Su guía para comprender los servicios de certificados de Active Directory

Los Servicios de certificados de Active Directory (AD CS) son una de las funciones de servidor introducidas en Windows Server 2008 que proporciona a los usuarios servicios personalizables para crear y administrar Infraestructura de clave pública (PKI) certificados, que pueden utilizarse para cifrado y firmar digitalmente documentos electrónicos, correos electrónicos y mensajes.

Las aplicaciones compatibles con AD CS son redes inalámbricas seguras, redes privadas virtuales (VPN), seguridad de protocolo de Internet (IPSec), protección de acceso a la red (NAP), sistemas de cifrado de archivos (EFS), inicio de sesión con tarjeta inteligente y más.

Caracteristicas

Hay muchas características de AD CS, incluidas:

• Autoridad de certificación (CA):

   La Autoridad certificada En AD CS, se centra principalmente en la gestión y emisión de certificados de clave pública. Se pueden vincular varias CA para formar una PKI. Una PKI típica es una combinación de software, hardware, estándares, servicios y políticas para gestionar los certificados digitales utilizados en una PKI. Una CA puede ser de dos tipos:

  • CA empresarial
  • CA independiente

  La CA empresarial debe ser miembro del dominio y puede emitir certificados para firmas digitales, autenticar el acceso a navegadores web protegidos y proteger las transacciones de correo electrónico. Una CA independiente no requiere Servicios de Dominio de Active Directory y puede funcionar sin conexión. De hecho, ni siquiera debería estar conectada a una red.

• Inscripción web de la autoridad de certificación

  La inscripción web de CA en AD CS permite a los clientes externos, que no forman parte de la red del dominio, conectarse a la CA mediante un navegador de internet. La inscripción web de CA solo admite solicitudes interactivas que el solicitante realiza y carga manualmente a través del sitio. El certificado se puede descargar del navegador tras su emisión por parte de la CA. Esto también permite solicitar la Lista de Revocación de Certificados (CRL), que incluye todos los certificados caducados o revocados dentro de la PKI.

  En el caso de los usuarios que forman parte del dominio, la relación de confianza permite a la CA emitir certificados de forma segura. La inscripción web permite a los clientes externos solicitar y revocar certificados de la CA. La inscripción también puede realizarse entre bosques, lo que significa que los clientes de un bosque pueden obtener certificados de una CA de otro. Para utilizar la inscripción entre bosques, debe establecerse una relación de confianza entre todos los bosques involucrados, y la confianza y el nivel de bosque deben estar configurados en Windows Server 2008 R2 u otras versiones relevantes.

• Respondedor en línea

  El Respondedor en Línea es un servicio de Microsoft Windows que se ejecuta en el servidor OCSP con privilegios de servicio de red. En AD CS, el Respondedor en Línea recibe y procesa solicitudes sobre el estado de los certificados. Se verifica la validez del certificado y la firma digital para determinar su autenticidad. Además, se comprueba si el certificado forma parte de la Lista de Revocación de Certificados (CRL).

  Por diversas razones, la CA puede revocar temporalmente los certificados o retirarles sus derechos de forma permanente antes de su vencimiento, y dichos certificados se listan en la CRL. Además de la CRL, la comprobación de la revocación también puede realizarse mediante la respuesta del Protocolo de Estado de Certificados en Línea (OCSP). El OCSP comprueba el estado del sitio web en cuestión enviando la URL a la Autoridad de Certificación. Esta emite una respuesta firmada con el estado del certificado solicitado.

• Servicio de inscripción de dispositivos de red

  La Servicio de inscripción de dispositivos de red (NDES) Es una función de AD CS que permite emitir certificados a dispositivos de red que gestionan tráfico, como routers, firewalls y switches. Estos dispositivos no son miembros del dominio de Active Directory y, por lo tanto, no poseen credenciales exclusivas de Active Directory. NDES permite el registro de contraseñas de un solo uso para estos dispositivos de red. Estas solicitudes de contraseña se envían a la CA para su procesamiento, y los certificados obtenidos se reenvían al dispositivo. Por lo tanto, los administradores utilizan NDES para la autenticación de estos dispositivos de red.

• Servicio web de inscripción de certificados

  El Servicio Web de Inscripción de Certificados en AD CS permite a usuarios y equipos inscribir y renovar certificados mediante el protocolo HTTPS. Un miembro o usuario no empresarial que se encuentre fuera del límite de seguridad del dominio puede utilizar este servicio. El Servicio Web de Inscripción de Certificados se centra principalmente en las solicitudes automatizadas de clientes y procesa las solicitudes de certificados con la ayuda de un cliente nativo.

• Servicio web de política de inscripción de certificados

  El Servicio Web de Política de Inscripción de Certificados de AD CS permite a equipos y usuarios obtener información sobre su política de inscripción de certificados. Esta política proporciona la ubicación precisa de las CA y los tipos de certificados que se les solicitan. Junto con el Servicio Web de Inscripción de Certificados, este servicio permite la inscripción web basada en políticas a clientes o miembros externos al dominio. La política de inscripción se puede habilitar mediante la configuración de directivas de grupo o aplicándola individualmente a los equipos cliente. Por lo tanto, AD CS resulta un método eficiente para administrar la infraestructura de certificados de cualquier entidad en una red de dominio Windows.

Beneficios de los servicios de certificados de Active Directory

Las organizaciones pueden utilizar AD CS para mejorar la seguridad al vincular la identidad de una persona, dispositivo o servicio a su clave privada correspondiente. AD CS también ofrece a las empresas una forma rentable, eficiente y segura de gestionar la distribución y el uso de... certificados.

AD CS proporciona a una organización la PKI necesaria para usar certificados digitales para proteger servidores web (SSL / TLS), autenticación basada en certificados, firmas digitales para documentos, cifrado de correos electrónicos (S/MIME), etc. Sin AD CS, una organización tendría que depender de un tercero para proporcionar estos servicios o renunciar a implementar certificados.

Desventajas de los servicios de certificados de Active Directory

• Implementar y gestionar una CA de Microsoft no es tarea fácil. Necesitará un equipo dedicado con experiencia en PKI para que la implementación se desarrolle sin problemas. Tras la configuración, su equipo debe mantenerse al día con las mejores prácticas de PKI para mantener la disponibilidad y la fiabilidad.
• Puede resultar costoso teniendo en cuenta los costos generales del hardware, la implementación y el mantenimiento por parte de un equipo de expertos.
• AD CS tiene un problema de vinculación con los dispositivos MAC OS.
• Los ataques XSS o Cross-Site Scripting pueden ocurrir en AD CS porque la inscripción web no depura correctamente la entrada del usuario, lo que significa que nada la verifica antes de almacenarla en una base de datos. La entrada no depurada también puede provocar inyecciones SQL.

Conclusión

Los servicios de certificados de Active Directory o AD CS se utilizan para establecer un sistema local Infraestructura de clave pública (PKI)Tiene la capacidad de crear, validar y revocar certificados de clave pública. Estos certificados tienen diversos usos, como el cifrado de archivos, correos electrónicos y tráfico de red.