Explicación de NDES y SCEP: la columna vertebral de la inscripción automatizada de certificados

A medida que las organizaciones aceleran la adopción de Zero Trust, la autenticación de dispositivos y la infraestructura administrada en la nube, los procesos manuales tradicionales... certificado La inscripción ya no es escalable. Ya sea para la incorporación de miles de portátiles mediante Intune, la emisión de certificados para el acceso a VPN o la habilitación de la autenticación Wi-Fi en oficinas globales, la inscripción automatizada de certificados es esencial.

Aquí es donde SCEP (Protocolo simple de inscripción de certificados) y NDES (Servicio de inscripción de dispositivos de red) desempeñan un papel fundamental en los ecosistemas PKI de Microsoft.

A pesar de su importancia, muchos administradores los implementan sin comprender completamente cómo funcionan, en qué se diferencian ni cómo protegerlos adecuadamente. Los servidores NDES mal configurados siguen siendo una de las causas más comunes. PKI debilidades descubiertas durante las auditorías de seguridad.

En este artículo, analizaremos:

• Qué es SCEP y por qué sigue siendo importante
• Cómo funciona NDES en PKI de Microsoft
• Escenarios de implementación en el mundo real
• Errores comunes y riesgos de seguridad
• Mejores prácticas para entornos empresariales modernos

¿Qué es SCEP?

SCEP, o Protocolo simple de inscripción de certificados, es un protocolo desarrollado originalmente por Cisco para automatizar la inscripción de certificados para dispositivos de red que no pueden unirse fácilmente a Active Directory.

A diferencia de los métodos de inscripción tradicionales basados ​​en AD, SCEP permite que los dispositivos:

• Solicitar certificados mediante HTTP/HTTPS
• Autenticarse usando un secreto compartido o un desafío
• Recuperar automáticamente certificados firmados

SCEP fue diseñado para dispositivos como:

• Enrutadores y conmutadores
• Pasarelas VPN
• dispositivos de red
• Dispositivos de IoT
• Dispositivos móviles

Con el tiempo, se ha convertido en el estándar de facto para la inscripción de certificados en plataformas de administración de dispositivos, incluidas Microsoft Intune y muchas soluciones MDM.

¿Qué es NDES?

NDES (Servicio de inscripción de dispositivos de red) Es la implementación de SCEP de Microsoft.

Actúa como un puente entre los dispositivos y la autoridad de certificación de Microsoft, lo que permite que los dispositivos que no pueden autenticarse a través de Active Directory aún puedan obtener certificados de forma segura.

En términos simples, así es como funciona:

1. Los dispositivos se comunican con NDES mediante SCEP
2. NDES valida la solicitud
3. NDES envía la solicitud a Microsoft CA
4. La CA emitió el certificado
5. NDES lo devuelve al dispositivo.

Sin NDES, SCEP no se puede utilizar con Microsoft ADCS.

¿Por qué NDES sigue siendo importante en la PKI moderna?

Algunos administradores asumen que SCEP está obsoleto porque se creó hace décadas. Sin embargo, ocurre lo contrario: su uso ha crecido drásticamente debido a las tendencias modernas de administración de dispositivos.

Echemos un vistazo a un par de casos de uso en los que NDES se utiliza ampliamente:

1. Inscripción del certificado del dispositivo de Microsoft Intune

Las organizaciones que implementan Intune a menudo dependen de NDES para emitir certificados de autenticación de dispositivos, certificados de Wi-Fi, certificados de VPN, certificados de autenticación de correo electrónico, etc.

Sin NDES, Intune no puede emitir certificados desde ADCS locales.

2. Certificados de autenticación de cliente

NDES se utiliza comúnmente para emitir certificados de autenticación de clientes para VPN Always-On de Windows, clientes VPN de terceros, arquitecturas de acceso remoto híbridas, etc.

Esto permite la autenticación VPN sin contraseña vinculada a la identidad del dispositivo.

3. Inscripción de dispositivos de red e IoT

NDES permite emitir certificados para impresoras, cámaras, sistemas de fabricación y dispositivos de red.

Estos dispositivos a menudo no pueden unirse a AD, lo que convierte a SCEP en la única opción escalable.

Cómo funciona NDES: descripción general de la arquitectura

Una implementación típica de NDES implica cuatro componentes:

1. El dispositivo solicitante (administrado por MDM o dispositivo de red)
2. El servidor NDES
3. El Microsoft Autoridad de certificación (CA)
4. La plantilla de certificado está configurada para SCEP

El proceso funciona de la siguiente manera:

Paso 1: El dispositivo solicita inscripción: el dispositivo se comunica con el punto final NDES mediante SCEP.

Paso 2: NDES emite una contraseña de desafío: NDES genera una contraseña de un solo uso que se utiliza para validar la solicitud.

Paso 3: El dispositivo envía una solicitud de certificado: el dispositivo envía su solicitud de certificado junto con el desafío.

Paso 4: NDES envía a la CA: NDES reenvía la solicitud a la CA de Microsoft mediante una plantilla designada.

Paso 5: Se emite el certificado: la CA firma el certificado y lo devuelve a NDES.

Paso 6: El dispositivo recupera el certificado: el certificado se devuelve al dispositivo solicitante.

Errores comunes de configuración de NDES detectados en evaluaciones de seguridad

En mi experiencia, durante la evaluación de PKI, aparecen varios problemas recurrentes. Hablemos de algunos de ellos hoy.

1. NDES expuesto directamente a Internet: Los endpoints NDES suelen ejecutarse en IIS y pueden publicarse externamente sin protección. Esto permite a los atacantes intentar inscribir certificados, enumerar plantillas y explotar vulnerabilidades de IIS. NDES siempre debe estar protegido por puertas de enlace de aplicaciones y reglas de acceso basadas en roles.
2. Cuentas de servicio con privilegios excesivosNDES utiliza una cuenta de servicio para solicitar certificados a la CA. Si esta cuenta tiene permisos excesivos, los atacantes podrían emitir certificados ellos mismos. Este riesgo es especialmente grave porque los certificados pueden usarse para la autenticación.
3. Configuración de plantilla débil: Las plantillas utilizadas para SCEP a veces se configuran para permitir claves privadas exportables, otorgar derechos de uso excesivamente amplios y emitir certificados sin controles de aprobación. Estas configuraciones incorrectas pueden provocar la vulneración de la identidad.
4. Falta de seguimiento y registro: Muchas organizaciones implementan NDES, pero nunca lo supervisan. Sin una supervisión y un registro adecuados, la emisión de certificados fraudulentos pasa desapercibida, no se puede detectar el abuso de inscripción y la respuesta ante incidentes se dificulta.

Mejores prácticas de seguridad para implementaciones de NDES

Para proteger NDES en entornos modernos, las organizaciones deben seguir varias prácticas recomendadas.

1. Aislar servidores NDES

NDES nunca debe instalarse directamente en la CA.

En su lugar, impleméntelo:

• En un segmento DMZ dedicado
• Detrás de un proxy inverso o una puerta de enlace de aplicaciones
• Con acceso limitado a la red de CA

2. Restringir los permisos de las plantillas

Las plantillas SCEP deben:

• Permitir solo los EKU requeridos
• Restringir los formatos de nombres de sujetos
• Deshabilitar la exportación de clave privada cuando sea posible

3. Supervisar la emisión de certificados

Las organizaciones deberían:

• Registrar solicitudes SCEP
• Supervisar el uso de plantillas
• Alerta sobre volúmenes de inscripción anormales

Esto es especialmente importante para las plantillas con altos privilegios.

4. Fortalecimiento de la configuración de IIS

Dado que NDES se ejecuta en IIS, es importante tener en cuenta lo siguiente:

• Deshabilitar módulos no utilizados
• Hacer cumplir TLS 1.2 o superior
• Aplicar encabezados de seguridad
• Parchear el servidor periódicamente

Para obtener más detalles sobre las mejores prácticas de seguridad para la implementación de NDES, consulte el blog: Mejores prácticas de seguridad de NDES

Dónde SCEP y NDES empiezan a mostrar limitaciones

A pesar de su adopción generalizada, SCEP y NDES no fueron diseñados originalmente para los entornos nativos de la nube actuales.

En las implementaciones modernas suelen surgir varios desafíos:

Contexto de seguridad limitado

SCEP fue diseñado para simplificar, lo que significa que ofrece capacidades limitadas de validación de identidad. A menudo es necesario implementar controles adicionales para garantizar una autenticación robusta del dispositivo.

Complejidad operativa

Las implementaciones de NDES requieren:

• Servidor dedicado
• Endurecimiento de IIS
• Consideraciones sobre la exposición de la red
• Gestión de configuración de plantillas
• Esto introduce una sobrecarga operativa, especialmente en entornos híbridos o de múltiples nubes.
• Desafíos de escala

Si bien SCEP funciona bien en dispositivos endpoint, es menos adecuado para cargas de trabajo dinámicas como contenedores, microservicios o instancias efímeras en la nube. Estas cargas de trabajo modernas requieren ciclos de emisión de certificados más rápidos y mecanismos de verificación de identidad más sólidos.

El marco moderno de automatización de certificados: ACME

CUMBRE, o entorno de gestión de certificados automatizado, se desarrolló para permitir una gestión completamente automatizada gestión del ciclo de vida del certificado con mínima intervención humana.

A diferencia de SCEP, ACME fue diseñado para entornos modernos y admite:

• Emisión automatizada de certificados
• Renovación automatizada
• Flujos de trabajo basados ​​en API
• Mecanismos de verificación de identidad

ACME se utiliza ampliamente para fines públicos. Certificados TLS, pero las empresas lo están adoptando cada vez más internamente para las identidades de carga de trabajo.

Esto lo hace especialmente valioso para:

• DevOps tuberías
• Clústeres de Kubernetes
• Servicios nativos de la nube
• Autenticación de servicio a servicio

El apoyo de ACME a los certificados de corta duración se alinea bien con los principios de Confianza Cero.

Comparación de SCEP, NDES y ACME en PKI empresarial

Cada tecnología cumple una función diferente. SCEP proporciona un protocolo de inscripción sencillo, adecuado para dispositivos terminales. NDES permite que los entornos PKI de Microsoft admitan la inscripción basada en SCEP. ACME introduce modernas capacidades de automatización adaptadas a infraestructuras dinámicas. Las organizaciones suelen utilizarlas conjuntamente en lugar de elegir solo una. Por ejemplo:

• SCEP/NDES para certificados de dispositivos
• ACME para certificados de servidor y carga de trabajo
• Inscripción tradicional de AD para sistemas unidos a un dominio

Este enfoque en capas permite a las empresas modernizarse gradualmente sin interrumpir la infraestructura existente.

Ejemplo real: Implementación de una empresa híbrida

Imaginemos una empresa que adopta Zero Trust y migra a la nube simultáneamente.

Podrían planear implementar:

• NDES integrado con Intune para administrar certificados de dispositivos
• Emisión basada en ACME para cargas de trabajo de contenedores
• Inscripción automática de ADCS para servidores internos

Este modelo híbrido les permite mantener la compatibilidad con los sistemas heredados al tiempo que modernizan la gestión del ciclo de vida de los certificados.

También reduce la dependencia de las contraseñas y fortalece los controles de acceso basados ​​en la identidad en todo el entorno.

Cómo elegir el método de inscripción adecuado

El enfoque correcto depende del tipo de identidades que esté gestionando.

Si su enfoque está en dispositivos de usuario final o dispositivos de red, SCEP con NDES sigue siendo práctico y cuenta con un amplio respaldo.

Si su enfoque está en cargas de trabajo modernas o entornos con gran automatización, ACME ofrece mayor integración y escalabilidad.

La mayoría de las empresas necesitarán ambos durante su transición hacia modelos de seguridad nativos de la nube.

El futuro de la inscripción en certificados empresariales

La autenticación basada en certificados se está convirtiendo rápidamente en el mecanismo predeterminado para proteger los entornos empresariales. A medida que las organizaciones avanzan hacia:

• Autenticación sin contraseña
• Control de identidad del dispositivo
• Modelos de acceso de confianza cero
• Arquitectura nativa de la nube

La automatización de certificados se convierte en una capacidad de seguridad central en lugar de una función PKI de nicho.

Es probable que SCEP y NDES sigan utilizándose para la inscripción de dispositivos, mientras que la adopción de ACME continúa creciendo para las identidades de carga de trabajo y la automatización de la infraestructura.

El desafío clave para los equipos de seguridad no es elegir un protocolo sobre otro, sino diseñar una estrategia de PKI que los integre de manera cohesiva.

¿Cómo puede ayudar Encryption Consulting?

Encryption Consulting cuenta con una amplia experiencia en la entrega de soluciones de cifrado de extremo a extremo. Soluciones PKI Para clientes empresariales y gubernamentales. Ofrecemos servicios profesionales y nuestra plataforma de automatización (Administrador de CertSecure) para garantizar que su PKI sea segura, resistente y preparada para el futuro.

Servicios de PKI

Servicios de asesoramiento, diseño e implementación de extremo a extremo para ayudar a las organizaciones a construir, modernizar y gobernar entornos seguros de infraestructura de clave pública.

Planificación de proyectos

Evaluamos su entorno criptográfico, revisamos las configuraciones, dependencias y requisitos de PKI y consolidamos los hallazgos en un plan de proyecto estructurado y aprobado por el cliente.

Desarrollo de CP/CPS

En la siguiente fase, desarrollamos la Política de Certificación (PC) y la Declaración de Prácticas de Certificación (DPC) en consonancia con la RFC#3647. Estos documentos se adaptan a los requisitos regulatorios, de seguridad y operativos de su organización.

Diseño e implementación de PKI

Diseñamos e implementamos infraestructuras PKI resilientes, incluidas las CA raíz sin conexión, las CA emisoras, los servidores NDES, la integración de HSM, etc., según Las necesidades del cliente. Los entregables incluyen el documento de diseño de PKI, guías de desarrollo, guiones de ceremonia y configuraciones del sistema. Una vez implementado, realizamos pruebas exhaustivas, validación, ajustes y sesiones de transferencia de conocimientos para empoderar a su equipo.

Continuidad del negocio y recuperación ante desastres

Luego de la implementación, desarrollamos e implementamos estrategias de continuidad comercial y recuperación ante desastres, realizamos pruebas de conmutación por error y documentamos flujos de trabajo operativos para toda la infraestructura de PKI y HSM, respaldados por una guía integral de operaciones de PKI.

Soporte y mantenimiento continuos (opcional)

Tras la implementación, ofrecemos un paquete de soporte anual por suscripción que ofrece cobertura integral para los componentes PKI, CLM y HSM. Esto incluye respuesta a incidentes, resolución de problemas, optimización del sistema, gestión del ciclo de vida de los certificados, actualizaciones de CP/CPS, archivado de claves, actualizaciones de firmware de HSM, registro de auditoría y gestión de parches.

Este enfoque garantiza que su infraestructura PKI no solo sea segura y compatible, sino también escalable, resiliente y totalmente alineada con sus objetivos operativos y regulatorios a largo plazo. 

Administrador de CertSecure 

Administrador de CertSecure by Encryption Consulting es una solución de gestión del ciclo de vida de los certificados que simplifica y automatiza todo el ciclo de vida, lo que le permite centrarse en la seguridad en lugar de en las renovaciones.

Automatización de certificados de corta duración: Con la adopción de los certificados ACME y TLS de 90/47 días como estándar, la renovación manual ya no es una opción práctica. CertSecure Manager automatiza la inscripción, la renovación y la implementación para garantizar que los certificados caduquen sin previo aviso.

Integración perfecta de DevOps y la nube: los certificados se pueden aprovisionar directamente en servidores web e instancias de la nube, y se integran con herramientas de registro modernas como Datadog, Splunk, herramientas ITSM como ServiceNow y herramientas DevOps como Terraform y Ansible.

Compatibilidad con múltiples CA: Muchas organizaciones utilizan varias CA (CA interna de Microsoft, CA públicas como DigiCert y GlobalSign, etc.). CertSecure Manager se integra con estas fuentes, proporcionando un único panel para la gestión de la emisión y el ciclo de vida.

Políticas unificadas de emisión y renovación: CertSecure Manager aplica los tamaños de clave, los algoritmos y las reglas de renovación de su organización de manera consistente en todos los certificados, no solo automatizando las renovaciones con múltiples CA, sino garantizando que cada certificado cumpla con sus estándares de seguridad en todo momento.

Monitoreo proactivo y pruebas de renovación: el monitoreo continuo, combinado con pruebas simuladas de renovación/vencimiento, garantiza que usted identifique los riesgos antes de que los certificados afecten los sistemas de producción.

Visibilidad y cumplimiento centralizados: Un panel consolidado muestra todos los certificados, longitudes de clave, algoritmos seguros y débiles, y sus fechas de vencimiento. Los registros de auditoría y la aplicación de políticas simplifican el cumplimiento. PCI DSS, HIPAAy otros marcos.

Si aún se pregunta dónde y cómo comenzar a proteger su PKI, Encryption Consulting está aquí para ayudarlo con sus Servicios de soporte de PKIPuede contar con nosotros como su socio de confianza y lo guiaremos en cada paso con claridad, confianza y experiencia práctica.  

Conclusión

La PKI empresarial está evolucionando desde una herramienta de seguridad de back-end a una infraestructura de identidad central.

Comprender cómo interactúan SCEP, NDES y ACME permite a las organizaciones crear canales de gestión de certificados escalables que admitan tanto entornos heredados como cargas de trabajo en la nube modernas.

Al combinar las bases de PKI tradicionales con marcos de automatización modernos, las empresas pueden avanzar hacia una seguridad basada en la identidad más sólida sin sacrificar la eficiencia operativa.