Introducción
Microsoft Autoridad de certificación (CA) Es uno de los componentes más críticos en un entorno PKI empresarial. Se encarga de emitir, registrar, revocar y renovar certificados digitales que admiten diversos casos de uso, como la autenticación de usuarios y dispositivos, el cifrado de datos, la gestión de identidades y las comunicaciones seguras (SS/TLS). La instalación y administración de la CA no se puede considerar una tarea de implementación única. La CA no es algo que se configure y olvide; requiere monitorización continua, validación periódica y limpieza controlada con revisiones de estado regulares para mantenerse operativa a lo largo del tiempo sin interrumpir los servicios de certificados. Servicio de certificados de Active Directory (ADCS) de Microsoft Las herramientas permiten realizar copias de seguridad, restauraciones, gestión de bases de datos, publicación de CRL, revisión de plantillas y operaciones de limpieza de bases de datos.
Las autoridades de certificación (CA) emiten certificados durante periodos prolongados, que pueden ser días, meses o incluso años, sin que se detecte ningún problema aparente. Sin embargo, en segundo plano, la base de datos de la CA crece constantemente al almacenar registros de solicitudes fallidas, solicitudes denegadas, certificados revocados, certificados caducados y entradas obsoletas relacionadas con las listas de revocación de certificados (CRL). Dado que estos registros no se eliminan automáticamente, se acumulan durante meses y años, aumentando el tamaño de la base de datos y la cantidad de datos obsoletos que los administradores deben revisar durante la resolución de problemas o las auditorías.
En uno Caso de estudio de MicrosoftLa base de datos de CA de un cliente había crecido desmesuradamente durante varios meses sin que los administradores se percataran. El problema solo se detectó cuando la base de datos había consumido casi la totalidad de la partición de 55 GB en la que estaba alojada. En ese caso, una base de datos de CA de Windows Server Enterprise había superado los 50 GB y seguía creciendo, lo que demuestra la facilidad con la que la acumulación incontrolada puede convertirse en un grave problema operativo.
En Encryption Consulting, consideramos el mantenimiento de PKI como algo más que un simple servicio de limpieza. Antes de eliminar las solicitudes fallidas de la base de datos, asegúrese de tener una copia de seguridad válida y reciente de la base de datos de la CA para poder restaurar el sistema si fuera necesario. A continuación, verifique que las rutas de la base de datos y la ubicación de almacenamiento estén configuradas correctamente y dispongan de espacio suficiente. Posteriormente, realice las tareas de limpieza de forma controlada, eliminando únicamente los registros obsoletos o innecesarios, como las solicitudes caducadas o fallidas.
Una vez finalizada la limpieza, se debe compactar la base de datos para recuperar espacio y mejorar el rendimiento. Por último, es fundamental validar que las funciones principales de la CA, como la publicación de CRL y la revocación de certificados, sigan funcionando correctamente tras la actividad de mantenimiento y estén disponibles.
Mantenimiento de la infraestructura de clave pública (IQP)
El primer y más importante paso para el mantenimiento de la infraestructura de clave pública (PKI) es asegurarse de tener una copia de seguridad adecuada. Nunca se debe comenzar a limpiar la base de datos de la CA sin tener un punto de reversión, de modo que, si algo sale mal, se pueda restaurar el sistema.
Ahora bien, Microsoft ADCS permite realizar copias de seguridad de diferentes partes de la CA por separado, y aquí es donde la gente suele confundirse:
- A Copia de seguridad solo de la base de datos Incluye la base de datos y los registros de CA. Esto suele ser suficiente para tareas rutinarias como la limpieza trimestral, ya que solo se modifican los registros de la base de datos.
- A Copia de seguridad completa de CA Es mucho más amplio. Incluye la base de datos y los registros de la CA, el certificado y la clave privada de la CA, y los datos de configuración de la CA relacionados, como la configuración del registro.
Esta distinción es importante porque una copia de seguridad de la base de datos por sí sola no puede restaurar completamente la CA en caso de una interrupción; solo ayuda a revertir los cambios realizados en la base de datos.
Hay otro punto crítico cuando Módulos de seguridad de hardware (HSM) Si la clave privada de su CA se almacena en un HSM, no podrá realizar una copia de seguridad como si fuera una clave de software normal. En su lugar, deberá seguir el proceso de copia de seguridad específico definido por el proveedor del HSM (como Luna o nShield). Ignorar esto puede provocar que la CA no se pueda recuperar.
Que una CA sea "saludable" va más allá de emitir certificados; también depende de si los clientes pueden confiar en ellos y validarlos. En pocas palabras, cuando se emite un certificado, los clientes no lo aceptan ciegamente. Verifican:
- Si el certificado ha sido revocado (a través de CRL/OCSP → ubicaciones CDP)
- Quién emitió el certificado y cómo construir la cadena (a través de las ubicaciones de AIA)
Entonces, incluso si su CA está emitiendo certificados perfectamente, es no está realmente operativo si estos servicios de soporte están rotos o no son accesibles. Por eso el mantenimiento también debería incluir la comprobación de que Puntos de distribución de CRL (CDP) son accesibles, garantizando Acceso a la información de la autoridad (AIA) Las URL son correctas y accesibles, y se verifica que los datos de revocación se publiquen y actualicen correctamente.
Una forma sencilla y eficaz de hacerlo en entornos Microsoft es utilizando pkiview.mscEn la CA emisora, que ofrece una vista general rápida del estado de su PKI. Muestra si las URL de CDP/AIA son accesibles, señala las CRL caducadas o faltantes y resalta cualquier problema de cadena o publicación.
En entornos Microsoft ADCS, el certutil -deleterow El comando ofrece opciones de limpieza específicas según el tipo de datos que se eliminen. Por ejemplo, la limpieza de solicitudes se centra en las solicitudes fallidas o pendientes y se basa generalmente en la fecha de envío, mientras que la limpieza de certificados se aplica a los certificados caducados o revocados y se basa en sus fechas de vencimiento. Esta distinción es importante porque la limpieza debe ser planificada y guiada por políticas de retención definidas, lo que garantiza que solo se eliminen los registros innecesarios sin afectar a los datos operativos o de auditoría importantes.
Finalmente, una vez completada la limpieza, la base de datos de certificados puede requerir compactación para recuperar el espacio no utilizado. Para ello, esentutl /d Este comando se utiliza para realizar una desfragmentación y compactación sin conexión de la base de datos ESE (Extensible Storage Engine). Este paso es especialmente importante después de eliminar registros obsoletos, ya que reorganiza la base de datos y reduce su tamaño físico. Como resultado, ayuda a mejorar el rendimiento, optimizar el uso del almacenamiento y deja la base de datos CA en un estado más limpio y eficiente.
Importancia de la limpieza trimestral
La limpieza trimestral ofrece un enfoque práctico y equilibrado para la administración de CA. Su frecuencia es suficiente para evitar la acumulación de datos a largo plazo, pero a la vez lo suficientemente controlada como para alinearse con un proceso de mantenimiento controlado que incluye revisión, copia de seguridad, ejecución y validación posterior a los cambios. En lugar de esperar a que la base de datos de CA crezca demasiado o se vuelva difícil de gestionar, los administradores pueden eliminar periódicamente los datos que ya no son relevantes para las operaciones, conservando un punto de reversión para la ventana de mantenimiento.
El mantenimiento trimestral también ayuda a mantener la disciplina con las copias de seguridad y la recuperación. Antes de comenzar cualquier limpieza, conviene realizar una copia de seguridad reciente de la CA para que refleje con precisión el estado actual de la base de datos. Si se utiliza una copia de seguridad antigua, es posible que ya no coincida con los últimos cambios, lo que la hace menos útil para la recuperación. Por lo tanto, en la práctica, lo más seguro es realizar una copia de seguridad justo antes de comenzar la limpieza; esto proporciona un punto de reversión fiable en caso de que algo salga mal durante la actividad de mantenimiento.
Un proceso práctico de limpieza trimestral para Microsoft CA
Un proceso práctico de limpieza trimestral para Microsoft CA debe seguir una secuencia definida y repetible para garantizar que el mantenimiento de la base de datos se lleve a cabo de forma segura, con un punto de reversión claro establecido antes de realizar cualquier cambio y una validación adecuada una vez finalizada la actividad.
Paso 1: Realizar comprobaciones previas a la limpieza
Antes de iniciar la actividad, los administradores deben revisar el estado de la CA emisora y confirmar que haya suficiente espacio en disco en el servidor. Esto es importante, ya que tanto la copia de seguridad como la compactación de la base de datos sin conexión requieren espacio de trabajo. Si la CA está alojada en un entorno virtual, crear una instantánea de la máquina virtual puede proporcionar una medida de seguridad adicional contra la reversión, de acuerdo con los estándares operativos de la organización.
Paso 2: Realice una copia de seguridad de la base de datos de CA antes del mantenimiento.
Una vez preparado el entorno, el siguiente paso es realizar una copia de seguridad de la base de datos de la CA antes de eliminar cualquier registro. Esto se puede hacer desde la consola de la Autoridad de Certificación haciendo clic con el botón derecho en la CA, seleccionando la opción de copia de seguridad y eligiendo únicamente la base de datos de certificados y el registro de la base de datos de certificados para esta tarea de mantenimiento. Esta copia de seguridad debe considerarse una copia de seguridad de la base de datos para la reversión del mantenimiento, no una copia de seguridad completa de la CA. Si se requiere una copia de seguridad completa de la CA, también se debe realizar una copia de seguridad por separado del certificado de la CA y la clave privada.
Este paso es fundamental porque establece el punto de reversión para la actividad de limpieza.
Paso 3: Ejecutar el script de limpieza o el proceso de limpieza basado en certutil.
Una vez realizada la copia de seguridad, se puede ejecutar el proceso de limpieza en la CA emisora. En esta etapa, el administrador debe ejecutar el script de PowerShell o el conjunto de comandos de limpieza aprobados para la CE e indicar la fecha límite para la eliminación de registros.
Para eliminar certificados caducados:
certutil -deleterow Certificado
Para eliminar certificados fallidos:
certutil -deleterow Pedido
Para eliminar certificados revocados:
certutil -deleterow "ExpiredRevokedCerts"
El proceso debe diseñarse para identificar primero los registros coincidentes, mostrar el recuento total y, a continuación, requerir una confirmación explícita antes de que comience la eliminación. Esta es una medida importante, ya que la limpieza de la CA de Microsoft es específica para cada tipo de registro. La limpieza de solicitudes se centra en las solicitudes fallidas y pendientes, mientras que la limpieza de certificados se centra en los registros de certificados caducados y revocados. Por ello, el administrador debe confirmar con exactitud qué se va a eliminar antes de proceder.
Paso 4: Revise la finalización de la limpieza y prepárese para el mantenimiento de la base de datos.
Una vez finalizado el proceso de eliminación, la siguiente etapa consiste en preparar el mantenimiento de la base de datos. En este punto, la limpieza de filas obsoletas puede haber reducido el contenido lógico de la base de datos CA, pero el archivo físico de la base de datos aún podría ser mayor de lo necesario. Para recuperar el espacio no utilizado, se debe realizar una compactación de la base de datos sin conexión.
Antes de que eso ocurra, el administrador debe asegurarse de que el proceso de limpieza se haya completado por completo y de que no haya otras acciones de mantenimiento en curso en la CA.
Paso 5: Detener AD CS
El servicio de Servicios de certificados de Active Directory debe detenerse antes de realizar cualquier operación de base de datos sin conexión. Esto es un paso necesario en el proceso de mantenimiento, ya que la compactación de la base de datos no debe realizarse mientras la base de datos de la CA esté en uso.
Detener AD CS garantiza que la base de datos permanezca en un estado estable mientras continúa la actividad de mantenimiento.
Paso 6: Confirme la ruta de la base de datos de CA.
Una vez detenido el servicio, el administrador debe confirmar la ubicación exacta del archivo de la base de datos de certificados en las propiedades de la CA, en lugar de confiar en una ruta predeterminada. Para ello, abra la consola de la Autoridad de Certificación, haga clic con el botón derecho en la CA, seleccione Propiedades y, a continuación, acceda a la pestaña Almacenamiento.
En muchos entornos, la base de datos de certificados se almacena en:
C:\Windows\System32\CertLog
Sin embargo, el nombre real del archivo EDB depende del nombre de la CA. En el entorno de ejemplo, el archivo de base de datos es:
Encon Emisor CA.edb
Validar la ruta de la base de datos en funcionamiento en esta etapa ayuda a evitar ejecutar tareas de mantenimiento en el archivo incorrecto.
Paso 7: Realizar la compactación de la base de datos sin conexión.
Tras confirmar la ruta correcta del archivo EDB, el administrador debe navegar hasta el directorio de la base de datos de certificados y ejecutar la compactación sin conexión mediante esentutl /d.
Ejemplo:
esentutl /d "C:\Windows\System32\CertLog\Encon Issuing CA.edb"
Este paso desfragmenta y compacta la base de datos de CA después de eliminar los registros obsoletos. Resulta especialmente útil cuando se ha eliminado un número significativo de registros fallidos, caducados o revocados, ya que ayuda a recuperar espacio no utilizado en la base de datos y mejora su higiene.
Paso 8: Realice una copia de seguridad nueva después del mantenimiento.
Una vez finalizada la compactación correctamente, se debe realizar una nueva copia de seguridad de la base de datos de CA. Esta copia se convierte en el nuevo punto de recuperación tras el mantenimiento y conserva el estado de la base de datos de CA posterior a la limpieza y la compactación.
Este paso es tan importante como la copia de seguridad previa a la limpieza, ya que captura la CA en su estado actualizado y mantenido.
Paso 9: Reiniciar AD CS
Una vez completada la copia de seguridad posterior al mantenimiento, se debe reiniciar el servicio de Servicios de certificados de Active Directory. El administrador debe confirmar que el servicio de CA se inicia correctamente y que no hay errores inmediatos relacionados con la base de datos, los servicios de certificados o las funciones de publicación.
Paso 10: Realizar la validación posterior al mantenimiento.
El paso final es la validación. Después de que la CA se haya vuelto a poner en línea, los administradores deben confirmar que la CA está funcionando normalmente, que los servicios de certificados están en buen estado y que los puntos de publicación siguen siendo válidos. Esto debe incluir la comprobación del estado de AIA y CDP a través de pkiview.msc, revisando la consola de CA y confirmando que la actividad de mantenimiento no ha afectado las operaciones normales de CA.
La limpieza trimestral solo debe considerarse completa una vez que el CA se haya limpiado, compactado, respaldado nuevamente, reiniciado con éxito y validado operativamente.
¿Cómo puede ayudar la consultoría de cifrado?
La gestión de una CA de Microsoft va mucho más allá de la implementación inicial. Requiere una atención constante al estado de la base de datos, una disciplina rigurosa en las copias de seguridad, la publicación de listas de revocación de certificados (CRL) y actividades de validación periódicas que muchas organizaciones tienen dificultades para mantener de forma consistente junto con sus operaciones diarias. Es precisamente aquí donde Encryption Consulting aporta valor.
Nuestro Servicios de evaluación de PKI Ofrecemos una evaluación integral de su entorno ADCS actual, identificando deficiencias en la higiene de CA, las prácticas de respaldo, la configuración de CRL/AIA y el estado de la base de datos. Ya sea que su base de datos de CA haya crecido sin control con el tiempo o que sus procesos de mantenimiento carezcan de estructura, nuestro equipo le entregará un informe de riesgos detallado junto con una hoja de ruta priorizada para que su PKI vuelva a un estado óptimo y auditable.
Para las organizaciones que necesitan apoyo continuo en lugar de una revisión única, nuestra Servicios de soporte de PKI Ofrecemos asistencia las 24 horas mediante suscripción. Esto incluye mantenimiento proactivo de CA, monitorización de CRL, solución de problemas de bases de datos y ejecución guiada de limpieza trimestral, lo que garantiza que su entorno de CA se mantenga limpio, compacto y operativamente fiable sin sobrecargar a sus equipos internos.
Conclusión
La limpieza trimestral de CA no debe abordarse como un simple ejercicio de eliminación. Es un proceso controlado. PKI Actividad de mantenimiento que combina la disciplina de copias de seguridad, la limpieza minuciosa de registros, el mantenimiento de bases de datos sin conexión y la validación posterior a los cambios. Cuando se realiza correctamente, mejora la higiene de la base de datos, facilita la administración de CA y respalda una postura operativa más sólida a largo plazo para la infraestructura de clave pública (PKI) de Microsoft.
Para las organizaciones que utilizan Microsoft AD CS, los mejores resultados se obtienen al considerar el mantenimiento como parte integral del modelo de gobernanza de PKI. Las copias de seguridad deben realizarse de forma planificada, la limpieza debe tener en cuenta la retención de datos, el mantenimiento de la base de datos debe llevarse a cabo con cuidado y cada ciclo de mantenimiento debe finalizar con la verificación de que la CA funciona correctamente y la publicación de revocación permanece intacta. Esto es lo que convierte el mantenimiento rutinario en una práctica operativa de PKI fiable y repetible.
