Una infraestructura de clave pública (PKI) es un sistema de certificados digitales, entidades de certificación (CA) y autoridades de registro que comprueban y autentican la validez de cada entidad implicada en una transacción electrónica mediante el uso de la criptografía de clave pública. Los estándares para PKI siguen evolucionando al mismo tiempo que se están implementando ampliamente como un elemento necesario del comercio electrónico. Para obtener más información acerca del diseño de una PKI y el uso de la criptografía de clave pública, vea Recursos de Servicios de certificados de Active Directory.
La PKI de Microsoft admite un modelo de CA jerárquico escalable y compatible con un número cada vez mayor de productos comerciales y de CA.
En su forma más sencilla, la jerarquía de certificados consta de una sola CA. No obstante, la jerarquía suele contener varias CA con relaciones principal/secundario claramente definidas. En este modelo, las CA subordinadas secundarias se certifican mediante los certificados emitidos por la CA primaria, que enlaza la clave publica de la CA con su identidad. La CA del nivel superior de la jerarquía se llama CA raíz. La CA secundaria de la CA raíz se llama CA subordinada. Para obtener más información, vea Tipos de entidades de certificación.
En Windows, si confía en una CA raíz (al tener su certificado en el almacén de certificados Entidades de certificación raíz de confianza), confía en todas las CA subordinadas con un certificado de CA válido en la jerarquía. Por consiguiente, una CA raíz constituye un punto de confianza muy importante en una organización y se debe proteger adecuadamente. Para obtener más información, vea Certificados de CA.
Hay varios motivos prácticos para instalar varias CA subordinadas, entre los que se incluyen los siguientes:
-
Uso. Los certificados se pueden emitir con varios fines (por ejemplo, proteger el correo electrónico y la autenticación de la red). La directiva de emisión para estos usos puede variar y la separación es la base para administrar estas directivas.
-
Divisiones organizativas. Puede haber distintas directivas para la emisión de certificados según el rol de una entidad en la organización. Una vez más, puede crear CA subordinadas para separar y administrar estas directivas.
-
Divisiones geográficas. Las organizaciones pueden tener entidades en varios sitios físicos. La conectividad de red entre estos sitios puede requerir el uso de CA subordinadas individuales para varios o todos los sitios.
-
Equilibrio de carga. Si la PKI se va a usar para emitir y administrar un gran número de certificados, el hecho de tener tan solo una CA puede implicar una carga de red considerable para dicha CA. El uso de varias CA subordinadas para emitir el mismo tipo de certificados divide la carga de red entre las CA.
-
Copia de seguridad y tolerancia a errores. El uso de varias CA aumenta la probabilidad de que la red siempre tenga CA operativas para responder a las solicitudes de los usuarios.
La jerarquía de CA también puede ofrecer ventajas administrativas, entre las que se incluyen las siguientes:
-
Configuración flexible del entorno de seguridad de CA para establecer un equilibrio entre la seguridad y las posibilidades de uso. Por ejemplo, puede decidir usar hardware de cifrado con fines especiales en una CA raíz, trabajar en un área segura físicamente o trabajar sin conexión. Esto puede ser inaceptable en el caso de las CA subordinadas debido a factores relacionados con el costo o las posibilidades de uso.
-
Posibilidad de "desactivar" una parte específica de la jerarquía de CA sin que esto afecte a las relaciones de confianza establecidas. Por ejemplo, puede cerrar y revocar fácilmente un certificado de CA emitido asociado a una unidad de negocio específica sin que esto afecte a otras partes de la organización.