La revocación de un certificado invalida un certificado como credencial de seguridad de confianza antes de la expiración programada de su período de validez. Una infraestructura de clave pública (PKI) depende de la comprobación distribuida de las credenciales en las que no es necesario que haya comunicación directa con la entidad de confianza central que avala dichas credenciales.

Para admitir de manera eficaz la revocación de certificados, el equipo cliente deberá determinar si el certificado es válido o si ha sido revocado. Para permitir diversas situaciones, los Servicios de certificados de Active Directory son compatibles con varios métodos de revocación de certificados estándares del sector. Entre ellos se incluye la publicación de listas de revocación de certificados (CRL) y las diferencias de CRL en diversas ubicaciones para que los clientes tengan acceso a ellas, incluidos los Servicios de dominio de Active Directory, los servidores web y los recursos compartidos de archivos de red. En Windows, los datos de la revocación también están disponibles en una serie de opciones mediante las respuestas del estado del Protocolo de estado de certificados en línea (OCSP).

Nota

Las CRL se publican en las ubicaciones de red especificadas de forma periódica, desde donde las pueden descargar los equipos cliente. Las respuestas de OCSP son respuestas firmadas digitalmente que indican si un certificado concreto se ha revocado o suspendido, o bien si su estado es desconocido. Los servicios de respuesta de OCSP obtienen los datos de las CRL publicadas o se pueden actualizar directamente desde la base de datos de estados de certificados de una entidad de certificación (CA).

Además, la directiva de grupo de claves públicas permite a los administradores mejorar el uso de las CRL y los servicios de respuesta de OCSP, sobre todo en situaciones en que las CRL son muy amplias o las condiciones de la red reducen el rendimiento.

En este tema se incluyen procedimientos para realizar las siguientes tareas:

Configurar los valores de revocación en un equipo local

Para poder completar este procedimiento debe pertenecer como mínimo al grupo Administradores.

Para configurar los valores de revocación en un equipo local
  1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR.

  2. En el árbol de consola, en Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad, haga clic en Directivas de clave pública.

  3. Haga doble clic en Configuración de validación de rutas de certificados y, a continuación, haga clic en la ficha Revocación.

  4. Active la casilla Definir esta configuración de directiva, seleccione las opciones de directiva que desea aplicar y, a continuación, haga clic en Aceptar para aplicar la nueva configuración.

Configurar los valores de revocación en un dominio

Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del dominio.

Para configurar los valores de revocación en un dominio
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Administrador de servidores.

  2. En Resumen de características, haga clic en Agregar características. Active la casilla Administración de directivas de grupo, haga clic en Siguiente y, a continuación, haga clic en Instalar.

  3. Una vez que la página Resultados de la instalación muestra que la instalación de la Consola de administración de directivas de grupo (GPMC) es correcta, haga clic en Cerrar.

  4. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de grupo.

  5. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y dominio que contiene el objeto de directiva de grupo (GPO) de la Directiva predeterminada de dominios que desea editar.

  6. Haga clic con el botón secundario en el GPO de la Directiva predeterminada de dominios y, a continuación, haga clic en Editar.

  7. En el árbol de consola, en Configuración del equipo\Configuración de Windows\Configuración de seguridad, haga clic en Directivas de clave pública.

  8. Haga doble clic en Configuración de validación de rutas de certificados y, a continuación, haga clic en la ficha Revocación.

  9. Active la casilla Definir esta configuración de directiva, seleccione las opciones de directiva que desea aplicar y, a continuación, haga clic en Aceptar para aplicar la nueva configuración.

Ampliar el período de validez para las respuestas de CRL y OCSP en un equipo local

Para poder completar este procedimiento debe pertenecer como mínimo al grupo Administradores.

Para ampliar el período de validez para las respuestas de CRL y OCSP en un equipo local
  1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR.

  2. En el árbol de consola, en Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad, haga clic en Directivas de clave pública.

  3. Haga doble clic en Configuración de validación de rutas de certificados y, a continuación, haga clic en la ficha Revocación.

  4. Active la casilla Definir esta configuración de directiva y, a continuación, active la casilla Permitir que todas las respuestas CRL y OSCP sigan siendo válidas tras finalizar su duración.

  5. En el cuadro Tiempo que se puede ampliar el período de validez, especifique un valor en horas y haga clic en Aceptar para aplicar la nueva configuración.

Ampliar el período de validez para las respuestas de CRL y OCSP en un dominio

Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del dominio.

Para ampliar el período de validez para las respuestas de CRL y OCSP en un dominio
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Administrador de servidores.

  2. En Resumen de características, haga clic en Agregar características. Active la casilla Administración de directivas de grupo, haga clic en Siguiente y, a continuación, haga clic en Instalar.

  3. Una vez que la página Resultados de la instalación muestra que la instalación de GPMC es correcta, haga clic en Cerrar.

  4. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de grupo.

  5. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y dominio que contiene el GPO de la Directiva predeterminada de dominios que desea editar.

  6. Haga clic con el botón secundario en el GPO de la Directiva predeterminada de dominios y, a continuación, haga clic en Editar.

  7. En el árbol de consola, en Configuración del equipo\Configuración de Windows\Configuración de seguridad, haga clic en Directivas de clave pública.

  8. Haga doble clic en Configuración de validación de rutas de certificados y, a continuación, haga clic en la ficha Revocación.

  9. Active la casilla Definir esta configuración de directiva y, a continuación, active la casilla Permitir que todas las respuestas CRL y OSCP sigan siendo válidas tras finalizar su duración.

  10. En el cuadro Tiempo que se puede ampliar el período de validez, especifique un valor en horas y haga clic en Aceptar para aplicar la nueva configuración.

Referencias adicionales


Tabla de contenido