Las entidades de certificación (CA) independientes pueden emitir certificados para las firmas digitales, la protección del correo electrónico mediante S/MIME (Extensiones seguras multipropósito al correo de Internet) y la autenticación para un servidor web seguro mediante la Capa de sockets seguros (SSL) o la Seguridad de la capa de transporte (TLS).

Una CA independiente tiene las siguientes características:

  • A diferencia de una CA de empresa, una CA independiente no requiere el uso de los Servicios de dominio de Active Directory (AD DS). Incluso si usa AD DS, las CA independientes se pueden usar como CA raíz de confianza sin conexión en una jerarquía de CA o para emitir certificados para los clientes en una extranet o en Internet.

  • Si los usuarios envían una solicitud de certificado a una CA independiente, debe proporcionar su información de identificación y especificar el tipo de certificado necesario. (Este paso no es necesario al enviar una solicitud a una CA de empresa dado que la información del usuario de la empresa ya está en AD DS y el tipo de certificado se describe mediante una plantilla de certificado). La información de autenticación para las solicitudes se obtiene de la base de datos del administrador de cuentas de seguridad del equipo local.

  • De forma predeterminada, todas las solicitudes de certificados enviadas a la CA independiente se establecen como pendientes hasta que el administrador de la CA independiente comprueba la información enviada y aprueba la solicitud. El administrador debe realizar estas tareas dado que la CA independiente no comprueba las credenciales del solicitante del certificado.

  • No se usan plantillas de certificado.

  • El administrador debe distribuir de forma explícita el certificado de la CA independiente en el almacén raíz de confianza del usuario o los usuarios deben debe realizar estas tareas administrativas.

  • Si se usa un proveedor de servicios de cifrado compatible con el cifrado de curva elíptica (ECC), la CA independiente reconoce todos los usos de la clave ECC. Para obtener más información, vea la página acerca del cifrado de nueva generación (https://go.microsoft.com/fwlink/?LinkID=85480, puede estar en inglés).

Si una CA independiente usa AD DS, la CA tiene estas características adicionales:

  • Si un miembro del grupo Admins. del dominio o un administrador con acceso de escritura a un controlador de dominio instala una CA raíz independiente, se agrega automáticamente al almacén de certificados Entidades de certificación raíz de confianza para todos los usuarios y equipos del dominio. Por este motivo, si instala una CA raíz independiente en un dominio de Active Directory, no puede cambiar la acción predeterminada de la CA al recibir las solicitudes de certificados (lo que marca las solicitudes como pendientes). En caso contrario, tendrá una CA raíz de confianza que emite los certificados automáticamente sin comprobar la identidad del solicitante de los certificados.

  • Si la CA independiente la instala un miembro del grupo Admins. del dominio del dominio primario de la empresa o un administrador con acceso de escritura a AD DS, la CA independiente publicará su certificado de CA y la lista de revocación de certificados (CRL) en AD DS.

Referencias adicionales


Tabla de contenido