Autoridad Certificadora Raíz “Standalone”

 

El uso de Certificados Digitales para probar la autenticación, basado en el uso de una infraestructura de Clave Pública (PKI) es uno de esos temas poco conocidos sobre el que hablaremos en este post.

Tenemos dos tipos de Autoridades Certificadoras: Comerciales o Privadas

Las Autoridades Certificadoras Públicas Comerciales: Son empresas especializadas en la creación y gestión de certificados digitales, comercian con este producto que generalmente es de calidad, aunque también tienen un inconveniente, el precio; puesto que cobran por cada certificado que solicitemos, lo que no siempre es viable económicamente. Además deberemos adaptarnos a los requisitos que nos imponga para la concesión.

Tienen una gran ventaja, si las empresas que emiten los certificados públicos están asociadas con Microsoft cualquier sistema Windows reconocerá los certificados como válidos. Son una solución requerida si los certificados deben ser validados por terceros, por ejemplo para un sitio web, transacciones comerciales…

Como alternativa podemos instalar nuestra propia Autoridad Certificadora Privada, que tiene una serie de ventajas e inconvenientes: Si bien no será necesario pagar por los certificados expedidos, como administradores tendremos que instalar, mantener y proteger la Autoridad Certificadora tomando todas las medidas de seguridad que estén en nuestra mano, ya que si se comprometiera la seguridad de una Autoridad Certificadora estarían comprometidos todos los certificados expedidos.Como ventaja obtenemos la flexibilidad de manejo y la posibilidad de automatizar tareas con los certificados si la integramos con Directorio Activo. Pero debemos tener en cuenta que los certificados no serán reconocidos fuera de nuestra organización. Dado que la seguridad de la Autoridad Certificadora es crucial se recomienda mantenerla en una máquina fuera de la red, o incluso apagada. Sin embargo si queremos automatizar al máximo la obtención y renovación de los certificados; necesitamos integrarla en Directorio Activo, lo cual por supuesto requiere que esté funcionando sobre un servidor miembro de un Dominio.

Mantener una seguridad adecuada, y a la vez aprovechar la integración se consigue teniendo dos o más Autoridades Certificadoras:

Una Autoridad Certificadora Raíz, que se auto firmará los certificados y que le otorgará un Certificado de Autoridad Certificadora a las otras Autoridades Certificadoras subordinadas que mantengamos en nuestra red. Esta autoridad será de tipo “standalone” sobre un servidor en grupo de trabajo que nos permitirá mantenerla “offline”. Dependiendo del tamaño de nuestra organización podría ser necesario tener una jerarquía de autoridades certificadoras, distribuyendo la carga de los diferentes tipos de certificados entre diferentes niveles de Certificadoras. (Si se comprometiera la seguridad de una de ellas no afectaría a toda la organización). Integrándolas en Directorio Activo automatizaríamos la distribución e implementación de todos los certificados digitales mediante de Directivas de Grupo.

 

José Luis Martín Rueda.

Alumno del curso Microsoft MCSA/MCSE

Centro Tajamar, Año académico: 2015-2016.

Pío Felipe, 12 28038 Madrid Tl. 91 478 34 98 Fax. 91 478 27 59

www.formaciontajamar.comLogo_Formacion_Tajamar_reducido