El complemento Enterprise PKI se usa para garantizar que todos los elementos siguientes de una infraestructura de clave pública (PKI) funcionen correctamente, estén disponibles y sean válidos:

  • Entidades de certificación (CA). Una CA acepta una solicitud de certificado, verifica la información del solicitante según la directiva de la CA y usa su clave privada para firmar el certificado. La CA emite entonces el certificado para el sujeto del certificado para que se use como credencial de seguridad en una PKI. Una CA es responsable también de revocar certificados y publicar una lista de revocación de certificados (CRL).

  • Certificados de CA. Un certificado de CA es un certificado emitido por una CA para sí misma o a una segunda CA con el fin de crear una relación definida entre las dos CA. Un certificado que emite una CA para sí misma se denomina certificado raíz de confianza. Los certificados de CA son críticos para definir la ruta del certificado y las restricciones de uso para todos los certificados de entidad final emitidos para usarse en la PKI.

  • Ubicaciones de acceso a la información de entidad. Las ubicaciones de acceso a la información de entidad son URL que se agregan a un certificado en su extensión de acceso a la información de entidad. Estas URL las puede usar una aplicación o un servicio para recuperar el certificado CA emisor. Estos certificados de CA se usan entonces para validar la firma del certificado y crear una ruta a un certificado de confianza.

  • CRL. Las CRL son listas completas firmadas digitalmente de certificados sin caducar que se han revocado. Esta CRL la recuperan los clientes, que posteriormente la almacenan en la caché (en función de la duración configurada de la CRL) y la usan para verificar los certificados que se presentan para el uso.

  • Puntos de distribución de CRL. Los puntos de distribución de CRL son ubicaciones, generalmente URL, que se agregan a un certificado en su extensión de punto de distribución CRL. Los puntos de distribución de CRL los puede usar una aplicación o un servicio para recuperar una CRL. El contacto con los puntos de distribución de CRL se establece cuando una aplicación o un servicio debe determinar si un certificado se ha revocado antes de que venciera su período de validez.

El complemento Entidad de certificación permite a un administrador supervisar y administrar estos elementos de PKI para una única CA. No obstante, es necesario usar distintas instancias del complemento para supervisar y administrar una PKI si implica más de una CA. Asimismo, el complemento Entidad de certificación no se puede usar para integrar CA que no son de Microsoft en la infraestructura y no se puede usar para administrar cómodamente las ubicaciones de acceso a la información de entidad y almacenes de punto de distribución de CRL. En consecuencia, el complemento Enterprise PKI se puede usar para resolver estos problemas desde un único complemento.

Para obtener más información acerca del funcionamiento conjunto de CA, certificados de CA, ubicaciones de acceso a la información de entidad, puntos de distribución de CRL y CRL para crear una jerarquía de confianza de clave pública, vea el tema acerca de cómo funcionan los Servicios de servidor de certificados en https://go.microsoft.com/fwlink/?LinkID=88045 (puede estar en inglés).

Referencias adicionales

Tabla de contenido