz como controlador de la matriz. La
información de configuración del controlador de la matriz determina las opciones de configuración
de los otros miembros de la matriz.
La configuración de una matriz requiere un planeamiento avanzado sobre los siguientes puntos:


El número y ubicación de las entidades de certificación (CA) que la matriz va a admitir.


El número de clientes que solicitarán certificados de las CA y sus ubicaciones.


La conectividad de red entre clientes, CA y los Respondedores en línea potenciales.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



El volumen de inscripciones de certificados, las revocaciones de certificados y las
solicitudes de estado de certificado que atiende la infraestructura de clave pública (PKI) de
la organización.


La necesidad de redundancia en caso de que los Respondedores en línea no estén
disponibles.
Referencias adicionales


Lista de comprobación: crear una matriz de Respondedores en línea


Agregar miembros de la matriz


Designación de un controlador para la matriz


Sincronización de los miembros con una configuración de la matriz


Evaluación del estado de los miembros de la matriz


Quitar un miembro de una matriz


Lista de comprobación: crear una matriz de Respondedores en línea


Se aplica a: Windows Server 2008 R2


Una vez planeada la matriz de Respondedores en línea, la configuración de la matriz
implica algunos procedimientos que se deben llevar a cabo de forma sucesiva.



Tarea Referencia
Configurar una entidad de certificación (CA)
para admitir Respondedores en línea.
Configurar una entidad de certificación (CA)
para admitir Respondedores de OCSP
Configurar los Respondedores en línea que
desea agregar a la matriz
Configurar un Respondedor en línea
Agregar Respondedores en línea a la matriz Agregar miembros de la matriz
Agregar miembros de la matriz
Se aplica a: Windows Server 2008 R2
Cuando se crea un Respondedor en línea, no se convierte automáticamente en miembro de una
matriz. Cada Respondedor en línea debe agregarse manualmente a la matriz.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para llevar a cabo este procedimiento, debe tener el permiso de Administrar Respondedor en
línea en todos los Respondedores en línea que desea agregar. Para obtener más información
acerca de la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para agregar miembros a una matriz
1. Abra el complemento Respondedor en línea.
2. En el árbol de consola, haga clic en Miembros de configuración de la matriz.
3. En el panel Acciones, haga clic en Agregar miembro de la matriz.
4. Escriba el nombre y la ruta de acceso de red del equipo que hospeda el Respondedor en
línea que desea agregar a la matriz o haga clic en Examinar para navegar hasta el
Respondedor en línea y, a continuación, haga clic en Aceptar.
5. Repita este procedimiento para cada uno de los miembros que desee agregar a la matriz
Designación de un controlador para la matriz
Se aplica a: Windows Server 2008 R2
Cuando una matriz contiene varios Respondedores en línea, se debe designar a uno de ellos como
controlador de la matriz. Los valores de configuración del controlador de la matriz invalidan los
valores en conflicto de otros Respondedores en línea de una matriz.
Para llevar a cabo este procedimiento, debe tener el permiso de Administrar Respondedor en
línea en todos los Servicios de respuesta en línea de la matriz. Para obtener más información
acerca de la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para designar un controlador de la matriz
1. Abra el complemento Respondedor en línea.
2. En el árbol de consola, haga clic en Miembros de configuración de la matriz.
3. Seleccione el Respondedor en línea que desea designar como controlador de la matriz.
4. En el panel Acciones, haga clic en Establecer como controlador de la matriz.
Después de seleccionar un nuevo controlador de la matriz, los datos de configuración de
revocación de este Respondedor en línea se recuperan y comparan con los datos de configuración
de los otros Respondedores en línea que son miembros de la matriz.
Sincronización de los miembros con una configuración de la matriz
Se aplica a: Windows Server 2008 R2
Todos los Respondedores en línea de una matriz deben usar los mismos datos de configuración.
Los datos de configuración de una matriz se definen en un controlador de la matriz. Debe
sincronizar los miembros de la matriz con el controlador de la matriz para asegurarse de que todos
los miembros de la matriz tienen la misma configuración que el controlador.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

Para llevar a cabo este procedimiento, debe tener el permiso de Administrar Respondedor en
línea en todos los Servicios de respuesta en línea de la matriz. Para obtener más información
acerca de la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para sincronizar miembros con un controlador de la matriz
1. Abra el complemento Respondedor en línea.
2. En el árbol de consola, haga clic en //Miembros de configuración de la matriz.
3. En el panel Acciones, haga clic en Sincronizar configuración del Respondedor.
Evaluación del estado de los miembros de la matriz
Se aplica a: Windows Server 2008 R2
Aunque un Respondedor en línea debe funcionar de modo confiable una vez configurado, el
administrador debe comprobar periódicamente el estado de la matriz y de sus miembros.
Puede comprobar el estado de la matriz y de sus miembros con el complemento Respondedor en
línea. Los mensajes de error y de advertencia, si los hay, aparecerán en el panel de estado del
complemento.
Si ve un mensaje de error o de advertencia, es posible que deba comprobar cada miembro de la
matriz para averiguar si:


Existe una conexión de red. Si no es así, debe decidir cómo restablecer la conectividad.


El servicio está en ejecución. Si no es así, el servicio debe reiniciarse.


La entidad de certificación (CA) o los certificados de firma están a punto de expirar. Si es
así, renuévelos antes de que expiren.


La CA o los certificados de firma han expirado. Si es así, renuévelos inmediatamente.
Quitar un miembro de una matriz
Se aplica a: Windows Server 2008 R2
A veces puede ser necesario eliminar un miembro de una matriz si ésta ya no se requiere, se ha
dañado, se ha puesto en riesgo o se va a configurar de nuevo.
Para llevar a cabo este procedimiento, debe tener el permiso de Administrar Respondedor en
línea en todos los Servicios de respuesta en línea de la matriz. Para obtener más información
acerca de la administración de una infraestructura de clave pública (PKI), vea Implementación de la
administración basada en funciones.
Para quitar un miembro de una matriz
1. Abra el complemento Respondedor en línea.
2. En el árbol de consola, haga clic en Configuración de la matriz.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

3. Seleccione el miembro de la matriz que desea eliminar.
4. En el menú Acción o en el panel Acciones, haga clic en Quitar miembro de la matriz.
Consideraciones adicionales


Si el miembro de la matriz que quiere eliminar es el controlador de la matriz, primero debe
designar un nuevo controlador de la matriz antes de eliminar el anterior. Para obtener más
información, vea Designación de un controlador para la matriz.
Solución de problemas de Servicios de respuesta en línea
Se aplica a: Windows Server 2008 R2
En esta sección se enumeran algunos problemas comunes que pueden aparecer al usar el
complemento Respondedor en línea o al trabajar con matrices de Respondedor en línea. Para
obtener más información acerca de la solución de problemas relacionados con los Respondedores
en línea, vea el tema acerca de la solución de problemas de los Servicios de certificados de Active
Directory (http://go.microsoft.com/fwlink/?LinkId=89215) (puede estar en inglés).
¿De qué problema se trata?


El servicio Respondedor en línea no se inicia


El certificado de firma del Respondedor en línea no se pudo localizar


Error al intentar crear una configuración de revocación


El certificado de firma para la configuración del Respondedor en línea expirará pronto


El certificado de firma para la configuración de revocación ha expirado


No se puede cargar una configuración de revocación de Respondedor en línea


El servicio Respondedor no pudo recuperar la CRL para la configuración de revocación
especificada
El Respondedor en línea no se inicia.


Causa: el servicio Respondedor en línea puede producir un error al iniciarse debido a
información del Registro dañada o a recursos del sistema insuficientes.


Solución: intente reiniciar el servicio Respondedor en línea desde el complemento
Servicios (Services.msc). Si el servicio Respondedor en línea produce un error al iniciarse,
compruebe si en el registro de eventos hay otros errores que puedan estar relacionados. Si
no hay disponibles suficientes recursos del sistema para iniciar el servicio Respondedor en
línea, intente reiniciar el equipo o liberar recursos del sistema. Si la información del Registro


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

está dañada, debe usar el Administrador del servidor para desinstalar y volver a instalar el
servicio Respondedor en línea.
El certificado de firma del Respondedor en línea no se pudo localizar


Causa: el certificado Firma de respuesta de OCSP no está presente en el almacén de
certificados personales de la cuenta del equipo, o bien, si el certificado de firma se debería
haber emitido mediante inscripción automática, ésta no se realizó.


Solución: si un certificado Firma de respuesta de OCSP no está presente en el almacén de
certificados personales del equipo local y la revocación se ha configurado para la inscripción
manual de Firma de respuesta de OCSP o para la detección automática, deberá inscribirse
en un certificado manualmente. En configuraciones en las cuales el servicio Respondedor
en línea se inscribe en su certificado, la inscripción manual no funcionará y será necesario
identificar la razón por la que la inscripción automática no funciona. Las posibles razones
incluyen:


El equipo en el cual se ejecuta el servicio Respondedor en línea no puede conectarse a
una entidad de certificación (CA) configurada para emitir certificados basados en la
plantilla Firma de respuesta de OCSP.


El Respondedor en línea no tiene permisos de lectura, de inscripción ni de inscripción
automática (si ésta se utiliza) en la plantilla Firma de respuesta de OCSP.
Error al intentar crear una configuración de revocación


Causa: un intento de crear una configuración de revocación produjo en error con el mensaje
"Certificado de firma defectuoso en el controlador de la matriz".


Solución: compruebe si la plantilla de certificado de firma de respuesta de OCSP se ha
configurado correctamente. En caso contrario, configure la plantilla de certificado para
permitir la inscripción manual de estos certificados de firma.
El certificado de firma para la configuración del Respondedor en línea expirará pronto


Causa: cuando no se usa la inscripción automática, se genera automáticamente un aviso
recordatorio para que renueve un certificado que va a expirar cuando un certificado tiene
configurado un determinado porcentaje de duración restante (de forma predeterminada, el
10 por ciento de su período total de validez). Para comprobar el tiempo restante en el
certificado de firma actual, use el complemento Certificados para examinar el certificado
Firma de respuesta de OCSP en el almacén de certificados personales del equipo o el
servicio Respondedor en línea.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz



Solución: si la plantilla de certificado Firma de respuesta de OCSP se ha configurado para
la inscripción y renovación automáticas, no es necesario realizar ninguna otra acción. En
configuraciones manuales, puede renovar el certificado de firma mediante el complemento
Certificados y el Asistente para renovación de certificados.
El certificado de firma para la configuración de revocación ha expirado


Causa: la renovación automática del certificado de firma produjo un error o la renovación
manual del certificado no se completó antes de la fecha de expiración.


Solución: En configuraciones en las cuales el servicio Respondedor en línea se inscribe en
su certificado, la inscripción manual no funcionará y será necesario identificar la razón por la
que la inscripción automática no funciona. Las posibles razones incluyen:


El equipo en el cual se ejecuta el servicio Respondedor línea no puede conectarse a una
entidad de certificación (CA) configurada para emitir certificados basados en la plantilla
Firma de respuesta de OCSP.


El Respondedor en línea no tiene permisos de lectura, de inscripción ni de inscripción
automática en la plantilla Firma de respuesta de OCSP.
Un administrador de CA debe usar los complementos Plantillas de certificado y Entidad de
certificación para comprobar la disponibilidad y la configuración de la plantilla Firma de
respuesta de OCSP antes de intentar de nuevo la inscripción automática.

Si la configuración de revocación se ha configurado para la inscripción manual del
certificado Firma de respuesta de OCSP, ubique el certificado de firma dentro del almacén
de certificados personales del equipo local del Respondedor en línea.

En configuraciones manuales, puede renovar el certificado de firma mediante el
complemento Certificados y el Asistente para renovación de certificados.

También es posible que el certificado Firma de respuesta de OCSP no se pueda renovar
debido a que la clave de CA que se usó para firmar el certificado Firma de respuesta de
OCSP original no se ha renovado y ya no está disponible. Para resolver este problema,
debe permitir la renovación del certificado Firma de respuesta de OCSP con una clave
existente. Para obtener más información, vea Renovación de certificados de Firma de
respuesta de OCSP con una clave existente.


Imparten: Gustavo García Manzano
Francisco Bermejo Díaz

No se puede cargar una configuración de revocación de Respondedor en línea


Causa: la configuración de revocación está dañada.


Solución: use el complemento Respondedor en línea para eliminar y volver a crear la
configuración de revocación. Si este problema se produjo en un miembro de la matriz,
puede eliminar la configuración dañada del miembro de la matriz y después sincronizar la
matriz para volver a crear la configuración de revocación. Si este problema se encuentra en
un controlador de la matriz, configure temporalmente otro equipo como controlador de la
matriz, sincronice ésta y, a continuación, restablezca el equipo original como controlador de
la matriz.
El servicio Respondedor en línea no pudo recuperar la CRL para la configuración de revocación
especificada


Causa: se produjo un error en la publicación de la lista de revocación de certificados (CRL),
los puntos de distribución CRL no son válidos o el servicio Respondedor en línea no pudo
obtener acceso a la CRL publicada.


Solución: para identificar y resolver problemas de recuperación de CRL en un
Respondedor en línea:
1. Use el complemento Respondedor en línea para comprobar que las direcciones URL
configuradas como puntos de distribución CRL base y delta son válidas.
2. Use el complemento Entidad de certificación para comprobar las direcciones URL
donde la CA publicará las CRL base y delta.
3. En el equipo donde se publica la CRL base, examine la extensión CRL más
actualizada de la CRL base. Compruebe que identifica una ubicación donde se
encuentra la CRL delta.
4. Si es necesario, vuelva a publicar la CRL actual, escribiendo el siguiente comando
en el símbolo del sistema: certutil -crl
5. A continuación, compruebe que el servicio Respondedor en línea puede obtener
acceso a la CRL. En el complemento Respondedor en línea, haga clic con el botón
secundario en Configuración de la matriz y, a continuación, haga clic en
Actualizar datos de revocación.





Imparten: Gustavo García Manzano
Francisco Bermejo Díaz