Puede usar la administración basada en roles para dividir a los administradores de entidades de certificación (CA) en roles de CA predefinidas e independientes, cada una con su propio conjunto de tareas. Los roles se asignan mediante la configuración de seguridad de cada usuario. Para asignar un rol a un usuario, asígnele la configuración de seguridad específica asociada al rol. Un usuario con un permiso del tipo Administrar CA puede llevar a cabo tareas de CA específicas que un usuario con otro tipo de permiso, como el permiso Emitir y administrar certificados, no puede llevar a cabo.
En la siguiente tabla se describen los roles, usuarios y grupos que pueden usarse para implementar la administración basada en roles. Para asignar un rol un usuario o grupo, debe asignarle los derechos de usuario, la pertenencia a grupos y los permisos de seguridad correspondientes del rol. Estos derechos de usuario, pertenencia a grupos y permisos de seguridad sirven para distinguir los roles que tiene cada usuario.
Roles y grupos | Permiso de seguridad | Descripción |
---|---|---|
Administrador de CA |
Administrar CA |
Configura y mantiene la CA. Es un rol de CA que incluye la capacidad de asignar todos los demás roles de CA y renovar el certificado de CA. Estos permisos se asignan mediante el complemento Entidad de certificación. |
Administrador de certificados |
Emitir y administrar certificados |
Aprueba solicitudes de revocación e inscripción de certificados. Es un rol de CA. Este rol se llama, a veces, autoridad CA. Estos permisos se asignan mediante el complemento Entidad de certificación. |
Operador de copia de seguridad |
Hacer copias de seguridad de archivos y directorios Restaurar archivos y directorios |
Lleva a cabo la copia de seguridad y la recuperación del sistema. Copia de seguridad es una característica del sistema operativo. |
Auditor |
Administrar registro de seguridad y auditoría |
Configura, ve y mantiene los registros de auditoría. Auditoría es una característica del sistema operativo. Auditor es un rol del sistema operativo. |
Inscritos |
Leer Inscripción |
Los inscritos son clientes con autorización para solicitar certificados desde una CA. No es un rol de CA. |
Los miembros de Administradores locales, Administradores de empresas o Admins. del dominio asignan y modifican todos los roles de CA. En CA de empresas, los administradores locales, los administradores de empresas y los administradores de dominio son administradores de CA de manera predeterminada. Los administradores locales son administradores de CA de manera predeterminada sólo en una CA independiente. Si se instala una CA independiente en un servidor que está unido a un dominio de Active Directory, los administradores del dominio también son administradores de CA.
Los roles de administrador de certificados y administrador de CA pueden asignarse a usuarios de Active Directory o a usuarios locales del Administrador de cuentas de seguridad (SAM) del equipo local, que es la base de datos de cuentas de seguridad local. Se recomienda asignar roles a cuentas de grupo en lugar de a cuentas de usuario individuales.
Sólo son roles de CA el administrador de CA, el administrador de certificados, el auditor y el operador de copia de seguridad. Los otros usuarios descritos en la tabla son relevantes para la administración basada en roles y deben comprenderse antes de asignar roles de CA.
Sólo los administradores de CA y los administradores de certificados se asignan mediante el complemento Entidad de certificación. Para cambiar los permisos de un usuario o grupo, debe cambiar los permisos de seguridad del usuario, la pertenencia a grupos y los derechos de usuario.
Para establecer permisos de seguridad de administrador de CA y administrador de certificados para una CA |
Abra el complemento Entidad de certificación.
En el árbol de consola, haga clic en el nombre de la CA.
En el menú Acción, haga clic en Propiedades.
Haga clic en la ficha Seguridad y especifique los permisos de seguridad.
Roles y actividades
Cada rol de CA tiene asociado una lista específica de tareas de administración de CA. En la siguiente tabla se enumeran todas las tareas de administración de CA junto con los roles en las que se llevan a cabo.
Actividad | Administrador de CA | Administrador de certificados | Auditor | Operador de copia de seguridad | Administrador local | Notas |
---|---|---|---|---|---|---|
Instalar CA |
|
|
|
|
X |
|
Configurar módulos de directivas y de salida |
X |
|
|
|
|
|
Detener e iniciar el servicio Servicios de certificados de Active Directory (AD CS) |
X |
|
|
|
|
|
Configurar extensiones |
X |
|
|
|
|
|
Configurar roles |
X |
|
|
|
|
|
Renovar claves de CA |
|
|
|
|
X |
|
Definir agentes de recuperación de claves (Key Recovery Agent) |
X |
|
|
|
|
|
Configurar restricciones de administrador de certificados |
X |
|
|
|
|
|
Eliminar una única fila en la base de datos de CA |
X |
|
|
|
|
|
Eliminar varias filas de la base de datos de CA (eliminación en masa) |
X |
X |
|
|
|
El usuario debe ser administrador de CA y administrador de certificados. Esta actividad no puede llevarse a cabo si se ha aplicado separación de roles. |
Habilitar separación de roles |
|
|
|
|
X |
|
Emitir y aprobar certificados |
|
X |
|
|
|
|
Denegar certificados |
|
X |
|
|
|
|
Revocar certificados |
|
X |
|
|
|
|
Reactivar certificados en suspensión |
|
X |
|
|
|
|
Renovar certificados |
|
X |
|
|
|
|
Habilitar, publicar o configurar programaciones de lista de revocación de certificados (CRL) |
X |
|
|
|
|
|
Recuperar claves archivadas |
|
X |
|
|
|
Sólo un administrador de certificados puede recuperar la estructura de datos de claves cifradas de la base de datos de CA. La clave privada de un Key Recovery Agent válido es necesaria para descifrar la estructura de datos de claves y generar un archivo PKCS #12. |
Configurar parámetros de auditoría |
|
|
X |
|
|
De manera predeterminada, el administrador local tiene el derecho de usuario de auditoría del sistema. |
Registros de auditoría |
|
|
X |
|
|
De manera predeterminada, el administrador local tiene el derecho de usuario de auditoría del sistema. |
Copia de seguridad del sistema |
|
|
|
X |
|
De manera predeterminada, el administrador local tiene el derecho de usuario de copia de seguridad del sistema. |
Restaurar el sistema |
|
|
|
X |
|
De manera predeterminada, el administrador local tiene el derecho de usuario de copia de seguridad del sistema. |
Leer la base de datos de CA |
X |
X |
X |
X |
|
De manera predeterminada, el administrador local tiene los derechos de usuario de auditoría del sistema y copia de seguridad del sistema. |
Leer información de configuración de CA |
X |
X |
X |
X |
|
De manera predeterminada, el administrador local tiene los derechos de usuario de auditoría del sistema y copia de seguridad del sistema. |
Consideraciones adicionales
-
Los inscritos pueden leer las propiedades de las CA y CRL y pueden solicitar certificados. En una CA de empresa, un usuario debe tener permisos de lectura y de inscripción en la plantilla de certificados para solicitar un certificado. Los administradores de CA, los administradores de certificados, los auditores y los operadores de copia de seguridad tienen permisos de lectura implícitos.
-
Un auditor tiene el derecho de usuario de auditoría del sistema.
-
Un operador de copia de seguridad tiene el derecho de usuario de copia de seguridad del sistema. Además, el operador de copia de seguridad puede iniciar y detener el servicio Servicios de certificados de Active Directory (AD CS).
Asignación de roles
El administrador de CA asigna usuarios a los roles independientes de la administración basada en roles mediante la aplicación de la configuración de seguridad de un rol a una cuenta de usuario. El administrador de CA puede asignar un usuario a más de un rol, pero la CA es más segura cuando cada usuario sólo se asigna a un solo rol. Si se usa esta estrategia de delegación, pocas tareas de CA se comprometen, si así lo hiciera la cuenta de usuario.
Problemas del administrador
La configuración de instalación predeterminada de una CA independiente es tener miembros del grupo Administradores locales como administradores de CA. La configuración de instalación predeterminada de una CA empresarial es tener miembros de los grupos Administradores locales, Administradores de organización y Admins. del dominio como administradores de CA. Para limitar el poder de una de estas cuentas, debe quitarlas del rol de administrador de CA y administrador de certificados al asignar todos los roles de CA.
Se recomienda que las cuentas de grupo a las que se han asignado los roles de administrador de CA y administrador de certificados no sean miembros del grupo Administradores locales. Además, los roles de CA sólo deberían asignarse a cuentas de grupo, no a cuentas de usuario individuales.
Nota | |
Para renovar un certificado de CA, es necesario ser miembro del grupo Administradores locales en la CA. Los miembros de este grupo pueden asumir autoridad administrativa sobre el resto de roles de CA. |