Una entidad de certificación (CA) procesa las solicitudes de certificado mediante un conjunto definido de reglas. Las plantillas de certificado se pueden personalizar con una serie de extensiones que regulan su uso. Estas extensiones pueden incluir:

  • Directivas de emisión. Una directiva de emisión (conocida también como directiva de certificado o inscripción) es un grupo de reglas administrativas que se implementan al emitir certificados. Dichas reglas se representan en un certificado mediante un identificador de objeto (denominado también OID) que se define en la CA. Este identificador de objeto se incluye en el certificado emitido. Cuando un sujeto presenta su certificado, éste puede examinarse en el destino para comprobar la directiva de emisión y determinar si el nivel de la misma es suficiente para llevar a cabo la acción solicitada. Para obtener más información, consulte Requisitos de emisión.

  • Directivas de aplicación. Las directivas de aplicación otorgan la importante capacidad de decidir qué certificados pueden usarse para determinados fines. Esto permite emitir certificados tranquilamente sin tener que preocuparse de que se usen incorrectamente o para fines distintos de los previstos. Las directivas de aplicación a veces se denominan uso de claves extendido o mejorado. Puesto que algunas implementaciones de aplicaciones de infraestructura de clave pública (PKI) no pueden interpretar las directivas de aplicación, tanto dichas directivas de aplicación como las secciones de uso mejorado de claves aparecen en los certificados emitidos por una CA basada en Windows Server. Para obtener más información, consulte Directiva de aplicación.

  • Uso de claves. Los certificados permiten a los sujetos realizar determinadas tareas. Con el fin de ayudar a controlar el uso de un certificado más allá de su finalidad pretendida, se aplican restricciones a los certificados automáticamente. El uso de claves es un método de restricción que determina el uso de un certificado. De esta forma, el administrador puede emitir certificados que pueden usarse únicamente para tareas específicas, o bien certificados que pueden usarse para una amplia gama de funciones. Para obtener más información, consulte Uso de claves.

  • Archivo de claves. Cuando los sujetos pierden sus claves privadas, cualquier información que se haya cifrado de forma persistente con la correspondiente clave pública queda inaccesible. Para ayudar a evitar esta circunstancia, el archivo de claves permite cifrar y archivar las claves de un sujeto en la base de datos de la CA cuando se emiten los certificados. Si un sujeto pierde sus claves, la información puede recuperarse de la base de datos y entregarse al sujeto. Esto permite recuperar la información cifrada en lugar de perderla. Para obtener más información, consulte Tratamiento de solicitudes.

  • Restricciones básicas. Las restricciones básicas se usan para garantizar que los certificados de CA se usan sólo en aplicaciones determinadas. Un ejemplo es la longitud de la ruta de acceso, que se puede especificar como una restricción básica. La longitud de una ruta de acceso define el número de CA permitidas por debajo de la CA actual. Esta restricción de longitud de ruta de acceso garantiza que las CA situadas al final de dicha ruta pueden usar únicamente certificados de entidad final, y no certificados de CA. Para obtener más información, consulte Restricciones básicas.

  • Comprobación de no revocación de OCSP. Esta extensión aparece sólo en la nueva plantilla de certificado Firma de respuesta de OCSP y en los duplicados derivados de dicha plantilla. No puede agregarse a ninguna otra plantilla de certificado. Esta extensión indica a la CA que incluya la extensión Comprobación de no revocación de OCSP (id-pkix-ocsp-nocheck) en el certificado emitido y que no incluya en el mismo las extensiones de punto de distribución Acceso a la información de entidad y Lista de revocación de certificados (CLR). Esto se debe a que no se comprueba el estado de revocación de los certificados Firma de respuesta de OCSP. Esta extensión se aplica sólo si la solicitud de certificado contiene Firma de respuesta de OCSP en las directivas de aplicación y uso mejorado de clave.


Tabla de contenido