Una entidad de certificación (CA) procesa las solicitudes de certificado mediante un conjunto definido de reglas. La CA puede emitir algunos certificados sin prueba de identificación y requerir dicha prueba para emitir otros tipos de certificados. Esto proporciona niveles de seguridad diferentes para los distintos certificados. Dichos niveles de seguridad se representan en los certificados como directivas de emisión.

Una directiva de emisión (conocida también como directiva de certificado o inscripción) es un grupo de reglas administrativas que se implementan al emitir certificados. Dichas reglas se representan en un certificado mediante un identificador de objeto (denominado también OID) que se define en la CA. Este identificador de objeto se incluye en el certificado emitido. Cuando un sujeto presenta su certificado, éste puede examinarse en el destino para comprobar la directiva de emisión y determinar si el nivel de la misma es suficiente para llevar a cabo la acción solicitada.

Windows Server 2008 R2, Windows Server 2008 y Windows Server 2003 incluyen cuatro directivas de emisión predefinidas:

  • Todas las directivas de emisión (2.5.29.32.0). Todas las directivas de emisión indica que la directiva de emisión incluye a todas las otras directivas. Normalmente, este identificador de objeto se asigna sólo a certificados de CA.

  • Seguridad baja (1.3.6.1.4.1.311.21.8.x.y.z.1.400). El identificador de objeto de seguridad baja se usa para representar certificados que se emiten sin requisitos de seguridad adicionales.

    Nota

    La porción x.y.z del identificador de objeto es una secuencia numérica generada al azar y única para cada bosque de Active Directory.

  • Seguridad media (1.3.6.1.4.1.311.21.8.x.y.z.1.401). El identificador de objeto de seguridad media se usa para representar certificados que tienen requisitos de seguridad adicionales para la emisión. Por ejemplo, un certificado de tarjeta inteligente que se emita en una reunión presencial con un emisor de tarjetas inteligentes puede considerarse un certificado de seguridad media y contener el identificador de objeto de seguridad media.

  • Seguridad alta (1.3.6.1.4.1.311.21.8.x.y.z.1.402). El identificador de objeto de seguridad alta se usa para representar certificados que se emiten con el máximo nivel de seguridad. Por ejemplo, la emisión de un certificado de Key Recovery Agent podría requerir comprobaciones adicionales en segundo plano y una firma digital de un responsable de aprobación, ya que la persona que posee dicho certificado puede recuperar material de clave privada de una CA de empresa.

Además, es posible crear identificadores de objetos propios para representar directivas de emisión personalizadas.

Cuando los sujetos emiten solicitudes de certificados a una CA, dicha solicitud puede aprobarse automáticamente o dejarse en un estado de "pendiente". Un estado pendiente se usa normalmente para los certificados que requieren un nivel elevado de seguridad y, por lo tanto, más tareas de administración y comprobación de la solicitud. Existe una serie de opciones que permiten configurar los requisitos de autenticación y firma para certificados de emisión basados en una plantilla.

Opción Descripción

Aprobación del administrador de certificados de entidad de certificación

Todos los certificados se colocan en el contenedor de pendientes a la espera de que un administrador de certificados los apruebe o deniegue.

Este número de firmas autorizadas

Esta opción requiere que uno o más sujetos firmen digitalmente la solicitud de certificado para poder emitirla. Esto habilita varios parámetros más de configuración.

Tipo de directiva que se requiere en la firma

Las firmas necesarias para emitir un certificado deben contener una directiva de aplicación específica, una directiva de emisión o ambas. De esta manera, la CA determina si la firma es adecuada para autorizar la emisión del certificado del sujeto. Esta opción se habilita cuando se establece Este número de firmas autorizadas.

Directiva de aplicación

Especifica la directiva de aplicación que se comprueba cuando se firma una solicitud de certificado. Esta opción se habilita al establecer Tipo de directiva que se requiere en la firma en Directiva de aplicación o La directiva de aplicación y la de emisión.

Directiva de emisión

Especifica la directiva de emisión que se comprueba cuando se firma una solicitud de certificado. Esta opción se habilita al establecer Tipo de directiva que se requiere en la firma en Directiva de emisión o La directiva de aplicación y la de emisión.

La capacidad de modificar o crear directivas de aplicación nuevas sólo está disponible con las plantillas de certificado de las versiones 2 y 3. Para obtener más información, consulte Plantillas de certificado predeterminadas.

Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla modificada si ya tienen un certificado válido basado en la plantilla anterior. Para obtener más información a este respecto, consulte Volver a inscribir a todos los propietarios de certificados.

Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más información, vea el tema acerca de la Implementación de la administración basada en funciones.

Para modificar una directiva de emisión

  1. Abra el complemento Plantillas de certificado.

  2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.

  3. Haga clic en la ficha Requisitos de emisión.

  4. Proporcione la información solicitada.

Referencias adicionales

Tabla de contenido