{"id":148760,"date":"2023-09-05T06:05:08","date_gmt":"2023-09-05T06:05:08","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/servicios-de-certificados-a-d\/"},"modified":"2026-01-09T18:24:45","modified_gmt":"2026-01-09T18:24:45","slug":"servicios-de-certificados-a-d","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/es\/blog\/servicios-de-certificados-a-d\/","title":{"rendered":"Servicios de certificados de Active Directory: explicaci\u00f3n de AD CS y configuraci\u00f3n"},"content":{"rendered":"<p><span style=\"font-weight: 400;\"><div class=\"in-context-cta\"><h2>Puntos clave<\/h2>\n<ul>\n<li>Servicios de certificados de Active Directory (AD CS) es una funci\u00f3n esencial de Windows Server que proporciona una completa infraestructura de clave p\u00fablica (PKI) para emitir, administrar y revocar certificados digitales en una red de dominio.<\/li>\n<li>AD CS est\u00e1 estrechamente integrado con los Servicios de dominio de Active Directory (AD DS), lo que permite una administraci\u00f3n centralizada y el aprovechamiento de la infraestructura de dominio existente para agilizar la gesti\u00f3n de certificados y la verificaci\u00f3n de identidades.<\/li>\n<li>La configuraci\u00f3n b\u00e1sica implica personalizar plantillas de certificados, establecer pol\u00edticas de inscripci\u00f3n y configurar listas de revocaci\u00f3n de certificados (CRL) o el protocolo de estado de certificados en l\u00ednea (OCSP) para comprobar el estado de los certificados en tiempo real.<\/li>\n<li>El uso de AD CS mejora la seguridad de la red al facilitar una autenticaci\u00f3n s\u00f3lida basada en certificados, una comunicaci\u00f3n segura mediante cifrado (SSL\/TLS), firmas digitales y correo electr\u00f3nico seguro (S\/MIME).<\/li>\n<li>El mantenimiento de una infraestructura AD CS fiable requiere el cumplimiento de las mejores pr\u00e1cticas, incluida la limitaci\u00f3n del acceso administrativo, la supervisi\u00f3n peri\u00f3dica, la implementaci\u00f3n de procedimientos seguros de copia de seguridad y recuperaci\u00f3n, y la garant\u00eda del cumplimiento de la pol\u00edtica PKI.<\/li>\n<\/ul>\n<\/div><\/span><\/p>\n<p><span style=\"font-weight: 400;\">Numerosas organizaciones conf\u00edan en Windows Server como columna vertebral de su infraestructura de TI. Muchos utilizan tambi\u00e9n estructuras de clave p\u00fablica (PKI) para satisfacer diversos requisitos de seguridad, como la seguridad de los servidores web (SSL), la autenticaci\u00f3n basada en certificados, las firmas digitales de documentos y el cifrado de correo electr\u00f3nico (<a href=\"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-security\/que-es-s-mime\/\">S\/MIME<\/a>). <strong>Servicios de certificados de Active Directory (AD CS)<\/strong> es un rol de Windows Server que conecta estos dos elementos. En este art\u00edculo, profundizaremos en qu\u00e9 es AD CS, algunas buenas pr\u00e1cticas para utilizarlo y los detalles para configurarlo.<\/span><\/p>\n<p>Echa un vistazo nuestra gu\u00eda sobre <a href=\"https:\/\/www.ninjaone.com\/videos\/network-management\/active-directory-certificate-services-an-overview\/\">los servicios de certificados de Active Directory: Explicaci\u00f3n de AD CS y configuraci\u00f3n [V\u00eddeo]<\/a>.<\/p>\n<div style=\"padding: 56.25% 0 0 0; position: relative;\"><iframe style=\"position: absolute; top: 0; left: 0; width: 100%; height: 100%;\" title=\"Servicios de certificados de Active Directory: panorama general\" src=\"\/\/player.vimeo.com\/video\/1084313324?title=0&amp;amp;byline=0\" width=\"425\" height=\"350\" frameborder=\"0\" data-mce-fragment=\"1\"><\/iframe><\/div>\n<p><script src=\"https:\/\/player.vimeo.com\/api\/player.js\"><\/script><\/p>\n<h2>\u00bfQu\u00e9 son los Servicios de certificados de Active Directory (AD CS)?<\/h2>\n<p>Los <span style=\"font-weight: 400;\">Servicios de certificados de Active Directory son una caracter\u00edstica de los entornos Windows Server que proporciona <a href=\"https:\/\/www.okta.com\/identity-101\/public-key-infrastructure\/\" target=\"_blank\" rel=\"noopener\">una infraestructura de clave p\u00fablica (PKI)<\/a> para la emisi\u00f3n y gesti\u00f3n de certificados digitales. Los certificados se utilizan para proteger la comunicaci\u00f3n, verificar la identidad de usuarios y dispositivos y facilitar el intercambio seguro de datos en una red. AD CS ofrece a las organizaciones la posibilidad de emitir, renovar, revocar y distribuir certificados a usuarios, ordenadores y servicios de la red.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Como su nombre indica, Active Directory es un servicio de directory dise\u00f1ado para redes de dominios Windows. La base de cada implementaci\u00f3n de Active Directory son <a href=\"https:\/\/www.techtarget.com\/searchwindowsserver\/definition\/Microsoft-Active-Directory-Domain-Services-AD-DS\/\" target=\"_blank\" rel=\"noopener\">los Servicios de dominio de Active Directory (AD DS)<\/a>. AD DS almacena informaci\u00f3n sobre usuarios, equipos y grupos dentro de un dominio, verifica sus credenciales y establece derechos de acceso. AD CS se introdujo en Windows Server 2008 para emitir certificados digitales a las cuentas de equipo, usuario y dispositivo en el dominio para mejorar la seguridad y proporcionar m\u00e9todos de autenticaci\u00f3n adicionales.<\/span><\/p>\n<div class=\"in-context-cta\"><p>\u00bfProblemas con la gesti\u00f3n de Active Directory? Agiliza la gesti\u00f3n y los flujos de trabajo de AD con NinjaOne.<\/p>\n<p>Descubre m\u00e1s sobre <a href=\"https:\/\/www.ninjaone.com\/rmm\/active-directory-management\/\">la gesti\u00f3n de Active Directory de NinjaOne<\/a>.<\/p>\n<\/div>\n<h2>Configuraci\u00f3n de AC DS y gesti\u00f3n de certificados<\/h2>\n<p><span style=\"font-weight: 400;\">Una gesti\u00f3n y configuraci\u00f3n adecuadas de los certificados son importantes para mantener una PKI segura y eficiente dentro de una organizaci\u00f3n. A continuaci\u00f3n ver\u00e1s algunos elementos clave de la gesti\u00f3n y configuraci\u00f3n de los Servicios de certificados de Active Directory (AD CS).<\/span><\/p>\n<h3>Gesti\u00f3n de plantillas de certificados y pol\u00edticas de inscripci\u00f3n<\/h3>\n<p><span style=\"font-weight: 400;\">Las plantillas de certificados definen las propiedades y el uso de los certificados emitidos por AD CS. Los administradores pueden crear plantillas de certificados personalizadas para cumplir requisitos de seguridad espec\u00edficos y controlar los atributos de los certificados emitidos. Una plantilla podr\u00eda crearse para la autenticaci\u00f3n de servidores web, mientras que otra est\u00e1 dise\u00f1ada para la autenticaci\u00f3n de usuarios.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Las pol\u00edticas de inscripci\u00f3n determinan c\u00f3mo se procesan y autorizan los certificados dentro de la PKI. Estas pol\u00edticas pueden basarse en criterios, como la pertenencia a usuarios o grupos, el tipo de dispositivo o la <a href=\"https:\/\/www.ninjaone.com\/blog\/add-or-remove-a-network-location\/\">ubicaci\u00f3n de la red<\/a>, para garantizar que solo las entidades autorizadas puedan solicitar y obtener certificados espec\u00edficos.<\/span><\/p>\n<h3>Configuraci\u00f3n de la revocaci\u00f3n y renovaci\u00f3n de certificados<\/h3>\n<p><span style=\"font-weight: 400;\">Los administradores deben configurar y mantener la <a href=\"https:\/\/csrc.nist.gov\/glossary\/term\/certificate_revocation_list\" target=\"_blank\" rel=\"noopener\">Lista de Revocaci\u00f3n de Certificados (CRL)<\/a> y\/o el <a href=\"https:\/\/www.fortinet.com\/resources\/cyberglossary\/ocsp#:~:text=What%20is%20OCSP%3F,if%20it%20has%20been%20revoked.\" target=\"_blank\" rel=\"noopener\">Protocolo de Estado de Certificados en L\u00ednea (OCSP)<\/a> para proporcionar informaci\u00f3n en tiempo real acerca del estado de los certificados revocados, con el objetivo de garantizar que los certificados revocados no se puedan utilizar para la autenticaci\u00f3n o el cifrado.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Algunas buenas pr\u00e1cticas para configurar la renovaci\u00f3n y la revocaci\u00f3n incluyen lo siguiente:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Actualiza peri\u00f3dicamente las CRL o los respondedores OCSP para garantizar que los clientes reciben el estado m\u00e1s reciente.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Prev\u00e9 periodos de solapamiento para evitar la interrupci\u00f3n del servicio.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Aplica la renovaci\u00f3n mucho antes de la fecha de vencimiento para evitar lagunas.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Supervisa el rendimiento de CRA y OCSP para garantizar que responden con rapidez.<\/span><\/li>\n<\/ul>\n<h3>Implementaci\u00f3n de la confianza y validaci\u00f3n de certificados<\/h3>\n<p><span style=\"font-weight: 400;\">En AD CS, un certificado verifica que las entidades son quienes dicen ser. Es emitido a una entidad (una autoridad de certificaci\u00f3n, CA) por un tercero en el que conf\u00edan las dem\u00e1s partes. Las organizaciones necesitan configurar relaciones de confianza entre las CA para que los certificados emitidos por CA de confianza sean reconocidos y aceptados en toda la red.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Una lista de confianza de certificados (CTL) es un mecanismo que AD CS utiliza para especificar en qu\u00e9 CA conf\u00eda una organizaci\u00f3n. Contiene una lista de certificados de CA de confianza que los clientes utilizan para validar la autenticidad de los certificados que se les presentan durante el proceso de validaci\u00f3n.<\/span><\/p>\n<h3>Instalaci\u00f3n y configuraci\u00f3n de NDES para la inscripci\u00f3n de dispositivos de red<\/h3>\n<p><span style=\"font-weight: 400;\">El servicio de inscripci\u00f3n de dispositivos de red (NDES) facilita la inscripci\u00f3n de certificados para dispositivos de red como routers, switches y puntos de acceso inal\u00e1mbricos. Una correcta instalaci\u00f3n y configuraci\u00f3n de NDES agiliza este proceso y permite a estos dispositivos obtener y utilizar certificados para una autenticaci\u00f3n y comunicaci\u00f3n seguras.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Para utilizar NDES, debes instalar el rol de servicio NDES en tu servidor AD CS y configurar una cuenta de servicio para NDES, ya sea como una cuenta de usuario especificada como cuenta de servicio o como la identidad del grupo de aplicaciones integrado. A continuaci\u00f3n, configura la cuenta de servicio NDES con permiso de solicitud en la CA, configura un certificado de agente de inscripci\u00f3n y configura el proveedor de claves de firma y\/o el proveedor de claves de cifrado.<\/span><\/p>\n<h4>Breve nota sobre los protocolos modernos de inscripci\u00f3n:<\/h4>\n<p>Aunque SCEP (Simple Certificate Enrollment Protocol) sigue siendo el est\u00e1ndar para la inscripci\u00f3n de dispositivos (especialmente a trav\u00e9s de MDM utilizando NDES), los entornos PKI modernos adoptan cada vez m\u00e1s EST (Enrollment over Secure Transport). EST ofrece mayor seguridad y mejores funciones que SCEP, y las organizaciones que gestionan diversos sistemas operativos pueden acabar buscando soluciones que integren la compatibilidad de EST con su entorno AD CS.<\/p>\n<h2>Ventajas de utilizar los servicios de certificaci\u00f3n de Active Directory (AD CS)<\/h2>\n<p><span style=\"font-weight: 400;\"><a href=\"https:\/\/www.ninjaone.com\/es\/rmm\/gestion-de-active-directory\/\">Los servicios de Active Directory<\/a> ofrecen muchas ventajas que refuerzan significativamente la seguridad y la eficacia de las redes de dominios de Windows.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Algunas de las principales ventajas son:<\/span><b><\/b><\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><b>Mayor seguridad mediante certificados digitales y cifrado<\/b><\/h3>\n<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Los certificados suministrados por AD CS desempe\u00f1an un papel fundamental en la verificaci\u00f3n de usuarios, dispositivos y servicios dentro de una red. AD CS garantiza que s\u00f3lo los destinatarios autorizados puedan acceder a los datos cifrados, mitigando los riesgos de acceso no autorizado y de <a href=\"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-security\/que-es-una-violacion-de-datos\/\" target=\"_blank\" rel=\"noopener\">violaci\u00f3n de datos.<\/a><\/span><\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><b>Gesti\u00f3n y ciclo de vida simplificados de los certificados<\/b><\/h3>\n<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">AD CS simplifica la emisi\u00f3n, renovaci\u00f3n y revocaci\u00f3n de certificados. La administraci\u00f3n centralizada, las plantillas y las pol\u00edticas de inscripci\u00f3n facilitan la gesti\u00f3n eficaz de las solicitudes y la distribuci\u00f3n, reducen la carga administrativa y ahorran tiempo.<\/span><\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><b>Integraci\u00f3n con Active Directory para una administraci\u00f3n centralizada<\/b><\/h3>\n<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">la integraci\u00f3n de AD CS con AD DS permite la administraci\u00f3n centralizada de certificados, aprovechando la infraestructura de Active Directory existente. Los administradores pueden gestionar eficazmente los certificados junto con las cuentas de usuario, garantizando pol\u00edticas coherentes en todo el dominio.<\/span><\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><b>Compatibilidad con varios tipos de certificados y escenarios de uso<\/b><\/h3>\n<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">las organizaciones pueden emitir certificados para servidores web (certificados SSL\/TLS) con el fin de proteger las comunicaciones en l\u00ednea, implantar la autenticaci\u00f3n basada en certificados para mejorar la verificaci\u00f3n de la identidad de los usuarios, utilizar firmas digitales para la integridad y el no repudio de los documentos y cifrar los correos electr\u00f3nicos mediante certificados S\/MIME.<\/span><\/p>\n<h2>Desventajas de los servicios de certificaci\u00f3n de Active Directory (AD CS)<\/h2>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Configuraci\u00f3n compleja<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>La configuraci\u00f3n de AD CS puede ser compleja y requiere conocimientos t\u00e9cnicos sobre las autoridades de certificaci\u00f3n y la arquitectura PKI. Las organizaciones deben invertir importantes recursos para su implementaci\u00f3n, formaci\u00f3n, tiempo y m\u00e1s.<\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Dif\u00edcil de usar<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>AD CS requiere un equipo con experiencia t\u00e9cnica en gesti\u00f3n de PKI para su mantenimiento y este equipo necesitar\u00eda formaci\u00f3n y recursos adicionales para mantenerse al d\u00eda con las mejores pr\u00e1cticas de PKI.<\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Alto coste de mantenimiento<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>Aunque las CA de Microsoft son gratuitas, las organizaciones deben invertir en reunir y formar a un equipo que se encargue de AD CS, adem\u00e1s de los requisitos de hardware y software.<\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Explotaci\u00f3n del cross-site scripting<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>El cross-site scripting (XSS) es una vulnerabilidad de seguridad en aplicaciones web que permite a los atacantes inyectar scripts en p\u00e1ginas web. Este script permite a los hackers acceder a informaci\u00f3n sensible e incluso realizar acciones como cambiar el contenido del sitio web o redirigir a los usuarios a sitios web maliciosos. La Inscripci\u00f3n Web de AD CS no valida correctamente las entradas del usuario, lo que la hace vulnerable a ataques XSS.<\/p>\n<p>Debido a las frecuentes vulnerabilidades asociadas con el componente AD CS Web Enrollment, la mejor pr\u00e1ctica del sector es evitar la instalaci\u00f3n de este servicio de roles. Utiliza alternativas modernas como Network Device Enrollment Service (NDES) para SCEP\/MDM, o la inscripci\u00f3n autom\u00e1tica de certificados mediante Directiva de Grupo, en lugar de la interfaz de inscripci\u00f3n web.<\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Problemas de compatibilidad<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>En ocasiones, la integraci\u00f3n de AD CS con los dispositivos y aplicaciones existentes puede suponer un reto para una infraestructura de TI h\u00edbrida. Por ejemplo, las pol\u00edticas de grupo de Microsoft (GPO) no son compatibles con los dispositivos macOS o Linux, por lo que los usuarios tendr\u00edan que encontrar soluciones alternativas, como el software RMM o MDM.<\/p>\n<h2>Buenas pr\u00e1cticas para Servicios de certificados de Active Directory (AD CS)<\/h2>\n<p><span style=\"font-weight: 400;\">Para garantizar el funcionamiento seguro y sin problemas de los servicios de Active Directory, es esencial adoptar las siguientes buenas pr\u00e1cticas:<\/span><\/p>\n<h3>Protege la infraestructura AD CS<\/h3>\n<p><span style=\"font-weight: 400;\">Para proteger la infraestructura AD CS, aseg\u00farate de:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Limitar el acceso administrativo:<\/b><span style=\"font-weight: 400;\">limita el acceso a las cuentas dedicadas que se utilizan para gestionar la PKI y controla a los miembros del grupo de administradores locales mediante GPO.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Crea listas blancas de las aplicaciones<\/b><span style=\"font-weight: 400;\">: utiliza AppLocker o una herramienta de listas blancas de aplicaciones de terceros para configurar los servicios y las aplicaciones que pueden ejecutarse en las CA. Esto a\u00f1adir\u00e1 una capa adicional de seguridad al impedir que se ejecuten aplicaciones no autorizadas.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Implementa un acceso remoto seguro:<\/b><span style=\"font-weight: 400;\">\u00a0esto es esencial en un mundo de entornos de trabajo remotos e h\u00edbridos.<\/span><\/li>\n<\/ul>\n<p>Para mitigar el riesgo de compromiso de una CA ra\u00edz (que es catastr\u00f3fico), los profesionales de la seguridad recomiendan encarecidamente ir m\u00e1s all\u00e1 de una PKI de un solo nivel. Se trata de crear una jerarqu\u00eda:<\/p>\n<ul>\n<li><strong>CA ra\u00edz (sin conexi\u00f3n):<\/strong> esta es la ancla de confianza definitiva. Debe <strong>desconectarse<\/strong> inmediatamente despu\u00e9s de la instalaci\u00f3n, guardarse de forma segura (por ejemplo, en una caja fuerte) y no conectarse nunca a la red. Su \u00fanico prop\u00f3sito es firmar el certificado de la CA subordinada.<\/li>\n<li><strong>CA emisora (en l\u00ednea):<\/strong> este servidor est\u00e1 en l\u00ednea y emite certificados a usuarios y dispositivos. Est\u00e1 subordinado a la CA ra\u00edz. Si se ve comprometido, el da\u00f1o es limitado porque la CA ra\u00edz sigue siendo segura y puede emitir un nuevo certificado de CA emisora.<\/li>\n<li><strong>Jerarqu\u00eda:<\/strong> esta separaci\u00f3n de roles garantiza que, incluso si la CA emisora en l\u00ednea es comprometida, la confianza fundamental (la clave privada de la CA ra\u00edz) permanece protegida.<\/li>\n<\/ul>\n<h3>Implementa procedimientos de copia de seguridad y recuperaci\u00f3n<\/h3>\n<p><span style=\"font-weight: 400;\">Las <a href=\"https:\/\/www.ninjaone.com\/es\/copia-de-seguridad\/\">copias de seguridad y recuperaci\u00f3n<\/a> adecuadas de AD CS son cruciales para garantizar la disponibilidad, integridad y seguridad de la infraestructura de certificados.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Algunas buenas pr\u00e1cticas clave son las siguientes:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Haz copias de seguridad regularmente: <\/b><span style=\"font-weight: 400;\">las copias de seguridad frecuentes de la base de datos de AD CS, de las copias de seguridad de las claves privadas y de los datos de configuraci\u00f3n garantizan la capacidad de recuperaci\u00f3n ante fallos de hardware y otros eventos catastr\u00f3ficos.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Almacena las copias de seguridad fuera de las instalaciones: <\/b><span style=\"font-weight: 400;\">almacena las copias de seguridad de forma segura en una ubicaci\u00f3n remota para protegerte de posibles desastres en las instalaciones.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Haz una prueba de restauraci\u00f3n: <\/b><span style=\"font-weight: 400;\">prueba peri\u00f3dicamente el proceso de restauraci\u00f3n para verificar la integridad de las copias de seguridad y la capacidad de recuperar eficazmente la p\u00e9rdida de datos.<\/span><\/li>\n<\/ul>\n<h3>Realiza un seguimiento y un mantenimiento peri\u00f3dicos<\/h3>\n<p><span style=\"font-weight: 400;\">Unos procesos de mantenimiento y supervisi\u00f3n adecuados garantizar\u00e1n el funcionamiento \u00f3ptimo de los componentes de AD CS y ayudar\u00e1n a abordar posibles problemas en una fase temprana. Aqu\u00ed tienes algunos consejos que te ayudar\u00e1n a conseguirlo:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Implementa un registro de eventos: <\/b><span style=\"font-weight: 400;\">revisar los registros de eventos con regularidad te ayudar\u00e1 a identificar y responder a cualquier problema potencial o brecha de seguridad con prontitud.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Controla la caducidad de los certificados: <\/b><span style=\"font-weight: 400;\">establecer alertas puede ayudar a garantizar que las renovaciones de certificados se realicen a tiempo.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Implementa un control de revocaci\u00f3n: <\/b><span style=\"font-weight: 400;\">aseg\u00farate de que los clientes controlan la revocaci\u00f3n de certificados a trav\u00e9s de CRL u OCSP, para evitar el uso de certificados comprometidos.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Realiza un seguimiento del estado de salud: <\/b><span style=\"font-weight: 400;\">supervisa el estado de los componentes de AD CS, como la autoridad de certificaci\u00f3n y los servicios web, para detectar y solucionar posibles problemas de rendimiento o fiabilidad.<\/span><\/li>\n<\/ul>\n<h3>Garantiza el cumplimiento de los est\u00e1ndares del sector<\/h3>\n<p><span style=\"font-weight: 400;\">Para asegurarte de que cumples las normas y buenas pr\u00e1cticas del sector, sigue estas directrices:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Desarrolla una pol\u00edtica PKI: <\/b><span style=\"font-weight: 400;\">crea y aplica una pol\u00edtica PKI clara que defina la finalidad y el uso de los certificados dentro de la organizaci\u00f3n.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Utiliza plantillas de certificados: <\/b><span style=\"font-weight: 400;\">las plantillas garantizan un uso coherente y adecuado de los certificados en toda la organizaci\u00f3n.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Realiza auditor\u00edas de cumplimiento: <\/b><span style=\"font-weight: 400;\">las auditor\u00edas peri\u00f3dicas deben evaluar el cumplimiento de las normas del sector y de las pr\u00e1cticas de seguridad internas por parte de las CAA.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Forma a los empleados: <\/b><span style=\"font-weight: 400;\">educa a los administradores y otros empleados sobre buenas pr\u00e1cticas, los riesgos de seguridad y sus funciones en el mantenimiento de un entorno PKI seguro.<\/span><\/li>\n<\/ul>\n<h2>C\u00f3mo configurar los Servicios de certificados de Active Directory (AD CS)<\/h2>\n<p><span style=\"font-weight: 400;\">El primer paso para crear una PKI segura y eficaz con AD CS es instalarla y configurarla. A continuaci\u00f3n se ofrece una visi\u00f3n general del proceso, desde los requisitos previos hasta la instalaci\u00f3n paso a paso, junto con importantes consideraciones sobre la configuraci\u00f3n.<\/span><\/p>\n<h3>Requisitos previos para la instalaci\u00f3n de AD CS<\/h3>\n<p><span style=\"font-weight: 400;\">Antes de iniciar la instalaci\u00f3n de AD CS, aseg\u00farate de que se cumplen los siguientes requisitos:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Servidor de Windows: <\/b><span style=\"font-weight: 400;\">es necesario disponer de un sistema operativo Windows Server con las \u00faltimas actualizaciones instaladas.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Servicios de dominio de Active Directory (AD DS): <\/b><span style=\"font-weight: 400;\">AD CS est\u00e1 estrechamente vinculado a AD DS. Aseg\u00farate de que tu red dispone de un entorno AD DS con al menos un <a href=\"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-management\/que-es-un-controlador-de-dominio\/\">controlador de dominio<\/a>.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Direcci\u00f3n IP est\u00e1tica: <\/b><span style=\"font-weight: 400;\">asigna una direcci\u00f3n IP est\u00e1tica al servidor que alojar\u00e1 los componentes de AD CS. Esto garantiza una comunicaci\u00f3n de red estable para los servicios de certificados.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Privilegios administrativos: <\/b><span style=\"font-weight: 400;\">necesitas privilegios administrativos en el servidor para instalar AD CS.<\/span><\/li>\n<\/ul>\n<h3>Gu\u00eda paso a paso para instalar AD CS en un servidor Windows<\/h3>\n<p><span style=\"font-weight: 400;\">Estos son los pasos para instalar los Servicios de certificados de Active Directory:<\/span><\/p>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Lanza el Administrador de servidores: <\/b><span style=\"font-weight: 400;\">lo encontrar\u00e1s en el men\u00fa Inicio.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>A\u00f1ade funciones y caracter\u00edsticas: <\/b><span style=\"font-weight: 400;\">ve a \u00abGestionar\u00bb y haz clic en \u00abAgregar funciones y caracter\u00edsticas\u00bb.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Elige el tipo de instalaci\u00f3n: <\/b><span style=\"font-weight: 400;\">elige \u00abInstalaci\u00f3n basada en funciones o caracter\u00edsticas\u00bb mediante el asistente para agregar funciones y caracter\u00edsticas y haz clic en \u00abSiguiente\u00bb<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Selecciona el servidor<\/b><span style=\"font-weight: 400;\">: aseg\u00farate de que el servidor de destino est\u00e1 seleccionado y haz clic en \u00abSiguiente\u00bb.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Selecciona las funciones y caracter\u00edsticas del servidor: <\/b><span style=\"font-weight: 400;\">despl\u00e1zate hacia abajo y selecciona \u00abServicios de certificados de Active Directory\u00bb. Haz clic en \u00abA\u00f1adir caracter\u00edsticas\u00bb en el asistente y luego en \u00abSiguiente\u00bb.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Selecciona los servicios de rol: <\/b><span style=\"font-weight: 400;\">elige los servicios de rol AD CS que deseas instalar y haz clic en \u00abSiguiente\u00bb.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Instala AD CS: <\/b><span style=\"font-weight: 400;\">revisa tus selecciones, selecciona \u00abReiniciar el servidor de destino autom\u00e1ticamente si es necesario\u00bb y haz clic en \u00abInstalar\u00bb.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Configura AD CS: <\/b><span style=\"font-weight: 400;\">una vez finalizada la instalaci\u00f3n, haz clic en \u00abCerrar\u00bb. Selecciona el indicador de notificaci\u00f3n en la aplicaci\u00f3n Administrador de servidores, busca el mensaje para iniciar la configuraci\u00f3n posterior al despliegue y haz clic en el enlace para iniciar la configuraci\u00f3n.<\/span><\/li>\n<\/ol>\n<h3>Opciones de configuraci\u00f3n y consideraciones durante la instalaci\u00f3n<\/h3>\n<p><span style=\"font-weight: 400;\">Personalizando la configuraci\u00f3n de AD CS a tus requisitos de seguridad y necesidades operativas espec\u00edficas, puedes crear un entorno PKI que respete las normas de cumplimiento y mejore la postura de seguridad de tu red. He aqu\u00ed algunas opciones a tener en cuenta:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Almacenamiento de llaves: <\/b><span style=\"font-weight: 400;\">durante la instalaci\u00f3n, puedes optar por almacenar la clave privada en el Proveedor de servicios criptogr\u00e1ficos seguros de Microsoft o en un m\u00f3dulo de seguridad de hardware (HSM) para mayor seguridad.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Ajustes de revocaci\u00f3n: <\/b><span style=\"font-weight: 400;\">configura la frecuencia y el m\u00e9todo de publicaci\u00f3n de CRL (CRL u OCSP) para garantizar actualizaciones puntuales del estado de revocaci\u00f3n para los clientes.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Plantillas de certificado: <\/b><span style=\"font-weight: 400;\">configura las plantillas de certificado necesarias para los distintos casos de uso de la organizaci\u00f3n.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Copia de seguridad de la CA: <\/b><span style=\"font-weight: 400;\">implementa un plan de copias de seguridad para salvaguardar la clave privada de la CA y los datos de configuraci\u00f3n.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Configuraci\u00f3n de la seguridad: <\/b><span style=\"font-weight: 400;\">protege adecuadamente el servidor CA limitando el acceso administrativo y habilitando la auditor\u00eda.<\/span><\/li>\n<\/ul>\n<h2>Resoluci\u00f3n de problemas comunes de AD CS<\/h2>\n<p><span style=\"font-weight: 400;\">Aunque AD CS se haya configurado cuidadosamente, pueden surgir problemas. A continuaci\u00f3n se ofrecen algunos consejos que te ayudar\u00e1n a identificar, solucionar y resolver algunos problemas comunes de AD CS:<\/span><\/p>\n<h3><span style=\"font-weight: 400;\">Identificaci\u00f3n de problemas de configuraci\u00f3n comunes<\/span><\/h3>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Errores en la plantilla del certificado: <\/b><span style=\"font-weight: 400;\">los problemas de emisi\u00f3n e inscripci\u00f3n de certificados pueden deberse a una configuraci\u00f3n incorrecta de las plantillas de certificados.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Los servicios de CA no se inician: <\/b><span style=\"font-weight: 400;\">examina los registros de eventos en busca de mensajes de error. El problema podr\u00eda deberse a la corrupci\u00f3n de la base de datos, permisos inadecuados o conflictos de puertos.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Configuraci\u00f3n de la revocaci\u00f3n: <\/b><span style=\"font-weight: 400;\">comprueba que las CRL o los respondedores OCSP est\u00e9n configurados correctamente y sean accesibles para los clientes.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Errores en la revocaci\u00f3n de certificados: <\/b><span style=\"font-weight: 400;\">esto puede deberse a puntos de distribuci\u00f3n de CRL o respondedores OCSP inaccesibles, o a problemas de validaci\u00f3n de la cadena de certificados.<\/span><\/li>\n<\/ul>\n<h3><span style=\"font-weight: 400;\">Resoluci\u00f3n de problemas de inscripci\u00f3n y validaci\u00f3n<\/span><\/h3>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Errores de registro: <\/b><span style=\"font-weight: 400;\">compruebe los permisos de las plantillas de certificado y los agentes de registro. Aseg\u00farate de que los clientes pueden comunicarse con la CA y acceder a las URL de inscripci\u00f3n.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Certificados caducados: <\/b><span style=\"font-weight: 400;\">comprueba que los certificados no hayan caducado y configura la supervisi\u00f3n para alertar a los administradores sobre pr\u00f3ximas caducidades.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Certificados revocados: <\/b><span style=\"font-weight: 400;\">investiga el motivo de la revocaci\u00f3n y aseg\u00farate de que los clientes pueden acceder a CRL o respondedores OCSP actualizados.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Errores de validaci\u00f3n de la cadena de certificados: <\/b><span style=\"font-weight: 400;\">aseg\u00farate de que todo el certificado de cadena est\u00e1 intacto y es v\u00e1lido. Comprueba la presencia de certificados intermedios y ra\u00edz en el almac\u00e9n de certificados ra\u00edz de confianza.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Problemas del lado del cliente: <\/b><span style=\"font-weight: 400;\">comprueba la sincronizaci\u00f3n horaria, la conectividad de red y la configuraci\u00f3n del firewall en el lado del cliente.<\/span><\/li>\n<\/ul>\n<h2>\u00bfPuedo seguir utilizando AD CS despu\u00e9s de migrar a Azure AD (Microsoft Enterprise ID)?<\/h2>\n<p>S\u00ed, los equipos de TI pueden seguir utilizando AD CS incluso despu\u00e9s de migrar a Azure AD (Microsoft Enterprise ID). Los certificados de AD CS protegen las comunicaciones, autentican los dispositivos y permiten un acceso seguro a los recursos, independientemente de si las identidades se gestionan en Azure AD o en Active Directory local. Azure AD puede automatizar la inscripci\u00f3n de certificados para agilizar los flujos de trabajo de los equipos de TI.<\/p>\n<h2>\u00bfFunciona AD CS con la gesti\u00f3n de dispositivos m\u00f3viles (MDM)?<\/h2>\n<p>S\u00ed, <a href=\"https:\/\/www.ninjaone.com\/es\/mdm\/\">el software MDM<\/a> suele utilizar certificados para la autenticaci\u00f3n, el cifrado y la seguridad de los dispositivos m\u00f3viles.<\/p>\n<p>AD CS puede funcionar con <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/mejor-software-mdm\/\">soluciones MDM<\/a>, ya que la mayor\u00eda de los proveedores proporcionan un conector AD CS que permite que soluciones en la nube como MDM se comuniquen con el servidor AD CS. Estos conectores son especialmente \u00fatiles cuando se trata de dispositivos que no son Windows, como Apple y Android. Los t\u00e9cnicos pueden a\u00f1adir CA personalizadas e implantarlas y gestionarlas a trav\u00e9s de su soluci\u00f3n MDM.<\/p>\n<p>La perfecta integraci\u00f3n con un software MDM garantiza que los dispositivos est\u00e9n debidamente autenticados y protegidos, lo que mejora la seguridad general de los datos y los dispositivos dentro de la organizaci\u00f3n.<\/p>\n<div class=\"in-context-cta\"><p>Protege, gestiona y da soporte a tus dispositivos m\u00f3viles desde cualquier lugar con la soluci\u00f3n MDM de NinjaOne.<\/p>\n<p><a href=\"https:\/\/www.ninjaone.com\/mdm-free-trial\/\">Reg\u00edstrate y prueba NinjaOne MDM hoy mismo<\/a>.<\/p>\n<\/div>\n<p>\u00bfQuieres proteger, gestionar y ofrecer asistencia a tus dispositivos m\u00f3viles desde cualquier lugar? \u00c9chale un vistazo a nuestra secci\u00f3n de <a href=\"https:\/\/www.ninjaone.com\/es\/mdm\/faq\/\">preguntas frecuentes sobre el MDM<\/a>.<\/p>\n<h2>Conclusi\u00f3n<\/h2>\n<p><span style=\"font-weight: 400;\">Servicios de certificados de Active Directory (AD CS) desempe\u00f1a un papel importante en la mejora de la seguridad de las redes de dominios de Windows. AD CS integra PKI con la conocida infraestructura de Active Directory y permite a las organizaciones emitir y gestionar certificados digitales, proteger la comunicaci\u00f3n y verificar la identidad de los usuarios y dispositivos dentro de la red. Entre las ventajas de AD CS se incluyen la mejora de la seguridad mediante el cifrado y la autenticaci\u00f3n basada en certificados, la gesti\u00f3n simplificada de certificados y la administraci\u00f3n centralizada en Active Directory.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Para conseguir estas ventajas, AD CS debe gestionarse y configurarse correctamente, lo que implica adherirse a un conjunto de buenas pr\u00e1cticas, entre las que se incluyen la implantaci\u00f3n de procedimientos de copia de seguridad y recuperaci\u00f3n, la supervisi\u00f3n de AD CS y la realizaci\u00f3n de un mantenimiento peri\u00f3dico. Siguiendo estas y otras directrices sugeridas en este art\u00edculo y desarrollando tus propias habilidades de resoluci\u00f3n de problemas, podr\u00e1s mantener una infraestructura AD CS fiable y segura que contribuya a la resistencia general de tu ecosistema de TI.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Numerosas organizaciones conf\u00edan en Windows Server como columna vertebral de su infraestructura de TI. Muchos utilizan tambi\u00e9n estructuras de clave p\u00fablica (PKI) para satisfacer diversos requisitos de seguridad, como la seguridad de los servidores web (SSL), la autenticaci\u00f3n basada en certificados, las firmas digitales de documentos y el cifrado de correo electr\u00f3nico (S\/MIME). Servicios de [&hellip;]<\/p>\n","protected":false},"author":89,"featured_media":141360,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4357],"tags":[],"class_list":["post-148760","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-operaciones-de-ti"],"acf":[],"modified_by":"Karina PicoCatala","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts\/148760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/users\/89"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/comments?post=148760"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts\/148760\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/media\/141360"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/media?parent=148760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/categories?post=148760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/tags?post=148760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}