Servicios de certificados de Active Directory: explicación de AD CS y configuración

Numerosas organizaciones confían en Windows Server como columna vertebral de su infraestructura de TI. Muchos utilizan también estructuras de clave pública (PKI) para satisfacer diversos requisitos de seguridad, como la seguridad de los servidores web (SSL), la autenticación basada en certificados, las firmas digitales de documentos y el cifrado de correo electrónico (S/MIME). Servicios de certificados de Active Directory (AD CS) es un rol de Windows Server que conecta estos dos elementos. En este artículo, profundizaremos en qué es AD CS, algunas buenas prácticas para utilizarlo y los detalles para configurarlo.

Echa un vistazo nuestra guía sobre los servicios de certificados de Active Directory: Explicación de AD CS y configuración [Vídeo].

¿Qué son los Servicios de certificados de Active Directory (AD CS)?

Los Servicios de certificados de Active Directory son una característica de los entornos Windows Server que proporciona una infraestructura de clave pública (PKI) para la emisión y gestión de certificados digitales. Los certificados se utilizan para proteger la comunicación, verificar la identidad de usuarios y dispositivos y facilitar el intercambio seguro de datos en una red. AD CS ofrece a las organizaciones la posibilidad de emitir, renovar, revocar y distribuir certificados a usuarios, ordenadores y servicios de la red.

Como su nombre indica, Active Directory es un servicio de directory diseñado para redes de dominios Windows. La base de cada implementación de Active Directory son los Servicios de dominio de Active Directory (AD DS). AD DS almacena información sobre usuarios, equipos y grupos dentro de un dominio, verifica sus credenciales y establece derechos de acceso. AD CS se introdujo en Windows Server 2008 para emitir certificados digitales a las cuentas de equipo, usuario y dispositivo en el dominio para mejorar la seguridad y proporcionar métodos de autenticación adicionales.

Configuración de AC DS y gestión de certificados

Una gestión y configuración adecuadas de los certificados son importantes para mantener una PKI segura y eficiente dentro de una organización. A continuación verás algunos elementos clave de la gestión y configuración de los Servicios de certificados de Active Directory (AD CS).

Gestión de plantillas de certificados y políticas de inscripción

Las plantillas de certificados definen las propiedades y el uso de los certificados emitidos por AD CS. Los administradores pueden crear plantillas de certificados personalizadas para cumplir requisitos de seguridad específicos y controlar los atributos de los certificados emitidos. Una plantilla podría crearse para la autenticación de servidores web, mientras que otra está diseñada para la autenticación de usuarios.

Las políticas de inscripción determinan cómo se procesan y autorizan los certificados dentro de la PKI. Estas políticas pueden basarse en criterios, como la pertenencia a usuarios o grupos, el tipo de dispositivo o la ubicación de la red, para garantizar que solo las entidades autorizadas puedan solicitar y obtener certificados específicos.

Configuración de la revocación y renovación de certificados

Los administradores deben configurar y mantener la Lista de Revocación de Certificados (CRL) y/o el Protocolo de Estado de Certificados en Línea (OCSP) para proporcionar información en tiempo real acerca del estado de los certificados revocados, con el objetivo de garantizar que los certificados revocados no se puedan utilizar para la autenticación o el cifrado.

Algunas buenas prácticas para configurar la renovación y la revocación incluyen lo siguiente:

• Actualiza periódicamente las CRL o los respondedores OCSP para garantizar que los clientes reciben el estado más reciente.
• Prevé periodos de solapamiento para evitar la interrupción del servicio.
• Aplica la renovación mucho antes de la fecha de vencimiento para evitar lagunas.
• Supervisa el rendimiento de CRA y OCSP para garantizar que responden con rapidez.

Implementación de la confianza y validación de certificados

En AD CS, un certificado verifica que las entidades son quienes dicen ser. Es emitido a una entidad (una autoridad de certificación, CA) por un tercero en el que confían las demás partes. Las organizaciones necesitan configurar relaciones de confianza entre las CA para que los certificados emitidos por CA de confianza sean reconocidos y aceptados en toda la red.

Una lista de confianza de certificados (CTL) es un mecanismo que AD CS utiliza para especificar en qué CA confía una organización. Contiene una lista de certificados de CA de confianza que los clientes utilizan para validar la autenticidad de los certificados que se les presentan durante el proceso de validación.

Instalación y configuración de NDES para la inscripción de dispositivos de red

El servicio de inscripción de dispositivos de red (NDES) facilita la inscripción de certificados para dispositivos de red como routers, switches y puntos de acceso inalámbricos. Una correcta instalación y configuración de NDES agiliza este proceso y permite a estos dispositivos obtener y utilizar certificados para una autenticación y comunicación seguras.

Para utilizar NDES, debes instalar el rol de servicio NDES en tu servidor AD CS y configurar una cuenta de servicio para NDES, ya sea como una cuenta de usuario especificada como cuenta de servicio o como la identidad del grupo de aplicaciones integrado. A continuación, configura la cuenta de servicio NDES con permiso de solicitud en la CA, configura un certificado de agente de inscripción y configura el proveedor de claves de firma y/o el proveedor de claves de cifrado.

Breve nota sobre los protocolos modernos de inscripción:

Aunque SCEP (Simple Certificate Enrollment Protocol) sigue siendo el estándar para la inscripción de dispositivos (especialmente a través de MDM utilizando NDES), los entornos PKI modernos adoptan cada vez más EST (Enrollment over Secure Transport). EST ofrece mayor seguridad y mejores funciones que SCEP, y las organizaciones que gestionan diversos sistemas operativos pueden acabar buscando soluciones que integren la compatibilidad de EST con su entorno AD CS.

Ventajas de utilizar los servicios de certificación de Active Directory (AD CS)

Los servicios de Active Directory ofrecen muchas ventajas que refuerzan significativamente la seguridad y la eficacia de las redes de dominios de Windows. 

Algunas de las principales ventajas son:

• Mayor seguridad mediante certificados digitales y cifrado

Los certificados suministrados por AD CS desempeñan un papel fundamental en la verificación de usuarios, dispositivos y servicios dentro de una red. AD CS garantiza que sólo los destinatarios autorizados puedan acceder a los datos cifrados, mitigando los riesgos de acceso no autorizado y de violación de datos.

• Gestión y ciclo de vida simplificados de los certificados

AD CS simplifica la emisión, renovación y revocación de certificados. La administración centralizada, las plantillas y las políticas de inscripción facilitan la gestión eficaz de las solicitudes y la distribución, reducen la carga administrativa y ahorran tiempo.

• Integración con Active Directory para una administración centralizada

la integración de AD CS con AD DS permite la administración centralizada de certificados, aprovechando la infraestructura de Active Directory existente. Los administradores pueden gestionar eficazmente los certificados junto con las cuentas de usuario, garantizando políticas coherentes en todo el dominio.

• Compatibilidad con varios tipos de certificados y escenarios de uso

las organizaciones pueden emitir certificados para servidores web (certificados SSL/TLS) con el fin de proteger las comunicaciones en línea, implantar la autenticación basada en certificados para mejorar la verificación de la identidad de los usuarios, utilizar firmas digitales para la integridad y el no repudio de los documentos y cifrar los correos electrónicos mediante certificados S/MIME.

Desventajas de los servicios de certificación de Active Directory (AD CS)

• Configuración compleja

La configuración de AD CS puede ser compleja y requiere conocimientos técnicos sobre las autoridades de certificación y la arquitectura PKI. Las organizaciones deben invertir importantes recursos para su implementación, formación, tiempo y más.

• Difícil de usar

AD CS requiere un equipo con experiencia técnica en gestión de PKI para su mantenimiento y este equipo necesitaría formación y recursos adicionales para mantenerse al día con las mejores prácticas de PKI.

• Alto coste de mantenimiento

Aunque las CA de Microsoft son gratuitas, las organizaciones deben invertir en reunir y formar a un equipo que se encargue de AD CS, además de los requisitos de hardware y software.

• Explotación del cross-site scripting

El cross-site scripting (XSS) es una vulnerabilidad de seguridad en aplicaciones web que permite a los atacantes inyectar scripts en páginas web. Este script permite a los hackers acceder a información sensible e incluso realizar acciones como cambiar el contenido del sitio web o redirigir a los usuarios a sitios web maliciosos. La Inscripción Web de AD CS no valida correctamente las entradas del usuario, lo que la hace vulnerable a ataques XSS.

Debido a las frecuentes vulnerabilidades asociadas con el componente AD CS Web Enrollment, la mejor práctica del sector es evitar la instalación de este servicio de roles. Utiliza alternativas modernas como Network Device Enrollment Service (NDES) para SCEP/MDM, o la inscripción automática de certificados mediante Directiva de Grupo, en lugar de la interfaz de inscripción web.

• Problemas de compatibilidad

En ocasiones, la integración de AD CS con los dispositivos y aplicaciones existentes puede suponer un reto para una infraestructura de TI híbrida. Por ejemplo, las políticas de grupo de Microsoft (GPO) no son compatibles con los dispositivos macOS o Linux, por lo que los usuarios tendrían que encontrar soluciones alternativas, como el software RMM o MDM.

Buenas prácticas para Servicios de certificados de Active Directory (AD CS)

Para garantizar el funcionamiento seguro y sin problemas de los servicios de Active Directory, es esencial adoptar las siguientes buenas prácticas:

Protege la infraestructura AD CS

Para proteger la infraestructura AD CS, asegúrate de:

• Limitar el acceso administrativo:limita el acceso a las cuentas dedicadas que se utilizan para gestionar la PKI y controla a los miembros del grupo de administradores locales mediante GPO.
• Crea listas blancas de las aplicaciones: utiliza AppLocker o una herramienta de listas blancas de aplicaciones de terceros para configurar los servicios y las aplicaciones que pueden ejecutarse en las CA. Esto añadirá una capa adicional de seguridad al impedir que se ejecuten aplicaciones no autorizadas.
• Implementa un acceso remoto seguro: esto es esencial en un mundo de entornos de trabajo remotos e híbridos.

Para mitigar el riesgo de compromiso de una CA raíz (que es catastrófico), los profesionales de la seguridad recomiendan encarecidamente ir más allá de una PKI de un solo nivel. Se trata de crear una jerarquía:

• CA raíz (sin conexión): esta es la ancla de confianza definitiva. Debe desconectarse inmediatamente después de la instalación, guardarse de forma segura (por ejemplo, en una caja fuerte) y no conectarse nunca a la red. Su único propósito es firmar el certificado de la CA subordinada.
• CA emisora (en línea): este servidor está en línea y emite certificados a usuarios y dispositivos. Está subordinado a la CA raíz. Si se ve comprometido, el daño es limitado porque la CA raíz sigue siendo segura y puede emitir un nuevo certificado de CA emisora.
• Jerarquía: esta separación de roles garantiza que, incluso si la CA emisora en línea es comprometida, la confianza fundamental (la clave privada de la CA raíz) permanece protegida.

Implementa procedimientos de copia de seguridad y recuperación

Las copias de seguridad y recuperación adecuadas de AD CS son cruciales para garantizar la disponibilidad, integridad y seguridad de la infraestructura de certificados. 

Algunas buenas prácticas clave son las siguientes:

• Haz copias de seguridad regularmente: las copias de seguridad frecuentes de la base de datos de AD CS, de las copias de seguridad de las claves privadas y de los datos de configuración garantizan la capacidad de recuperación ante fallos de hardware y otros eventos catastróficos.
• Almacena las copias de seguridad fuera de las instalaciones: almacena las copias de seguridad de forma segura en una ubicación remota para protegerte de posibles desastres en las instalaciones.
• Haz una prueba de restauración: prueba periódicamente el proceso de restauración para verificar la integridad de las copias de seguridad y la capacidad de recuperar eficazmente la pérdida de datos.

Realiza un seguimiento y un mantenimiento periódicos

Unos procesos de mantenimiento y supervisión adecuados garantizarán el funcionamiento óptimo de los componentes de AD CS y ayudarán a abordar posibles problemas en una fase temprana. Aquí tienes algunos consejos que te ayudarán a conseguirlo:

• Implementa un registro de eventos: revisar los registros de eventos con regularidad te ayudará a identificar y responder a cualquier problema potencial o brecha de seguridad con prontitud.
• Controla la caducidad de los certificados: establecer alertas puede ayudar a garantizar que las renovaciones de certificados se realicen a tiempo.
• Implementa un control de revocación: asegúrate de que los clientes controlan la revocación de certificados a través de CRL u OCSP, para evitar el uso de certificados comprometidos.
• Realiza un seguimiento del estado de salud: supervisa el estado de los componentes de AD CS, como la autoridad de certificación y los servicios web, para detectar y solucionar posibles problemas de rendimiento o fiabilidad.

Garantiza el cumplimiento de los estándares del sector

Para asegurarte de que cumples las normas y buenas prácticas del sector, sigue estas directrices:

• Desarrolla una política PKI: crea y aplica una política PKI clara que defina la finalidad y el uso de los certificados dentro de la organización.
• Utiliza plantillas de certificados: las plantillas garantizan un uso coherente y adecuado de los certificados en toda la organización.
• Realiza auditorías de cumplimiento: las auditorías periódicas deben evaluar el cumplimiento de las normas del sector y de las prácticas de seguridad internas por parte de las CAA.
• Forma a los empleados: educa a los administradores y otros empleados sobre buenas prácticas, los riesgos de seguridad y sus funciones en el mantenimiento de un entorno PKI seguro.

Cómo configurar los Servicios de certificados de Active Directory (AD CS)

El primer paso para crear una PKI segura y eficaz con AD CS es instalarla y configurarla. A continuación se ofrece una visión general del proceso, desde los requisitos previos hasta la instalación paso a paso, junto con importantes consideraciones sobre la configuración.

Requisitos previos para la instalación de AD CS

Antes de iniciar la instalación de AD CS, asegúrate de que se cumplen los siguientes requisitos:

• Servidor de Windows: es necesario disponer de un sistema operativo Windows Server con las últimas actualizaciones instaladas.
• Servicios de dominio de Active Directory (AD DS): AD CS está estrechamente vinculado a AD DS. Asegúrate de que tu red dispone de un entorno AD DS con al menos un controlador de dominio.
• Dirección IP estática: asigna una dirección IP estática al servidor que alojará los componentes de AD CS. Esto garantiza una comunicación de red estable para los servicios de certificados.
• Privilegios administrativos: necesitas privilegios administrativos en el servidor para instalar AD CS.

Guía paso a paso para instalar AD CS en un servidor Windows

Estos son los pasos para instalar los Servicios de certificados de Active Directory:

1. Lanza el Administrador de servidores: lo encontrarás en el menú Inicio.
2. Añade funciones y características: ve a «Gestionar» y haz clic en «Agregar funciones y características».
3. Elige el tipo de instalación: elige «Instalación basada en funciones o características» mediante el asistente para agregar funciones y características y haz clic en «Siguiente»
4. Selecciona el servidor: asegúrate de que el servidor de destino está seleccionado y haz clic en «Siguiente».
5. Selecciona las funciones y características del servidor: desplázate hacia abajo y selecciona «Servicios de certificados de Active Directory». Haz clic en «Añadir características» en el asistente y luego en «Siguiente».
6. Selecciona los servicios de rol: elige los servicios de rol AD CS que deseas instalar y haz clic en «Siguiente».
7. Instala AD CS: revisa tus selecciones, selecciona «Reiniciar el servidor de destino automáticamente si es necesario» y haz clic en «Instalar».
8. Configura AD CS: una vez finalizada la instalación, haz clic en «Cerrar». Selecciona el indicador de notificación en la aplicación Administrador de servidores, busca el mensaje para iniciar la configuración posterior al despliegue y haz clic en el enlace para iniciar la configuración.

Opciones de configuración y consideraciones durante la instalación

Personalizando la configuración de AD CS a tus requisitos de seguridad y necesidades operativas específicas, puedes crear un entorno PKI que respete las normas de cumplimiento y mejore la postura de seguridad de tu red. He aquí algunas opciones a tener en cuenta:

• Almacenamiento de llaves: durante la instalación, puedes optar por almacenar la clave privada en el Proveedor de servicios criptográficos seguros de Microsoft o en un módulo de seguridad de hardware (HSM) para mayor seguridad.
• Ajustes de revocación: configura la frecuencia y el método de publicación de CRL (CRL u OCSP) para garantizar actualizaciones puntuales del estado de revocación para los clientes.
• Plantillas de certificado: configura las plantillas de certificado necesarias para los distintos casos de uso de la organización.
• Copia de seguridad de la CA: implementa un plan de copias de seguridad para salvaguardar la clave privada de la CA y los datos de configuración.
• Configuración de la seguridad: protege adecuadamente el servidor CA limitando el acceso administrativo y habilitando la auditoría.

Resolución de problemas comunes de AD CS

Aunque AD CS se haya configurado cuidadosamente, pueden surgir problemas. A continuación se ofrecen algunos consejos que te ayudarán a identificar, solucionar y resolver algunos problemas comunes de AD CS:

Identificación de problemas de configuración comunes

• Errores en la plantilla del certificado: los problemas de emisión e inscripción de certificados pueden deberse a una configuración incorrecta de las plantillas de certificados.
• Los servicios de CA no se inician: examina los registros de eventos en busca de mensajes de error. El problema podría deberse a la corrupción de la base de datos, permisos inadecuados o conflictos de puertos.
• Configuración de la revocación: comprueba que las CRL o los respondedores OCSP estén configurados correctamente y sean accesibles para los clientes.
• Errores en la revocación de certificados: esto puede deberse a puntos de distribución de CRL o respondedores OCSP inaccesibles, o a problemas de validación de la cadena de certificados.

Resolución de problemas de inscripción y validación

• Errores de registro: compruebe los permisos de las plantillas de certificado y los agentes de registro. Asegúrate de que los clientes pueden comunicarse con la CA y acceder a las URL de inscripción.
• Certificados caducados: comprueba que los certificados no hayan caducado y configura la supervisión para alertar a los administradores sobre próximas caducidades.
• Certificados revocados: investiga el motivo de la revocación y asegúrate de que los clientes pueden acceder a CRL o respondedores OCSP actualizados.
• Errores de validación de la cadena de certificados: asegúrate de que todo el certificado de cadena está intacto y es válido. Comprueba la presencia de certificados intermedios y raíz en el almacén de certificados raíz de confianza.
• Problemas del lado del cliente: comprueba la sincronización horaria, la conectividad de red y la configuración del firewall en el lado del cliente.

¿Puedo seguir utilizando AD CS después de migrar a Azure AD (Microsoft Enterprise ID)?

Sí, los equipos de TI pueden seguir utilizando AD CS incluso después de migrar a Azure AD (Microsoft Enterprise ID). Los certificados de AD CS protegen las comunicaciones, autentican los dispositivos y permiten un acceso seguro a los recursos, independientemente de si las identidades se gestionan en Azure AD o en Active Directory local. Azure AD puede automatizar la inscripción de certificados para agilizar los flujos de trabajo de los equipos de TI.

¿Funciona AD CS con la gestión de dispositivos móviles (MDM)?

Sí, el software MDM suele utilizar certificados para la autenticación, el cifrado y la seguridad de los dispositivos móviles.

AD CS puede funcionar con soluciones MDM, ya que la mayoría de los proveedores proporcionan un conector AD CS que permite que soluciones en la nube como MDM se comuniquen con el servidor AD CS. Estos conectores son especialmente útiles cuando se trata de dispositivos que no son Windows, como Apple y Android. Los técnicos pueden añadir CA personalizadas e implantarlas y gestionarlas a través de su solución MDM.

La perfecta integración con un software MDM garantiza que los dispositivos estén debidamente autenticados y protegidos, lo que mejora la seguridad general de los datos y los dispositivos dentro de la organización.

¿Quieres proteger, gestionar y ofrecer asistencia a tus dispositivos móviles desde cualquier lugar? Échale un vistazo a nuestra sección de preguntas frecuentes sobre el MDM.

Conclusión

Servicios de certificados de Active Directory (AD CS) desempeña un papel importante en la mejora de la seguridad de las redes de dominios de Windows. AD CS integra PKI con la conocida infraestructura de Active Directory y permite a las organizaciones emitir y gestionar certificados digitales, proteger la comunicación y verificar la identidad de los usuarios y dispositivos dentro de la red. Entre las ventajas de AD CS se incluyen la mejora de la seguridad mediante el cifrado y la autenticación basada en certificados, la gestión simplificada de certificados y la administración centralizada en Active Directory.

Para conseguir estas ventajas, AD CS debe gestionarse y configurarse correctamente, lo que implica adherirse a un conjunto de buenas prácticas, entre las que se incluyen la implantación de procedimientos de copia de seguridad y recuperación, la supervisión de AD CS y la realización de un mantenimiento periódico. Siguiendo estas y otras directrices sugeridas en este artículo y desarrollando tus propias habilidades de resolución de problemas, podrás mantener una infraestructura AD CS fiable y segura que contribuya a la resistencia general de tu ecosistema de TI.