Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. PKI

Tu guía definitiva para comprender CEP y CES

Publicado porAditi Goel 24 Minutos
CEP y CES
Tabla de contenido

Si manejas un windows Server Infraestructura de clave pública (PKI) En el entorno, la inscripción de certificados es uno de los procesos más críticos desde el punto de vista operativo y que con mayor frecuencia falla en su infraestructura. Cuando los dispositivos se encuentran fuera de su red de dominio, la inscripción de certificados tradicional a través de Active Directory simplemente no funciona. Ese es precisamente el problema que Servicio web de política de inscripción de certificados (CEP) y Servicio web de inscripción de certificados (CES) Fueron diseñados para resolver.

Estos dos servicios de rol de Active Directory Certificate Services (AD CS) funcionan conjuntamente para permitir la inscripción segura y automatizada de certificados en cualquier dispositivo, ya sea que esté unido a un dominio, conectado remotamente, en un entorno híbrido en la nube o completamente fuera del perímetro de su red interna. Analicemos cada componente y comprendamos cómo funciona el proceso de inscripción automática mediante CEP y CES.

¿Qué es el Servicio Web de Política de Inscripción de Certificados (CEP)?

El servicio web de directivas de inscripción de certificados (CEP) es el servicio de rol de AD CS responsable de entregar directivas de inscripción de certificados a los clientes a través de una interfaz web segura. Actúa como el punto de distribución de políticas de su entorno PKI.

En una configuración de dominio típica, un equipo Windows unido al dominio obtiene automáticamente información relacionada con certificados de Active Directory sin ningún esfuerzo manual. Básicamente, "pregunta" a Active Directory qué certificados puede solicitar, qué plantillas de certificados están disponibles y cuáles Autoridades de certificación (CA) Debe utilizarse. Con base en esta información, la máquina puede solicitar e instalar automáticamente el certificado. Todo esto sucede en segundo plano, por lo que, desde la perspectiva del usuario, el proceso es invisible.

Este enfoque tradicional deja de funcionar en entornos modernos donde los sistemas no pueden comunicarse directamente con Active Directory. Por ejemplo,

  • Trabajadores remotos Conectarse a través de Internet sin una VPN
  • Dispositivos no unidos a un dominio que no tienen conectividad AD
  • Servidores DMZ están aislados del dominio interno
  • Cargas de trabajo en la nube en Azure, AWS, entornos híbridos o incluso sistemas de socios/proveedores.
  • Dispositivos de socios o proveedores que necesitan certificados organizativos

Dado que no pueden consultar Active Directory, no pueden descubrir plantillas de certificados ni autoridades de certificación disponibles, lo que interrumpe el proceso normal de inscripción automática. Es precisamente aquí donde soluciones como CEP y CES cobran importancia, ya que proporcionan una forma segura y basada en la web para que estos sistemas externos o aislados puedan solicitar y recibir certificados.

CEP soluciona este problema al poner a disposición la política de inscripción de certificados a través de un sistema seguro. Servicio web HTTPS En lugar de requerir acceso directo a Active Directory, un cliente autorizado, incluso fuera de la red interna o sin estar unido al dominio, puede conectarse a CEP a través de la web y consultar qué certificados puede solicitar, qué plantillas están disponibles y qué CA debe usar. En resumen, CEP funciona como una alternativa segura en línea a la función de consulta de directivas de Active Directory, permitiendo que sistemas remotos o aislados obtengan la información de inscripción de certificados que necesitan.

¿Qué información proporciona CEP?

Cuando un cliente se conecta a CEP, CEP devuelve todas las reglas y opciones de inscripción de certificados que se aplican a ese cliente específico. Esto incluye:

  • Todos plantillas de certificado que el cliente tiene permiso para usar
  • Específico de la plantilla configuración o restricciones, como Requisitos clave de uso o del tema
  • El Autoridad de certificación objetivo que el cliente debe dirigir las solicitudes a
  • Configuración de la política de inscripción, incluyendo umbrales de renovación y períodos de validez
  • Requisitos de autenticación El cliente debe cumplir con lo siguiente al enviar una solicitud.
  • metadatos de la política, incluyendo el identificador único de la política de inscripción

Nota: CEP solo proporciona información sobre la política de inscripción de certificados; indica al cliente qué solicitudes puede realizar y bajo qué normas. No emite certificados, no procesa solicitudes de inscripción, no se comunica con la Autoridad de Certificación para enviar solicitudes ni almacena datos de certificados. En resumen, CEP es únicamente una guía de políticas; informa al cliente, pero no realiza la inscripción de certificados propiamente dicha.

¿Qué es el Servicio Web de Inscripción de Certificados (CES)?

El Servicio web de inscripción de certificados (CES) son los AD CS Servicio de rol que gestiona las transacciones de inscripción y renovación de certificados. Continúa justo donde lo deja CEP y actúa como un intermediario seguro y autenticado entre el cliente y la Autoridad de Certificación.

Incluso después de que el cliente sepa de CEP qué certificado puede solicitar, todavía tiene que enviarlo realmente. solicita En algún lugar donde se pueda emitir el certificado. En una configuración de dominio interno normal, esto se hace enviando la solicitud directamente a la Autoridad de Certificación mediante DCOM/RPC, lo cual solo funciona cuando el cliente tiene conectividad de red directa con la CA. Esto se convierte en un problema para usuarios remotos, dispositivos con conexión a internet o sistemas aislados, ya que normalmente no pueden acceder directamente a la CA.

CES resuelve este problema actuando como una capa intermedia segura: el cliente envía la solicitud de certificado a CES a través de HTTPS, y CES la reenvía a la CA interna del cliente. Esto significa que el cliente puede solicitar certificados sin necesidad de tener acceso directo a la propia CA.

Función del CES

  • Acepta solicitudes de inscripción y renovación de certificados de clientes mayores de HTTPS
  • Autentica al cliente antes de procesar cualquier solicitud
  • Reenvía solicitudes autenticadas a la Autoridad de Certificación interna
  • Devuelve respuestas de CA – Certificado emitido, estado pendiente o denegación – de vuelta al cliente
  • Manijas renovación de certificado, incluyendo la renovación basada en claves para escenarios automatizados
  • Mantiene el transacción de inscripción completa desde la presentación hasta la entrega de la respuesta

Este diseño es importante porque protege a la Autoridad de Certificación interna de la exposición directa a sistemas externos. La CA no necesita tener una dirección IP pública ni ser accesible desde internet, lo que reduce considerablemente el riesgo de seguridad. En cambio, CES se sitúa delante de la CA y actúa como un guardián seguro. Primero verifica la autenticación y la autorización, de modo que solo las solicitudes válidas y aprobadas se transmiten a la CA.

De esta forma, CES se convierte en un punto de acceso controlado para la inscripción de certificados, mientras que la CA permanece oculta tras él. Además, mejora la rendición de cuentas, ya que tanto CES como la CA pueden registrar y auditar la actividad por separado, lo que proporciona mayor visibilidad sobre quién envió una solicitud y cómo se procesó.

Comparación definitiva entre CEP y CES

CEP le indica al cliente qué debe solicitar. CES ayuda al cliente a solicitarlo realmente.

Analicemos las similitudes y diferencias entre CEP y CES.

CEP (Servicio web de políticas de inscripción de certificados)CES (Servicio web de inscripción de certificados)
Proporciona a los clientes la política de inscripción de certificados.Gestiona las solicitudes de inscripción y renovación de certificados.
Indica al cliente qué certificados puede solicitar.Permite al cliente enviar la solicitud.
NO se comunica con la Autoridad de CertificaciónSe comunica con la Autoridad de Certificación
NO emite certificadosNO emite certificados (actúa como intermediario ante la CA).
Plantillas de devolución, configuración y detalles de la políticaProcesa y remite las solicitudes de certificados.
Servicio de atención al clienteServicio de atención al cliente
Requiere IISRequiere IIS
Requiere autenticaciónRequiere autenticación
Admite autenticación Kerberos y de nombre de usuario/contraseña.Admite autenticación mediante Kerberos, nombre de usuario/contraseña y certificado.
NO admite la autenticación basada en certificados.Admite la autenticación de certificados (principalmente para renovación).
Se utiliza para recuperar la política de forma remota.Se utiliza para realizar la inscripción de forma remota.
Utiliza HTTPS (Puerto 443)Utiliza HTTPS (Puerto 443)

Explicación paso a paso de cómo funciona la inscripción automática de certificados

A continuación se describe el flujo de trabajo completo de principio a fin para la inscripción automática de certificados mediante CEP y CES en un entorno de Active Directory empresarial.

Paso 1: El cliente inicia el proceso: Contacta con CEP para obtener información sobre la política de inscripción.

El flujo de trabajo comienza cuando un cliente, como una estación de trabajo Windows, un servidor o un dispositivo remoto, determina que necesita inscribirse en un certificado o renovar uno que está por vencer. Este desencadenante puede provenir de:

  • Inscripción automática en directivas de grupo (Verificación de certificado programada)
  • Inscripción manual Iniciado por un usuario o administrador.
  • Renovación automatizada activado por el umbral de vencimiento del certificado
  • Inscripción por primera vez en un nuevo dispositivo que se está configurando

El cliente se pone en contacto con el Punto final CEP a través de HTTPS para recuperar la política de inscripción. En este punto, no se ha realizado ninguna solicitud de certificado. El cliente simplemente está preguntando: “¿Qué puedo solicitar y qué normas se aplican?”

Este paso es fundamental para los dispositivos remotos y no unidos a un dominio, ya que no disponen de ningún otro mecanismo para descubrir las plantillas de certificados disponibles y la información de la CA.

Paso 2 - CEP responde: Detalles de la política aplicable a las devoluciones

Cuando un cliente se pone en contacto con CEP, esta analiza quién es el cliente y le envía la política de inscripción de certificados exacta que le corresponde. Esta respuesta incluye:

  • Lista completa de plantillas de certificado El cliente está autorizado a utilizar
  • Configuración específica de la plantilla, incluyendo requisitos de tamaño de clave, período de validez, umbral de renovación, configuración del nombre del sujeto y marcadores de uso de clave
  • Autoridad de Certificación de Objetivos información: la CA a la que el cliente debe enviar las solicitudes
  • Configuración de la política de inscripción — Comportamiento de inscripción automática, configuración de renovación
  • ID de política — el identificador único que vincula la política con su origen

En pocas palabras, esta respuesta actúa como un manual de instrucciones completo que el cliente utiliza para elaborar una solicitud de certificado válida y conforme a la normativa.

Paso 3: Crea la solicitud de certificado.

Utilizando la respuesta de política de CEP, el cliente construye la solicitud de certificado. Esto implica:

  • Generación de un par de claves criptográficas — Clave pública y privada utilizando el algoritmo y el tamaño de clave especificados en la plantilla (RSA 2048, RSA 4096 o ECC).
  • Construyendo el Solicitud de firma de certificado (CSR) en formato PKCS#10
  • Selección de la plantilla de certificado que se ajuste a las necesidades del cliente
  • Rellenar el campo Asunto — normalmente el nombre de la máquina, el UPN del usuario o un asunto personalizado según la configuración de la plantilla.
  • Agregar nombres alternativos de sujeto (SAN) — Nombres DNS, direcciones IP o UPN según sea necesario
  • Aplicación de extensiones definidas por plantilla — Uso de teclas, Uso de teclas mejorado, CDP, AIA

El cliente utiliza la respuesta de política de CEP para garantizar que la solicitud esté perfectamente alineada con lo que la CA aceptará.

Paso 4: Envía la solicitud a CES.

Una vez preparada la solicitud de certificado, el cliente la envía al punto final de CES a través de HTTPS. Esta solicitud se encuentra en Formato PKCS#10 Incluye el método de autenticación requerido, como un ticket Kerberos, nombre de usuario/contraseña o un certificado de cliente, según la configuración de CES. En este punto, CES se convierte en la capa de procesamiento activa. El cliente ya ha cumplido su parte y ahora espera mientras CES gestiona la autenticación, reenvía la solicitud a la CA y completa el proceso de inscripción.

Paso 5: Autentica al cliente y lo envía a la CA.

Este es el paso más crítico en términos de seguridad de todo el flujo de trabajo. CES realiza dos operaciones secuencialmente:

Autenticación: CES valida la identidad del cliente utilizando el método de autenticación configurado. Para Kerberos, valida el ticket de servicio. Para nombre de usuario/contraseña, valida las credenciales contra Active DirectoryPara la renovación basada en certificados, se valida el certificado existente. Ninguna solicitud avanza hasta que la autenticación sea exitosa.

Reenvío: Una vez que la autenticación se realiza correctamente, CES asigna la identidad autenticada a la CA correspondiente y reenvía la solicitud de certificado. CES utiliza su cuenta de servicio de backend y la configuración de comunicación con la CA para transmitir la solicitud de forma segura a la CA interna, a la que el cliente no tiene acceso directo.

Paso 6: Procesa la solicitud de certificado.

Cuando CES reenvía la solicitud de certificado, la Autoridad de Certificación (CA) la evalúa por sí misma utilizando sus reglas y políticas configuradas, tales como:

  • Permisos de plantilla de certificado —¿Está autorizada esta identidad para inscribirse en esta plantilla?
  • Requisitos de emisión —¿Cumple la solicitud con todos los atributos requeridos?
  • Política de CA — ¿Existen restricciones a nivel de CA que sean aplicables?
  • Configuración de aprobación del gerente —¿Esta plantilla requiere aprobación manual?

Basándose en estas comprobaciones, la CA toma una decisión: cuestiones el certificado si todo es válido, pendiente la solicitud si se necesita aprobación manual, o niega Esto ocurre si el solicitante no está autorizado o la solicitud no cumple con los criterios requeridos.

Paso 7: Entrega la respuesta de CA al cliente.

Una vez que la Autoridad de Certificación toma una decisión, CES envía ese resultado al cliente a través de HTTPS. Los resultados pueden ser los siguientes:

  • Si la solicitud es emitido, CES devuelve el certificado completado y firmado, normalmente en Formato PKCS#7, para que el cliente pueda instalarlo y usarlo.
  • Si la solicitud es pendienteCES devuelve un ID de solicitud junto con un estado pendiente, que permite al cliente volver a consultar más tarde para obtener el resultado final.
  • Si la solicitud es negadoCES devuelve el relevante código de error y la motivo de la denegación, para que el cliente o el administrador puedan comprender por qué no se emitió el certificado.

CES recibe la decisión de la CA y la reenvía al cliente de origen a través de HTTPS:

  • Emitido: CES devuelve el certificado firmado completo en formato PKCS#7.
  • Pendiente: CES devuelve un RequestID y un estado pendiente para que el cliente pueda consultar si se ha completado.
  • Denegado: CES devuelve el código de error y el motivo de la denegación.

Paso 8: El cliente recibe e instala el certificado.

Una vez procesada la solicitud de certificado, el cliente recibe el resultado. Si la solicitud es aprobada, el certificado se instala automáticamente en el almacén de certificados de Windows correcto. Máquina local\Personal para certificados informáticos y Usuario actual\Personal Para los certificados de usuario, está listo para usarse sin pasos manuales. Si la solicitud aún está pendiente (por ejemplo, a la espera de aprobación), el sistema no se detiene; el proceso de inscripción automática seguirá revisando CES a intervalos hasta que se tome una decisión final. Si se deniega la solicitud, el error se registra en los registros del sistema, lo que permite a los administradores revisar qué salió mal y tomar medidas si es necesario.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Más información

Análisis de la autenticación Kerberos en CEP y CES

Kerberos es un sistema de autenticación seguro basado en tickets que se utiliza en Active Directory y que permite a los usuarios o máquinas demostrar su identidad sin enviar contraseñas a través de la red. Funciona mediante un servicio de confianza llamado Centro de Distribución de Claves (KDC), que se ejecuta en los controladores de dominio.

A continuación se detallan los pasos para el funcionamiento de la autenticación Kerberos:

Cuando un usuario inicia sesión en un equipo Windows unido a un dominio, la autenticación Kerberos se inicia automáticamente en segundo plano:

  • El cliente envía un AS-REQ (Solicitud de servicio de autenticación) a la parte superior Centro de distribución de claves (KDC), que se ejecuta en el controlador de dominio.
  • El KDC verifica la identidad del cliente utilizando el hash de credenciales almacenado (para una cuenta de usuario o de máquina) en Active Directory.
  • Si las credenciales son válidas, el KDC emite un Boleto de Concesión de Boletos (TGT).
  • Este TGT es cifrado utilizando la clave secreta del KDC, garantizando que no pueda ser falsificado ni manipulado.
  • El cliente almacena el TGT de forma segura en la memoria dentro LSASS (Servicio de subsistema de autoridad de seguridad local); nunca se escribe en el disco.

Cuando el cliente necesite ponerse en contacto con CEP o CES (para la inscripción en el certificado o la recuperación de la póliza):

  • El cliente envía un TGS-REQ (Solicitud de Servicio de Concesión de Tickets) al KDC.
  • Incluye su TGT y solicita acceso a un servicio específico, identificado por el Nombre principal de servicio (SPN) de CEP o CES.
  • El KDC busca este SPN en Active Directory e identifica el asociado. cuenta de servicio Ejecutando CEP/CES (normalmente una identidad de grupo de aplicaciones IIS).
  • El KDC genera un Boleto de servicio, cual es cifrado utilizando la clave secreta de la cuenta de servicio, lo que significa que solo ese servicio puede descifrarlo.
  • El ticket de servicio se devuelve al cliente y se almacena temporalmente en la memoria.

Cuando el cliente se conecta realmente a CEP o CES:

  • Envía el Boleto de servicio como parte de la solicitud HTTPS utilizando el Encabezado de autorización HTTP Negotiate/Kerberos.
  • IIS (que aloja CEP/CES) recibe la solicitud e intenta descifrar el ticket utilizando el credenciales de la cuenta de servicio del grupo de aplicaciones.
  • Una vez descifrado, el billete revela:
    1. Identidad del cliente (nombre de usuario o cuenta de máquina)
    2. Información del dominio
    3. Membresías grupales
    4. Clave de sesión para una comunicación segura
  • A continuación, CEP/CES valida el billete:
    1. Garantiza que el boleto sea auténtico y sin alteraciones
    2. Comprueba el fecha y horadebe estar dentro de los límites permitidos Tolerancia de desviación del reloj de 5 minutos
    3. Verifica que el boleto aún sea válido (que no haya caducado).

La autenticación Kerberos está diseñada para ser completamente transparente para el usuario final; no hay avisos ni entradas manuales, ya que la autenticación se produce automáticamente en segundo plano utilizando la identidad del dominio con el que se ha iniciado sesión.

Funciona de forma nativa para todos los equipos y usuarios de Windows unidos a un dominio, donde la cuenta de equipo o de usuario en Active Directory actúa como identidad de autenticación. Los tickets emitidos por Kerberos tienen una duración limitada, generalmente de unas 10 horas (configurable mediante directivas de grupo), lo que equilibra la seguridad y la facilidad de uso.

Sin embargo, Kerberos se basa en condiciones estrictas: los relojes del cliente y del servidor deben estar sincronizados en un breve intervalo de tiempo (normalmente 5 minutos), y el cliente debe tener conectividad de red con un controlador de dominio para obtener y renovar tickets.

¿Cuándo usar Kerberos?

Implemente la autenticación Kerberos para CEP y CES cuando:

  • Todos los clientes inscritos son máquinas Windows unidas a un dominio
  • Estás implementando Inscripción automática en directivas de grupo para certificados de computadora o de usuario
  • Los clientes tienen Conectividad fiable y de baja latencia a un controlador de dominio.
  • El caso de uso principal es inscripción automática de certificados de máquina
  • postura de máxima seguridad Se requiere cero exposición de credenciales
  • ¿Quieres totalmente silencioso, sin interacción. gestión del ciclo de vida del certificado
  • Tu entorno es un bosque único o cuenta con fideicomisos Kerberos bien establecidos entre bosques.
  • Estás implementando en un red corporativa interna o una VPN de túnel dividido forzado

Desglose de la autenticación de nombre de usuario/contraseña en CEP/CES

Autenticación de nombre de usuario/contraseña en Código Postal/CEP y CES Se utiliza cuando el cliente no puede confiar en Kerberos, generalmente porque es no está unido al dominio, se está conectando desde un red externao no tiene conectividad directa con un controlador de dominio.

Consejo: Cuando la documentación de Microsoft se refiere a Autenticación de nombre de usuario/contraseña para el Servicio web de política de inscripción de certificados (CEP) y el Servicio web de inscripción de certificados (CES), se refiere específicamente a Autenticación básica HTTP, un esquema de autenticación estandarizado definido en RFC 7617, operando sobre una capa de transporte HTTPS.

En este modelo, el cliente proporciona manualmente un nombre de usuario y una contraseña, y estas credenciales se envían al servicio web CEP o CES a través de HTTPS para su validación. El servicio luego verifica esas credenciales contra Active Directory para confirmar la identidad del usuario antes de permitir el acceso a las funciones de política de inscripción o inscripción de certificados.

A continuación se detalla paso a paso cómo funciona la autenticación de nombre de usuario y contraseña.

  • El cliente toma el nombre de usuario y la contraseña y Codificaciones Base64 en el formato nombre de usuario: contraseña
  • La credencial codificada se coloca en el Encabezado de autorización básica HTTP
  • La solicitud completa viaja a través de HTTPS; TLS es la única protección para las credenciales. En tránsito. Punto crítico: Base64 es codificación, no cifrado. Sin HTTPS, las credenciales quedan completamente expuestas.
  • CEP extrae y decodifica el encabezado de autorización. Pasa el nombre de usuario y la contraseña sin procesar a Active Directory para su validación mediante enlace LDAP.
  • Comprobaciones de AD:
    1. ¿La cuenta es válida y está activa?
    2. ¿La contraseña es correcta?
    3. ¿La cuenta está desbloqueada y no ha caducado?
  • Si la validación del nombre de usuario y la contraseña falla, CEP rechaza inmediatamente la solicitud y devuelve un error. HTTP 401 No autorizado respuesta, lo que significa que al cliente no se le permite continuar.
  • Si la autenticación se realiza correctamente, CEP acepta la identidad, evalúa qué política de inscripción de certificados se aplica a ese usuario o máquina y, a continuación, devuelve los detalles de la política de inscripción al cliente.
  • Cuando el cliente envía la solicitud de certificado (CSR) a CES, debe proporcionar sus credenciales nuevamente porque CES no depende de la autenticación previa realizada por CEP ni la hereda.
  • CES realiza su validación independiente contra Active Directory utilizando el mismo proceso de autenticación de nombre de usuario/contraseña.
  • Una vez confirmada la identidad, CES va un paso más allá y comprueba si ese usuario o máquina tiene Inscríbase permiso sobre la plantilla de certificado solicitada y si la solicitud en sí cumple con los requisitos de la plantilla, como el formato correcto del sujeto o la criptografía permitida.
  • Si alguna de estas comprobaciones falla, CES rechaza la solicitud. Si las supera, CES acepta la solicitud y la remite a la Autoridad de Certificación en nombre del cliente.

Este método es más flexible para usuarios remotos, sistemas basados ​​en Internet, dispositivos asociados y máquinas que no pertenecen a un dominioSin embargo, también es menos seguro que Kerberos porque depende directamente de las contraseñas. Aunque las credenciales están protegidas durante la transmisión mediante TLS, la seguridad sigue dependiendo de prácticas de contraseñas robustas, una gestión segura de los puntos finales y una configuración cuidadosa de IIS. En resumen, la autenticación con nombre de usuario y contraseña es la alternativa práctica para CEP/CES cuando no se puede usar Kerberos, pero requiere mayor precaución porque introduce la gestión directa de credenciales en el proceso de registro de certificados.

¿Cuándo usar nombre de usuario y contraseña?

Implemente la autenticación de nombre de usuario/contraseña para CEP y CES cuando:

  • Inscribir clientes es no está unido al dominio — máquinas de grupos de trabajo, dispositivos de contratistas, terminales de IoT
  • Necesita entre bosques o entre organizaciones inscripción sin confianza Kerberos
  • Clientes No se puede acceder de forma fiable a un controlador de dominio. en el momento de la inscripción
  • Usted está apoyando inscripción a través de Internet para dispositivos remotos y móviles
  • El despliegue es un PKIaaS o PKI gestionada escenario que atiende a clientes gestionados externamente
  • Necesitas apoyar plataformas que no son de Windows Requerir la inscripción al certificado
  • La infraestructura de Kerberos es no disponible o poco práctico en el entorno objetivo

Autenticación basada en certificados: la tercera opción para la renovación

La autenticación basada en certificados es la tercera opción de autenticación disponible con CESy se utiliza principalmente para renovación del certificado, no para la primera inscripción. En este método, el cliente no se autentica con Kerberos ni con un nombre de usuario y contraseña. En su lugar, demuestra su identidad presentando su certificado válido existente El certificado se envía a CES durante la solicitud de renovación. CES lo valida comprobando si es de confianza, si sigue vigente, si está vinculado a una CA de confianza y si coincide con la identidad de quien solicita la renovación. Si el certificado supera la validación, CES lo acepta como prueba de identidad y permite que la solicitud de renovación continúe.

Este enfoque es útil porque evita el envío de contraseñas y no depende de que el cliente tenga conectividad Kerberos con un controlador de dominio. Es especialmente valioso para sistemas remotos o no conectados al dominio que ya tienen un certificado y simplemente necesitan renovarlo. Sin embargo, este método generalmente se limita a escenarios de renovación Porque el cliente debe poseer un certificado válido para autenticarse. En pocas palabras, la autenticación basada en certificados permite que el certificado existente actúe como prueba de identidad del cliente, lo que la convierte en una opción segura y eficiente para renovar certificados mediante CES.

Nota: La inscripción automática mediante CEP y CES funciona a la perfección cuando la PKI se implementa localmente y está totalmente integrada con Active Directory. Sin embargo, cuando la PKI se ofrece como un servicio gestionado y la Autoridad de Certificación reside fuera del perímetro de la red de la organización, la pregunta es: ¿Cómo pueden los dispositivos obtener de forma segura certificados de una CA a la que no pueden acceder directamente?

Capacidades clave de PKIaaS

  • Integración perfecta con Active Directory: La puerta de enlace de inscripción se integra con su infraestructura de Active Directory existente. La configuración de inscripción automática de la directiva de grupo apunta al punto final de la puerta de enlace en lugar de a una URL de CES local. Los equipos unidos al dominio continúan inscribiéndose mediante autenticación Kerberos; desde la perspectiva del punto final, no hay cambios.
  • Compatibilidad con dispositivos remotos y que no pertenecen al dominio: La puerta de enlace de inscripción admite la autenticación mediante nombre de usuario y contraseña para dispositivos que no pertenecen a un dominio, puntos finales remotos, cargas de trabajo en la nube y cualquier dispositivo que no pueda usar Kerberos. Esto le proporciona una única puerta de enlace de inscripción que da servicio a toda su flota de dispositivos, tanto pertenecientes a un dominio como ajenos a él.
  • Exposición cero de la infraestructura de CA: Debido a que la puerta de enlace de inscripción actúa como intermediario, Sus dispositivos nunca se comunican directamente con la infraestructura de la CA de Encryption Consulting. La CA permanece completamente protegida tras la capa de autenticación y autorización de la puerta de enlace. Este es el mismo principio de exposición cero que hace que CES sea arquitectónicamente seguro, aplicado a un entorno PKIaaS totalmente gestionado.
  • Visibilidad del ciclo de vida del certificado: Cada transacción de inscripción realizada a través de la plataforma de inscripción de Encryption Consulting se registra, se monitoriza y se integra en la capa de gestión del ciclo de vida de los certificados. Obtendrá visibilidad de cada certificado emitido, cada renovación procesada y cada error de inscripción, sin necesidad de gestionar la infraestructura.
  • Escalabilidad sin planificación de capacidad: Ya sea que esté registrando certificados para 500 dispositivos o para 500 000 dispositivos, la puerta de enlace de registro se adapta a la demanda sin que su equipo tenga que aprovisionar, dimensionar o administrar la infraestructura de registro.
  • Registro de auditoría listo para el cumplimiento normativo: Cada transacción de inscripción se registra con total auditabilidad, identidad del solicitante, método de autenticación, plantilla utilizada, respuesta de la CA, marca de tiempo y resultado. Esto respalda los requisitos de cumplimiento relacionados con PKI en todos los marcos, incluidos SOC 2, ISO 27001, FedRAMP, HIPAA y PCI DSS.

El caso de negocio: Desarrollarlo usted mismo frente a EC PKIaaS con puerta de enlace de inscripción

ConsideraciónCEP/CES de bricolaje en las instalacionesConsultoría de cifrado PKIaaS + Puerta de enlace de inscripción
Se requiere experiencia interna en PKI.Alto, requiere profundos conocimientos de AD CS y PKI.Experiencia mínima proporcionada por Encryption Consulting
Gestión de infraestructura de CAGestionado por el equipo internoGestionado íntegramente por Encryption Consulting.
Gestión HSMTu hardware, tus ceremonias claveGestionado por Encryption Consulting
Mantenimiento de plantillas de certificadosManual y a menudo pasado por altoGestionado y revisado periódicamente.
Inscripción automática para dispositivos remotosSe requiere una configuración compleja de CEP/CESIntegrado a través de la puerta de enlace de inscripción
Visibilidad del ciclo de vida del certificadoSe necesita seguimiento manual o herramientas de terceros.Incluido dentro de la plataforma PKIaaS
Documentación de cumplimientoCreado y mantenido internamente.Proporcionado y mantenido por Encryption Consulting.
DescamaciónRequiere inversión adicional en infraestructura.Elástico y escala automáticamente
Migración de algoritmos (por ejemplo, de RSA a PQC)Actualizaciones manuales de plantillas y CAGestionado de forma proactiva
Punto único de rendición de cuentasDistribuido entre los equipos de TICentralizado, propiedad de Encryption Consulting.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Más información

¿Cómo puede ayudar la consultoría de cifrado?

Con una amplia experiencia práctica en diseño de PKI empresarial, gestión de HSM, automatización del ciclo de vida de los certificados y marcos de cumplimiento, Encryption Consulting ha creado y gestionado entornos PKI para organizaciones que van desde empresas medianas hasta grandes industrias reguladas, como finanzas, sanidad y gobierno.

Aquí es donde Encryption Consulting PKIaaS La oferta aborda el desafío técnico específico. Esta es precisamente la brecha que la Puerta de enlace de inscripción PKIaaS para consultoría de cifrado se llena.

El Puerta de enlace de inscripción PKIaaS para consultoría de cifrado Es un servicio de intermediación de registro diseñado específicamente para actuar como intermediario autenticado entre sus dispositivos registrados y la infraestructura de CA gestionada por Encryption Consulting. Funcionalmente, desempeña la función de intermediario de registro, aceptando las solicitudes de certificados de sus dispositivos, autenticándolas y reenviándolas a la CA correspondiente en su nombre.

Piénselo como la capa de traducción de inscripción entre su infraestructura de inscripción automática de Active Directory y directivas de grupo existente y la CA PKIaaS administrada externamente, sin necesidad de reemplazar ni rediseñar ninguno de sus flujos de trabajo de inscripción existentes.

Para sus dispositivos y su equipo de TI, el proceso de inscripción funciona exactamente igual que siempre. Los equipos unidos al dominio se inscriben automáticamente mediante la Directiva de grupo. Los dispositivos que no pertenecen al dominio se inscriben utilizando el método configurado. Los certificados aparecen automáticamente en los almacenes de certificados correctos. Las renovaciones se realizan de forma silenciosa antes de su vencimiento.

Detrás de escena, el portal de inscripción maneja toda la complejidad. — enrutar las solicitudes a la CA emisora ​​administrada por Encryption Consulting correcta, hacer cumplir la política de autenticación y autorización, devolver los resultados a los clientes y enviar la telemetría de vuelta al sistema. gestión del ciclo de vida del certificado .

Conclusión

CEP y CES son componentes esenciales de cualquier infraestructura de clave pública (PKI) empresarial moderna, no opcionales. Hoy en día, todas las organizaciones cuentan con dispositivos que operan fuera de la red corporativa, y sin CEP y CES, la inscripción automática de certificados simplemente no puede funcionar para esos sistemas.

En entornos de dominio, Kerberos sigue siendo el estándar de oro para la autenticación, ya que ofrece un acceso seguro y sin interrupciones sin exponer credenciales, admite la autenticación mutua, las identidades de máquina y la inscripción automática completa basada en directivas de grupo. Para los dispositivos unidos a un dominio, no hay ninguna razón práctica ni de seguridad para utilizar una alternativa. Al mismo tiempo, la autenticación de nombre de usuario/contraseña desempeña un papel fundamental y válido en escenarios donde no se puede utilizar Kerberos, como en dispositivos que no pertenecen a un dominio, acceso entre bosques, PKIaaS entornos o inscripción con acceso a internet. El enfoque correcto no es evitarlo, sino implementarlo de forma segura con controles robustos como cuentas dedicadas con privilegios limitados, TLS obligatorio, protección de firewall para aplicaciones web y una monitorización adecuada.

Si bien configurar una CA puede ser sencillo, operar una infraestructura de clave pública (PKI) a gran escala, gestionar el ciclo de vida, el cumplimiento normativo, las transiciones de algoritmos y la inscripción sin interrupciones en todo tipo de dispositivos requiere una experiencia continua que muchas organizaciones no pueden justificar. La solución PKIaaS y la puerta de enlace de inscripción de Encryption Consulting abordan este problema al proporcionar una PKI de nivel empresarial con una carga operativa mínima, garantizando que los certificados se renueven automáticamente, que los sistemas mantengan una alta disponibilidad y que las organizaciones no necesiten especialistas en PKI dedicados para que todo funcione correctamente.

Descubra nuestra

Blogs relacionados

Reconstrucción de la postura criptográfica - PKI

La crisis silenciosa dentro de su PKI: cómo los equipos de seguridad inteligentes están reconstruyendo la postura criptográfica antes de que sea demasiado tarde.

25 de mayo de 2026
Comprensión y optimización de OCSP para PKI empresarial

Comprensión y optimización de OCSP para PKI empresarial

7 de mayo de 2026
Comprensión de los servicios de certificados de Active Directory

Comprensión de los contenedores de servicios de certificados de Active Directory

27 de Abril, 2026

Explorar

Más temas