La configuración de la validación de rutas de certificados de Windows Server 2008 R2 y Windows Server 2008 permite administrar la configuración para la detección y validación de rutas de certificados para todos los usuarios de un dominio. Puede usar la directiva de grupo para configurar y administrar fácilmente esta configuración de validación de certificados. A continuación, se incluyen algunas de las tareas que puede realizar con esta configuración:

  • Implementar certificados de entidades de certificación (CA) intermedias.

  • Bloquear certificados que no son de confianza.

  • Administrar certificados para la firma de código.

  • Establecer la configuración de recuperación de certificados y listas de revocación de certificados (CRL).

La configuración de validación de rutas de certificados está disponible en la directiva de grupo en la siguiente ubicación: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública.

Al hacer doble clic en Configuración de validación de rutas de certificados en esta ubicación, hay disponibles opciones adicionales si se seleccionan las siguientes fichas:

  • Almacenes

  • Editores de confianza

  • Recuperación de red

  • Revocación

En el siguiente procedimiento se describe cómo establecer la configuración de validación de rutas de certificados. En las secciones que siguen al procedimiento se describe la configuración de cada una de estas áreas.

El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o un grupo equivalente. Para obtener más información, vea Implementación de la administración basada en funciones.

Para configurar una directiva de grupo de validación de rutas de certificados para un dominio
  1. En un controlador de dominio, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de grupo.

  2. En el árbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y dominio que contiene el objeto de directiva de grupo (GPO) de la Directiva de dominio predeterminada que desea editar.

  3. Haga clic con el botón secundario en el GPO de la Directiva de dominio predeterminada y, a continuación, haga clic en Editar.

  4. En la Consola de administración de directivas de grupo (GPMC), vaya a Configuración del equipo, Configuración de Windows, Configuración de seguridad y, a continuación, haga clic en Directivas de clave pública.

  5. Haga doble clic en Configuración de validación de rutas de certificados y, a continuación, haga clic en la ficha Almacenes.

  6. Active la casilla Definir esta configuración de directiva.

  7. Establezca la configuración opcional que necesite aplicar.

  8. Una vez realizados los cambios, puede seleccionar otra ficha para modificar la configuración adicional o hacer clic en Aceptar para aplicar la nueva configuración.

Ficha Almacenes

Algunas organizaciones desean impedir a los usuarios del dominio que configuren su propio conjunto de certificados raíz de confianza y decidan en qué certificados raíz de la organización se puede confiar. La ficha Almacenes se puede usar para realizar esta tarea.

En la ficha Almacenes están disponibles las siguientes opciones:

  • Permitir el uso de entidades de certificación raíz de confianza para validar certificados. Si se desactiva esta casilla, se evita que los usuarios decidan qué certificados de CA raíz se van a usar para validar certificados. Aunque esta opción permite evitar que los usuarios validen y confíen en certificados de una cadena no segura, también puede tener como resultado errores de la aplicación o que los usuarios pasen por alto los certificados raíz de confianza como método para validar el certificado que se les presente.

  • Permitir que los usuarios confíen en certificados de confianza del mismo nivel. La desactivación de esta casilla impide a los usuarios decidir en qué certificados del mismo nivel se puede confiar. Aunque esta opción permite impedir que los usuarios confíen en certificados de un origen no seguro, también puede tener como resultado errores de la aplicación o que los usuarios pasen por alto los certificados como método para establecer la confianza. Además, puede seleccionar los propósitos del certificado (por ejemplo, la firma o el cifrado) para los que se pueden usar los certificados del mismo nivel en que se puede confiar.

  • Entidades de certificación raíz en las que pueden confiar los equipos cliente. En esta sección, puede identificar las CA raíz específicas en las que pueden confiar los usuarios del dominio:

    • CA raíz de terceros y CA raíz de empresa. Al incluir CA que no son de Microsoft y CA raíz empresariales, amplía el conjunto de certificados de CA raíz en que puede confiar el usuario.

    • Solo CA raíz de empresa. Al restringir la confianza a solo las CA raíz empresariales, se restringe de forma eficaz la confianza en los certificados emitidos por una CA empresarial interna que obtiene la información de autenticación y publica los certificados en los Servicios de dominio de Active Directory (AD DS).

  • Las CA también deben ser compatibles con las restricciones de nombre principal del usuario. Esta configuración también restringe la confianza para las CA empresariales internas. Además, la restricción de nombre principal de usuario impide que éste confíe en certificados relacionados con la autenticación que no cumplen las condiciones asociadas a los nombres principales de usuario.

Además, puede que algunas organizaciones deseen identificar y distribuir certificados raíz de confianza específicos para habilitar escenarios empresariales en los que son necesarias las relaciones de confianza. Para identificar los certificados raíz de confianza que desea distribuir a los clientes del dominio, vea Uso de directivas para distribuir certificados.

Ficha Editores de confianza

La firma de software se usa cada vez más entre los editores de software y los programadores para comprobar si las aplicaciones proceden de un origen de confianza. No obstante, muchos usuarios no entienden o no conocen los certificados de firma asociados a las aplicaciones que instalan.

Las opciones de directiva de la ficha Editores de confianza de la directiva de validación de rutas de certificados permiten controlar quién toma las decisiones relacionadas con los editores de confianza:

  • Administradores y usuarios

  • Solo los administradores

  • Solo los administradores de empresa

Además, las opciones de directiva de esta ficha permiten exigir la comprobación de los certificados de los editores de confianza para confirmar lo siguiente:

  • No se han revocado.

  • Tienen marcas de tiempo válidas.

Ficha Recuperación de red

Para ser válidos, los datos relacionados con los certificados como las listas de revocación de certificados (CRL) y los certificados del programa de certificados raíz de Microsoft se deben actualizar con regularidad. No obstante, se pueden producir problemas si se interrumpen la comprobación de la validación y la recuperación de los datos de la revocación debido a que se transmiten más datos de los previstos.

La configuración de Recuperación de red permite a los administradores:

  • Actualizar automáticamente los certificados en el programa de certificados raíz de Microsoft.

  • Configurar los valores de tiempo de espera de recuperación para las CRL y la validación de rutas (los valores predeterminados altos pueden ser útiles si las condiciones de la red no son óptimas).

  • Habilitar la recuperación de certificados del emisor durante la validación de rutas.

  • Definir la frecuencia de descarga de los certificados cruzados.

Ficha Revocación

Para admitir la comprobación de la revocación, los Servicios de certificados de Active Directory (AD CS) son compatibles con el uso de CRL y diferencias CRL además de con las respuestas del Protocolo de estado de certificados en línea (OCSP) distribuidas por los Respondedores en línea.

Además, la directiva de grupo de validación de rutas permite a los administradores optimizar el uso de las CRL y los Respondedores en línea, sobre todo en situaciones en que las CRL son muy amplias o las condiciones de la red reducen el rendimiento.

Están disponibles las siguientes opciones de configuración:

  • Preferir siempre el uso de respuestas de listas de revocación de certificados (CRL) en vez de respuestas de Protocolo de estado de certificados en línea (OCSP). En general, los clientes deben usar los datos de revocación más recientes que haya disponibles, con independencia de que procedan de una CRL o un Respondedor en línea. Si se selecciona esta opción, la comprobación de revocación del Respondedor en línea solo se usará si la CRL o CRL delta válidas no están disponibles.

  • Permitir que las CRL y las respuestas de OCSP tengan validez tras finalizar su duración. En general, no se recomienda permitir que las CRL y las respuestas de OCSP sean válidas después de su período de validez. No obstante, esta opción puede ser necesaria en situaciones en que los clientes no puedan conectarse a un punto de distribución CRL o Respondedor en línea durante un período de tiempo prolongado. Sin embargo, el tiempo más allá del período de validez indicado durante el que se puede usar una CRL o respuesta de OCSP también se puede establecer en esta configuración de directiva.


Tabla de contenido