El rol de Servicios de Certificado del Directorio Activo (AD CS), proporciona gestión centralizada de certificados digitales, que son necesarios para algunos servicios o roles del Directorio Activo como son EFS (Encrypting File System), BitLocker, DirectAccess y VPNs (acceso remoto o “site to site”), AD RMS (Active Directory Right Management Services), AD FS (Active Directory Federation Services), servicios web (SSL), etcétera.

Además, en AD CS, no solo se podrá gestionar y emitir certificados de manera centralizada, sino que también proporcionará medios para comprobar la veracidad y validez, en tiempo y forma, de dichos certificados. Cuando es requerido, permite también la revocación de los certificados, y su publicación mediante CRL (Certification Revocation List)

 

En el Directorio Activo, las plantillas emitidas por la una Entidad Certificadora, se basan en plantillas (para Windows Server 2012 R2 existen hasta versiones disponibles). En ellas, se pueden definir y configurar propiedades como los propósitos para el que el certificado será usado, como el nombre, el ámbito de compatibilidad, los permisos de seguridad NTFS, la criptografía usada, periodo de validez, requisitos de emisión, etcétera.

Cada certificado digital que se emita (que estará basado una plantilla predefinida o creado por el administrador bajo el estándar X.509), contendrá, al menos, tanto su cadena de confianza, es decir, qué Entidad Certificadora emitió dicho certificado (en los certificados autofirmados, su entidad raíz de confianza será él mismo), los propósitos para los que fue emitido, su clave pública y privada (esta última, no puede ser, o no,  exportable, según sea configurado), fecha de emisión y caducidad, su fingerprint, su OID, etc.

Conviene tener presente que, aunque una Entidad Certificadora es un elemento fundamental de una Infraestructura de Clave Pública (PKI), existen otros elementos, que o bien son necesarios, o bien complementan a la Entidad Certificadora. Por ejemplo, será necesario que una PKI se disponga de una Lista de Revocación de Certificados (CRL), cuyo fin, será poder comprobar la validez de los certificados, y si estos, ha sido revocados o no.

Además, puede ser necesario, que usuarios o dispositivos (por ejemplo, routers) ajenos a la organización, o fuera del Directorio Activo de la misma en la que disponemos de la CA de tipo Enterprise, obtengan certificados. Para ello, Windows Server 2012 R, se dispone de mecanismos que posibilitan la solicitud de dichos certificados, por servicios web con CA Web Enrollment, que integra a CES (Certificate Enrollment Web Services) y CEP (Certificate Enrollment Policy Web Service), o bien, para aquellos dispositivos que requieran de certificados, Windows Server 2012 R2, pone a nuestra disposición el servicio NDES (Network Devices Enrollment Service).

 

Es muy importante indicar que, en lo concerniente a la seguridad implementada para una Entidad Certificadora Raíz de confianza de un dominio, es necesario extremar las medidas de seguridad. Si resultara vulnerada dicha Entidad Certificadora, todas las cadenas de confianza quedarían rotas, y deberían de ser inmediatamente revocados todos los certificados emitidos por la Entidad Certificadora Raíz de Confianza, así como el suyo propio. Este es el escenario más crítico en cuanto a seguridad, y por ello, el que requiere un mayor grado de seguridad.

No obstante, si en el Directorio Activo dispusiésemos de una, o varias Entidades Certificadoras Subordinadas, todas ellas, deberían también de ser aseguradas, aunque su impacto fuera menor que en el primer escenario, ya que, en este caso, la Entidad Certificadora Raíz de Confianza, aún podría emitir certificados digitales seguros, ya que no habría sido comprometida, pero no así, las Entidades Subordinadas, y todos los certificados que estas hubiesen emitido.

Por todo lo anterior comentado, las medidas de seguridad necesarias e implementadas deberían implementarse a todos los niveles y ámbitos, tanto a nivel lógico y físico, extremando las medidas de seguridad en la Entidad Certificadora Raíz de Confianza por delante de las subordinadas.

 

Más información en:

https://technet.microsoft.com/en-us/library/cc962021.aspx

https://technet.microsoft.com/en-us/library/cc962016.aspx

https://technet.microsoft.com/en-us/library/cc962033.aspx

https://technet.microsoft.com/en-us/library/cc962035.aspx

https://technet.microsoft.com/en-us/library/cc962028.aspx

 

Autor: Guillermo Lozano Rivada

Curso: MCSA+MCSE, TAJAMAR.

Fecha: 2015/2016