Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. Gestión del ciclo de vida de los certificados

¿Qué es la gestión del ciclo de vida de los certificados?

Publicado porYogesh Giri 17 Minutos
¿Qué es la gestión del ciclo de vida de los certificados?
Tabla de contenido

Las organizaciones necesitan una base sólida para la red WPA2-Enterprise y, para lograrlo, la implementación de certificados digitales debe incluir una solución de gestión del ciclo de vida de los certificados (CLMS). Los sistemas CLMS, también conocidos como sistemas de gestión de certificados (CMS), permiten el uso de certificados digitales X.509 para la autenticación. Un CMS permite a los administradores gestionar y controlar adecuadamente cada aspecto de un certificado individual, manteniendo una visión global del estado de la red.

Autoridad certificada

Una Autoridad de Certificación (AC) es uno de los pilares fundamentales de la Infraestructura de Clave Pública (PKI). Una AC es una entidad de alta confianza responsable de firmar y generar certificados digitales. Hablaremos sobre los certificados digitales en la siguiente sección. Además, la AC se rige por un conjunto de normas para garantizar la integridad de los certificados. Antes de emitir un certificado, una AC examina los registros y la documentación de fuentes oficiales para verificar la autenticidad de la empresa y, posteriormente, emite el certificado digital. Una AC realiza tres tareas principales:

  • Emite certificados
  • Certifica la identidad del propietario del certificado.
  • Prueba la validez del certificado
Jerarquía de CA

Como se puede observar en el diagrama anterior, existe una jerarquía definida de autoridades de certificación (CA), donde cada una desempeña un rol e importancia únicos en la arquitectura de infraestructura de clave pública (PKI). Generalmente, existen tres tipos de jerarquías: de un nivel, de dos niveles y de tres niveles.
Analicemos cada entidad involucrada en el diagrama anterior:

CA raíz

La CA raíz se encuentra en el nivel más alto de la jerarquía. Es responsable de emitir y firmar certificados para las CA intermedias o subordinadas, las cuales, a su vez, pueden emitir certificados para entidades finales como equipos, usuarios o servicios, como se muestra en el diagrama anterior. Debido a su importancia en la infraestructura de PKI, la clave privada de la CA raíz se mantiene altamente segura en cualquier organización, generalmente fuera de línea para protegerla contra posibles vulneraciones. Suelen tener una larga vida útil, a menudo de 20 años o más. Sin embargo, requieren una renovación periódica antes de su vencimiento para mantener la cadena de confianza.

CA subordinada

La CA subordinada se sitúa entre la CA raíz y los certificados de entidad final, actuando como intermediaria. Esto significa que recibe sus propios certificados de la CA raíz y puede emitir certificados a usuarios, dispositivos u otras entidades. Todos los certificados emitidos por esta CA subordinada forman una cadena de confianza que, en última instancia, se vincula con la CA raíz. Esta confianza es fundamental, ya que, al validar un certificado, se verifica esta cadena para garantizar su validez y confiabilidad.

Certificados de entidad final

Como ya se mencionó en la sección de CA Subordinadas, estos son los certificados finales emitidos por la CA. No emiten certificados a otras entidades y, por lo tanto, se encuentran en la base de la jerarquía de certificados. Estos certificados se instalan en servidores, máquinas y otros dispositivos. Un ejemplo de uso sencillo es un certificado SSL/TLS, que se utiliza para establecer una conexión segura entre el usuario y el navegador, garantizando la privacidad e integridad de los datos.

¿Cómo funciona un contador público autorizado (CPA)?

A continuación se explica el proceso para que una CA emita un certificado firmado:

  1. El solicitante o cliente crea un par de claves (clave pública y clave privada) y envía una solicitud conocida como solicitud de firma de certificado (CSR) a una CA de confianza. La CSR contiene la clave pública del cliente y toda la información sobre el solicitante.
  2. La CA verifica si la información de la CSR es verdadera. Si lo es, emite y firma un certificado utilizando su clave privada y se lo entrega al solicitante para su uso.
  3. El solicitante puede utilizar el certificado firmado para el protocolo de seguridad apropiado.

Certificado digital

Un certificado digital es un tipo de archivo o contraseña electrónica que se utiliza para demostrar la autenticidad de un sistema mediante técnicas de criptografía e infraestructura de clave pública (PKI). Ayuda a las organizaciones a garantizar que solo los dispositivos o usuarios de confianza puedan conectarse a la red. Otra aplicación es confirmar la autenticidad de un sitio web ante un servidor web, mediante un certificado SSL (Secure Socket Layer).

Un certificado digital contiene credenciales como el nombre del usuario, la empresa y la dirección IP o el número de serie del dispositivo. Incluye una copia de la clave pública del titular del certificado, la cual debe compararse con una clave privada para verificar su autenticidad. Posteriormente, las autoridades de certificación (CA) emiten un certificado de clave pública para firmar los certificados y verificar las credenciales del dispositivo solicitado. La información contenida en un certificado es:

  • Asunto

    Proporciona el nombre del ordenador, usuario, dispositivo de red o servicio al que la CA emite el certificado.

  • Número de serie

    Proporciona un identificador único para cada certificado que emite una CA.

  • Emisor

    Proporciona un nombre distinguido para la CA que emitió el certificado.

  • Válido desde

    Proporciona la fecha y hora en que el certificado se vuelve válido.

  • Válido hasta

    Proporciona la fecha y la hora en que el certificado ya no se considera válido.

  • clave pública

    Contiene la clave pública del par de claves que está asociado con el certificado.

  • Algoritmo de firma

    El algoritmo utilizado para firmar el certificado.

  • Valor de la firma

    Cadena de bits que contiene la firma digital.

Importancia de la Certificación Digital

Las organizaciones, los particulares y los sitios web pueden solicitar certificados digitales. Para validar la información, se proporciona una clave pública mediante una solicitud de firma. Tras la validación por parte de una autoridad de certificación (CA) de confianza, esta firma los datos con una clave que establece una cadena de confianza para el certificado. Este proceso permite que el certificado verifique la autenticidad de un documento, autentique o demuestre las credenciales de un sitio web. 

Tipos de certificados digitales

Los certificados digitales pueden ser de diferentes tipos y estos son:

  • Certificado de seguridad de la capa de transporte (TLS/SSL)

    A Certificado TLS / SSL Se utiliza en un servidor para garantizar que la comunicación con su cliente permanezca cifrada y privada, proporcionando autenticación para que el servidor web envíe y reciba mensajes cifrados a los clientes. El certificado TLS/SSL está disponible en tres formatos:

    • Dominio validado

      Este es un método de validación rápido aceptable para cualquier sitio web, económico de obtener y puede emitirse en un minuto.

    • organización Validado

      Esto ayuda a proporcionar una autenticación empresarial básica y es la mejor opción para organizaciones que venden productos en línea.

    • Extended Validation

      Esto ofrece autenticación empresarial completa para gestionar la información confidencial y privada de grandes organizaciones. Generalmente, lo utilizan empresas del sector financiero para ofrecer autenticación, confianza y seguridad.

  • Certificado de firma de código

    Se utiliza principalmente para confirmar la autenticidad de los archivos o software descargados de internet. Los desarrolladores lo usan sobre todo para garantizar que el software disponible en sitios de terceros no pueda ser manipulado. El desarrollador o editor debe firmarlo para que los usuarios estén informados. Este software es genuino y se puede descargar.

  • Certificado de cliente

    Este certificado se utiliza para identificar a un usuario individual ante otro usuario o máquina, o de una máquina ante otra. En un correo electrónico, el remitente firma digitalmente la comunicación y el destinatario verifica su firma. También puede utilizarse para acceder a bases de datos protegidas.

Beneficios de los Certificados Digitales

Los certificados digitales son esenciales a medida que los ciberataques siguen aumentando en volumen y sofisticación. Algunos beneficios cruciales de los certificados digitales son:

  1. Seguridad

    Los certificados digitales se encargan de cifrar las comunicaciones internas y externas para evitar que los atacantes roben o intercepten datos confidenciales. Por ejemplo, un certificado TLS/SSL ayuda a cifrar los datos entre un navegador web y un servidor web para garantizar que un atacante no pueda interceptar los datos de los visitantes del sitio web.

  2. Escalabilidad organizacional

    Los certificados digitales ofrecen a empresas de todos los tamaños y sectores un cifrado de la misma calidad. Son altamente escalables, lo que significa que se pueden revocar, emitir y renovar fácilmente para proteger los dispositivos de los usuarios y, posteriormente, se gestionan a través de una plataforma centralizada.

  3. Autenticidad

    Los certificados digitales son fundamentales para garantizar la autenticidad de las comunicaciones en línea y prevenir los ciberataques en la actualidad. Estos certificados aseguran que los mensajes de un usuario se envíen siempre y lleguen al destinatario previsto. Algunos ejemplos de uso son los certificados de firma de documentos para la firma digital de documentos, los certificados TLS/SSL para el cifrado de sitios web y las extensiones de correo electrónico S/MIME (Secure/Multipurpose Internet Mail Extensions) para el cifrado de las comunicaciones por correo electrónico.

  4. Confianza pública

    El uso de un certificado digital garantiza la autenticidad de un sitio web, así como la correcta autenticación de documentos y correos electrónicos. Además, refleja la confianza pública al asegurar a los clientes que están tratando con una empresa genuina y comprometida con la seguridad y la privacidad.

  5. Confiabilidad

    Solo las autoridades de certificación pueden emitir certificados digitales que gocen de confianza pública. Es necesario un proceso de verificación riguroso para garantizar que los atacantes no puedan engañar a las víctimas que utilizan un certificado digital.

Gestión de certificados

Evite interrupciones de certificados, optimice las operaciones de TI y logre agilidad con nuestra solución de gestión de certificados.

Solicitar demostración

¿Cuál es la diferencia entre un certificado digital y una firma digital?

A certificado digital Un archivo se utiliza para verificar la identidad de un usuario o dispositivo y permite conexiones cifradas. Por otro lado, una firma digital es un método de cifrado que utiliza cadenas numéricas para validar la identidad y garantizar la autenticidad. Se utiliza una clave criptográfica para asociar una firma digital a un documento o correo electrónico. Esta firma se cifra mediante una función hash, y cuando el destinatario la recibe, se aplica la misma función hash para descifrar el mensaje.

¿Por qué es importante la gestión del ciclo de vida de los certificados?

Los certificados digitales se crean mediante criptografía de clave pública, un tipo de criptografía asimétrica en la que ambas partes (emisor y receptor) poseen la mitad de un par de claves pública-privada. Cada parte utiliza su mitad para cifrar las comunicaciones, que el titular de la otra mitad puede descifrar. Este tipo de criptografía es mejor que la criptografía hash, que generalmente se utiliza en sistemas basados ​​en credenciales, pero requiere más pasos.

Debido a su naturaleza asimétrica, requiere que dos partes establezcan comunicaciones seguras para proporcionar el par de claves pública-privada. Esto suele ocurrir mediante la confianza mutua de una autoridad de certificación (CA). Un sistema de gestión de certificados (CMS) robusto es una herramienta esencial para gestionar el ciclo de vida de un certificado. Este CMS permite al usuario visualizar, gestionar y personalizar todos los aspectos del proceso.

Las etapas del ciclo de vida de un certificado

Los certificados digitales son emitidos y confirmados por una autoridad de certificación (CA) para autenticar una identidad. Las contraseñas se basan en frases o palabras creadas por una persona, el usuario. En cambio, los certificados utilizan cifrado de clave pública-privada para cifrar la información y se autentican mediante el Protocolo de Autenticación Extensible TLS (EAP-TLS), uno de los protocolos de autenticación más seguros. EAP-TLS se define en el RFC 3748, que ofrece compatibilidad con múltiples métodos de autenticación.

Los certificados ofrecen más ventajas porque son más fáciles de usar y más seguros que la autenticación basada en credenciales. La mayoría de las empresas de seguridad informática (casi el 55 %) prefieren un método para proteger y autenticar cuentas sin usar contraseñas. Sin embargo, los certificados también caducan y no son válidos indefinidamente; su ciclo de vida depende de las preferencias de cada organización.

Las etapas de un certificado son:

  • Inscripción al certificado
  • Distribución de certificados
  • Validación de certificado
  • Revocación de certificado
  • Renovación de Certificado
  • Destrucción de certificados
  • Auditoría de certificados

Inscripción al certificado

La inscripción de certificados es la primera fase del ciclo de certificación, que normalmente comienza cuando un usuario o un dispositivo solicita un certificado a una autoridad de certificación (CA). Esta solicitud consta de una clave pública y otra información de inscripción. Al recibir la solicitud, la CA verifica la información basándose en un conjunto avanzado de reglas. Si la información se autentica y es legítima, la CA crea el certificado y otro certificado para que la parte solicitante la identifique. La inscripción de certificados requiere cuatro pasos:

  • Solicite un certificado

    El proceso de inscripción de un certificado comienza cuando un usuario solicita su inscripción a una autoridad de certificación (CA). Esta solicitud debe contener información suficiente para que la CA pueda verificar la identidad del usuario. La información necesaria incluye el nombre de dominio, el número de teléfono de la empresa (que se puede obtener de fuentes públicas) y tres datos de contacto: autorización, soporte técnico y facturación. La CA también puede solicitar información adicional según el tipo de certificado solicitado.

  • Añadir las características requeridas

    Antes de completar el envío de la información pertinente (en el paso anterior), el usuario también debe proporcionar otros datos, como su clave pública para la firma de la CA, el algoritmo de hash y la firma digital para crear la firma digital. Esta clave pública, junto con una clave privada, la genera un proveedor de servicios criptográficos (CSP) tras recibir la solicitud de certificado y enviarla a la CA.

  • CA valida la solicitud

    Tras recibir la solicitud de registro, la CA utiliza una clave pública para descifrar la firma digital, calcula un hash y lo verifica en la firma descifrada. También utiliza toda la información de verificación proporcionada para la validación. Si la validación es correcta, la CA firma digitalmente la clave pública y envía el certificado completo al usuario.

  • Instalar el certificado en la máquina del usuario

    Una vez completada la verificación, el usuario debe instalar el certificado en el servidor y anotar su ubicación. También debe copiar el archivo recibido del certificado y guardar las claves correspondientes en un lugar seguro. Posteriormente, deberá publicar copias de sus certificados en sitios web y navegadores para su autenticación.

Distribución de certificados

La distribución del certificado ocurre cuando la CA distribuye el certificado al usuario. Este es un proceso independiente, ya que requiere la intervención de la CA. La CA establece políticas que afectan el uso del certificado en esta etapa.

Aunque CA Client Automation no proporciona ninguna tecnología de distribución automatizada de certificados, viene con certificados predeterminados para cada Nodo de automatización de clientes de CA y certificados específicos de la aplicación. Para migrar desde los certificados predeterminados después de una instalación (que era la configuración predeterminada), los certificados deben distribuirse de las siguientes maneras:

  • Cree un nuevo certificado raíz y asegúrese de que el nombre de la raíz sea diferente del certificado raíz de CA Client Automation existente.
  • Programe la distribución de este nuevo certificado raíz codificado en DER en todos los nodos de la infraestructura de CA Client Automation.
  • Cree nuevos perfiles de seguridad en la base de datos de administración de CA Client Automation para reemplazar los perfiles existentes de un certificado específico de la aplicación.
  • Programe la distribución de nuevos certificados a todos los nodos de CA Client Automation.
  • Después de distribuir exitosamente el certificado, se deben eliminar los certificados anteriores de CA Client Automation.
  • Eliminar los perfiles de seguridad antiguos utilizados para los certificados específicos de la aplicación.

Validación de certificado

Cuando se utiliza un certificado, se verifica su estado actual para comprobar si sigue siendo válido. Ciertas circunstancias, como la vulneración de la clave privada o la autoridad de certificación (CA), o el incumplimiento de las políticas de seguridad, pueden provocar que un certificado pierda su validez o sea revocado antes de su vencimiento natural. En este contexto, la CRL (Lista de Revocación de Certificados) desempeña un papel fundamental, ya que contiene los certificados revocados por la CA que fueron emitidos previamente y cuya fecha de vencimiento estaba prevista.

Sin la CRL, la PKI nunca podría identificar si un certificado ha sido revocado antes de su vencimiento. La CRL se verifica mediante RADIO En el servidor durante este proceso. Un servidor RADIUS solo rechaza una solicitud de conexión si el número de serie del certificado del dispositivo ya figura en la CRL. Esta función es útil en caso de robo de un dispositivo, cambio de permisos de un empleado, etc. 

Gestión de certificados

Evite interrupciones de certificados, optimice las operaciones de TI y logre agilidad con nuestra solución de gestión de certificados.

Solicitar demostración

Revocación de certificado

La revocación de un certificado es la última etapa de su ciclo de vida. Esta fase se produce cuando un certificado caduca o cuando la autoridad de certificación (CA) lo revoca justo antes de su fecha de caducidad. La CA añade automáticamente el certificado a la lista de revocación de certificados (CRL) al revocarlo, lo que indica a RADIUS que ya no lo autentique.

Las listas de revocación de certificados (CRL) pueden ser exhaustivas, y el cliente que realiza estas comprobaciones debe analizar toda la lista para encontrar el certificado del sitio solicitado, esté presente o no. Otro método para comprobar el estado de revocación de un certificado digital es el Protocolo de estado de certificados en línea (OCSP). Es más sencillo y rápido que las CRL porque la comprobación del certificado la realiza la autoridad de certificación (CA) en lugar de la infraestructura de clave pública (PKI), como ocurre con las CRL.

En este método, en lugar de descargar y analizar la CRL completa, el cliente puede enviar el certificado seleccionado a la CA, que devuelve el estado del certificado, como «Válido», «Revocado», «Desconocido», etc. Esto implica mucha menos sobrecarga que el método CRL.

Renovación de Certificado

Si una política de certificados permite un certificado que ya ha caducado, este se renueva automáticamente o mediante la intervención del usuario. Al iniciar el proceso de renovación, el usuario debe elegir si genera nuevas claves públicas y privadas o si reutiliza las existentes. Generar nuevos pares de claves proporciona un mayor nivel de seguridad, lo que ayuda a mitigar el riesgo de que la clave se vea comprometida con el tiempo.

El proceso de renovación también incluye la generación de una CSR (Solicitud de Certificado). Esta CSR contiene la información necesaria para que la CA (Autoridad de Certificación) emita el certificado renovado, como la clave pública, los datos de la organización y el nombre de dominio. La CSR se envía a la CA, que valida la solicitud según sus políticas y procedimientos. Una vez completada la validación, la CA emite el certificado renovado.

Destrucción de certificados

Cuando un certificado ya no se utiliza, tanto este como todas sus copias de seguridad o archivos, junto con la clave privada asociada, deben destruirse. Esto ayuda a garantizar que el certificado no se vea comprometido ni utilizado. Normalmente, esto se realiza mediante métodos de destrucción digital segura o la destrucción física de los dispositivos de almacenamiento, lo que garantiza que no se pueda recuperar ningún rastro del certificado.

El proceso debe documentarse meticulosamente e integrarse con los sistemas de gestión de claves (KMS) para mantener registros de auditoría, garantizar el cumplimiento de las políticas organizacionales y los requisitos reglamentarios y, de esta manera, protegerse contra cualquier uso no autorizado del certificado.

Auditoría de certificados

La auditoría de certificados rastrea la creación, el vencimiento y la revocación de certificados. En ciertos casos, también se utiliza para rastrear el uso correcto de un certificado. Este proceso integral incluye el mantenimiento de registros detallados de la emisión de certificados, como el emisor, la fecha de emisión y el propósito del certificado, lo que facilita el seguimiento de su ciclo de vida y garantiza la rendición de cuentas.

El control de las fechas de vencimiento es fundamental para permitir renovaciones oportunas, evitando así interrupciones en el servicio y manteniendo una cobertura de seguridad continua. El registro de las revocaciones es esencial para prevenir el uso de certificados comprometidos u obsoletos; esto implica actualizar las CRL y garantizar que los sistemas reconozcan y rechacen los certificados revocados para mitigar los riesgos de seguridad.

Gestión del ciclo de vida de certificados para certificados SSL/TLS

La gestión del ciclo de vida de los certificados es esencial para una gestión adecuada de PKI. Apple ha decidido unilateralmente confiar únicamente en... 398 días de certificados SSL y TLS válidosA pesar del consenso del sector en rechazar la propuesta, esta normativa entró en vigor el 1 de septiembre de 2020 y afectó únicamente a los certificados de nueva emisión, ya que los certificados existentes se mantuvieron vigentes. El periodo de validez promedio de todos los certificados, incluidos SSL/TLS, se redujo de 2 a 5 años. Esta tendencia del sector hacia ciclos de vida más cortos para los certificados resultó beneficiosa, puesto que es más seguro reemplazarlos con mayor frecuencia, sea necesario o no. Esto supuso una mejora con respecto a las políticas de reemplazo de contraseñas de 90 días.

Conclusión

Un sistema eficaz de gestión del ciclo de vida de los certificados se basa en un estricto programa de gestión para la organización. Las organizaciones que no cuentan con una gestión adecuada del ciclo de vida de los certificados son propensas a problemas de seguridad y gestión, y los certificados pueden perderse en el sistema, caducar y causar pérdidas de ingresos. Para que la gestión del ciclo de vida de los certificados sea eficaz, todos los certificados que genera deben consolidarse en un único sistema de gestión de identidades.

Encryption Consulting ofrece una solución especializada para la gestión del ciclo de vida de los certificados. Administrador de CertSecureCertSecure ofrece una solución integral, desde el descubrimiento y el inventario hasta la emisión, el despliegue, la renovación, la revocación y la generación de informes. La generación inteligente de informes, las alertas, la automatización, el despliegue automático en servidores y el registro de certificados añaden un alto nivel de sofisticación, convirtiéndolo en un recurso versátil e inteligente.

Descubra nuestra

Blogs relacionados

Gestión del ciclo de vida de los certificados

Limitaciones de AWS Certificate Manager: Dónde se queda corto ACM para la infraestructura de clave pública empresarial

18 de junio de 2026
Más allá de la automatización: Creación de un marco de seguridad para la IA en la gestión de certificados.

Más allá de la automatización: Creación de un marco de seguridad para la IA en la gestión de certificados.

15 de junio de 2026
comprender-la-política-del-programa-raíz-de-chrome

Comprender la política de programas raíz de Chrome v1.8: ¿Qué cambios entrarán en vigor el 15 de junio de 2026?

13 de junio de 2026

Explorar

Más temas