La ficha Tratamiento de la solicitud define el propósito de una plantilla de certificado, los proveedores de servicios de cifrado (CSP) compatibles, la longitud mínima de la clave, la exportabilidad, las opciones de inscripción automática, y si debe solicitarse protección segura de claves privadas.

Propósito del certificado

El propósito del certificado define el uso principal que se desea dar al certificado y puede ser uno de los cuatro que se describen en la siguiente tabla.

Opción Propósito

Cifrado

Contiene claves criptográficas para cifrado y descifrado.

Firma

Contiene claves criptográficas para firmar datos únicamente.

Firma y cifrado

Abarca todos los usos principales de la clave criptográfica de un certificado, incluido el cifrado y descifrado de datos, el inicio de sesión o la firma digital de datos.

Firma e inicio de sesión mediante tarjeta inteligente

Permite iniciar la sesión con una tarjeta inteligente y firmar datos digitalmente; no se puede usar para cifrar datos.


Nota

El archivo de claves sólo es posible si el propósito del certificado se establece en Cifrado o Firma y cifrado.

Opciones de archivo

Las entidades de certificación (CA) pueden archivar las claves de un sujeto en sus bases de datos al emitirse los certificados. Si un sujeto pierde sus claves, la información puede recuperarse de la base de datos y entregarse a los sujetos de forma segura.

Las opciones del archivo de claves de la siguiente tabla se establecen en la ficha Tratamiento de la solicitud.

Opción Propósito

Archivar clave privada de cifrado de sujeto

Si la CA emisora está configurada para el archivo de claves, la clave privada del sujeto se archivará.

Permitir que la clave privada se pueda exportar

La clave privada del sujeto se puede exportar a un archivo para realizar copias de seguridad o transferencias a otro equipo.

Borrar certificados revocados o caducados (no archivar)

Si un certificado se renueva por motivos de expiración o revocación, el certificado emitido anteriormente se quita del almacén de certificados del sujeto. De forma predeterminada, esta opción no está activada y se archiva el certificado.

Incluir los algoritmos simétricos que permite el sujeto

Cuando el sujeto solicita el certificado, puede proporcionar una lista de algoritmos simétricos compatibles. Esta opción permite a la CA emisora incluir dichos algoritmos en el certificado, aun cuando no sean reconocidos o admitidos por ese servidor.

Opciones de acciones de usuario

La ficha Tratamiento de la solicitud también permite definir varias de las opciones de entrada de usuario que se describen en esta tabla para una plantilla de certificado.

Opción Propósito

Inscribir el sujeto sin exigir ninguna acción por parte del usuario

Esta opción permite la inscripción automática sin la interacción del usuario; se trata de la opción predeterminada para los certificados de usuario y de equipo.

Preguntar al usuario durante la inscripción

Si se deshabilita esta opción, los usuarios no tienen que proporcionar ninguna entrada para la instalación de un certificado basado en la plantilla de certificado.

Preguntar al usuario durante la inscripción y requerir la acción del usuario cuando se use una clave privada

Esta opción permite al usuario establecer una contraseña segura de protección de claves privadas en la clave privada del usuario cuando se genere la clave, y exige al usuario que la use siempre que se utilicen el certificado y la clave privada.

Otras opciones de tratamiento de solicitudes de la versión 3

La ficha Tratamiento de la solicitud para las plantillas de certificado de la versión 3 se ha actualizado a fin de admitir las nuevas opciones disponibles en la ficha Criptografía, además de otros cambios. Dichas opciones se enumeran en la tabla siguiente.

Opción Propósito

Usar el algoritmo simétrico avanzado para enviar la clave a la CA

Esta opción permite al administrador elegir el algoritmo Estándar de cifrado avanzado (AES) para cifrar claves privadas mientras se transfieren a la CA para el archivo de claves. Si se selecciona esta opción, el cliente usará el cifrado simétrico de AES-256 (junto con el certificado de intercambio de la CA para cifrado asimétrico) para enviar la clave privada a la CA para archivarla. Si no se selecciona esta opción, se usa el algoritmo simétrico 3DES. Puesto que el archivo de claves está pensado para claves de cifrado (no claves de firma), esta opción se habilita sólo cuando el propósito del certificado se establece en Cifrado.

Agregar permisos de lectura a Servicio de red en la clave privada

Esta opción permite que una lista de control de acceso (ACL) personalizado se defina en las claves privadas de los certificados de equipos basados en cualquier plantilla de certificado de equipo versión 3 excepto la CA raíz, la CA subordinada o las plantillas de CA cruzada. Sólo se necesita una lista de control de acceso (ACL) personalizada cuando una cuenta de servicio que requiere acceso a la clave privada no se incluye en los permisos predeterminados. Los permisos predeterminados aplicados a la clave privada por el cliente de inscripción de certificado de Microsoft y el proveedor de almacenamiento de la clave de software incluye el permiso de Control total para el grupo de administradores y la cuenta de sistema local. Los proveedores ajenos a Microsoft pueden aplicar diferentes permisos predeterminados y pueden no ser compatibles con listas de control de acceso personalizadas definidas por el uso de esta opción. Consulte la documentación del proveedor para obtener más información.

Nota

Esta opción reemplazó la opción Agregar permisos de lectura a Servicio de red en la clave privada. En Windows Server 2008 R2, los permisos predeterminados aplicados a la clave privada de los certificados firma de respuesta de OCSP incluyen el permiso de lectura para la cuenta de servicio de Respondedor en línea y permisos de control total para el grupo de administradores y para la cuenta de sistema local.


Para obtener más información acerca de las opciones asociadas a las plantillas de certificado de la versión 3, consulte Criptografía.

Otras opciones de tratamiento de solicitudes de la versión 2

Además de las opciones de archivo de claves, es posible definir opciones generales que afectan a todos los certificados basados en plantillas de certificado de la versión 2. Dichas opciones se enumeran en la tabla siguiente.

Opción Propósito

Tamaño mínimo de clave

Especifica el tamaño mínimo, en bits, de la clave que se generará para este certificado.

Proveedores de servicios de cifrado

Es una lista de proveedores de servicios de cifrado (CSP) que se usará para inscribir certificados para la plantilla dada. Al seleccionar uno o varios CSP, el certificado se configura para que funcione sólo con dichos CSP. El CSP debe instalarse en el equipo cliente para que pueda usarse durante la inscripción. Si se elige un CSP específico y no está disponible en un equipo cliente, la inscripción dará error.


Tabla de contenido