La inscripción de certificados es el proceso mediante el cual una entidad, como un individuo o una organización, solicita y obtiene un certificado digital de un Autoridad de certificación (CA)Los certificados digitales se utilizan para proteger las comunicaciones y autenticar la identidad de un servidor, cliente o usuario en varios protocolos seguros como SSL / TLS (para proteger sitios web), S/MIME (para cifrar y firmar correos electrónicos) y más.
El objetivo principal de la inscripción de certificados es obtener un certificado digital que contiene una clave pública e información de identidad asociada (como el nombre común, la organización, etc.). La CA firma el certificado, estableciendo una relación de confianza entre la clave pública y la identidad de la entidad. Este proceso garantiza que la identidad de la entidad se valide y que la clave pública pueda utilizarse de forma segura para el cifrado, la firma digital u otras operaciones criptográficas.
El ciclo de vida integral de la inscripción de certificados
-
Solicitud de firma de certificado (CSR)
Para iniciar el proceso de inscripción del certificado, la entidad genera una Solicitud de Firma de Certificado (CSR). Esta CSR incluye la clave pública y la información de la entidad que debe incluirse en el certificado, como el nombre de dominio para los certificados SSL/TLS o la dirección de correo electrónico para los certificados S/MIME.
-
Presentación del CSR a la CA
El CSR se envía a la CA durante el proceso de registro. La CA verifica la identidad de la entidad y la información contenida en el CSR. La CA puede utilizar diversos métodos para verificar la identidad de la entidad, como la verificación del correo electrónico, la validación del dominio o la verificación manual de documentos legales.
-
Emisión de certificados
Una vez que la CA ha completado el proceso de verificación y está segura de que la entidad es legítima, emite un certificado digital. Este certificado contiene la clave pública de la entidad, la información de identidad, el periodo de validez y la firma digital de la CA.
-
Entrega de certificados
El certificado emitido se devuelve a la entidad. Según la CA y el tipo de certificado, la entrega puede realizarse por correo electrónico, un portal seguro u otros métodos.
-
Instalación de certificado
La entidad debe instalar el certificado emitido en el servidor o dispositivo correspondiente donde se utilizará. Por ejemplo, en SSL/TLS, el certificado se instala en el servidor web para proteger las conexiones del sitio web.
-
Uso del certificado
Una vez instalado, el certificado está listo para protocolos de comunicación seguros. Los clientes, usuarios u otras entidades que interactúen con el titular del certificado pueden verificar su autenticidad mediante la firma digital de la CA, lo que garantiza una conexión segura y confiable.
-
Renovación de Certificado
Los certificados tienen un periodo de validez limitado (normalmente de 1 a 2 años). Antes de su vencimiento, la entidad debe renovar el certificado mediante un proceso de registro similar para seguir utilizándolo sin interrupciones.
Métodos para la inscripción de certificados
Existen varios métodos de inscripción de certificados, cada uno adaptado a diferentes casos de uso y entornos. Estos métodos facilitan la obtención de certificados digitales de las CA para proteger las comunicaciones y verificar la identidad de las entidades. A continuación, se presentan algunos métodos comunes de inscripción de certificados:
-
Inscripción manual
La inscripción manual es un método tradicional en el que la entidad genera una Solicitud de Firma de Certificado (SFC) mediante el software o las herramientas proporcionadas por el servidor o dispositivo donde se instalará el certificado. Posteriormente, la entidad envía manualmente la SFC a la CA para su validación y emisión. Este método se utiliza habitualmente para obtener certificados SSL/TLS para servidores web.
-
Inscripción automática
La inscripción automática, también conocida como autoinscripción o autoinscripción de certificados, agiliza el proceso de emisión de certificados al automatizar varios pasos. Resulta especialmente beneficiosa en entornos a gran escala con múltiples dispositivos o usuarios. Existen varios métodos de inscripción automática.
-
Servicios de certificados de Active Directory (ADCS)
En entornos Microsoft Windows, AD CS ofrece una función de inscripción automática denominada "Cliente de Servicios de Certificados - Inscripción Automática". Esta función permite que los dispositivos y usuarios del dominio de Active Directory soliciten y reciban certificados automáticamente según plantillas de certificado predefinidas y la configuración de la directiva de grupo.
-
Protocolo simple de inscripción de certificados (SCEP)
SCEP es un protocolo comúnmente utilizado en entornos de dispositivos de red, como routers, switches y firewalls. Permite que estos dispositivos soliciten y obtengan certificados digitales de una CA automáticamente. SCEP simplifica la inscripción de certificados para dispositivos que no cuentan con una interfaz de usuario tradicional.
-
Inscripción en la gestión de dispositivos móviles (MDM)
En el contexto de los dispositivos móviles, las soluciones MDM suelen incluir funciones integradas para el registro de certificados. Las plataformas MDM pueden facilitar el proceso de registro para proteger las comunicaciones móviles, el correo electrónico y las conexiones VPN.
-
Protocolo de inscripción de certificados en línea (OCEP)
OCEP es un borrador de internet que describe un protocolo estándar para la inscripción de certificados mediante comunicación basada en HTTP. OCEP simplifica la inscripción de certificados y promueve la interoperabilidad entre las CA y los clientes de inscripción.
-
Infraestructura de clave pública que utiliza X.509 (PKIX)
PKIX es un estándar ampliamente adoptado que define el marco para la gestión de certificados digitales y sus componentes. Incluye estándares para los procesos de inscripción, revocación y validación de certificados. X.509 es el formato utilizado para la codificación de certificados.
Protocolos de inscripción de certificados
La inscripción de certificados implica el uso de diversos protocolos para facilitar el intercambio seguro de información relacionada con el certificado entre la entidad que lo solicita y la Autoridad de Certificación (CA) que lo emite. Estos protocolos garantizan la confidencialidad, integridad y autenticidad del proceso de inscripción. A continuación, se presentan algunos protocolos comunes utilizados para la inscripción de certificados:
-
SCEP
SCEP, significa Protocolo simple de inscripción de certificados, es un protocolo de gestión de certificados de código abierto que facilita la emisión de certificados de forma más sencilla, escalable y segura.
- Funciona con un modelo de solicitud/respuesta utilizando HTTP y admite criptografía basada en RSA.
- La solicitud de firma de certificado (CSR) debe incluir una "contraseña de desafío" compartida entre el servidor y el solicitante, lo que mejora la autenticación.
- SCEP no admite la revocación de certificados en línea y tiene un soporte limitado para la recuperación de la Lista de revocación de certificados (CRL).
1.1 Flujo de trabajo del Protocolo SCEP
- Obtenga y valide una copia del certificado CA.
- Generar CSR y enviarlo a CA.
- Sondee el servidor SCEP para verificar si el certificado está firmado.
- Vuelva a inscribirse para obtener nuevos certificados antes de que caduque el certificado existente.
- El método preferido es mediante una consulta de punto de distribución de CRL (CDP).
- Recupere la CRL según sea necesario.
La inscripción y el uso de SCEP generalmente siguen este flujo de trabajo:
1.2 Comprensión de los beneficios del Protocolo SCEP
- Obtener certificados para Infraestructura de Clave Pública implica el intercambio de información y aprobaciones con un servicio de autoridad de certificación confiable.
- SCEP automatiza este proceso, lo que hace que sea más fácil y rápido para los equipos de seguridad de TI obtener e instalar certificados de dispositivos sin trabajo manual.
- Los dispositivos pueden inscribirse fácilmente para obtener certificados utilizando una URL y un secreto compartido para comunicarse con el servicio de autoridad de certificación.
- Los sistemas de administración de dispositivos móviles como Microsoft Intune y Apple utilizan SCEP para obtener certificados para teléfonos inteligentes y otros dispositivos móviles rápidamente.
-
Inscripción mediante transporte seguro (EST)
La inscripción mediante transporte seguro (EST) es un protocolo de gestión de certificados que automatiza la emisión y el aprovisionamiento de certificados X.509.
- EST se define en RFC 7030 y está diseñado para clientes que utilizan infraestructura de clave pública (PKI), como servidores web, aplicaciones y dispositivos terminales.
- El protocolo permite a los clientes PKI solicitar certificados de autoridades de certificación (CA) confiables y recibirlos de forma segura a través de HTTPS sin intervención humana.
- El objetivo principal de EST es simplificar y asegurar el proceso de inscripción de certificados, reduciendo el riesgo de configuraciones incorrectas, interrupciones y violaciones de seguridad causadas por errores humanos.
- La inscripción automatizada a través de EST también libera tiempo para el personal de PKI, permitiéndoles concentrarse en otras tareas esenciales.
2.1 Flujo de trabajo del protocolo EST
- El cliente EST inicia una solicitud de inscripción de certificado a la autoridad de certificación (CA) a través de una conexión HTTPS segura.
- El cliente EST puede incluir información adicional, como atributos de certificado y credenciales de autenticación, en la solicitud.
- La CA verifica la identidad y autorización del cliente para obtener el certificado solicitado.
- Si se aprueba, la CA emite de forma segura el certificado al cliente EST a través de la conexión HTTPS establecida.
- El cliente EST recibe el certificado emitido y puede usarlo para fines de comunicación y autenticación seguras.
2.2 Comprensión de los beneficios del protocolo EST
- EST utiliza TLS para transportar mensajes y certificados.
- La autenticación CSR segura en EST vincula la CSR a un solicitante confiable y la autentica con TLS, lo que evita la emisión de certificados no autorizados.
- EST admite algoritmos criptográficos avanzados como ECC y ECDSA, mejorando la agilidad y la eficiencia criptográficas.
- La renovación automática de certificados es compatible con EST, lo que hace que el proceso sea sencillo y eficiente.
- EST permite la generación de claves del lado del servidor, lo que beneficia a los entornos y dispositivos con recursos limitados.
- EST carece de un mecanismo integrado para recuperar el estado de revocación del certificado, pero puede utilizar opciones como OCSP y grapado de OCSP.
-
Entorno de gestión de certificados automatizado (ACME)
ACME (Automated Certificate Management Environment) es un protocolo de comunicaciones.
- Automatiza la generación de CSR y la rotación de certificados/claves.
- Utilizado principalmente por Let's Encrypt para emitir certificados validados de dominio de 90 días y automatizar renovaciones.
- Desarrollado por el Grupo de Investigación de Seguridad de Internet (ISRG) para Let's Encrypt y ofrecido como una herramienta de código abierto.
- Está siendo adoptado por otras CA, proveedores de PKI y navegadores para soportar varios tipos de certificados como S/MIME y firma de código.
- Requiere que CA acceda al token DNS/HTTPS para la implementación.
- Adecuado para el método de emisión de PKI interna.
3.1 Flujo de trabajo del protocolo ACME
- El cliente ACME se registra ante la autoridad de certificación (CA).
- El cliente demuestra la propiedad del dominio mediante desafíos (basados en HTTP o DNS).
- El cliente crea un pedido para el certificado deseado.
- La CA presenta desafíos para confirmar la propiedad del dominio.
- Después de completar los desafíos, la CA emite el certificado al cliente.
- El cliente instala el certificado emitido en el servidor o dispositivo.
- El cliente puede iniciar la renovación a medida que la validez del certificado se acerca al vencimiento.
- El cliente puede iniciar la revocación del certificado si es necesario.
3.2 Comprensión de los beneficios del protocolo ACME
- Elimina posibles errores de configuración, lo que conduce a una gestión de certificados sin errores y a una reducción del tiempo de inactividad.
- Mejora la seguridad al admitir certificados DV de baja validez, mejorando la rotación de certificados y la postura de seguridad general.
- Permite una rápida migración de CA y claves, lo que permite a los usuarios cambiar rápidamente a una CA diferente en caso de una vulneración.
- Mejora la calidad del ecosistema al proporcionar un protocolo uniforme para los desarrolladores, simplificar la integración y promover la coherencia.
- Ahorra tiempo, esfuerzo y costos mediante procesos de certificación automatizados.
- ACME es un protocolo de código abierto disponible gratuitamente para su uso.
Comparación del protocolo de inscripción de certificados
| Categoría: | EST | SCEP | CUMBRE |
|---|---|---|---|
| Propósito | EST se utiliza para la inscripción y gestión segura de certificados. | SCEP cumple el mismo propósito centrándose en los certificados de cliente. | ACME automatiza el aprovisionamiento y la renovación de certificados para servidores web. |
| tipo de certificado | Admite certificados X.509. | Admite certificados X.509. | Admite certificados X.509. |
| Autenticación | EST emplea autenticación mutua entre el cliente y el servidor CA. | SCEP se basa en la autenticación basada en certificado de cliente con el servidor CA. | ACME utiliza autenticación basada en dominio con su servidor. |
| Normalización | EST está estandarizado en IETF RFC 7030. | SCEP carece de un estándar específico pero es una práctica de la industria. | ACME sigue el IETF RFC 8555. |
| Rotación de certificados | EST admite la renovación y rotación automática de certificados. | El SCEP normalmente requiere renovación manual con rotación limitada. | ACME automatiza tanto la renovación como la rotación de certificados. |
| Seguridad | EST ofrece una seguridad sólida con autenticación mutua y encriptación. | SCEP es generalmente seguro, pero puede carecer de algunas funciones de seguridad modernas. | ACME proporciona una seguridad sólida con autenticación basada en dominio y renovación automática de certificados. |
Conclusión
La inscripción de certificados es vital para obtener certificados digitales de las Autoridades de Certificación (AC) y así proteger la comunicación y la autenticación. El ciclo de vida completo de la inscripción de certificados incluye la generación de una Solicitud de Firma de Certificado (CSR), su envío a la AC, la emisión, la entrega, la instalación y la renovación del certificado.
Los diferentes métodos de inscripción de certificados, como la inscripción manual y automática, se adaptan a diversos casos de uso y agilizan el proceso, reduciendo al mismo tiempo los errores. Los protocolos de inscripción de certificados como SCEP, EST y ACME mejoran la seguridad y la eficiencia. SCEP simplifica la inscripción en dispositivos de red, EST admite algoritmos criptográficos avanzados y renovación automática, y ACME automatiza la generación de CSR y la rotación de certificados. Al aprovechar los procesos de inscripción automatizados y los protocolos estandarizados, las organizaciones pueden garantizar un proceso de emisión de certificados fluido, seguro y eficiente, lo que refuerza la seguridad general.
¿Cómo puede ayudar Encryption Consulting?
Encryption Consulting ofrece una solución especializada en gestión del ciclo de vida de los certificados. Administrador de CertSecureDesde el descubrimiento y el inventario hasta la emisión, implementación, renovación, revocación y generación de informes, CertSecure ofrece una solución integral. La generación inteligente de informes, las alertas, la automatización, la implementación automática en servidores y la inscripción de certificados añaden niveles de sofisticación, convirtiéndolo en un recurso versátil e inteligente.