Guia-CCN-STIC-595 Entidad de Certificación en Windows 2008 R2

USO OFICIAL
GUÍA/NORMA DE SEGURIDAD DE LAS TIC

(CCN-STIC-595)
ENTIDAD DE CERTIFICACIÓN EN
WINDOWS SERVER 2008 R2
NOVIEMBRE 2018
USO OFICIAL
USO OFICIAL
CCN-STIC-595 v1.1 Entidad de Certificación en Windows Server 2008 R2
Edita:
CENTRO CRIPTOLOGICO NACIONAL
2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrónico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2018.11.16 10:14:49 +01'00'
 Centro Criptológico Nacional, 2016
Fecha de Edición: noviembre de 2018

Sidertia Solutions S.L. ha participado en la realización del presente documento y sus anexos.
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.
Centro Criptológico Nacional i

USO OFICIAL
USO OFICIAL
ÍNDICE
1. INTRODUCCIÓN ..................................................................................................................................... 5
2. OBJETO .................................................................................................................................................... 5
3. ALCANCE ................................................................................................................................................ 6
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA ........................................................................................... 7
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA ..................................................... 8
5. INTRODUCCIÓN A LOS SERVICIOS DE CIFRADO .......................................................................... 9
5.1 PROVEEDORES DE SERVICIOS DE CIFRADO (CSP) ................................................................ 10
5.1.1 ALGORITMOS Y LONGITUDES DE CLAVES ........................................................................ 12
5.1.1.1 MICROSOFT BASE CRYPTOGRAPHIC PROVIDER ..........................................................12
5.1.1.2 MICROSOFT STRONG CRYPTOGRAPHIC PROVIDER ....................................................12
5.1.1.3 MICROSOFT ENHANCED CRYPTOGRAPHIC PROVIDER ..............................................13
5.1.1.4 MICROSOFT ENHANCED RSA AND AES CRYPTOGRAPHIC PROVIDER ...................14
5.1.1.5 MICROSOFT BASE DSS CRYPTOGRAPHIC PROVIDER .................................................15
5.1.1.6 MICROSOFT BASE DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC PROVIDER......15
5.1.1.7 MICROSOFT ENHANCED DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC
PROVIDER ...............................................................................................................................16
5.1.1.8 MICROSOFT DH SCHANNEL CRYPTOGRAPHIC PROVIDER ........................................16
5.1.1.9 MICROSOFT RSA SCHANNEL CRYPTOGRAPHIC PROVIDER ......................................17
5.1.1.10 MICROSOFT BASE SMART CARD CRYPTO PROVIDER. ...............................................18
5.1.1.11 ALGORITMOS SIMÉTRICOS. ...............................................................................................19
5.1.1.12 ALGORITMOS ASIMÉTRICOS .............................................................................................20
5.1.1.13 ALGORITMOS HASH .............................................................................................................20
5.1.1.14 ALGORITMOS DE INTERCAMBIO DE CLAVES ...............................................................21
5.1.1.15 MICROSOFT SOFTWARE KEY STORAGE PROVIDER ....................................................22
5.1.1.16 MICROSOFT SMART CARD KEY STORAGE PROVIDER ................................................22
6. ARQUITECTURA Y SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN DE
WINDOWS SERVER 2008 R2 ............................................................................................................... 22
6.1 COMPONENTES DE LOS SERVICIOS DE CERTIFICADOS ...................................................... 22
6.2 ROLES DISPONIBLES EN LAS DIFERENTES EDICIONES DE WINDOWS SERVER ............ 23
6.3 CONFIGURACIÓN DE LA SEGURIDAD DE LA ENTIDAD DE CERTIFICACIÓN.................. 24
6.4 RESTRICCIÓN DE LOS ADMINISTRADORES DE CERTIFICADOS ........................................ 27
6.5 AUDITORÍA DE EVENTOS DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN .................. 28
6.6 SOPORTE DE VALIDACIÓN EXTENDIDA (EV) ......................................................................... 30
ANEXOS
ANEXO A. PLANTILLA DE SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN

INTEGRADA EN DIRECTORIO ACTIVO EN WINDOWS SERVER 2008 R2 ................................. 31
ANEXO B. PLANTILLA DE SEGURIDAD DE INSCRIPCIÓN AUTOMÁTICA DE
CERTIFICADOS EN EL DOMINIO ...................................................................................................... 38
ANEXO C. PLANTILLA DE SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN
EN SERVIDOR WINDOWS SERVER 2008 R2 INDEPENDIENTE ................................................... 39
ANEXO D. GUÍA PASO A PASO DE LA INSTALACIÓN DE UNA ENTIDAD DE
CERTIFICACIÓN RAÍZ DE EMPRESA DE DIRECTORIO ACTIVO EN WINDOWS SERVER 2008
R2 .............................................................................................................................................. 45
1. INSTALACIÓN DEL SERVIDOR ENTIDAD DE CERTIFICACIÓN ........................................... 58
2. CONFIGURACIÓN DE LA ENTIDAD DE CERTIFICACIÓN RAÍZ DE EMPRESA .................. 63
Centro Criptológico Nacional ii

USO OFICIAL
USO OFICIAL
3. RENOVACIÓN DE CERTIFICADO DE ENTIDAD RAÍZ DE EMPRESA ................................... 72

ANEXO E. GUÍA PASO A PASO DE LA INSTALACIÓN DE UNA ENTIDAD DE
CERTIFICACIÓN RAÍZ INDEPENDIENTE Y UNA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA DE DIRECTORIO ACTIVO EN WINDOWS SERVER 2008 R2 ........................... 77
1. INSTALACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ SOBRE UN SERVIDOR
INDEPENDIENTE. ............................................................................................................................ 77
2. CONFIGURACIÓN DE LISTA DE REVOCACIÓN DE CERTIFICADOS (CRL) ........................ 85
3. PREPARACIÓN DEL DIRECTORIO ACTIVO............................................................................... 96
4. INSTALACIÓN DEL SERVIDOR ENTIDAD DE CERTIFICACIÓN SUBORDINADA A LA
ENTIDAD DE CERTIFICACIÓN RAÍZ ........................................................................................ 109
5. CONFIGURACIÓN DE LA ENTIDAD DE CERTIFICACIÓN SUBORDINADA ...................... 114
6. PASOS FINALES EN LA INSTALACIÓN DE LA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA DE EMPRESA ................................................................................................... 119
ANEXO F. ADMINISTRACIÓN DE CARACTERÍSTICAS DE LA ENTIDAD DE CERTIFICACIÓN
............................................................................................................................................ 126
1. CONFIGURACIÓN DE LA AUDITORÍA DE LAS OPERACIONES DE LA ENTIDAD DE
CERTIFICACIÓN ............................................................................................................................ 126
2. CONFIGURACIÓN DE CARACTERÍSTICAS DE LA PLANTILLA DE ENTIDAD DE
CERTIFICACIÓN ............................................................................................................................ 130
3. RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE CERTIFICACIÓN ......... 132
3.1 RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ
..................................................................................................................................................... 132
3.2 RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA ........................................................................................................................ 134
4. GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE CERTIFICADOS ...... 143
4.1 GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE CERTIFICADOS
(CRL) MEDIANTE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ DE EMPRESA ............... 144
4.2 GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE CERTIFICADOS
(CRL) MEDIANTE UNA ENTIDAD DE CERTIFICACIÓN SUBORDINADA A UNA
ENTIDAD DE CERTIFICACIÓN RAÍZ INDEPENDIENTE ................................................... 146
5. GENERACIÓN DE PLANTILLAS DE CERTIFICADO ............................................................... 149
5.1 MODIFICACIÓN DE DURACIÓN MÁXIMA DEL PERIODO DE VALIDEZ DE LOS
CERTIFICADOS ........................................................................................................................ 150
5.2 CREACIÓN DE PLANTILLAS DE CERTIFICADO................................................................ 152
5.3 PUBLICACIÓN DE UNA PLANTILLA DE CERTIFICADOS EN LA ENTIDAD DE
CERTIFICACIÓN ....................................................................................................................... 161
6. PROCEDIMIENTOS DE SOLICITUD Y ADMINISTRACIÓN DE CERTIFICADOS................ 163
6.1 SOLICITUD DE CERTIFICADOS ............................................................................................ 163
6.2 EMISIÓN DE CERTIFICADOS................................................................................................. 172
6.3 EXPORTACIÓN DE CERTIFICADOS ..................................................................................... 174
6.4 IMPORTACIÓN DE CERTIFICADOS ..................................................................................... 177
6.5 REVOCACIÓN DE CERTIFICADOS ....................................................................................... 183
6.6 RENOVACIÓN DE CERTIFICADOS ....................................................................................... 185
7. COPIA DE SEGURIDAD Y RESTAURACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN .... 189
7.1 COPIA DE SEGURIDAD DE UNA ENTIDAD DE CERTIFICACIÓN .................................. 189
7.2 RESTAURACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN .............................................. 192
ANEXO G. LISTA DE COMPROBACIÓN DE LA CORRECTA INSTALACIÓN DE UNA ENTIDAD
DE CERTIFICACIÓN RAÍZ DE EMPRESA DE DIRECTORIO ACTIVO EN WINDOWS SERVER
2008 R2 ............................................................................................................................................ 197
1. COMPROBACIONES EN EL CONTROLADOR DE DOMINIO ................................................. 197
2. COMPROBACIONES EN EL SERVIDOR DE ENTIDAD DE CERTIFICACIÓN ...................... 204
Centro Criptológico Nacional iii

USO OFICIAL
USO OFICIAL
ANEXO H. LISTA DE COMPROBACIÓN DE LA CORRECTA INSTALACIÓN DE UNA ENTIDAD

DE CERTIFICACIÓN RAÍZ INDEPENDIENTE Y UNA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA DE DIRECTORIO ACTIVO EN WINDOWS SERVER 2008 R2 ......................... 210
1. COMPROBACIONES EN EL SERVIDOR INDEPENDIENTE ENTIDAD DE CERTIFICACIÓN
RAÍZ ................................................................................................................................................. 210
2. COMPROBACIONES EN EL CONTROLADOR DE DOMINIO ................................................. 214
3. COMPROBACIONES EN EL SERVIDOR DE ENTIDAD DE CERTIFICACIÓN
SUBORDINADA ............................................................................................................................. 222
Centro Criptológico Nacional iv

USO OFICIAL
USO OFICIAL
1. INTRODUCCIÓN
1. Este documento forma parte del conjunto de normas desarrolladas por el Centro
Criptológico Nacional para entornos basados en los productos y sistemas operativos de
Microsoft (CCN-STIC-500) siendo de aplicación para la Administración y de obligado
cumplimiento para los Sistemas que manejen información clasificada Nacional.
2. La serie CCN-STIC-500 se ha diseñado de manera incremental. Así que, dependiendo del
sistema, se aplicarán consecutivamente varias de estas guías. Por ejemplo, para un
servidor de Entidad de Certificación de empresa de Windows Server 2008 R2, las guías
que deberán aplicarse son:
– CCN-STIC-521A Configuración segura de Windows Server 2008 R2 (Servidor
miembro).
– CCN-STIC-524 Implementación de IIS 7.5 sobre Windows Server 2008 R2 en
servidor miembro del dominio.
– La presente guía.
Nota: Estas guías están pensadas y diseñadas para entornos de máxima seguridad donde no existirá ningún tipo de
conexión con redes consideradas no seguras como puede ser Internet.
2. OBJETO
3. El propósito de este documento consiste en proporcionar los procedimientos para la
implementación, establecer la configuración y realizar tareas de administración
maximizando las condiciones de seguridad del servidor que actúe como Entidad de
Certificación de Microsoft Windows Server 2008 R2 en un servidor miembro de una
infraestructura de dominio.
4. La instalación, así como los procesos de administración, se ha diseñado para que la
implementación sea lo más restrictiva posible. Es posible que determinadas
funcionalidades del servidor de Entidad de Certificación requieran modificar algunas de
las configuraciones que se plantean a través de la presente guía.
5. Esta guía asume que el servidor de Entidad de Certificación se va a implementar sobre un
equipo con Windows Server 2008 R2 SP1 de 64 Bits en el cuál se ha seguido el proceso
de implementación definido en las guías CCN-STIC-521A y CCN-STIC-524.
6. Cumpliendo con estos requisitos previos, se puede iniciar la instalación del servidor de
Entidad de Certificación basado en Microsoft Windows Server 2008 R2.
7. Así mismo y por motivos de seguridad y reducción de la superficie de ataque, no se
contempla en esta guía la instalación del servicio Web de inscripción de certificados,
servicio respondedor en línea u otros servicios que no sean estrictamente necesarios para
el adecuado funcionamiento del servicio de la Entidad de Certificación en un entorno
privado.
Centro Criptológico Nacional 5

USO OFICIAL
USO OFICIAL
8. Sin embargo y debido a la necesidad de verificar la revocación de certificados, por parte

de los equipos cliente y aplicaciones, será necesario instalar el servicio “Internet
Information Services (IIS)” para publicar la lista de revocación de certificados de la
Entidad de Certificación. Es por ello que antes de iniciar las tareas de instalación de la
presente guía, es necesario aplicar la guía de seguridad “CCN-STIC-524 Implementación
de IIS 7.5 sobre Windows Server 2008 R2 en servidor miembro de dominio”.
3. ALCANCE
9. La guía ha sido elaborada con el propósito de proporcionar información específica para
realizar una implementación del servidor de Entidad de Certificación de Microsoft
Windows Server 2008 R2 en una configuración restrictiva de seguridad. Se incluyen,
además, operaciones básicas de administración como la gestión de extensiones, creación
de plantillas de certificados, gestión de la seguridad de la Entidad de Certificación y
control de auditoría, además de aquellas acciones que deben ser llevadas a cabo para el
adecuado mantenimiento del servicio.
10. Esta guía de seguridad contempla dos escenarios de implementación: un primer escenario
con una única Entidad de Certificación raíz de tipo “Empresa” instalada en un servidor
miembro de un dominio de Directorio Activo y un segundo escenario con una Entidad de
Certificación raíz de tipo “Independiente” instalada en un servidor independiente y una
Entidad de Certificación subordinada de la primera, de tipo “Empresa” e instalada en un
servidor miembro de un dominio de Directorio Activo.
11. El escenario de una única Entidad de Certificación raíz de empresa tiene las siguientes
características técnicas:
– Un único bosque de Directorio Activo.
– Un único dominio dentro del bosque de Directorio Activo.
– Nivel funcional del bosque y del dominio en Windows Server 2008.
– Un controlador de dominio basado en Windows Server 2008 R2 Standard x64 SP1.
– Un servidor miembro del dominio basado en Windows Server 2008 R2 Enterprise x64
SP1.
– La instalación del servicio de Entidad de Certificación se realiza en modo limpio, es
decir, no se contemplan procedimientos de migración desde versiones anteriores.
– No se contemplan mecanismos de alta disponibilidad ni balanceo de carga en el
escenario planteado.
12. El escenario de dos entidades de certificación, una entidad raíz y otra subordinada tiene
las siguientes características técnicas:
– Un único bosque de Directorio Activo.
– Un único dominio dentro del bosque de Directorio Activo.
– Nivel funcional del bosque y del dominio en Windows Server 2008.
– Un controlador de dominio basado en Windows Server 2008 R2 Standard x64 SP1.
– Un servidor miembro del dominio basado en Windows Server 2008 R2 Enterprise x64
SP1.

USO OFICIAL
USO OFICIAL
– Un servidor independiente del dominio basado en Windows Server 2008 R2

Enterprise x64 SP1.
– La instalación del servicio de Entidad de Certificación se realiza en modo limpio, es
decir, no se contemplan procedimientos de migración desde versiones anteriores.
– No se contemplan mecanismos de alta disponibilidad ni balanceo de carga en el
escenario planteado.
13. Este documento incluye:
– Mecanismos para la aplicación de configuraciones. Se incorporan mecanismos para
la implementación, de forma automática, de las configuraciones de seguridad
susceptibles de ello.
– Mecanismos para la creación de cuentas necesarias para la funcionalidad de la
solución. Tanto los procesos de implementación como de instalación requieren de
cuentas específicas; se ha automatizado el proceso de creación de dichas cuentas.
– Descripción de la seguridad en el servicio de Entidad de Certificación. Completa
la descripción de los mecanismos de seguridad, autenticación y autorización utilizados
en el servicio de Entidad de Certificación de Windows Server 2008 R2, así como las
medidas para reforzar dicha seguridad.
– Guía paso a paso. Va a permitir implantar y establecer las configuraciones de
seguridad de un servidor de Entidad de Certificación de Windows Server 2008 R2.
– Guía de administración. Va a permitir realizar tareas de administración en el entorno
de seguridad establecido.
– Lista de comprobación. Permitirá verificar el grado de cumplimiento de un servidor
con respecto a las condiciones de seguridad que se establecen en esta guía.
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA

14. Para entender esta guía de seguridad es conveniente explicar el proceso de refuerzo de la
seguridad que describe y los recursos que proporciona. Este procedimiento constará, a
grandes rasgos, de los siguientes pasos:
– Antes de comenzar a aplicar la guía, además de los requisitos para la instalación del
servicio de Entidad de Certificación, será necesario cumplir los requisitos definidos
para Windows Server 2008 R2.
– Así mismo, antes de instalar el rol de servicios de certificados de Directorio Activo,
será necesario aplicar la guía de seguridad codificada como CCN-STIC-521A.
– A continuación, se deberá instalar y configurar el rol de servidor web (IIS) y aplicar la
guía de seguridad codificada como CCN-STIC-524.
– Por último, se deberá instalar y configurar el rol de servicios de certificados de
Directorio Activo tal y como se describe en la presente guía.

USO OFICIAL
USO OFICIAL
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA

15. Los contenidos de esta guía son de aplicación para servidores con Sistemas Operativos
Microsoft Windows Server 2008 R2.
16. La guía ha sido probada y verificada con la versión de Windows Server 2008 R2
Enterprise SP1 de 64 bits, con los parámetros por defecto de instalación y aplicando la
guía CCN-STIC-521A para su configuración. No se ha verificado en otros tipos de
instalaciones como pudiera ser la de tipo OEM.
17. Esta guía ha sido diseñada para reducir la superficie de exposición de los equipos
servidores que cuenten con una implementación de rol de servicios de certificados de
Directorio Activo en un entorno de dominio de Directorio Activo.
18. La guía de seguridad ha sido elaborada utilizando un laboratorio basado en una
plataforma de virtualización tipo Hyper-V de Windows Server 2012 R2 con las siguientes
características técnicas:
– Servidor Dell PowerEdge™ T320
 Intel Pentium Xeon Quad Core.
 HDD 100 GB.
 32 GB de RAM.
 Interfaz de Red 1 GB.
19. Esta guía de seguridad no funcionará con hardware que no cumpla con los requisitos de
seguridad mínimos de Windows Server 2008 R2 Enterprise SP1 de 64 bits. Esto quiere
decir que se requieren equipos con procesadores Intel o AMD de 64 bits (x64), con más
de 512 MB de memoria RAM. No están soportados los procesadores Itanium de 64 bits.
20. Así mismo, hay que tener en cuenta que el rol de servicios de certificados de Directorio
Activo, para un entorno de producción, necesitará un mínimo de 2 GB de memora RAM
para funcionar adecuadamente, aunque se recomiendan 4 GB.
21. La guía ha sido desarrollada con el objetivo de dotar a la infraestructura de la seguridad
máxima. Es posible que algunas de las funcionalidades esperadas hayan sido desactivadas
y, por lo tanto, pueda ser necesario realizar acciones adicionales para habilitar servicios o
características deseadas en Microsoft Windows Server 2008 R2.
22. Para garantizar la seguridad de los servidores, deberán instalarse las actualizaciones
recomendadas por el fabricante, disponibles a través del servicio de Windows Update.
Las actualizaciones por lo general se liberan los segundos martes de cada mes, no
obstante, hay que tener presente que determinadas actualizaciones por su criticidad
pueden ser liberadas en cualquier momento.
23. Dependiendo de la naturaleza de estas actualizaciones, el lector podrá encontrarse con
algunas diferencias respecto a lo descrito en esta guía. Esto viene motivado por los
cambios que en ocasiones se realizan para las distintas actualizaciones de seguridad.
24. Antes de aplicar esta guía en producción, deberá asegurarse de haber probado en un
entorno aislado y controlado donde se hayan aplicado los tests y cambios en la
configuración, que se ajustan a los criterios específicos de cada organización.

USO OFICIAL
USO OFICIAL
25. El espíritu de estas guías no está dirigido a reemplazar políticas consolidadas y probadas
de las organizaciones sino a servir como la línea base de seguridad que deberá ser
adaptada a las necesidades propias de cada organización.
5. INTRODUCCIÓN A LOS SERVICIOS DE CIFRADO

26. Como ya es sabido, las redes públicas no proporcionan mecanismos de seguridad para la
transmisión de datos entre sistemas y usuarios. El diseño original de Internet, y por
consiguiente de la pila de protocolos TCP/IP, no contemplaba la seguridad en el
intercambio de datos.
27. Es por ello que este tipo de comunicaciones es susceptible de ser interceptada y
modificada por terceras personas o sistemas, sin previa autorización.
28. La criptografía ayuda a proteger los datos que se transmiten en redes públicas y privadas,
así como aquellos que están almacenados en bases de datos o sistemas de información.
29. Los principales objetivos de la criptografía son los siguientes:
– Confidencialidad. Ayuda a proteger la identidad de un usuario o sistema y evita que se
lea la información transmitida.
– Integridad. Garantiza que la información transmitida no ha sido alterada en el
transcurso de la comunicación.
– Autenticación. Identifica de forma única la identidad del remitente o receptor de la
información, para garantizar a la otra parte que es quien dice ser.
– No repudio o sin rechazo. Evita que una parte involucrada en la comunicación niegue
el envío de un mensaje.
30. Para alcanzar estos objetivos, se puede usar una combinación de algoritmos y prácticas
conocidas como primitivas criptográficas para crear un esquema criptográfico.
– Cifrado de clave secreta (cifrado simétrico). Realiza la transformación de los datos
para impedir que puedan ser leídos por terceros. Este tipo de cifrado utiliza una clave
secreta compartida para cifrar y descifrar los datos. Los algoritmos de cifrado de clave
secreta son muy rápidos (comparados con los de clave pública) y resultan adecuados
para realizar transformaciones criptográficas en grandes flujos de datos.
– Cifrado de clave pública (cifrado asimétrico). Realiza la transformación de los datos
para impedir que puedan ser leídos por terceros. Este tipo de cifrado utiliza un par de
claves pública y privada para cifrar y descifrar los datos. La clave pública y la clave
privada están vinculadas matemáticamente; los datos cifrados con la clave pública solo
pueden descifrarse con la clave privada y los datos firmados con la clave privada solo
pueden comprobarse con la clave pública.
– Firmas digitales. Ayudan a comprobar que los datos se originan en una parte
específica mediante la creación de una firma digital única para esa parte. En este
proceso también se usan funciones hash.
– Valores hash de cifrado. Los algoritmos hash asignan valores binarios de longitud
arbitraria a valores binarios más pequeños de longitud fija, que se denominan valores
hash. Un valor hash es una representación numérica de un segmento de datos. Los
valores hash son únicos estadísticamente; el valor hash de una secuencia de dos bytes
distinta no será el mismo.

USO OFICIAL
USO OFICIAL
5.1 PROVEEDORES DE SERVICIOS DE CIFRADO (CSP)

31. Un proveedor de servicios de cifrado (CSP) es un programa que ofrece servicios de
autenticación, codificación y cifrado para que las aplicaciones basadas en Windows
obtengan acceso mediante la interfaz de programación de aplicaciones criptográficas de
Microsoft (CryptoAPI).
32. Cada proveedor contiene la implementación de los algoritmos y funciones de criptografía
estándar y como mínimo, consiste en una librería de enlace dinámica (DLL) que
implementa las funciones CryptoAPI.
33. Los proveedores asociados con CryptoAPI implementan tanto algoritmos de cifrado
como almacenamiento de claves.
34. Sin embargo, los proveedores asociados con CNG (Crypto New generation) disponibles a
partir de los sistemas operativos Windows Vista y Windows Server 2008, separan la
implementación de algoritmos de cifrado del almacenamiento de las claves.
35. La siguiente lista muestra los proveedores de servicios de cifrado que actualmente están
disponibles y que se distribuyen como parte de Windows Vista y Windows Server 2008.
Nota: La información sobre proveedores de servicios de cifrado, así como algoritmos soportados y longitudes de
claves, ha sido extraída de la siguiente página Web de Microsoft MSDN https://msdn.microsoft.com/en-
us/library/windows/desktop/bb931380(v=vs.85).aspx. Es posible que las actualizaciones de seguridad modifiquen
las configuraciones de seguridad predeterminadas de los proveedores de servicios de cifrado o incluso invaliden
algoritmos que han sido considerados obsoletos.
Proveedor Descripción
Contiene un conjunto básico de funcionalidades

Microsoft Base Cryptographic Provider criptográficas. Se distribuye con CryptoAPI v1.0 y
v2.0.
Una extensión a “Microsoft Base Cryptographic

Microsoft Strong Cryptographic Provider Provider” disponible a partir de Windows XP y
versiones superiores.
Basado en “Microsoft Base Cryptographic Provider”

Microsoft Enhanced Cryptographic Provider con mayor longitud en las claves y algoritmos
adicionales añadidos.
Microsoft Enhanced RSA and AES Cryptographic Proveedor criptográfico mejorado de Microsoft que
Provider proporciona soporte de algoritmos de cifrado AES.
Proporciona funcionalidades de Hash, firma digital

y verificación de la firma utilizando los algoritmos
Microsoft Base DSS Cryptographic Provider
Secure Hash Algorithm (SHA) y Digital Signature
Standard (DSS).
Es un súper-conjunto del proveedor criptográfico

Microsoft Base DSS and Diffie-Hellman DSS que además soporta el intercambio de claves
Cryptographic Provider Diffie-Hellman, funcionalidad Hash SHA, firma
digital DSS y verificación de firma DSS.

USO OFICIAL
USO OFICIAL
Proveedor Descripción
Soporta el intercambio de claves Diffie-Hellman (un

Microsoft Enhanced DSS and Diffie-Hellman
derivado DES de 40 bits), funcionalidad Hash SHA,
Cryptographic Provider
firma digital DSS y verificación de firma DSS.
Soporta funcionalidad Hash, firma digital DSS,

generación de claves Diffie-Hellman (D-H),
Microsoft DH Schannel Cryptographic Provider intercambio de claves D-H. Además soporta la
derivación de claves para los protocolos SSL 3.0 y
TLS 1.0
Soporta funcionalidad Hash, firma digital y

verificación de firma. El algoritmo
CALG_SSL3_SHAMD5 se utiliza para la
Microsoft RSA/Schannel Cryptographic Provider autenticación de clientes con los protocolos SSL
3.0 y TLS 1.0. Además soporta la derivación de
claves para los protocolos SSL2, PCT1, SSL3 y
TLS1
Microsoft Base Smart Card Crypto Provider Soporta tarjetas inteligentes.
36. Cuando se instala una Entidad de Certificación, uno de los parámetros más importantes
que se debe seleccionar es el proveedor de servicios de cifrado (CSP) que va a utilizar
dicha Entidad de Certificación junto con la longitud de la clave pública, tal y como se
muestra en la siguiente imagen.
Imagen 1 – Selección de proveedor de servicio de cifrado (CSP)

USO OFICIAL
USO OFICIAL
37. Más adelante, en esta guía, se mostrarán los pasos necesarios para instalar y configurar
correctamente un servidor de Entidad de Certificación basado en Windows Server 2008
R2 con los más altos niveles de seguridad.
5.1.1 ALGORITMOS Y LONGITUDES DE CLAVES
5.1.1.1 MICROSOFT BASE CRYPTOGRAPHIC PROVIDER
Longitud de clave
Algoritmo Utilización Tipo (predeterminado /
mínimo / máximo)
Data Encryption Standard (DES) Cifrado Bloque 56/56/56
Hashed Message Authentication Checksum

Hash Cualquiera 0/0/0
(HMAC)
Message Authentication Checksum (MAC) Hash Cualquiera 0/0/0
Message Digest 2 (MD2) Hash Cualquiera 128/128/128
RSA Data Security 2 (RC2) Cifrado Bloque 40/40/56
Intercambio
RSA Key Exchange RSA 512/384/1024
de claves
RSA Signature Firma RSA 512/384/16384
Secure Hash Algorithm (SHA1) Hash Cualquiera 160/160/160
Secure Socket Layer 3 SHA and MD5 (SSL3

SHAMD5)
5.1.1.2 MICROSOFT STRONG CRYPTOGRAPHIC PROVIDER
Longitud de clave
mínimo / máximo)
Two Key Triple DES Cifrado Bloque 112/112/112
Three Key Triple DES Cifrado Bloque 168/168/168

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)

(HMAC)
RSA Data Security 4 (RC4) Cifrado Stream 128/40/128
Intercambio
de claves

SHAMD5)
5.1.1.3 MICROSOFT ENHANCED CRYPTOGRAPHIC PROVIDER
Longitud de clave
mínimo / máximo)

(HMAC)

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)
Intercambio
de claves

SHAMD5)
5.1.1.4 MICROSOFT ENHANCED RSA AND AES CRYPTOGRAPHIC PROVIDER
Longitud de clave
mínimo / máximo)
Advanced Encryption Standard 128 (AES128) Cifrado Bloque 128/128/128
Hashed Message Authentication Checksum Cualquiera

Hash 0/0/0
(HMAC)

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)
Intercambio
de claves
Secure Socket Layer 3 SHA and MD5 (SSL3 Cualquiera

Hash 288/288/288
SHAMD5)
5.1.1.5 MICROSOFT BASE DSS CRYPTOGRAPHIC PROVIDER
Longitud de clave
mínimo / máximo)
Digital Signature Algorithm (DSA) Firma DSS 1024/512/1024
5.1.1.6 MICROSOFT BASE DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC

PROVIDER
Longitud de clave
mínimo / máximo)
CYLINK Message Encryption Algorithm Cifrado Bloque 40/40/40
Intercambio
Diffie-Hellman Key Exchange Algorithm Diffie-Hellman 512/512/1024
de claves
Intercambio
Diffie-Hellman Ephemeral Algorithm Diffie-Hellman 512/512/1024
de claves

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)
5.1.1.7 MICROSOFT ENHANCED DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC

PROVIDER
Longitud de clave
mínimo / máximo)
Intercambio
de claves
Intercambio
de claves
5.1.1.8 MICROSOFT DH SCHANNEL CRYPTOGRAPHIC PROVIDER
Longitud de clave
mínimo / máximo)

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)
Intercambio de
claves
Intercambio de
claves
Schannel Encryption Key Cifrado Schannel 0/0/-1
Schannel MAC Key Cifrado / Hash Schannel 0/0/-1
Schannel Master Hash Cifrado / Hash Schannel 0/0/-1
Secure Sockets Layer (SSL3) Master Cifrado Schannel 384/384/384
Transport Layer Security (TLS1) Master Cifrado Schannel 384/384/384
5.1.1.9 MICROSOFT RSA SCHANNEL CRYPTOGRAPHIC PROVIDER
Longitud de clave
mínimo / máximo)
Advanced Encryption Standard 128 Cifrado Bloque

128/128/128
(AES128)
Advanced Encryption Standard 256 Cifrado Bloque

256/256/256
(AES256)

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)

(HMAC)
Intercambio de
claves
Schannel Encryption Key Cifrado Schannel 0/0/-1
Schannel Master Hash Cifrado / Hash Schannel 0/0/-1
Schannel MAC Key Cifrado / Hash Schannel 0/0/-1
Secure Socket Layer 2 (SSL2) Master Cifrado Schannel 40/40/192
Secure Socket Layer 3 (SSL3) Master Cifrado Schannel 384/384/384

SHAMD5)
Transport Layer Security (TLS1) Master Cifrado Schannel 384/384/384
5.1.1.10 MICROSOFT BASE SMART CARD CRYPTO PROVIDER.
Longitud de clave
mínimo / máximo)
Advanced Encryption Standard 128 Cifrado

Block 128/128/128
(AES128)

Block 192/192/192
(AES192)

Block 256/256/256
(AES256)

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)
Data Encryption Standard (DES) Cifrado Block 56/56/56
Two Key Triple DES Cifrado Block 112/112/112
Three Key Triple DES Cifrado Block 168/168/168

Hash Any 0/0/0
(HMAC)
Message Authentication Checksum (MAC) Hash Any 0/0/0
Message Digest 2 (MD2) Hash Any 128/128/128
RSA Data Security 2 (RC2) Cifrado Block 128/40/128
Intercambio de
claves
Secure Hash Algorithm (SHA1) Hash Any 160/160/160
Secure Hash Algorithm 256 (SHA256) Hash Any 256/256/256
Secure Socket Layer 3 SHA and MD5 (SSL3 Hash

Any 288/288/288
SHAMD5)
38. A continuación, se muestran los algoritmos de cifrado soportados por los proveedores de
servicios de cifrado (CSP) de tipo CNG (Cryptography API Next Generation).
5.1.1.11 ALGORITMOS SIMÉTRICOS.
Longitud de clave
Algoritmo Modos soportados (predeterminado /
mínimo / máximo)

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)
ECB, CBC, CFB8, CFB128, GCM,

Advanced Encryption Standard (AES) 128/192/256
CCM, GMAC, CMAC, AES Key Wrap
Data Encryption Standard (DES) ECB, CBC, CFB8, CFB64 56/56/56
Data Encryption Standard

ECB, CBC, CFB8, CFB64 192/192/192
XORed(DESX)
Triple Data Encryption Standard (3DES) ECB, CBC, CFB8, CFB64 112/168
16 to 128 in 8 bit
RSA Data Security 2 (RC2) ECB, CBC, CFB8, CFB64
increments
8 to 512, in 8-bit
RSA Data Security 4 (RC4)
increments
5.1.1.12 ALGORITMOS ASIMÉTRICOS
Longitud de clave
mínimo / máximo)
La implementación cumple con FIPS

186-3 para los tamaños de claves
De 512 a 3072 en
desde 1024 a 3072 bits. La
Digital Signature Algorithm (DSA) incrementos de 64
implementación cumple con FIPS
bits
186-2 para los tamaños de claves
desde 512 a 1024 bits
Incluye algoritmos RSA que utilizan

PKCS1, codificación “Optimal De 512 a 16384 en
RSA Asymmetric Encryption Padding incrementos de 64
(OAEP)” o “Probabilistic Signature bits
Scheme (PSS) plaintext padding”
5.1.1.13 ALGORITMOS HASH
Longitud de clave
mínimo / máximo)
Secure Hash Algorithm 1 (SHA1) Incluye HmacSha1 160/160/160

USO OFICIAL
USO OFICIAL
Longitud de clave
mínimo / máximo)
Message Digest 2 (MD2) Incluye HmacMd2 128/128/128
5.1.1.14 ALGORITMOS DE INTERCAMBIO DE CLAVES
Longitud de clave
mínimo / máximo)
De 512 a 4096 en
Diffie-Hellman Key Exchange Algorithm incrementos de 64
bits
Incluye curvas que utilizan claves

Elliptic Curve Diffie-Hellman (ECDH) públicas de 256, 384 y 521 bits, según 256/384/521
se especifica en SP800-56A
Incluye curvas que utilizan claves

Elliptic Curve Digital Signature
públicas de 256, 384 y 521 bits, según 256/384/521
Algorithm (ECDSA)
se especifica en FIPS 186-3
39. A continuación y para finalizar la identificación de los diferentes proveedores de

servicios de cifrado incluidos en los sistemas operativos Windows, se muestran los
proveedores de almacenamiento de claves (CNG Key Storage Providers).
40. Al contrario de lo que sucede con Cryptography API (CryptoAPI), la nueva
implementación que se incluye a partir de Windows Vista y Windows Server 2008,
denominada Cryptography API Next Generation (CNG), separa los proveedores de
cifrado de los proveedores de almacenamiento de claves (Key Storage Providers).
41. Los proveedores de almacenamiento de claves se utilizan para crear, eliminar, exportar,
importar, abrir y almacenar claves de cifrado.
42. Dependiendo de la implementación, también se pueden utilizar para las funciones de
cifrado asimétrico, acuerdo de secretos y firma digital.
43. De forma predeterminada, Microsoft instala los siguientes proveedores de
almacenamiento de claves a partir de Vista y Windows Server 2008, sin embargo, otros
fabricantes de software pueden instalar sus propias implementaciones.

USO OFICIAL
USO OFICIAL
5.1.1.15 MICROSOFT SOFTWARE KEY STORAGE PROVIDER
Longitud de clave
Algoritmo Propósito (predeterminado /
mínimo / máximo)
De 512 a 4096 en
Acuerdo de secretos e intercambio de
Diffie-Hellman (DH) incrementos de 64
claves
bits
De 512 a 1024 en
Digital Signature Algorithm (DSA) Firma incrementos de 64
bits

Elliptic Curve Diffie-Hellman (ECDH) P256, P384, P521
claves

Firma P256, P384, P521
Algorithm (ECDSA)
De 512 a 16384 en
RSA Cifrado asimétrico y firma incrementos de 64
bits
5.1.1.16 MICROSOFT SMART CARD KEY STORAGE PROVIDER
Longitud de clave
Algoritmo Propósito (predeterminado /
mínimo / máximo)
De 512 a 4096 en
Diffie-Hellman (DH) incrementos de 64
claves
bits

Elliptic Curve Diffie-Hellman (ECDH) P256, P384, P521
claves

Firma P256, P384, P521
Algorithm (ECDSA)
De 512 a 16384 en
RSA Cifrado asimétrico y firma incrementos de 64
bits
6. ARQUITECTURA Y SEGURIDAD DEL SERVICIO DE ENTIDAD DE

CERTIFICACIÓN DE WINDOWS SERVER 2008 R2
6.1 COMPONENTES DE LOS SERVICIOS DE CERTIFICADOS
44. Los servicios de certificados de Directorio Activo (AD CS) en Windows Server 2008 R2
incluyen los siguientes componentes instalables:

USO OFICIAL
USO OFICIAL
– Entidad de Certificación (CA). Las entidades de certificación de tipo raíz y

subordinadas se utilizan para la emisión de certificados a usuarios, equipos y servicios,
además de administrar sus características y tiempo de validez.
– Inscripción Web de Entidad de Certificación. El servicio de inscripción Web de
Entidad de Certificación permite a los usuarios conectarse a la Entidad de
Certificación a través de un navegador para solicitar y renovar certificados, así como
visualizar solicitudes pendientes, descargar la lista de revocación de certificados o
realizar la inscripción para certificados de tarjetas inteligentes.
– Servicio respondedor en línea. El servicio respondedor en línea implementa el
protocolo en línea de estado de certificados (OCSP) y permite que los datos de
comprobación de revocación de los certificados sean accesibles a clientes en entornos
de red complejos. Se puede utilizar como una alternativa a las listas de revocación de
certificados (CRLs). Este servicio cumple con la especificación RFC 2560 de OCSP.
– Servicio de inscripción de dispositivos de red. El servicio de inscripción de
dispositivos de red permite que enrutadores y otro tipo de dispositivos de red obtengan
certificados basándose en el protocolo simple de inscripción de certificados (SCEP) de
Cisco Systems. El servicio soporta el registro y la distribución de claves públicas de
Entidades de Certificación, inscripción de certificados, revocación, consultas y
renovación de certificados.
– Servicio Web de inscripción de certificados. El servicio Web de inscripción de
certificados permite a los usuarios y equipos inscribir certificados nuevos y renovar los
existentes incluso cuando el equipo no es miembro de un dominio o se encuentra
provisionalmente fuera del límite de seguridad de la red. Este servicio colabora con el
servicio Web de directivas de inscripción de certificados a fin de proporcionar
inscripciones automáticas de certificados basadas en directivas a los usuarios y
equipos.
– Servicio Web de directivas de inscripción de certificados. El servicio Web de
directivas de inscripción de certificados permite a los usuarios y equipos obtener
información sobre la directiva de inscripción de certificados incluso cuando el equipo
no es miembro de un dominio o se encuentra provisionalmente fuera del límite de
seguridad de la red corporativa.
6.2 ROLES DISPONIBLES EN LAS DIFERENTES EDICIONES DE WINDOWS

SERVER
45. Una Entidad de Certificación se puede instalar en cualquier edición de Windows Server
2008 R2, excepto la edición Web, sin embargo, no todas las ediciones incluyen todos los
roles del servicio.
46. Los escenarios que presenta esta guía están basados en la edición Enterprise de Microsoft
Windows Server 2008 R2.
47. La siguiente tabla muestra los diferentes componentes del servicio de Entidad de
Certificación de Directorio Activo que se pueden instalar en cada una de las ediciones
disponibles de Windows Server 2008 R2.

USO OFICIAL
USO OFICIAL
Componente Web Standard Enterprise Datacenter
Entidad de Certificación No Sí Sí Sí
Inscripción Web de Entidad de

No Sí Sí Sí
Certificación
Servicio respondedor en línea No No Sí Sí
Servicio de inscripción de
No No Sí Sí
dispositivos de red
Servicio Web de inscripción de

No No Sí Sí
certificados
Servicio Web de directivas de

No No Sí Sí
inscripción de certificados
Versión 2 y versión 3 de
No No Sí Sí
certificados
Plantillas No No Sí Sí
Archivado de claves No No Sí Sí
Separación de roles No No Sí Sí
Restricciones en la gestión de
No No Sí Sí
certificados
Restricciones en la delegación
No No Sí Sí
del agente de inscripción
6.3 CONFIGURACIÓN DE LA SEGURIDAD DE LA ENTIDAD DE CERTIFICACIÓN

48. Es sumamente importante definir y planificar la seguridad de una infraestructura de clave
pública como son los servicios de Entidad de Certificación de Windows Server 2008 R2.
49. La Entidad de Certificación se convierte en un componente clave de la seguridad de la
organización, por lo tanto, debe estar protegida y adecuadamente administrada, al mismo
nivel, si cabe, en el que están los servidores controladores de dominio.
50. Si se vulnera la seguridad de una Entidad de Certificación, o de alguno de sus
componentes o certificados, toda la seguridad de la organización queda expuesta a
diferentes tipos de ataques, entre los que se encuentran los ataques “man in the middle”,
suplantación de identidad, revelación de información confidencial, etc.
51. Es por ello que una de las recomendaciones de seguridad en la fase de diseño de una
infraestructura de clave pública es implementar la administración basada en roles para
organizar a los administradores de la Entidad de Certificación en roles separados y
predefinidos.

USO OFICIAL
USO OFICIAL
52. Se pueden asignar roles a usuarios para que puedan desarrollar un tipo de tarea específica
en la administración de la Entidad de Certificación, de tal forma que se tenga en control
en todo momento de que usuario o grupo de usuarios ha podido realizar una tarea
concreta.
53. La siguiente tabla muestra los roles, usuarios y grupos que se pueden utilizar para
implementar una administración basada en roles.
Roles y grupos Permisos de seguridad Descripción
Configura y mantiene la CA. Es un rol de CA que incluye

Administrador de
Administrar la Entidad la capacidad de asignar todos los demás roles de CA y
la Entidad de
de Certificación renovar el certificado de CA. Estos permisos se asignan
Certificación
mediante el complemento Entidad de certificación.
Aprueba solicitudes de revocación e inscripción de

Administrador de Emitir y administrar certificados. Es un rol de CA. Este rol se llama, a veces,
certificados certificados autoridad CA. Estos permisos se asignan mediante el
complemento Entidad de certificación.
Hacer copias de
Operador de Lleva a cabo la copia de seguridad y la recuperación del
seguridad de archivos y
copias de sistema. Copia de seguridad es una característica del
directorios. Restaurar
seguridad sistema operativo.
archivos y directorios
Configura, ve y mantiene los registros de auditoría.

Administrar registro de
Auditor Auditoría es una característica del sistema operativo.
seguridad y auditoría
Auditor es un rol del sistema operativo.
Leer e inscribir Los inscritos son clientes con autorización para solicitar
Inscritos
certificados certificados desde una CA. No es un rol de CA.
54. Los miembros del grupo “administradores locales”, “administradores de empresas” o

“Admins. del dominio” pueden asignar y modificar todos los roles de la Entidad de
Certificación.
55. Además, en las Entidades de Certificación de empresa, los administradores locales,
administradores de empresas y administradores de dominio son administradores de la
Entidad de Certificación de manera predeterminada.
Cada rol de la Entidad de Certificación tiene asociado una lista específica de tareas de
administración de CA. En la siguiente tabla se enumeran todas las tareas de
administración de la Entidad de Certificación junto con los roles en las que se llevan a
cabo.
Operador
Administrador Administrador Administrador
Actividad Auditor de copias de
de CA de certificados local
seguridad
Instalar CA X

USO OFICIAL
USO OFICIAL
Operador
seguridad
Configurar módulos
de directivas y de X
salida
Detener e iniciar el
servicio Servicios de
X
certificados de Active
Directory (AD CS)
Configurar
X
extensiones
Configurar roles X
Renovar claves de
X
CA
Definir agentes de
recuperación de
X
claves (Key
Recovery Agent)
Configurar
restricciones de
X
administrador de
certificados
Eliminar una única

fila en la base de X
datos de CA
Eliminar varias filas

de la base de datos
X X
de CA (eliminación
en masa)
Habilitar separación
X
de roles
Emitir y aprobar
X
certificados
Denegar certificados X
Revocar certificados X
Reactivar
certificados en X
suspensión

USO OFICIAL
USO OFICIAL
Operador
seguridad
Habilitar, publicar o
configurar
programaciones de X
lista de revocación
de certificados (CRL)
Recuperar claves
X
archivadas
Configurar
parámetros de X
auditoría
Registros de
X
auditoría
Copia de seguridad
X
del sistema
Restaurar el sistema X
Leer la base de
X X X X
datos de CA
Leer información de
X X X X
configuración de CA
56. Los inscritos pueden leer las propiedades de las entidades de certificación y listas CRL, y
también pueden solicitar certificados. En una Entidad de Certificación de empresa, un
usuario debe tener permisos de lectura y de inscripción en la plantilla de certificados para
solicitar un certificado.
57. Además, los administradores de Entidad de Certificación, los administradores de
certificados, los auditores y los operadores de copia de seguridad tienen permisos de
lectura implícitos.
58. Un auditor tiene el derecho de usuario de auditoría del sistema.
59. Un operador de copia de seguridad tiene el derecho de usuario de copia de seguridad del
sistema. Además, el operador de copia de seguridad puede iniciar y detener el servicio
“Servicios de certificados de Active Directory (AD CS)”.
6.4 RESTRICCIÓN DE LOS ADMINISTRADORES DE CERTIFICADOS

60. En entornos con un alto nivel de seguridad y control de las operaciones, es posible que se
necesiten restringir los procesos de aprobación y emisión de certificados de forma
individualizada y por plantilla de certificados a usuarios o grupos específicos.
61. El servicio de Entidad de Certificación de Windows Server 2008 R2 permite precisar, aún
más, su capacidad de administrar certificados por grupo y por plantilla de certificado. Por
ejemplo, es posible que requiera implementar una restricción para que solo puedan
aprobar solicitudes o revocar certificados de inicio de sesión de tarjeta inteligente para los
usuarios de determinada oficina o unidad organizativa que sea la base de un grupo de
seguridad.
USO OFICIAL
USO OFICIAL
62. Esta restricción se basa en un subconjunto de plantillas de certificado habilitado para la

Entidad de Certificación (CA) y los grupos de usuarios con permisos de inscripción para
la plantilla de certificado de dicha CA.
6.5 AUDITORÍA DE EVENTOS DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN

63. Tal y como sucede con otros servicios de Windows Server, el servicio de Entidad de
Certificación de Directorio Activo se puede configurar para que se registren los
principales eventos relacionados con la administración y las actividades de la propia
entidad.
64. Se puede habilitar la auditoría de los siguientes eventos:
– Copia de seguridad y restauración de la base de datos de CA.
– Cambio de la configuración de CA.
– Cambio de la configuración de seguridad de CA.
– Emisión y administración de solicitudes de certificados.
– Revocación de certificados y publicación de listas de revocación de certificados
(CRL).
– Almacenamiento y recuperación de claves archivadas.
– Inicio y detención individual de los Servicios de certificados de Active Directory (AD
CS).
65. Para auditar eventos indicados, el servidor debe estar configurado para auditar también el
acceso a objetos. De forma predeterminada, la auditoría no está habilitada.
66. Las opciones de directiva de auditoría se pueden ver y administrar mediante una directiva
de grupo local o de dominio en “Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas locales”.
67. Si aplica esta configuración de directiva, aparecen los siguientes eventos en el sistema
operativo:
Identificador de evento Mensaje de evento
El Administrador de certificados ha denegado una solicitud de certificado

4868
pendiente.
4869 Los servicios de certificación recibieron una solicitud de certificado reenviada.
4870 Los servicios de certificación han revocado un certificado.
Los servicios de certificación recibieron una solicitud para publicar la lista de

4871
revocación de certificados (CRL).
Los servicios de certificación han publicado la lista de revocación de

4872
certificados (CRL).
4873 Se ha cambiado una extensión de solicitud de certificado.
4874 Se ha cambiado uno o varios atributos de la solicitud de certificado.

USO OFICIAL
USO OFICIAL
4875 Los servicios de certificación recibieron una solicitud para apagar el servicio.
4876 Se inició la copia de seguridad de los servicios de certificación.
4877 Copia de seguridad completada.
4878 Se ha iniciado la restauración de los servicios de certificación.
4879 Se ha completado de restauración de los servicios de certificación.
4880 Se han iniciado los servicios de certificación.
4881 Se han detenido los servicios de certificación.
Se han cambiado los permisos de seguridad para los servicios de

4882
certificación.
4883 Los servicios de certificación han recuperado una clave archivada.
Los servicios de certificación han importado un certificado a su base de

4884
datos.
4885 El filtro de auditoría para los servicios de certificación ha cambiado.
4886 Los servicios de certificación recibieron una solicitud de certificado.
Los servicios de certificación han aprobado una solicitud de certificado y se

4887
ha emitido un certificado.
4888 Los servicios de certificación han denegado una solicitud de certificado.
Los servicios de certificación han establecido el estado de una solicitud de

4889
certificado como pendiente.
Se ha cambiado la configuración del administrador de certificados para los

4890
servicios de certificación.
Una entrada de configuración ha sido cambiada en los servicios de

4891
certificación.
4892 Se ha cambiado una propiedad de los servicios de certificación.
4893 Los servicios de certificación han archivado una clave.
4894 Los servicios de certificación han importado y archivado una clave.
Los servicios de certificación han publicado el certificado de entidad emisora

4895
de certificados en los servicios de dominio de Directorio Activo.
4896 Una o más filas se eliminaron de la base de datos de certificados.
4897 Habilitada la separación de funciones.

USO OFICIAL
USO OFICIAL
4898 Los servicios de certificación ha cargado una plantilla.
68. Más adelante, en esta misma guía, se mostrará como configurar paso a paso la auditoría
de una Entidad de Certificación.
6.6 SOPORTE DE VALIDACIÓN EXTENDIDA (EV)

69. Los certificados de validación extendida son un tipo especial de certificados que
requieren un proceso más exhaustivo de análisis del solicitante para poder emitir el
certificado.
70. En el año 2006, el grupo “CA Browser Forum”, el cual engloba a las principales
autoridades de certificación y fabricantes de software de navegadores, aprobó un conjunto
de estándares de visibilidad y validación de certificados denominadas directrices SSL con
validación extendida (EV).
71. Los principales objetivos de un certificado de validación extendida son:
– Identificar la entidad legal que controla un sitio Web y, por tanto, proporcionar una
garantía razonable, a los usuarios de un navegador de internet, de que el sitio Web que
están visitando está controlado por una entidad legal e identificado en el certificado de
validación extendida por su nombre, dirección del negocio, jurisdicción, número de
registro del negocio u otra información relativa a la organización.
– Habilitar las comunicaciones cifradas con un sitio Web, facilitando el intercambio de
claves de cifrado para permitir el envío cifrado de comunicación a través de internet
entre el usuario del navegador y el sitio Web.
72. Así mismo, los certificados de validación extendida ayudan a establecer la legitimidad de
una entidad y afrontar problemas relacionados con el phising, malware y otros tipos de
fraudes o suplantaciones de identidad.
73. En el siguiente enlace se puede descargar la última versión de la guía de emisión de
certificados de validación extendida que deben cumplir todas las Entidades de
Certificación públicas adscritas al CA Browser Forum: https://cabforum.org/extended-
validation/.
74. En entornos de ámbito privado, el servicio de Entidad de Certificación de Directorio
Activo de Windows Server 2008 R2 soporta la configuración de propiedades de
aplicación y la emisión de certificados con un O.I.D. específico para la validación
extendida.
Nota: Es importante señalar que una Entidad de Certificación privada sólo será de confianza para los equipos y
usuarios del dominio o para aquellos que hayan instado localmente los certificados incluidos en la cadena de
certificación. En ningún caso, un certificado privado, aunque haya sido emitido con validación extendida, será
considerado de confianza para un usuario o equipo externo a la propia organización y, por lo tanto, se rige por los
mismos principios de confianza que cualquier otro certificado emitido por una Entidad de Certificación privada.

USO OFICIAL
USO OFICIAL
ANEXO A. PLANTILLA DE SEGURIDAD DEL SERVICIO DE

ENTIDAD DE CERTIFICACIÓN INTEGRADA EN
DIRECTORIO ACTIVO EN WINDOWS SERVER
2008 R2
Para la aplicación de la presente guía se ha generado una plantilla de seguridad que deberá ser
aplicada en la unidad organizativa donde se encuentren los servidores en donde se vaya a
implementar el servicio de Entidad de Certificación de Directorio Activo (AD CS) de Windows
Server 2008 R2.
Esta plantilla aplica, por tanto, tanto a las entidades de certificación raíz de empresa como a las
entidades de certificación subordinadas de empresa.
Debe tener en cuenta el hecho de que, si implementa múltiples servicios sobre el servidor, se
deberán aplicar todas aquellas políticas que le correspondiera de las guías CCN-STIC.
CCN-STIC-595 Incremental Servidor Entidad de Certificación

General
Configuración del equipo (habilitada)
Directivas
Configuración de Windows
Configuración de seguridad
Servicios del sistema
CertSvc (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso
Permitir BUILTIN\Administradores Control total
Permitir NT AUTHORITY\SYSTEM Control total
Permitir NT AUTHORITY\INTERACTIVE Leer
Auditoría
Tipo Nombre Acceso
Errores Todos Control total
Servicios de cifrado (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso

USO OFICIAL
USO OFICIAL
Aislamiento de claves CNG (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Firewall de Windows con seguridad avanzada

Configuración global
Directiva Configuración
Versión de directivas 2.10
Deshabilitar FTP con estado Verdadero
Deshabilitar PPTP con estado Verdadero
Exención de IPsec Detección de vecinos, Desconocido
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado

Configuración de perfil de dominio
Estado del firewall Activado
Conexiones entrantes No configurado
Conexiones salientes No configurado
Aplicar reglas de firewall local No configurado
Aplicar reglas de seguridad de conexión local No configurado
Mostrar notificaciones No
Permitir respuestas de unidifusión No configurado
Registrar paquetes perdidos No
Registrar conexiones correctas No
Ruta de acceso del archivo de registro %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Tamaño máximo del archivo de registro (KB) 4096

Configuración de perfil privado

USO OFICIAL
USO OFICIAL

Configuración de perfil público

Reglas de entrada
Nombre Descripción
@%systemroot%\system32\certsrv.exe,-51 @%systemroot%\system32\certsrv.exe,-52
Esta regla puede incluir algunos elementos que la versión

actual del módulo de informe GPMC no pueda interpretar
Habilitado Verdadero
Programa System
Acción Permitir
Seguridad Requerir autenticación
Equipos autorizados

USO OFICIAL
USO OFICIAL
Usuarios autorizados
Protocolo 6
Puerto local 445
Puerto remoto Cualquiera
Configuración ICMP Cualquiera
Ámbito local Cualquiera
Ámbito remoto Cualquiera
Perfil Todo
Tipo de interfaz de red Todo
Servicio Todos los programas y servicios
Permitir cruce seguro del perímetro Falso
Grupo @%systemroot%\system32\certsrv.exe,-61

Programa %systemroot%\system32\certsrv.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local RPC dinámico

USO OFICIAL
USO OFICIAL
Perfil Todo
Servicio CertSvc

Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local Asignación de extremo de RPC
Perfil Todo
Servicio RpcSs


USO OFICIAL
USO OFICIAL
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Todo
Servicio RpcSs
Configuración de seguridad de conexión

Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperados del equipo local.
Red/Conexiones de red/Firewall de Windows/Perfil de dominio
Directiva Configuración Comentario
Firewall de Windows: no permitir Habilitado
notificaciones
Firewall de Windows: permitir registro Habilitado
Registro de paquetes perdidos Deshabilitado
Registrar conexiones correctas Deshabilitado
Ruta y nombre de archivo de registro: %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Límite de tamaño (KB): 4096

USO OFICIAL
USO OFICIAL
Firewall de Windows: proteger todas las Habilitado
conexiones de red
Configuración del usuario (habilitada)
Configuración no definida.

USO OFICIAL
USO OFICIAL
ANEXO B. PLANTILLA DE SEGURIDAD DE INSCRIPCIÓN

AUTOMÁTICA DE CERTIFICADOS EN EL
DOMINIO
Para que los usuarios y equipos clientes de todo el dominio puedan solicitar, renovar y en
general, hacer uso de los servicios de la entidad de certificación, es necesario establecer ciertos
criterios para que dichos procesos sean transparentes y seguros para los usuarios de la
organización.
Es posible que en ciertos escenarios no se deseen permitir los procesos de inscripción
automática, para lo cual se deben establecer los permisos adecuados en las plantillas de
certificados y en los grupos del Directorio Activo.
CCN-STIC-595 Incremental Dominio
General
Directivas
Directivas de clave pública/Cliente de Servicios de servidor de certificados: configuración de inscripción automática
Administración automática de certificados Habilitado
Opción Configuración
Inscribir nuevos certificados, renovar certificados expirados, Habilitado

procesar solicitudes de certificado pendientes y quitar
certificados revocados
Actualizar y administrar certificados que usen plantillas de Habilitado

certificado de Active Directory
Directivas de clave pública/Entidades de certificación raíz de confianza

Propiedades
Permitir a los usuarios seleccionar nuevas entidades de Habilitado

certificación raíz de confianza
Los equipos cliente pueden confiar en los siguientes almacenes Entidades de certificación raíz de terceros y entidades de
de certificados certificación raíz de empresa
Para realizar la autenticación de usuarios y equipos basada en Sólo los registrados en Active Directory
certificados, las CA deben cumplir los siguientes criterios
Configuración del usuario (habilitada)

Configuración no definida.

USO OFICIAL
USO OFICIAL
ANEXO C. PLANTILLA DE SEGURIDAD DEL SERVICIO DE

ENTIDAD DE CERTIFICACIÓN EN SERVIDOR
WINDOWS SERVER 2008 R2 INDEPENDIENTE
Para la aplicación de la presente guía, se ha generado una plantilla de seguridad de directivas de

firewall que deberá ser aplicada en la entidad de certificación de Windows Server 2008 R2
independiente y que será implementada a través del editor de políticas de grupo local.
CCN-STIC-595 Servidor Independiente Entidad de Certificación

General
Directivas
Firewall de Windows con seguridad avanzada
Configuración global
Versión de directivas 2.10
Deshabilitar FTP con estado Verdadero
Deshabilitar PPTP con estado Verdadero
Exención de IPsec Detección de vecinos, Desconocido
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado

Configuración de perfil de dominio

Configuración de perfil privado

USO OFICIAL
USO OFICIAL

Configuración de perfil público

Reglas de entrada
Nombre Descripción

Programa System
Acción Permitir
Equipos autorizados

USO OFICIAL
USO OFICIAL
Protocolo 6
Puerto local 445
Perfil Todo
Servicio Todos los programas y servicios

Programa %systemroot%\system32\certsrv.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local RPC dinámico

USO OFICIAL
USO OFICIAL
Perfil Todo
Servicio CertSvc

Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local Asignación de extremo de RPC
Perfil Todo
Servicio RpcSs


USO OFICIAL
USO OFICIAL
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Todo
Servicio RpcSs
Configuración de seguridad de conexión

Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperados del equipo local.
Red/Conexiones de red/Firewall de Windows/Perfil de dominio
Firewall de Windows: no permitir Habilitado
notificaciones
Firewall de Windows: permitir registro Habilitado
Registro de paquetes perdidos Deshabilitado
Registrar conexiones correctas Deshabilitado
Ruta y nombre de archivo de registro: %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Límite de tamaño (KB): 4096

USO OFICIAL
USO OFICIAL
Firewall de Windows: proteger todas las Habilitado
conexiones de red

USO OFICIAL
USO OFICIAL
ANEXO D. GUÍA PASO A PASO DE LA INSTALACIÓN DE

UNA ENTIDAD DE CERTIFICACIÓN RAÍZ DE
EMPRESA DE DIRECTORIO ACTIVO EN
WINDOWS SERVER 2008 R2
El presente anexo ha sido diseñado para ayudar a los operadores a implementar un servidor que
actúe como Entidad de Certificación raíz de empresa y que esté unido al dominio y en línea.
Antes de iniciar las operaciones de implementación es necesario disponer de un servidor
controlador de dominio Windows Server 2008 R2 que haya sido preparado siguiendo la guía de
seguridad CCN-STIC-521A y un servidor miembro del dominio con el servicio Web Internet
Information Services instalado y preparado siguiendo las guías CCN-STIC-521A y CCN-STIC-
524.
Con respecto a la preparación del servidor Internet Information Services (IIS) 7.5 y debido a que
existen diferentes opciones de implementación según su objetivo, en el caso de Entidades de
Certificación se deberá aplicar la guía CCN-STIC-524, comenzando por el apartados “ANEXO
F. PREPARATIVOS PARA LA INSTALACIÓN DE UN SERVIDOR INTERNET
INFORMATION SERVICES 7.5 SOBRE UN SERVIDOR MIEMBRO WINDOWS SERVER
2008 R2” y a continuación el apartado “ANEXO I. GUÍA PASO A PASO DE LA
INSTALACIÓN DE UN SERVIDOR WEB DINÁMICO CON ASP.NET”.
Cuando se hayan cumplido estos requerimientos, puede continuar con la implementación del
servicio de Entidad de Certificación de Directorio Activo (AD CS) tal y como se indica a
continuación.
1. PREPARACIÓN DEL DIRECTORIO ACTIVO

Los pasos que se describen a continuación se realizarán en un controlador de dominio del
dominio donde se realizará la implementación del servidor Entidad de Certificación. Sólo es
necesario realizar este procedimiento una vez.
Paso Descripción
1. Inicie sesión en el servidor Controlador de Dominio del dominio al que pertenece el servidor
que se va a instalar.
Nota: Debe iniciar sesión con una cuenta que sea Administrador del Dominio.
2. Cree el directorio “Scripts” en la unidad “C:\”.

3. Copie los scripts y plantillas de seguridad asociadas a esta guía en el directorio “C:\Scripts”.

USO OFICIAL
USO OFICIAL
Paso Descripción
4. Copie los ficheros “CCN-STIC-595 Plantilla Servidor de Certificacion.inf” y “CCN-STIC-595

Servidor Entidad de Certificacion.wfw” al directorio “%SYSTEMROOT%\Security\Templates”
del Controlador de Dominio.
Nota: Para copiar ficheros en carpetas protegidas por el sistema, el sistema le solicitará una elevación de
privilegios. Haga clic en el botón “Continuar” e introduzca las credenciales de la cuenta con que ha
iniciado sesión, la cual debe ser al menos administrador de dominio.
5. Ejecute la consola administrativa “Usuarios y Equipos de Directorio Activo” desde el siguiente

menú:
“Inicio  Herramientas Administrativas  Usuarios y Equipos de Directorio Activo”
6. El control de cuentas de usuario le solicitará las credenciales del administrador del dominio.
Nota: En este ejemplo y durante todo el paso a paso, se utilizará la cuenta con privilegios de
administrador del dominio “DOMINIO\SDT”.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. En la consola, cree una unidad organizativa denominada “Servidores Entidad de Certificación”

dependiendo de la unidad organizativa “Servidores”. Para ello, deberá desplegar el menú hasta
llegar a la unidad organizativa “Servidores” mediante la siguiente ruta:
“Usuarios y equipos de Active Directory  <Dominio>  Servidores”
Pulse sobre la unidad organizativa “Servidores” con el botón derecho del ratón y seleccione lo
siguiente:
“Nuevo  Unidad Organizativa”
8. Escriba “Servidores Entidad de Certificación” en el campo “Nombre:” como muestra la

siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción
9. Pulse “Aceptar” para guardar los cambios y cerrar la ventana “Nuevo objeto: Unidad
organizativa”.
10. Inicie la consola de “Administración de directivas de grupo”. Para ello selecciónela mediante la
siguiente ruta:
“Inicio  Herramientas administrativas  Administración de directivas de grupo”
11. Escriba las credenciales de la cuenta de Administrador del dominio anteriormente indicada
cuando se las solicite el sistema.
12. A continuación, vincule el objeto de directiva de grupo “CCN-STIC-524 Incremental Servidores
IIS 7.5” a la nueva unidad organizativa “Servidores Entidad de Certificación”, haciendo clic con
el botón derecho sobre ella y, seleccionando “Vincular un GPO existente…”, localice el objeto
correspondiente y pulse “Aceptar”.
13. A continuación, cree un nuevo objeto de directiva de grupo en la unidad organizativa

“Servidores de Entidad de Certificación”, haciendo clic con el botón derecho en el menú “Crear
un GPO en este dominio y vincularlo aquí…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
14. Escriba el nombre de la GPO “CCN-STIC-595 Incremental Servidor Entidad de Certificación” y

haga clic en el botón “Aceptar”.
15. Para que la aplicación de las directivas se realice en el orden correcto, asegúrese de que la
directiva “CCN-STIC-595 Incremental Servidor Entidad de Certificación” aparezca en primer
lugar. Para ello sitúese sobre la unidad organizativa “Servidores Entidad de Certificación” y, en
el panel derecho, seleccione la directiva “CCN-STIC-595 Incremental Servidor Entidad de
Certificación”. Haga clic sobre la flecha doble hacia arriba para que se sitúe con el número 1 de
orden vínculos, tal y como se muestra en la imagen.
16. Edite ahora la GPO recién creada haciendo clic con el botón derecho sobre ella y
seleccionando el menú “Editar”.
17. Expanda el siguiente nodo:

“Configuración del equipo  Directivas  Configuración de Windows  Configuración
de seguridad”

USO OFICIAL
USO OFICIAL
Paso Descripción
18. Con el botón derecho, seleccione el menú “Importar directiva…”.
19. Seleccione la plantilla, situada en la ruta “%SYSTEMROOT%\Security\Templates”, “CCN-

STIC-595 Plantilla Servidor de Certificación” y haga clic en el botón “Abrir”.
20. A continuación, se va a realizar la importación de la configuración de firewall que permite que

la Entidad de Certificación reciba tráfico de red en sus servicios. Para ello, vaya a la siguiente
ruta:
“Directiva CCN-STIC-595 Incremental Servidor Entidad de Certificación  Configuración
del equipo  Directivas  Configuración de Windows  Configuración de seguridad 
Firewall de Windows con seguridad Avanzada  Firewall de Windows con seguridad
Avanzada”
21. Pulse con el botón derecho la configuración de “Firewall con seguridad avanzada” y seleccione
la opción “Importar directiva…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
22. Cuando aparezca la advertencia del Firewall de Windows con seguridad avanzada, indicando
que se sobrescribirá la configuración, pulse el botón “Sí”.
23. Seleccione el fichero “%SYSTEMROOT%\Security\Templates\CCN-STIC-595 Servidor Entidad

de Certificacion.wfw” y haga clic en “Abrir”.
24. Acepte el mensaje de confirmación.

25. Cierre el “Editor de administración de directivas de grupo”.
26. A continuación, se va a configurar una directiva incremental que habilita los procesos de
inscripción automática y renovación automática de certificados para usuarios y equipos de todo
el dominio, siempre y cuando la plantilla correspondiente así lo establezca en su configuración
de seguridad.
Nota: Si no desea que se habilite la inscripción y renovación automática de certificados, no ejecute los
siguientes pasos. Sin embargo, se recomienda habilitar esta funcionalidad ya que permite que, de forma
transparente para los usuarios y haciendo uso de Kerberos como protocolo de autenticación de usuarios y
equipos de Directorio Activo, se emitan y se renueven certificados en todo el dominio.
Independientemente de ello, en las plantillas de certificados se pueden establecer los requerimientos de
emisión de los certificados y la pertenencia a los grupos de seguridad para cada tipo de certificado.

USO OFICIAL
USO OFICIAL
Paso Descripción
27. Seleccione el nodo raíz del dominio de su organización y, haciendo clic con el botón derecho,
seleccione el menú “Crear un GPO en este dominio y vincularlo aquí…”.
28. Escriba, como nombre de la nueva política, “CCN-STIC-595 Incremental Dominio” y pulse el
botón “Aceptar”.
29. Sitúese sobre el contenedor correspondiente al dominio, seleccione la GPO recién creada y
pulsando sobre la doble flecha sitúe dicha GPO en el primer lugar en el orden de vínculos tal y
como muestra la imagen.

USO OFICIAL
USO OFICIAL
Paso Descripción
30. Despliegue el contenedor “Objetos de directiva de grupo” y haga clic derecho sobre la GPO
recién creada “CCN-STIC-595 Incremental Dominio” seleccionando la opción “Importar
configuración…”.
31. Haga clic en “Siguiente >” en el “Asistente para importar configuración”.

32. Haga clic en “Siguiente >” en “Hacer copia de seguridad de GPO”, ya que no será necesario
hacer una copia de seguridad.
33. Haga clic en “Examinar…” y seleccione la ubicación de la copia de seguridad “C:\Scripts\CCN-
STIC-595 Incremental Dominio”.
34. Pulsa “Aceptar” y “Siguiente >” para continuar con la importación.

USO OFICIAL
USO OFICIAL
Paso Descripción
35. En “GPO de origen” compruebe que aparece la política de seguridad “CCN-STIC-595

Incremental Dominio” y pulse “Siguiente”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el fichero “manifest.xml”. Éste es un fichero
oculto y debe mostrar, en “opciones de carpeta”, la opción “Mostrar archivos, carpetas y unidades
ocultos”.
36. En la pantalla de “Resultados del examen” pulse el botón “Siguiente >”

37. Para completar el asistente pulse el botón “Finalizar”.
38. Deberá aparecer un mensaje indicando que la importación se ha realizado correctamente.
Pulse finalmente “Aceptar” para cerrar el asistente de importación de políticas.
39. A continuación, ejecute la consola administrativa “Usuarios y Equipos de Directorio Activo”
desde la siguiente ruta:
“Inicio  Herramientas Administrativas  Usuarios y Equipos de Active Directory”
40. El control de cuentas de usuario le solicitará las credenciales de un administrador del dominio.
41. En la consola, localice el objeto que representa el servidor en donde se instalará la Entidad de
Certificación y muévalo desde su ubicación hasta la unidad organizativa “Servidores Entidad de
Certificación”.

USO OFICIAL
USO OFICIAL
Paso Descripción
42. Seleccione el servidor y con el botón derecho haga clic en el menú “Mover…”.
Nota: En este ejemplo se está utilizando un servidor con nombre SVRCA. Es posible que en su
organización se utilicen otros nombres de servidores.
43. Seleccione la Unidad Organizativa “Servidores Entidad de Certificación” y haga clic en el botón
“Aceptar”.
44. Compruebe que el equipo está en la unidad organizativa “Servidores Entidad de Certificación”,
tal y como se muestra a continuación.

USO OFICIAL
USO OFICIAL
En el apartado siguiente, se configurará el servidor entidad de certificación y el sitio web que

mantendrá las listas de revocación de certificados (CRLs). Previo a estas configuraciones se va a
establecer un nombre DNS para el sitio web donde se publicarán dichas CRLs.
Paso Descripción
45. Inicie sesión en el equipo controlador de dominio con credenciales de administrador del
dominio.
46. Diríjase a la consola de servicios “DNS” situada en la siguiente ruta:
“Inicio  Herramientas administrativas  DNS”
47. El Control de Cuentas de Usuario le solicitará elevación de privilegios. Introduzca
credenciales de Administrador del dominio.
48. Navegue hasta el objeto con el nombre del dominio, mediante la siguiente ruta:
“<nombre de controlador de dominio>  Zonas de búsqueda directa  <Nombre de
dominio>”
Pulse con el botón derecho sobre él para seleccionar “Alias nuevo (CNAME)”.

USO OFICIAL
USO OFICIAL
Paso Descripción
49. En la ventana “Nuevo registro de recursos”, escriba el nombre DNS del sitio web repositorio
de CRLs.
Nota: En el ejemplo se define “CRL.dominio.local”. En el campo “Nombre de alias” solamente será

necesario escribir “CRL”, ya que se autocompletará el FQDN con el nombre del dominio de manera
automática.
50. En el campo “Nombre de dominio completo (FQDN) para el host de destino:” deberá introducir
el FQDN del servidor Entidad de certificación subordinada de empresa”.
Nota: En el ejemplo se introduce “SRVCASUB.dominio.local”.

USO OFICIAL
USO OFICIAL
Paso Descripción
51. Pulse “Aceptar” para cerrar la ventana “Nuevo registro de recursos” y compruebe que el
objeto CNAME se ha creado correctamente y que apunta al objeto de tipo HOST (A)
correspondiente.
1. INSTALACIÓN DEL SERVIDOR ENTIDAD DE CERTIFICACIÓN

Los siguientes pasos describen el proceso de instalación del servidor Entidad de Certificación
raíz empresarial en un sistema miembro de dominio Microsoft Windows Server 2008 R2.
Nota: para automatizar el proceso de instalación de la entidad de certificación se ha incorporado a esta guía el script
público y gratuito que Microsoft proporciona a sus clientes para la instalación en las ediciones “Core” de Windows
Server 2008 R2. En él, se admiten diferentes parámetros de configuración como el nombre de la entidad de
certificación, el proveedor de cifrado y la longitud de la clave de cifrado, entre otros. De forma predeterminada se
realizará una instalación utilizando el nombre del servidor como nombre de la Entidad de Certificación y el
proveedor de cifrado “RSA#Microsoft Software Key Storage Provider” con una clave de 2048 bits y el hash que
firmará los certificados será SHA-256. Puede obtener más información acerca de este script en la siguiente página
web: https://technet.microsoft.com/en-us/library/ff849263(v=ws.10).aspx
Paso Descripción
52. Si no lo ha hecho anteriormente, inicie sesión en el equipo en donde se va a instalar el

servidor Entidad de Certificación.
53. Previo a la instalación de la entidad de certificación será necesario comprobar que el sitio
Web del servidor IIS está activo. Para ello, acceda al “Administrador del servidor” mediante el
icono correspondiente.
54. Navegue hasta el “Administrador de Internet Information Services (IIS)” mediante la siguiente
ruta:
“Administrador del servidor  Roles  Servidor Web (IIS)  Administrador de Internet
Information Services (IIS)”
55. Dentro del “Administrador de Internet Information Services (IIS)” navegue hasta el sitio
correspondiente mediante la siguiente ruta:
“<Nombre de la entidad de certificación>  Sitios”

USO OFICIAL
USO OFICIAL
Paso Descripción
56. Sobre el sitio pulse botón derecho y seleccione lo siguiente:

“Administrar sitio web  Iniciar”
Nota: Si la opción “Iniciar” se muestra inactiva en gris, esto indica que el sitio está activo y no es
necesario iniciarlo.
57. Cree el directorio “Scripts” en la unidad C:\.

59. Con el botón derecho seleccione el fichero denominado “CCN-STIC-595 Instalación CA raíz
de empresa - Paso 1.bat” y haga clic en “Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción
60. El control de cuentas de usuario le solicitará las credenciales del administrador que se están
utilizando para instalar el servidor Entidad de Certificación.
61. Aparecerá la siguiente pantalla.
62. Pulse una tecla para iniciar el proceso de instalación y espere a que finalice.
63. Pulse sobre una tecla para cerrar la pantalla.

USO OFICIAL
USO OFICIAL
Paso Descripción
64. Con el botón derecho seleccione el fichero denominado “CCN-STIC-595 Instalación CA raíz
de empresa - Paso 2.bat” y haga clic en “Ejecutar como administrador”.
65. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio
que se están utilizando para instalar el servidor Entidad de Certificación.

USO OFICIAL
USO OFICIAL
Paso Descripción

USO OFICIAL
USO OFICIAL
2. CONFIGURACIÓN DE LA ENTIDAD DE CERTIFICACIÓN RAÍZ DE

EMPRESA
En este apartado, se establecerá la configuración que permite que un sitio web mantenga las
CRLs de modo que sean accesibles por todos los clientes de la entidad de certificación.
Paso Descripción
1. Inicie sesión en el equipo en el servidor Entidad de Certificación raíz de empresa.

Nota: Deberá iniciar sesión con la cuenta de administrador.
2. Acceda al “Administrador del Servidor” mediante el icono de la barra de tareas.
3. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado de la entidad de

certificación configurada recientemente y, con el botón derecho del ratón, seleccione
“Propiedades”.

USO OFICIAL
USO OFICIAL
Paso Descripción
4. En la ventana de “Propiedades” diríjase a la pestaña “Extensiones” y, manteniendo

seleccionada la extensión “Puntos de distribución de lista de revocación de certificados
(CDP)”, revise la publicación de CRLs mediante la ruta local seleccionando
“C:\Windows\System32\CertSrv\CertEnroll\<nombre de CA><sufijo de nombre de lista
CRL><diferencias entre listas CRL permitidas>.crl” y mantenga las opciones marcadas por
defecto. Ambas casillas deben quedar marcadas tal y como se muestra en la siguiente figura.

USO OFICIAL
USO OFICIAL
Paso Descripción
5. De nuevo, en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Puntos de

distribución de lista de revocación de certificados (CDP)”, deshabilite la publicación de CRLs
mediante ldap seleccionando “ldap://CN=<nombre truncado de CA><sufijo de nombre de lista
CRL>,CN=nombre corto del servidor>,CN=CDP,CN=Public Key Services,<contenedor de
configuración><clase de objeto CDP>” y desmarcando todas las opciones. Todas las casillas
deben quedar desmarcadas tal y como se muestra en la siguiente figura:
6. De nuevo en “Extensiones” y manteniendo seleccionada la extensión “Puntos de distribución

de lista de revocación de certificados (CDP)”, seleccione “file://<nombre DNS del
servidor>/CertEnroll/<nombre de CA>/sufijo de nombre de lista CRL><diferencias entre listas
CRL permitidas>.crl” y desmarque las opciones “Incluir en las CRL. Usada para encontrar la
ubicación de diferencias CRL” e “Incluir en la extensión CDP de los certificados emitidos” para
que aparezcan todos los parámetros desmarcados como indica la siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción
7. De nuevo en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Puntos de

distribución de lista de revocación de certificados (CDP)”, seleccione “http://<nombre DNS del
servidor>/CertEnroll/<nombre de CA><sufijo de nombre de lista CRL><diferencias entre listas
CRL permitidas>.crl” y copie el elemento mediante la combinación de teclas “Control + C”
simultáneamente.
8. Pulse el botón “Agregar”.
9. Coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la combinación de teclas
“Control + V” simultáneamente para pegar el contenido recién copiado.
10. En “Agregar ubicación” y pulsando la tecla “Inicio” diríjase al comienzo de la línea de texto y
sustituya el valor “<nombre DNS del servidor>” por el nombre DNS completo que
corresponderá al servidor web de Entidad de Certificación que se creará posteriormente en la
Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.
Nota: En el ejemplo, se ha utilizado el nombre CRL.dominio.local.

USO OFICIAL
USO OFICIAL
Paso Descripción

distribución de lista de revocación de certificados (CDP)”, seleccione la ubicación recién
creada “http://CRL.dominio.local/CertEnroll/<nombre de CA>/sufijo de nombre de lista
CRL><diferencias entre listas CRL permitidas>.crl” y marque los siguientes elementos:
 Incluir en las CRL. Usada para encontrar la ubicación de diferencias CRL.
 Incluir en la extensión CDP de los certificados emitidos
 Incluir en la extensión IDP de CRL emitidas
Pulse “Aplicar” para guardar los cambios.
12. El sistema reiniciará los “Servicios de certificados”. Pulse “Sí” para continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
13. De nuevo en la pestaña “Extensiones”, seleccione la flecha para desplegar el campo

“Seleccionar extensión” y haga clic sobre “Acceso a la información de entidad (AIA)”.

USO OFICIAL
USO OFICIAL
Paso Descripción
14. Compruebe que en el objeto “C:\Windows\System32\CertSrv\CertEnroll\<nombre DNS del

servidor>_<nombre de CA><Nombre de certificado>.crt” todas las casillas están
desmarcadas tal y como se muestra en la siguiente figura:
15. Compruebe que en el objeto “ldap://CN=<nombre truncado de CA>,CN=AIA,CN=Public Key

Services,CN=Services,<contenedor de configuración><clase de objeto CA>” todas las casillas
están desmarcadas tal y como se muestra en la siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción
16. Seleccione “file://<nombre DNS del servidor>/CertEnroll/<nombre DNS del

servidor>_<nombre de CA><nombre de certificado>.crt” y desmarque la opción “Incluir en la
extensión AIA de los certificados emitidos”.
17. Seleccione ahora “http://<nombre DNS del servidor>/CertEnroll/<nombre DNS del
servidor>_<nombre de CA><nombre de certificado>.crt” y copie el elemento mediante la
combinación de teclas “Control + C” simultáneamente.

USO OFICIAL
USO OFICIAL
Paso Descripción
corresponderá al servidor web de Entidad de Certificación que se creará posteriormente
(Paso 4) en la Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los
cambios.
Nota: En el ejemplo, se ha utilizado el nombre CRL.dominio.local. Tenga en cuenta que en esta ocasión
hay que sustituir el valor <nombre DNS del servidor> en dos ocasiones.
21. De nuevo en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Acceso a la

información de entidad (AIA)”, seleccione la ubicación recién creada ahora
“http://CRL.dominio.local/CertEnroll/ CRL.dominio.local_<nombre de CA><nombre de
certificado>.crt” y marque el elemento “Incluir en la extensión AIA de los certificados
emitidos”. Pulse “Aplicar” para guardar los cambios.

USO OFICIAL
USO OFICIAL
Paso Descripción
23. Pulse “Aceptar” para cerrar la ventana de “Propiedades” de la Entidad de Certificación.
3. RENOVACIÓN DE CERTIFICADO DE ENTIDAD RAÍZ DE

EMPRESA
Será necesario volver a generar el certificado de la Entidad de certificación tras hacer
modificaciones en las propiedades.
Los pasos que se definen a continuación comprenden la renovación de una entidad de
certificación raíz de empresa.
Paso Descripción
24. Inicie sesión en el equipo Entidad de Certificación raíz con credenciales de administrador.
26. El control de cuentas de usuario le solicitará elevación de privilegios, emplee credenciales de

administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción
27. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado del servidor
Entidad de Certificados y con el botón derecho del ratón seleccione “Todas las tareas >
Renovar certificado de CA…”.
28. Pulse “Sí” en la ventana que solicita confirmación de parada de servicios de certificados.

USO OFICIAL
USO OFICIAL
Paso Descripción
29. En la ventana “Renovar certificado de CA” seleccione “No” ante la pregunta de generar
nuevas claves y pulse “Aceptar”.
Nota: Si la entidad raíz es de empresa, no será necesario establecer ningún paso adicional, en caso de ser
una entidad de certificación independiente del dominio, además de haber tenido que encenderla para
realizar el proceso, será necesario extraer el fichero “.CRT” que se ha generado en la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll” y pegarlas en la misma ruta pero en la entidad de
certificación subordinada de empresa.
El siguiente paso será preparar el sitio web para que mantenga el fichero “.crl”.
Paso Descripción
30. Inicie sesión en el equipo donde se va a instalar el servidor entidad de certificación raíz de
empresa con credenciales de administrador.
31. Acceda al “Administrador del servidor” mediante el icono correspondiente.
ruta:
“Administrador del servidor  Roles > Servidor Web (IIS)  Administrador de Internet
33. Dentro del “Administrador de Internet Information Services (IIS)” navegue hasta el sitio
correspondiente mediante la ruta siguiente:

USO OFICIAL
USO OFICIAL
Paso Descripción
34. Sobre el sitio pulse botón derecho y seleccione lo siguiente:

“Administrar sitio web  Iniciar”
35. Pulse el botón derecho del ratón sobre el sitio y seleccione “Agregar directorio virtual…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
36. En el campo “Alias” introduzca “CertEnroll” y en “Ruta de acceso física” la ruta en la que ha
copiado los ficheros extraídos de la Entidad de certificación raíz en los pasos anteriores.
37. Pulse “Aceptar” para guardar los cambios.

38. Pulse sobre el directorio virtual recién creado y localice el icono de “Autenticación”.
39. Pulse doble clic sobre “Autenticación” y una vez abierto el menú de “Autenticación” seleccione
“Autenticación anónima” en el menú central y “Habilitar” en el menú de la izquierda.

USO OFICIAL
USO OFICIAL
ANEXO E. GUÍA PASO A PASO DE LA INSTALACIÓN DE

UNA ENTIDAD DE CERTIFICACIÓN RAÍZ
INDEPENDIENTE Y UNA ENTIDAD DE
CERTIFICACIÓN SUBORDINADA DE
2008 R2
El presente anexo ha sido diseñado para ayudar a los operadores a implementar los siguientes
servidores:
– Un servidor que actúe como Entidad de Certificación raíz independiente del dominio y
fuera de línea.
– Un servidor que actúe como Entidad de Certificación subordinada del citado servidor
raíz, en línea y miembro del dominio.
Antes de iniciar las operaciones de implementación es necesario disponer de los siguientes
elementos:
– Un servidor controlador de dominio Windows Server 2008 R2 que haya sido preparado
siguiendo la guía de seguridad CCN-STIC-521A.
– Un servidor independiente del dominio preparado siguiendo la guía CCN-STIC-521B.
– Un servidor miembro del dominio con el servicio Web Internet Information Services
instalado y preparado siguiendo las guías CCN-STIC-521A y CCN-STIC-524.
Con respecto a la preparación del servidor Internet Information Services (IIS) 7.5 y debido a que
existen diferentes opciones de implementación según su objetivo, en el caso de Entidades de
Certificación se deberá aplicar la guía CCN-STIC-524, comenzando por el apartados “ANEXO
F. PREPARATIVOS PARA LA INSTALACIÓN DE UN SERVIDOR INTERNET
INFORMATION SERVICES 7.5 SOBRE UN SERVIDOR MIEMBRO WINDOWS SERVER
2008 R2” y a continuación el apartado “ANEXO I. GUÍA PASO A PASO DE LA
INSTALACIÓN DE UN SERVIDOR WEB DINÁMICO CON ASP.NET”.
Cuando se hayan cumplido estos requerimientos, puede continuar con la implementación del
servicio de Entidad de Certificación de Directorio Activo (AD CS) tal y como se indica a
continuación.
1. INSTALACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ

SOBRE UN SERVIDOR INDEPENDIENTE.
Los pasos que se describen a continuación se realizarán en un servidor independiente del
dominio donde se realizará la implementación del servidor entidad de certificación.
Posteriormente a la instalación, los certificados serán distribuidos a través de una entidad de
certificación subordinada que se instalará en posteriores apartados y, por seguridad, esta entidad
raíz sobre servidor independiente permanecerá en modo fuera de línea (apagada).

USO OFICIAL
USO OFICIAL
Paso Descripción
1. Si no lo ha hecho anteriormente, inicie sesión en el equipo en donde se va a instalar el

servidor independiente Entidad de Certificación raíz.
2. Cree el directorio “Scripts” en la unidad C:\.

3. Copie el fichero “CCN-STIC-595 Servidor Independiente Entidad de Certificacion.wfw” en el
directorio “C:\Scripts”.
4. A continuación se importará la configuración del Firewall de Windows con seguridad
avanzada. Para ello, pulse “Inicio” y en el campo sobre el icono de “Inicio” teclee “gpedit.msc”
y pulse “Intro”.
5. El control de cuentas de usuario le solicitará las credenciales del administrador que se están
utilizando para instalar el servidor Entidad de Certificación.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. Navegue por el menú de árbol de la izquierda hasta llegar a “Firewall de Windows con
seguridad avanzada – Objeto de directiva de grupo local” mediante la siguiente ruta:
“Directiva Equipo Local  Configuración del equipo  Configuración de Windows 
Configuración de seguridad  Firewall de Windows con Seguridad Avanzada”.
Pulse botón derecho sobre “Firewall de Windows con seguridad avanzada – Objeto de
directiva de grupo local” y seleccione “Importar directiva…”.
7. Pulse “Sí” sobre el mensaje de confirmación.
8. Seleccione el fichero “CCN-STIC-595 Servidor Independiente Entidad de Certificacion.wfw”,

que se encuentra en C:\Scripts“, y pulse “Abrir”.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. Pulse “Aceptar” en el mensaje que confirma la correcta importación.
10. El siguiente paso será la instalación del rol de entidad de certificación. Para ello, deberá
acceder al “Administrador del Servidor” mediante el icono de la barra de tareas.
11. En el menú de la izquierda, haga clic sobre “Roles” y pulse sobre “Agregar Roles” a la
derecha del panel central.
12. Pulse “Siguiente” en la pantalla “Antes de comenzar” del “Asistente para agregar roles”.
13. En “Roles de servidor” seleccione “Servicios de certificados de Active Directory” en el
asistente y pulse “Siguiente >”.

USO OFICIAL
USO OFICIAL
Paso Descripción
14. Pulse “Siguiente >” de nuevo en la sección de “AD CS”.
15. En “Servicios de Rol”, seleccione “Entidad de Certificación” y pulse “Siguiente >”.
16. En “Tipo de instalación” aparece señalado “Independiente”, mantenga la selección y pulse

“Siguiente >”.
17. En “Tipo de CA” seleccione “CA raíz” y pulse “Siguiente >”.

USO OFICIAL
USO OFICIAL
Paso Descripción
18. En “Clave privada” seleccione “Crear nueva clave privada” y pulse “Siguiente”.
19. En “Criptografía” seleccione los parámetros deseados. En el ejemplo, se seleccionarán los

siguientes parámetros:
 Proveedor de servicios de cifrado (CSP): RSA #Microsoft Software Key Storage
Provider
 Longitud de caracteres de la clave: 2048
 Algoritmo hash para firmar los certificados: SHA256
Pulse “Siguiente >” para continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
20. En “Nombre de la CA” es posible especificar un nombre diferente del ofrecido por defecto. El
nombre por defecto es el del servidor en el que se está realizando la instalación seguido de “-
CA” (en el ejemplo “SRVCA-CA)”. Pulse siguiente una vez definido el nombre.
21. En “Período de validez” se puede establecer cuánto tardará en caducar el certificado

generado para esta CA. Establezca un periodo de validez y pulse “Siguiente >” para
continuar.
Nota: En el ejemplo se ha establecido un período de validez de 20 años

USO OFICIAL
USO OFICIAL
Paso Descripción
22. En “Base de datos de certificados” se puede establecer la ubicación en la que se

almacenarán los datos de certificados. En el ejemplo, se mantienen en el contenedor por
defecto. En caso de querer establecer una ruta diferente, pulse sobre los botones
“Examinar…” y, una vez se muestran por pantalla las ubicaciones correctas, pulse el botón
“Siguiente >”.
23. Compruebe en la sección “Confirmación” que los parámetros de configuración son correctos y
pulse sobre “Instalar”.
24. Una vez indique que la instalación es correcta pulse “Cerrar” para salir del asistente.

USO OFICIAL
USO OFICIAL
2. CONFIGURACIÓN DE LISTA DE REVOCACIÓN DE

CERTIFICADOS (CRL)
Los pasos que se describen a continuación se realizarán sobre el servidor Entidad de
Certificación independiente del dominio previo a la instalación de la Entidad de Certificación
subordinada de empresa que se configurará en el apartado 4 del presente anexo.
Paso Descripción
25. Si no lo ha hecho anteriormente, inicie sesión en el equipo donde se va a instalar el servidor

independiente entidad de certificación raíz.
27. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado del servidor
entidad de certificación configurado recientemente y con el botón derecho del ratón seleccione
“Propiedades”.

USO OFICIAL
USO OFICIAL
Paso Descripción
28. En la ventana de “Propiedades” diríjase a la pestaña “Extensiones” y, manteniendo

seleccionada la extensión “Puntos de distribución de lista de revocación de certificados (CDP)”,
revise la publicación de CRLs mediante la ruta local seleccionando
“C:\Windows\System32\CertSrv\CertEnroll\<nombre de CA><sufijo de nombre de lista
CRL><diferencias entre listas CRL permitidas>.crl” y mantenga las opciones marcadas por
defecto. Ambas casillas deben quedar marcadas tal y como se muestra en la siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción

distribución de lista de revocación de certificados (CDP)” deshabilite la publicación de CRLs
mediante LDAP seleccionando “ldap://CN=<nombre truncado de CA><sufijo de nombre de lista
CRL>,CN=nombre corto del servidor>,CN=CDP,CN=Public Key Services,<contenedor de
configuración><clase de objeto CDP>” y desmarque todas las opciones.
Todas las casillas deben quedar desmarcadas tal y como se muestra en la siguiente figura:

distribución de lista de revocación de certificados (CDP)”, seleccione “file://<nombre DNS del
servidor>/CertEnroll/<nombre de CA>/sufijo de nombre de lista CRL><diferencias entre listas
CRL permitidas>.crl” y desmarque todas las opciones como muestra la siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción

distribución de lista de revocación de certificados (CDP)”, seleccione “http://<nombre DNS del
servidor>/CertEnroll/<nombre de CA><sufijo de nombre de lista CRL><diferencias entre listas
CRL permitidas>.crl” y pulse “Control + C” simultáneamente, para copiar el objeto
34. En “Agregar ubicación” y pulsando la tecla “Inicio”, diríjase al comienzo de la línea de texto y
corresponderá al servidor web de Entidad de Certificación que se creará posteriormente (Paso
4) en la Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.
Nota: En el ejemplo, se ha utilizado el nombre CRL.dominio.local.

USO OFICIAL
USO OFICIAL
Paso Descripción

distribución de lista de revocación de certificados (CDP)”, seleccione la ubicación recién creada
“http://CRL.dominio.local/CertEnroll/<nombre de CA>/sufijo de nombre de lista
CRL><diferencias entre listas CRL permitidas>.crl” y marque los siguientes elementos:
 Incluir en las CRL. Usada para encontrar la ubicación de diferencias CRL.
 Incluir en la extensión CDP de los certificados emitidos
 Incluir en la extensión IDP de CRL emitidas

USO OFICIAL
USO OFICIAL
Paso Descripción
37. De nuevo en la pestaña “Extensiones”, seleccione la flecha para desplegar el campo

“Seleccionar extensión” y haga clic sobre “Acceso a la información de entidad (AIA)”.
38. Compruebe que en el objeto “C:\Windows\System32\CertSrv\CertEnroll\<nombre DNS del

servidor>_<nombre de CA><Nombre de certificado>.crt” todas las casillas están desmarcadas
tal y como se muestra en la siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción
39. Compruebe que en el objeto “ldap://CN=<nombre truncado de CA>,CN=AIA,CN=Public Key

Services,CN=Services,<contenedor de configuración><clase de objeto CA>” todas las casillas
están desmarcadas tal y como se muestra en la siguiente figura:
40. Seleccione ahora “file://<nombre DNS del servidor>/CertEnroll/<nombre DNS del

servidor>_<nombre de CA><nombre de certificado>.crt” y desmarque la opción “Incluir en la
extensión AIA de los certificados emitidos”.
41. Seleccione ahora “http://<nombre DNS del servidor>/CertEnroll/<nombre DNS del
servidor>_<nombre de CA><nombre de certificado>.crt” y copie el elemento mediante la
combinación de teclas “Control + C” simultáneamente.

USO OFICIAL
USO OFICIAL
Paso Descripción
corresponderá al servidor web de Entidad de Certificación que se creará posteriormente (Paso
4) en la Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.
Nota: En el ejemplo, se ha utilizado el nombre CRL.dominio.local. Tenga en cuenta que en esta ocasión
hay que sustituir el valor <nombre DNS del servidor> en dos ocasiones.
45. De nuevo, en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Acceso a la

información de entidad (AIA)”, seleccione la ubicación recién creada ahora
“http://CRL.dominio.local/CertEnroll/ CRL.dominio.local_<nombre de CA><nombre de
certificado>.crt” y marque el elemento “Incluir en la extensión AIA de los certificados emitidos”.

USO OFICIAL
USO OFICIAL
Paso Descripción

48. El siguiente paso será establecer un período de caducidad para la lista de revocación de
certificados (CRL), si caduca la CRL y al no poder comprobar si un certificado está en vigor o
no, no será posible hacer uso de dicho certificado del mismo modo que si éste estuviera
caducado.
Para establecer el período de caducidad de las CRLs, en el “Administrador del Servidor” que ya
se había abierto para las configuraciones anteriores, se deberá navegar hasta alcanzar el
contenedor de “Certificados revocados” que se encuentra en la siguiente ruta:
“Administrador del Servidor  Roles  Servicios de certificados de Active Directory 
<nombre de la Entidad de Certificación>  Certificados revocados”
Pulse el botón derecho del ratón sobre el contenedor “Certificados Revocados” y seleccione
“Propiedades”.

USO OFICIAL
USO OFICIAL
Paso Descripción
49. En “Intervalo de publicación CRL” introduzca el intervalo que indica cada cuánto tiempo se
publicará la CRL. Establezca el intervalo de publicación y pulse “Aceptar” para cerrar la
ventana de “Propiedades: Certificados revocados”.
Nota: En el ejemplo, se ha indicado un periodo de validez igual al del certificado (20 años). Así mimo y
debido al propósito de esta entidad, no será necesario el uso de “Diferencias CRL” y, por tanto, se
mantendrá desmarcado como indica la figura.
50. En los “Servicios de certificados de Active Directory”, haga clic derecho de nuevo sobre
“Certificados revocados” y seleccione “Todas las tareas  Publicar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
51. Mantenga seleccionada la opción “Lista de revocación de certificados (CRL) nueva” y pulse
“Aceptar”.
52. Una vez cambiados estos parámetros será necesario emitir un certificado de la entidad raíz
actualizado. Para ello y sobre el objeto con el nombre de la entidad de certificación, pulse con
el botón derecho y seleccione “Todas las tareas  Renovar certificado de CA…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
54. En la ventana “Renovar certificado de CA” seleccione “No” ante la pregunta de generar nuevas
claves y pulse “Aceptar”.
Nota: Este proceso comienza en segundo plano y puede tardar unos minutos. No debe cerrar la ventana
hasta que finalice el proceso.
3. PREPARACIÓN DEL DIRECTORIO ACTIVO

Los pasos que se describen a continuación se realizarán en un controlador de dominio del
dominio donde se realizará la implementación del servidor entidad de certificación subordinada.
Sólo es necesario realizar este procedimiento una vez.
Paso Descripción
55. Inicie sesión en el servidor Controlador de Dominio del dominio al que pertenece el servidor
que se va a instalar.
Nota: Debe iniciar sesión con una cuenta que sea Administrador del Dominio.


USO OFICIAL
USO OFICIAL
Paso Descripción
58. Copie los ficheros “CCN-STIC-595 Plantilla Servidor Entidad de Certificación.inf” y “CCN-
STIC-595 Servidor Entidad de Certificacion.wfw” al directorio
“%SYSTEMROOT%\Security\Templates” del Controlador de Dominio.
Nota: Para copiar ficheros en carpetas protegidas por el sistema, el sistema le solicitará una elevación
de privilegios. Haga clic en el botón “Continuar” e introduzca las credenciales de la cuenta con que ha
iniciado sesión, la cual debe ser al menos administrador de dominio.
59. Ejecute la consola administrativa “Usuarios y Equipos de Directorio Activo” desde el siguiente
menú:
“Inicio  Herramientas Administrativas  Usuarios y Equipos de Directorio Activo”
60. El control de cuentas de usuario le solicitará las credenciales del administrador del dominio.
Nota: En este ejemplo y durante todo el paso a paso se utilizará la cuenta con privilegios de
administrador del dominio “DOMINIO\SDT”.

USO OFICIAL
USO OFICIAL
Paso Descripción
61. En la consola, cree una unidad organizativa denominada “Servidores Entidad de

Certificación” dependiendo de la unidad organizativa “Servidores”. Para ello deberá desplegar
el menú hasta llegar a la unidad organizativa “Servidores” mediante la siguiente ruta:
“Usuarios y equipos de Active Directory  <Dominio>  Servidores”.
Pulse sobre la unidad organizativa “Servidores” con el botón derecho del ratón y seleccione
“Nuevo > Unidad Organizativa”.
62. Escriba “Servidores Entidad de Certificación” en el campo “Nombre:” como muestra la

siguiente figura:
63. Pulse “Aceptar” para guardar los cambios y cerrar la ventana “Nuevo objeto: Unidad
organizativa”.

USO OFICIAL
USO OFICIAL
Paso Descripción
64. Inicie la consola de “Administración de directivas de grupo” a través de la siguiente ruta:

“Inicio  Herramientas administrativas  Administración de directivas de grupo”
65. Escriba las credenciales de la cuenta de Administrador del dominio anteriormente indicada
cuando se las solicite el sistema.
66. A continuación, vincule el objeto de directiva de grupo “CCN-STIC-524 Incremental
Servidores IIS 7.5” a la nueva unidad organizativa “Servidores Entidad de Certificación”,
haciendo clic con el botón derecho, seleccionando “Vincular un GPO existente…”,
seleccionando el objeto correspondiente y pulsando “Aceptar”.
67. A continuación, cree un nuevo objeto de directiva de grupo en la unidad organizativa

“Servidores de Entidad de Certificación”, haciendo clic con el botón derecho en el menú
“Crear un GPO en este dominio y vincularlo aquí…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
68. Escriba el nombre de la GPO “CCN-STIC-595 Incremental Servidor Entidad de Certificación”

y haga clic en el botón “Aceptar”.
69. Para que la aplicación de las directivas se realice en el orden correcto, asegúrese de que la
directiva “CCN-STIC-595 Incremental Servidor Entidad de Certificación” aparezca en primer
lugar. Para ello, sitúese sobre la unidad organizativa “Servidores Entidad de Certificación”, en
el panel derecho, seleccione la directiva “CCN-STIC-595 Incremental Servidor Entidad de
Certificación” y haga clic sobre la flecha doble hacia arriba para que se sitúe con el número 1
de orden vínculos, tal y como se muestra en la imagen.
70. Edite ahora la GPO recién creada haciendo clic con el botón derecho en ella y seleccionando
el menú “Editar”.
71. Expanda el siguiente nodo:

“Configuración del equipo  Directivas  Configuración de Windows  Configuración
de seguridad”

USO OFICIAL
USO OFICIAL
Paso Descripción
72. Con el botón derecho seleccione el menú “Importar directiva…”.
73. Seleccione la plantilla “CCN-STIC-595 Plantilla Servidor de Certificación” y haga clic en el

botón “Abrir”.
74. A continuación, se va a realizar la importación de la configuración de firewall que permite que

la entidad de certificación subordinada de empresa reciba tráfico de red en sus servicios.
Para ello vaya a la siguiente ruta:
“Directiva CCN-STIC-595 Incremental Servidor Entidad de Certificación 
Configuración del equipo  Directivas  Configuración de Windows  Configuración
de seguridad  Firewall de Windows con seguridad Avanzada  Firewall de Windows
con seguridad Avanzada”

USO OFICIAL
USO OFICIAL
Paso Descripción
75. Pulse con el botón derecho la configuración de “Firewall con seguridad avanzada” y
seleccione la opción “Importar directiva…”.
76. Cuando aparezca la advertencia del Firewall de Windows con seguridad avanzada, indicando
que se sobrescribirá la configuración, pulse el botón “Sí”.
77. Seleccione el fichero “%SYSTEMROOT%\Security\Templates\CCN-STIC-595 Servidor

Entidad de Certificacion.wfw” y haga clic en “Abrir”.
78. Acepte el mensaje de confirmación.

79. Cierre el “Editor de administración de directivas de grupo”.

USO OFICIAL
USO OFICIAL
Paso Descripción
80. A continuación, se va a configurar una directiva incremental que habilita los procesos de
inscripción automática y renovación automática de certificados para usuarios y equipos de
todo el dominio, siempre y cuando la plantilla correspondiente así lo establezca en su
configuración de seguridad.
Nota: Si no desea que se habilite la inscripción y renovación automática de certificados, no ejecute los
siguientes pasos. Sin embargo, se recomienda habilitar esta funcionalidad ya que permite que, de forma
transparente para los usuarios y haciendo uso de Kerberos como protocolo de autenticación de usuarios
y equipos de Directorio Activo, se emitan y se renueven certificados en todo el dominio.
Independientemente de ello, en las plantillas de certificados se pueden establecer los requerimientos de
emisión de los certificados y la pertenencia a los grupos de seguridad para cada tipo de certificado.
81. Seleccione el nodo raíz del dominio de su organización y haciendo clic con el botón derecho,
seleccione el menú “Crear un GPO en este dominio y vincularlo aquí…”.
82. Escriba como nombre de la nueva política “CCN-STIC-595 Incremental Dominio” y pulse el
83. Sitúese sobre el contenedor correspondiente al dominio, seleccione la GPO recién creada y
pulsando sobre la doble flecha sitúela dicha GPO en el primer lugar en el orden de vínculos
tal y como muestra la imagen.

USO OFICIAL
USO OFICIAL
Paso Descripción
84. Despliegue el contenedor “Objetos de directiva de grupo” y haga clic derecho sobre la GPO
recién creada “CCN-STIC-595 Incremental Dominio” seleccionando la opción “Importar
configuración…”.
85. Haga clic en “Siguiente >” en el “Asistente para importar configuración”.

86. Haga clic en “Siguiente >” en “Hacer copia de seguridad de GPO”, ya que no será necesario
hacer una copia de seguridad.
87. Haga clic en “Examinar…” y seleccione la ubicación de la copia de seguridad
“C:\Scripts\CCN-STIC-595 Incremental Dominio”.
88. Pulsa “Aceptar” y “Siguiente >” para continuar con la importación.

USO OFICIAL
USO OFICIAL
Paso Descripción
89. En “GPO de origen” compruebe que aparece la política de seguridad “CCN-STIC-595

Incremental Dominio” y pulse “Siguiente”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el fichero “manifest.xml”. Éste es un fichero
oculto y, por lo tanto, debe mostrar en “opciones de carpeta” la opción “Mostrar archivos, carpetas y
unidades ocultos”.
90. En la pantalla de “Resultados del examen” pulse el botón “Siguiente >”.

91. Para completar el asistente pulse el botón “Finalizar”.
92. Deberá aparecer un mensaje indicando que la importación se ha realizado correctamente.
Pulse finalmente “Aceptar” para cerrar el asistente de importación de políticas.
93. A continuación, ejecute la consola administrativa “Usuarios y Equipos de Directorio Activo”
desde el menú “Inicio”:
“Inicio  Herramientas Administrativas  Usuarios y Equipos de Active Directory”
94. El control de cuentas de usuario le solicitará las credenciales de un administrador del dominio.
95. En la consola, localice el objeto que representa el servidor en donde se instalará la Entidad
de Certificación subordinada y muévalo desde su ubicación hasta la unidad organizativa
“Servidores Entidad de Certificación”.

USO OFICIAL
USO OFICIAL
Paso Descripción
96. Seleccione el servidor con el botón derecho y haga clic en el menú “Mover…”.
Nota: En este ejemplo, se está utilizando un servidor con nombre SVRCASUB. Es posible que en su
organización se utilicen otros nombres de servidores.
97. Seleccione la Unidad Organizativa “Servidores Entidad de Certificación” y haga clic en el

98. Compruebe que el equipo está en la unidad organizativa “Servidores Entidad de

Certificación”, tal y como se muestra a continuación.

USO OFICIAL
USO OFICIAL
Paso Descripción
99. Establezca un nombre DNS para el repositorio web de CRLs que se definió en el apartado 2
del presente anexo. Para ello, diríjase a la consola de servicios “DNS” situada en el menú
“Inicio”:
“Inicio  Herramientas administrativas  DNS”
100. El Control de Cuentas de Usuario le solicitará elevación de privilegios. Introduzca
credenciales de Administrador del dominio.
101. Navegue hasta el objeto con el nombre del dominio, mediante la ruta siguiente:
“<Nombre de controlador de dominio>  Zonas de búsqueda directa  <Nombre de
dominio>”
Pulse con el botón derecho sobre él para seleccionar “Alias nuevo (CNAME)”.

USO OFICIAL
USO OFICIAL
Paso Descripción
102. En la ventana “Nuevo registro de recursos” escriba el nombre DNS del repositorio de CRLs
que se definió en el apartado 2 del presente anexo.
Nota: En el ejemplo se definió “CRL.dominio.local”. En el campo “Nombre de alias” solamente será

necesario escribir “CRL”, ya que se autocompletará el FQDN con el nombre del dominio de manera
automática.
103. En el campo “Nombre de dominio completo (FQDN) para el host de destino:” deberá
introducir el FQDN del servidor Entidad de certificación subordinada de empresa”.
Nota: En el ejemplo se introduce “SRVCASUB.dominio.local”.

USO OFICIAL
USO OFICIAL
Paso Descripción
104. Pulse “Aceptar” para cerrar la ventana “Nuevo registro de recursos” y compruebe que el
objeto CNAME se ha creado correctamente y que apunta al objeto de tipo HOST (A)
correspondiente.
105. Elimine la carpeta “C:\Scripts”.
4. INSTALACIÓN DEL SERVIDOR ENTIDAD DE CERTIFICACIÓN

SUBORDINADA A LA ENTIDAD DE CERTIFICACIÓN RAÍZ
Los siguientes pasos describen el proceso de instalación del servidor Entidad de Certificación
subordinada a la entidad de certificación raíz creada en el apartado anterior y en un sistema,
miembro de dominio Microsoft Windows Server 2008 R2.
Nota: Para automatizar el proceso de instalación de la entidad de certificación subordinada, se ha incorporado a esta
guía el script público y gratuito que Microsoft proporciona a sus clientes para la instalación en las ediciones “Core”
de Windows Server 2008 R2. En él se admiten diferentes parámetros de configuración como el nombre de la
Entidad de Certificación, el proveedor de cifrado y la longitud de la clave de cifrado, entre otros. De forma
predeterminada se realizará una instalación utilizando el nombre del servidor como nombre de la Entidad de
Certificación y el proveedor de cifrado “RSA#Microsoft Software Key Storage Provider” con una clave de 2048 bits
y el hash que firmará los certificados será SHA-256. Puede obtener más información acerca de este script en la
siguiente página Web: https://technet.microsoft.com/en-us/library/ff849263(v=ws.10).aspx
Paso Descripción
106. Inicie sesión en el equipo en donde se va a instalar el servidor entidad de certificación

subordinada de empresa con credenciales de administrador.
107. Previo a la instalación de la entidad de certificación será necesario comprobar que el sitio web
del servidor IIS está activo. Para ello, acceda al “Administrador del servidor” mediante el icono
correspondiente.

USO OFICIAL
USO OFICIAL
Paso Descripción
ruta:
“Administrador del servidor  Roles > Servidor Web (IIS)  Administrador de Internet
109. Dentro del “Administrador de Internet Information Services (IIS)”, navegue hasta el sitio
correspondiente mediante la siguiente ruta:
110. Sobre el sitio pulse botón derecho y seleccione “Administrar sitio web  Iniciar”.

113. Con el botón derecho seleccione el fichero denominado “CCN-STIC-595 Instalación CA
subordinada - Paso 1.bat” y haga clic en “Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción

USO OFICIAL
USO OFICIAL
Paso Descripción
118. Con el botón derecho seleccione el fichero denominado “CCN-STIC-595 Instalación CA

subordinada - Paso 2.bat” y haga clic en “Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción

USO OFICIAL
USO OFICIAL
Paso Descripción
123. Se habrá generado un fichero de solicitud de certificado en la ruta especificada en el script.
Nota: Si no se ha cambiado la configuración del script, la ruta por defecto es “C:\Scripts\ca.req”.
124. Copie este fichero para llevarlo al servidor independiente entidad de certificación raíz.
Nota: Para realizar copias de una máquina a otra y teniendo en cuenta que no son accesibles entre ellas,
se deberá utilizar un dispositivo externo tipo disco duro o pendrive tanto si se trata de una máquina física
como de una máquina virtual de VMWare. En el caso de hyper-V se podrán emplear dispositivos
virtuales de almacenamiento.
5. CONFIGURACIÓN DE LA ENTIDAD DE CERTIFICACIÓN

SUBORDINADA
Los siguientes pasos describen el proceso de firma del certificado de la entidad subordinada a
través de la entidad de certificación raíz creada en la primera sección del presente anexo.
Paso Descripción
125. Inicie sesión en el equipo independiente entidad de certificación raíz con credenciales de
administrador.
126. Copie el fichero de solicitud de certificado generado en el apartado anterior en el directorio
“C:\Scripts”.
Nota: En el ejemplo, el fichero se denomina “ca.req”.
127. Abra el “Administrador del servidor” a través del icono correspondiente.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.
129. Navegue hasta el nombre de la entidad de certificación mediante la siguiente ruta:

“Administrador del servidor  Roles  Servicios de certificados de Active Directory”
130. Pulse botón derecho sobre el nombre de la entidad de certificación y seleccione “Todas las
tareas  Enviar solicitud nueva…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
131. Navegue hasta el fichero de solicitud de certificado que ha copiado recientemente a

“C:\Scripts” y pulse “Abrir”.
Nota: En el ejemplo, el fichero se denomina “ca.req”.
132. Sitúese sobre el contenedor “Solicitudes pendientes” y podrá comprobar que la solicitud ya
está registrada en la consola de certificados. Pulse el botón derecho sobre la solicitud y
seleccione “Todas las tareas  Emitir”.
133. Sitúese sobre el contenedor “Certificados emitidos” y haciendo clic derecho sobre el
certificado emitido recientemente, seleccione “Abrir”.

USO OFICIAL
USO OFICIAL
Paso Descripción
134. Una vez abierta la ventana “Certificado”, diríjase a la pestaña “Detalles” y pulse sobre “Copiar
en archivo…”.
135. En el “Asistente para exportación de certificados” pulse “Siguiente >”.

136. En “Formato de archivo de exportación” seleccione “Estándar de sintaxis de cifrado de
mensajes: certificados PKCS #7 (.P7B)” y pulse “Siguiente”.

USO OFICIAL
USO OFICIAL
Paso Descripción
137. En “Archivo que se va a exportar” pulse examinar para establecer la ubicación y el nombre del
archivo que se va a exportar.

Nota: En el ejemplo se ubica el fichero en “C:\Scripts” y se denomina “CAsigned.P7B”.
138. Pulse “Finalizar” para salir del asistente.

139. Pulse “Aceptar” en el mensaje que confirma que la exportación se ha realizado
correctamente.
140. Pulse “Aceptar”, de nuevo, para cerrar la ventana “Certificado”.
141. Ahora, a través del “Explorador de Windows” sitúese en la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll” y copie los dos ficheros con extensiones
“.crt” y “.crl”. Puede pegar dichos ficheros en la misma ruta en la que había almacenado el
certificado exportado.
Nota: En el ejemplo se ubican los ficheros en “C:\Scripts”. Al haber vuelto a emitir el certificado de la
entidad raíz, pueden aparecer dos certificados ".crt" en la carpeta. Copie el más reciente, ya que es el que
contiene los parámetros correctos.

USO OFICIAL
USO OFICIAL
Paso Descripción
142. Extraiga los tres ficheros (“.crt”, “.crl”, “.p7b”) para posteriormente copiarlos en el servidor
Entidad de certificación subordinada de empresa que se ha instalado en el paso 4 del
presente anexo.
143. Una vez extraídos los 3 ficheros, elimine la carpeta “C:\Scripts”.

Nota: A partir de este momento, el servidor independiente entidad de certificación puede ser apagado
para utilizar la entidad de certificación subordinada y mantener, por tanto, protegida la clave privada. Si
se va a realizar la comprobación a través del anexo H “Lista de comprobación de la correcta instalación
de una entidad de certificación raíz independiente y una entidad de certificación subordinada de
directorio activo en Windows Server 2008 R2” se puede mantener encendida o, en su caso, será
necesario encender la entidad de nuevo, realizar las comprobaciones y volver a apagarla.
6. PASOS FINALES EN LA INSTALACIÓN DE LA ENTIDAD DE

CERTIFICACIÓN SUBORDINADA DE EMPRESA
Los siguientes pasos describen el proceso final en que se copian los ficheros correspondientes en
el servidor Entidad de certificación subordinada de empresa, se establece una ruta de acceso a los
ficheros y se importa el certificado firmado por la Entidad de certificación raíz.
Paso Descripción
144. Inicie sesión en el equipo entidad de certificación subordinada de empresa con credenciales
de administrador.
145. Copie los ficheros generados en el apartado anterior en el directorio “C:\Scripts”.
146. Copie los 2 ficheros con extensiones “.crt” y “.crl” en la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll”.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.
148. Una vez copiados los ficheros, puede cerrar la ventana del “Explorador de Windows”.
149. Debido a la seguridad aplicada en el servidor y a pesar de que los servicios web de entidad
de certificación están instalados, la dirección virtual que debe apuntar hacia los ficheros recién
copiados no se ha creado automáticamente. Por esta razón, se va a establecer dicha
dirección de forma manual a través del “Administrador de Internet Information Services”. Para
ello, abra el “Administrador del servidor” a través del icono correspondiente.

administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción
151. Navegue hasta el “Administrador de Internet Information Services” mediante la siguiente ruta:
“Administrador del servidor  Roles  Servicios Web IIS  “Administrador de Internet
152. Dentro del “Administrador de Internet Information Services”, navegue hasta el sitio web
mediante la siguiente ruta:
“<Nombre del servidor Entidad de certificación>  Sitios”
153. Pulse el botón derecho del ratón sobre el sitio y seleccione “Agregar directorio virtual…”.
154. En el campo “Alias” introduzca “CertEnroll” y en la ruta de acceso física la ruta en la que ha
copiado los ficheros extraídos de la Entidad de certificación raíz en los pasos anteriores.
155. Pulse Aceptar para guardar los cambios.

USO OFICIAL
USO OFICIAL
Paso Descripción
156. Pulse sobre el directorio virtual recién creado y localice el icono de “Autenticación”.
157. Pulse doble clic sobre “Autenticación” y una vez abierto el menú seleccione “Autentificación
anónima” y pulse en “Habilitar” en el menú de la derecha.
158. De nuevo mediante el “Administrador del servidor”, navegue hasta el nombre de la entidad de
certificación mediante la siguiente ruta:

USO OFICIAL
USO OFICIAL
Paso Descripción
tareas  Instalar el certificado de CA…”.
160. Navegue hasta el fichero de certificado que ha copiado recientemente a “C:\Scripts” y pulse
“Abrir”.
Nota: En el ejemplo, el fichero se denomina “CAsigned.p7b”.

USO OFICIAL
USO OFICIAL
Paso Descripción
161. Pulse “Aceptar” en el mensaje de advertencia para localizar el certificado que se había
copiado previamente en “%SYSTEMROOT%\System32\CertSrv\CertEnroll”.
162. Navegue, por tanto, hasta llegar al fichero de certificado de la CA raíz mediante la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll” y pulse “Abrir”.
Nota: En caso de que no figure ningún fichero, esto se debe a que no se está listando el tipo de extensión
correspondiente. Seleccione el tipo de fichero adecuado en la parte inferior de la ventana “Buscar
certificado para <CA raíz>”. En el ejemplo, el fichero a elegir es “SRVCA_SRVCA_CA(1).crt”.

USO OFICIAL
USO OFICIAL
Paso Descripción
163. En este momento, si el servicio se encuentra detenido es necesario iniciarlo. Para ello, pulse
botón derecho sobre el nombre de la entidad de certificación y selección “Todas las tareas
 Iniciar servicio”.

USO OFICIAL
USO OFICIAL
ANEXO F. ADMINISTRACIÓN DE CARACTERÍSTICAS DE

LA ENTIDAD DE CERTIFICACIÓN
El siguiente anexo describe paso a paso una serie de labores administrativas básicas en el empleo
de entidades de certificación y la emisión de certificados solicitados por los equipos clientes de
dicha entidad.
1. CONFIGURACIÓN DE LA AUDITORÍA DE LAS OPERACIONES DE

LA ENTIDAD DE CERTIFICACIÓN
Existe la posibilidad de los auditores lleven un control de las diferentes tareas que se realizan a
través de la entidad de certificación. Esta sección recoge los pasos a seguir para realizar la
configuración de una auditoria de eventos de una entidad de certificación. Estos pasos se
realizarán a través de una Entidad de certificación, independientemente del tipo de la misma.
Paso Descripción
1. Inicie sesión en la entidad de certificación para configurar la auditoría.

Nota: Deberá iniciar sesión con una cuenta con privilegios de administración.

administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción

5. Pulse el botón derecho del ratón sobre la entidad de certificación para seleccionar
“Propiedades”.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. En la ventana de “Propiedades” seleccione la pestaña “Auditoría”, marque la opción “Emitir y

administrar solicitudes de certificados” y a continuación pulse “Aceptar”.
Nota: En el ejemplo se ha decidido seleccionar la pestaña “Emitir y administrar solicitudes de

certificados”. La elección de marcar diferentes opciones dependerá de las necesidades del cliente
solicitante del certificado.
Para que sea posible la captura de eventos de la entidad de certificación, el equipo debe estar
configurado para auditar también el acceso a objetos. Las opciones de directiva de auditoría se pueden
ver y administrar en una directiva de grupo local o de dominio en la siguiente ruta:
“Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales”.
7. En la ventana de “Administrador del servidor” pulse en el menú “Acción  Todas las tareas
 Detener servicio”.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. Una vez que el servicio esté parado, en la ventana de “Administrador del servidor” pulsaremos
en el menú “Acción > Todas las tareas > Iniciar servicio” para iniciarlo de nuevo.
9. A partir de este momento, el sistema capturará los eventos que hayamos seleccionado, tal y
como muestra la siguiente imagen:
Nota: Para visualizar los eventos de la Entidad de Certifiación, iremos al menú inicio:
“Inicio > Herramientas administrativas > Visor de eventos”
Una vez dentro navegaremos por el árbol de la izquierda hasta llegar al apartado de seguridad y a través
de la siguiente ruta:
“Visor de eventos (local) > Registro de Windows > Seguridad”
Puede consultar los diferentes tipos de eventos que genera una entidad de certificación a través de la
guía “CCN-STIC-590 Recolección y consolidación de eventos con Windows Server 2008 R2”.

USO OFICIAL
USO OFICIAL
2. CONFIGURACIÓN DE CARACTERÍSTICAS DE LA PLANTILLA DE

ENTIDAD DE CERTIFICACIÓN
En caso de cambiar la política de la empresa con respecto a los parámetros de certificados o a
cómo y dónde se distribuyen los elementos como, por ejemplo, las listas de revocación de
certificados (CRLs), será necesario modificar dichos parámetros en la plantilla del certificado de
la entidad de certificación para luego emitir un nuevo certificado de dicha entidad.
El paso posterior a la modificación de los diferentes parámetros será la renovación del
certificado de la entidad, cuyo proceso será descrito en el siguiente apartado de este mismo
anexo, “Renovación de una entidad de certificación”.
Este apartado indica los pasos que permitirán establecer modificaciones en el servidor entidad de
certificación, independientemente del tipo de entidad de certificación.
Paso Descripción
1. Inicie sesión en el servidor Entidad de Certificación raíz de empresa.
3. El sistema le solicitará elevación de privilegios. Introduzca credenciales de administrador y

pulse “Sí” para la ejecución del “Administrador del servidor”.
4. Despliegue el menú de la izquierda hasta llegar al nombre de la entidad de certificación a
través de la siguiente ruta:
Administrador del servidor  Roles  Servicios de certificados de Active Directory.
Sobre el nombre de la entidad de certificación, con el botón derecho del ratón seleccione
“Propiedades”.

USO OFICIAL
USO OFICIAL
Paso Descripción
5. En la ventana de “Propiedades” modifique los parámetros necesarios para alcanzar los

objetivos de su entorno y pulse “Aceptar” para guardar los cambios.
Una vez modificados los diferentes parámetros, sería necesario renovar la entidad de
certificación a través de la plantilla nueva. Para ello, continúe con la sección siguiente, según el
tipo de entidad de certificación, para renovar el certificado con la nueva configuración. Siempre
que haya una modificación en los parámetros de la entidad de certificación, será necesario
realizar dicha renovación.

USO OFICIAL
USO OFICIAL
3. RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE

CERTIFICACIÓN
Los certificados emitidos a través de una entidad de certificación tienen un período de validez
que, una vez superado, impide que se siga haciendo uso de dichos certificados. Por tanto, cada
vez que se supere el espacio de tiempo en el cual los certificados están en vigor, será necesario
realizar una renovación del certificado expirado que pertenece a dicha entidad de certificación.
Así mismo, existe la posibilidad de necesidad de renovación de dicho certificado por un cambio
en las políticas de comportamiento de los certificados o para evitar su uso por haber sido
comprometido de algún modo. Este hecho provocaría la necesidad de cambio del certificado de
la entidad de certificación tras revocar el que se emitió con anterioridad. Esto es debido a que
dicho certificado anterior continúa en vigor y el hecho de que no cumpla con los requisitos o
políticas estipulados necesita que este certificado pase a un estado de inutilizable o revocado.
Existen una serie de elementos a tener en cuenta según el tipo de certificado que se desea
renovar:
– Para un certificado correspondiente a una entidad de certificación raíz, el período de
validez se especifica durante la instalación de los Servicios de certificados del
Directorio Activo.
– Para un certificado correspondiente a una entidad de certificación raíz, el período de
validez podrá ser de hasta 5 años y nunca deberá sobrepasar el período de validez de la
entidad de certificación raíz de la que depende.
– El resto de los certificados tendrán una duración de un máximo de dos años y nunca
deberán sobrepasar el período de validez de la entidad de certificación que entrega
dichos certificados.
Nota: Como se podrá comprobar en pasos posteriores, es posible modificar la duración máxima de los
certificados mediante una entrada de registro.
A la hora de realizar la renovación del certificado, el sistema solicitará si se quieren crear nuevas
claves pública y privada para el certificado. Si bien es cierto que con un nivel de cifrado
suficiente es difícil que pueda llegar a romper las claves es más seguro regenerar las claves
porque este procedimiento le otorga al atacante menos tiempo para romper la seguridad, aunque
el coste administrativo se ve aumentado. El algoritmo de cifrado con el que se están emitiendo
los certificados es muy seguro, esto hace que el conjunto de claves sea prácticamente irrompible,
en el entorno que ocupa a esta guía no se volverán a emitir claves privada y públicas nuevas para
evitar tener que emitir de nuevo todos los certificados que comparten confianza con la entidad.
3.1 RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE

CERTIFICACIÓN RAÍZ
Los pasos que se definen a continuación comprenden la renovación de una entidad de
certificación raíz tanto si ésta es de empresa como independiente del dominio.
Paso Descripción
1. Inicie sesión en el equipo entidad de certificación raíz con credenciales de administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.

“Todas las tareas  Renovar certificado de CA…”.

USO OFICIAL
USO OFICIAL
Paso Descripción

3.2 RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE

CERTIFICACIÓN SUBORDINADA
El proceso de renovación de una entidad de certificación subordinada, en el escenario
contemplado en esta guía, deberá solicitar la firma a la entidad raíz independiente del dominio.
Los pasos que se definen a continuación comprenden el método para renovar el certificado y
posteriormente solicitar la firma a través de la entidad raíz.

USO OFICIAL
USO OFICIAL
Paso Descripción
1. Inicie sesión en el equipo Entidad de Certificación subordinada con credenciales de

administrador.

administrador.

“Todas las tareas  Renovar el certificado de CA…”.

USO OFICIAL
USO OFICIAL
Paso Descripción


USO OFICIAL
USO OFICIAL
Paso Descripción
7. En la ventana “Solicitud de certificado de CA”, pulse “Cancelar”, ya que la entidad raíz no es

accesible.
Nota: La nueva solicitud de certificado se alojará en la ruta indicada en el mensaje que figura en la zona
inferior de la ventana “Solicitud de certificado de CA”; en el ejemplo, “C:\Scripts”.
8. Extraiga el fichero de solicitud (en el ejemplo, “ca(1).req”) para utilizarlo en el equipo

independiente entidad de certificación raíz.
Los pasos siguientes se realizarán en el servidor independiente Entidad de certificación raíz.

Paso Descripción
9. Inicie sesión en el equipo independiente Entidad de Certificación raíz con credenciales de
administrador.
10. Copie en fichero de solicitud generado en la entidad subordinada a “C:\Scripts”.
Nota: En el ejemplo, “ca(1).req”. Si la carpeta “C:\Scripts” no existe, créela.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.

“Todas las tareas > Enviar solicitud nueva…”.
14. En la ventana “Abrir archivo de solicitud”, seleccione la solicitud que se acaba de copiar y
pulse “Abrir”.
Nota: En el ejemplo “C:\Scripts\ca(1).req”.

USO OFICIAL
USO OFICIAL
Paso Descripción
15. Sitúese en el contenedor de “Solicitudes pendientes” y sobre la solicitud de certificado que

aparece pulse con el botón derecho del ratón y seleccione “Todas las tareas  Emitir”.
16. Sitúese en el contenedor de “Certificados emitidos” y sobre el certificado que aparece pulse
con el botón derecho del ratón y seleccione “Abrir”.
en archivo…”.

USO OFICIAL
USO OFICIAL
Paso Descripción

19. En “Formato de archivo de exportación” seleccione “Estándar de sintaxis de cifrado de
mensajes: certificados PKCS #7 (.P7B)” y pulse “Siguiente”.
20. En “Archivo que se va a exportar” pulse examinar para establecer la ubicación y el nombre del
archivo que se va a exportar.

Nota: En el ejemplo se ubica el fichero en “C:\Scripts” y se denomina “CArenovacion.P7B”.

USO OFICIAL
USO OFICIAL
Paso Descripción

22. Pulse “Aceptar” en el mensaje que confirma que la exportación se ha realizado
correctamente.
24. Extraiga el fichero con extensión “.p7b” para posteriormente copiarlo en el servidor Entidad de
25. Una vez extraídos los 3 ficheros, elimine la carpeta “C:\Scripts”.
Los siguientes pasos se realizarán en el servidor Entidad de certificación subordinada de

empresa.
Paso Descripción
26. Inicie sesión en el equipo Entidad de Certificación subordinada de empresa con credenciales
de administrador.
27. Copie el fichero generado en el apartado anterior en el directorio “C:\Scripts”.
Nota: En el ejemplo “CArenovacion.p7b”. Si la carpeta “C:\Scripts” no está generada, créela.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.

tareas  Instalar el certificado de CA…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
33. Navegue hasta el fichero de certificado que ha copiado recientemente a “C:\Scripts” y pulse
“Abrir”.
Nota: En el ejemplo, el fichero se denomina “CArenovacion.p7b”.
34. Una vez se ha renovado el certificado, elimine la carpeta “C:\Scripts”.
4. GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE

CERTIFICADOS
Una lista de revocación es un archivo que mantiene almacenada la lista de los certificados que
han sido revocados y que, por tanto, ya no están disponibles para hacer uso de ellos.
El siguiente apartado enumera los pasos necesarios para generar listas de revocación de
certificados (CRLs) y publicarlas tanto en el caso de entornos con entidad de certificación raíz de
empresa como en entornos de servidor independiente entidad de certificación raíz y entidad de

USO OFICIAL
USO OFICIAL
4.1 GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE

CERTIFICADOS (CRL) MEDIANTE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ
DE EMPRESA
Las siguientes configuraciones se realizarán a través de una certificación raíz de empresa.
Paso Descripción


4. Para configurar las CRLs, se deberá navegar hasta alcanzar el contenedor de “Certificados
revocados” que se encuentra en la siguiente ruta:
“Propiedades”.

USO OFICIAL
USO OFICIAL
Paso Descripción
5. Modifique el “Intervalo de publicación CRL” o el uso de diferencias CRL que mantendrán una
lista de certificados en vigor por período de emisión pero que han sido revocados tras la
última publicación. Es posible también la consulta de las listas de revocación mediante la
pestaña “Ver listas de revocación de certificados (CRL)”.
“Certificados revocados” y seleccione “Todas las tareas  Publicar”.

USO OFICIAL
USO OFICIAL
Paso Descripción

“Aceptar”.
Nota: En caso de que el sistema solicite reiniciar los servicios de certificado, pulse “Sí” para continuar.

4.2 GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE

CERTIFICADOS (CRL) MEDIANTE UNA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA A UNA ENTIDAD DE CERTIFICACIÓN RAÍZ INDEPENDIENTE
Las siguientes configuraciones se realizarán a través de una certificación raíz independiente.
Paso Descripción



USO OFICIAL
USO OFICIAL
Paso Descripción
4. Para configurar las CRLs, se deberá navegar hasta alcanzar el contenedor de “Certificados
revocados” que se encuentra en la siguiente ruta:
“Propiedades”.
5. Modifique el “Intervalo de publicación CRL” o el uso de diferencias CRL que mantendrán una
lista de certificados en vigor por período de emisión pero que han sido revocados tras la
última publicación. Es posible también la consulta de las listas de revocación mediante la
pestaña “Ver listas de revocación de certificados (CRL)”.

USO OFICIAL
USO OFICIAL
Paso Descripción
“Certificados revocados” y seleccione “Todas las tareas > Publicar”.

“Aceptar”.
Nota: En caso de que el sistema solicite reiniciar los servicios de certificado, pulse “Sí” para continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. Copie el fichero con extensión “.crl” que se ha generado en la ruta

“%SYSTEMROOT%\System32\CertSvr\CertEnroll” a un dispositivo externo para
posteriormente copiarlo en el servidor Entidad de certificación subordinada de empresa.
Los siguientes pasos se realizarán en la Entidad de certificación subordinada de empresa.

Paso Descripción
10. Inicie sesión en el servidor Entidad de Certificación subordinada de empresa.

11. Copie el fichero con extensión “.crl”, que se ha generado y exportado en el paso anterior en la
ruta “%SYSTEMROOT%\System32\CertSvr\CertEnroll” a un dispositivo externo para
posteriormente copiarlo en el servidor Entidad de certificación subordinada de empresa.
5. GENERACIÓN DE PLANTILLAS DE CERTIFICADO

Del mismo modo que existen numerosos tipos de certificados, existen numerosos tipos de
plantillas de certificado. El servicio de Entidad de certificación del directorio activo incluye una
serie de plantillas predefinidas y que suelen ser las solicitadas más habitualmente como podrían
ser las plantillas de autenticación de cliente (para autenticación de sesión, correo, etc.), plantillas
de autenticación de un equipo o servidor o plantillas para autenticar un sitio web…
Estas plantillas pregeneradas se pueden utilizar para la emisión de certificados sin realizar sobre
ellas ningún tipo de modificación, siempre y cuando el propósito coincida con los parámetros del
certificado. Así mismo, estas plantillas pueden utilizarse de base para crear una plantilla de
certificado personalizada mediante la cual se pueden establecer de forma manual parámetros y
características que se adecuen totalmente a la necesidad o propósito del certificado a solicitar.

USO OFICIAL
USO OFICIAL
Esta sección define los pasos a seguir para generar plantillas a través de una plantilla base y se
realizarán a través de una entidad de certificación raíz de empresa o de una entidad de
certificación subordinada de empresa que permita que sean accesibles para los clientes que vayan
a realizar la solicitud.
Para más información sobre plantillas de certificados puede visitar el siguiente enlace:
https://technet.microsoft.com/en-us/library/cc730826(v=ws.10).aspx
5.1 MODIFICACIÓN DE DURACIÓN MÁXIMA DEL PERIODO DE VALIDEZ DE LOS

CERTIFICADOS
En el caso de que sea necesario establecer un período de validez superior a los dos años para los
certificados y como paso previo a la creación, modificación o publicación de las plantillas de
certificado, sería necesario editar el registro, ya que de otro modo, los certificados emitidos a
través de la entidad de certificación, nunca superarán los dos años de período de validez.
En este apartado se definen los pasos para permitir un período de validez superior a dos años en
las plantillas de certificado, en el ejemplo se establecerán 5 años.
Paso Descripción
1. Inicie sesión en el servidor entidad de certificación raíz o subordinada de empresa.

2. Vaya al menú “Inicio” y teclee “cmd.exe” en el espacio de texto correspondiente.

3. Pulse el botón derecho del ratón sobre el programa “cmd” y seleccione “Ejecutar como
administrador”.


USO OFICIAL
USO OFICIAL
Paso Descripción
5. Teclee “regedit” en la consola de comandos y pulse “Intro”.
6. Una vez abierto el “Editor del registro” expanda el menú hasta llegar a los parámetros de la
entidad de certificación mediante la siguiente ruta:
HKEY_LOCAL_MACHINE  System CurrentControlSet Services CertSvc
Configuration <Nombre de la entidad de certificación>
Nota: En el ejemplo, la entidad de certificación se denomina “dominio-SRVCASUB-CA” y es la

entidad subordinada del escenario descrito en el anexo F.
7. En el panel de la derecha, localice el objeto “ValidityPeriodUnits” y haga doble clic sobre él.
8. Modifique el valor de “Información del valor” por el número máximo de años que se quiera
establecer como período de validez máximo para las plantillas y pulse “Aceptar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. Cierre el “Editor del registro”. A partir de este momento se podrán emitir certificados con un
período de validez superior a dos años y con el máximo de años establecido mediante la
entrada de registro modificada.
5.2 CREACIÓN DE PLANTILLAS DE CERTIFICADO

Este apartado define los pasos para crear una plantilla de certificado a partir de una plantilla
base.
Paso Descripción
1. Inicie sesión en el servidor Entidad de Certificación raíz o subordinada de empresa.


4. Sitúese sobre el contenedor de “Plantillas de certificado” mediante la siguiente ruta:
<nombre de la Entidad de Certificación>  Plantillas de certificado”
Nota: La lista de plantillas que aparece en el menú derecho contiene las plantillas de certificado que
están disponibles para su solicitud. Existe un repositorio con más tipos de plantillas de certificados que
se pueden parametrizar para posteriormente publicar. Solamente las plantillas que aparecen en esta lista
estarán accesibles para que los clientes realicen la solicitud del certificado.

USO OFICIAL
USO OFICIAL
Paso Descripción
5. Sitúese sobre el contenedor “Plantillas de certificado”, pulse el botón derecho del ratón y
seleccione “Administrar” para acceder al resto de plantillas de certificado.
6. A continuación, se abrirá la “Consola de plantillas de certificado” que mostrará la lista

completa de plantillas que podremos usar como base para la creación de la plantilla de
certificados personalizada.
Nota: En caso de no necesitar la personalización de la plantilla y si solamente se requiere que una

plantilla de esta lista aparezca en el contenedor de plantillas de certificado para que sea accesible a
solicitudes, consulte el apartado 4.2 “Añadir una plantilla de certificados a la entidad de certificación”.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. Una plantilla base no debe ser modificada debido a que se perdería la parametrización por
defecto de dicha plantilla. Por tanto, se duplicará una plantilla para personalizar tanto sus
parámetros como el nombre de la plantilla.
Para ello, en la “Consola de plantillas de certificado” seleccione una plantilla y pulsando el
botón derecho del ratón seleccione “Plantilla Duplicada”.
Nota: En el ejemplo se realizará un duplicado de la plantilla “Servidor web”.
8. Seleccione el sistema operativo mínimo para el que esta plantilla será compatible.
Nota: En caso de que existieran en el entorno entidades certificados de Windows Server 2003, sería
necesario escoger esta opción. En el ejemplo se seleccionará “Windows Server 2008 Enterprise”.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. En la pestaña de “Tratamiento de la solicitud” se puede especificar el propósito del certificado,

tanto si servirá para firmar un sitio web como para cifrar contenidos. Del mismo modo se
puede definir el comportamiento de cara al cifrado y permitir la exportación de la clave privada
(la exportación de la clave privada es necesaria cuando se usa el certificado en un servicio
que no puede comunicarse con el directorio activo).
Nota: En el ejemplo se marcará la opción de “Permitir que la clave privada se pueda exportar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
10. Se abrirá la ventana de “Propiedades de plantilla nueva” donde podremos definir los
diferentes parámetros para adecuar la plantilla al tipo de certificado necesario.
En la pestaña “General” se puede establecer un nombre para la plantilla así como definir el
período de validez o la posibilidad de publicar el certificado en el directorio activo.
Nota: En el ejemplo se mantienen los períodos y se cambia el nombre a “Prueba Servidor Web”. Nótese
que a menos que se modifique, el campo “Nombre de plantilla” omite los espacios. Este hecho se deberá
tener en cuenta en caso de utilizar herramientas de comandos como “certutil.exe”, ya que si se invoca la
plantilla con el “Nombre para mostrar de la plantilla”, dará error.
El período de validez máximo que se puede establecer en una plantilla de certificado es de dos años. Sin
embargo, si se modifica la entrada de registro tal como se ha hecho en el apartado anterior, sería posible
establecer un periodo mayor, hasta alcanzar el número definido en dicha entrada.

USO OFICIAL
USO OFICIAL
Paso Descripción
11. En la pestaña de “Criptografía” se podrá definir el algoritmo, tamaño de clave, proveedor de

cifrado y hash de la solicitud.
Nota: En el ejemplo se ha mantenido la configuración excepto el hash de la solicitud, ya que por defecto
marcaba SHA1 y este algoritmo de hash se considera inseguro por posibilidad de colisión de hashes (es
posible que dos elementos diferentes generen el mismo hash de firma). En el ejemplo se utiliza SHA256.

USO OFICIAL
USO OFICIAL
Paso Descripción
12. En “Requisitos de emisión”, es posible definir si el administrador de la entidad de certificación

debe aprobar la publicación del certificado solicitado mediante la opción “Aprobación del
administrador de certificados de entidad de certificación”. Seleccionando esta opción, ningún
solicitante recibirá el certificado, a menos que el administrador gestione la emisión,
independientemente de los permisos de inscripción o inscripción automática que tenga el
solicitante.
Nota: En el ejemplo, se marcará esta opción.

USO OFICIAL
USO OFICIAL
Paso Descripción
13. En la pestaña seguridad, se puede definir qué usuarios tendrán permiso para operar sobre los
certificados, en caso de que se quisiera que el equipo de ejemplo, fuera capaz de recibir el
certificado tras su solicitud y que esta recepción se recibiera de forma automática (sin que el
administrador tuviera la obligación de administrar la entrega), se debe añadir el grupo
“Equipos del dominio” y darle los permisos que le permitan las opciones “Inscribirse” e
“Inscripción automática”. Para ello, pulse el botón “Agregar”.
14. Escriba “Equipos del dominio” en el campo de texto y pulse “Aceptar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
15. Sitúese sobre el grupo añadido recientemente “Equipos del dominio” y marque las dos
opciones “Inscribirse” e “Inscripción automática”. Pulse “Aceptar” para cerrar la ventana de
“Propiedades”.
Nota: En el ejemplo se marcan las opciones “Inscribirse” e “Inscripción automática” el grupo de

directorio activo “Equipos del dominio”. En este caso particular, al haber marcado en el paso 12 la
opción “Aprobación del administrador de certificados de entidad de certificación”, aunque, por
permisos, los equipos del dominio deben poder recibir el certificado de forma automática, requerirán por
parte del administrador la entrega del certificado tras la solicitud.
16. Compruebe que la nueva plantilla aparece en la “Consola de plantillas de certificado”.

USO OFICIAL
USO OFICIAL
La plantilla aún no está disponible para poder solicitarla, para poder utilizar la plantilla deberá
completar el apartado siguiente “Publicación de una plantilla de certificados en la entidad de
certificación”.
5.3 PUBLICACIÓN DE UNA PLANTILLA DE CERTIFICADOS EN LA ENTIDAD DE

CERTIFICACIÓN
Este apartado define los pasos para publicar en la entidad de certificación la plantilla creada en el
apartado anterior para que sea accesible a solicitudes de certificado.
Paso Descripción
1. Inicie sesión en el servidor entidad de certificación raíz o subordinada de empresa.


4. Sitúese sobre el contenedor de “Plantillas de certificado” mediante la siguiente ruta:
<nombre de la Entidad de Certificación>  Plantillas de certificado”
Nota: En el ejemplo, la entidad de certificación es de tipo subordinada y recibe el nombre de “dominio-

SRVCASUB-CA”.

USO OFICIAL
USO OFICIAL
Paso Descripción
5. Sitúese sobre el contenedor “Plantillas de certificado”, pulse el botón derecho del ratón y
seleccione “Nuevo  Plantilla de certificado que se va a emitir” para acceder al resto de
plantillas de certificado.
6. En “Habilitar plantillas de certificado”, seleccione la plantilla de certificado que desee publicar

a través de la entidad de certificación para que sea accesible desde los clientes solicitantes. A
continuación pulse “Aceptar”.
Nota: En el ejemplo se publica en la entidad de certificación” la plantilla creada en el paso anterior

“PruebaServidorWeb”.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. Compruebe que la plantilla aparece en el contenedor “Plantillas de certificado” de la entidad

de certificación. En este momento, la plantilla será accesible para solicitar un certificado a
través de ella.
6. PROCEDIMIENTOS DE SOLICITUD Y ADMINISTRACIÓN DE

CERTIFICADOS
La presente sección define los pasos para realizar diversas operaciones con certificados.
6.1 SOLICITUD DE CERTIFICADOS
Desde la consola MMC

Esta sección define los pasos a seguir para solicitar un certificado, a través de un equipo cliente
de la entidad de certificación y mediante la consola de “Certificados” de Administración de
Microsoft o MMC. En el ejemplo, se solicitará un certificado a partir de la plantilla de
autenticación de usuario y la solicitud se hará desde un servidor que actuará como cliente de la
entidad.
Paso Descripción
1. Inicie sesión en el servidor que actúa como cliente solicitante del servidor entidad de
certificación.

USO OFICIAL
USO OFICIAL
Paso Descripción
2. Pulse sobre el botón de inicio y escriba “mmc.exe” en el espacio adecuado para ello y pulse
“Intro” para abrir la consola de administración de Microsoft.


USO OFICIAL
USO OFICIAL
Paso Descripción
4. En la consola seleccione “Archivo  Agregar o quitar complemento…”.
5. Seleccione “Certificados” de la columna de “Complementos disponibles” y pulse “Agregar >”

USO OFICIAL
USO OFICIAL
Paso Descripción
6. Según el tipo de certificado, se deberá seleccionar el tipo de cuenta de la que se quiere abrir
la consola de certificados. Esta elección dependerá del tipo de certificado que se quiera
solicitar.
Nota: En el ejemplo se selecciona “Mi cuenta de usuario”, ya que solicitaremos un certificado de

usuario de autenticación del cliente.
7. Pulse “Aceptar” para abrir la consola de certificados y despliegue el menú en árbol situado a
la izquierda hasta llegar al contenedor “Personal” mediante la siguiente ruta:
“Raíz de consola  Certificados: usuario actual  Personal”
Pulse con el botón derecho del ratón y seleccione “Todas las tareas  Solicitar un nuevo
certificado…”.
8. Se abrirá el asistente de “Inscripción de certificados”. En “Antes de comenzar” pulse

“Siguiente”.
9. En “Seleccionar directiva de inscripción de certificados”, mantenga la configuración y pulse
“Siguiente”.

USO OFICIAL
USO OFICIAL
Paso Descripción
10. Seleccione “Usuario” y pulse sobre el botón “Inscribir”.
11. El certificado se inscribirá automáticamente debido a que el usuario tenía permisos de

“Inscripción automática” en la plantilla.
Nota: En caso de que el usuario no tuviera los permisos mencionados, sería necesario realizar una serie
de pasos adicionales en la entidad de certificación. Estos pasos serán descritos en el apartado siguiente:
“Emisión de certificados”.

USO OFICIAL
USO OFICIAL
Paso Descripción
12. Navegue hasta el contenedor de “certificados” mediante la siguiente ruta:

“Raíz de consola  Certificados: usuario actual  Personal  Certificados”
Compruebe que se ha emitido el certificado para el usuario y se ha hecho desde la entidad
raíz de empresa o subordinada de empresa.
Nota: En el ejemplo se ha empleado la entidad subordinada y se ha emitido el certificado para el usuario

“admin”.
Desde el servicio de internet information services (IIS)

Esta sección define los pasos a seguir para solicitar un certificado, a través de un equipo cliente
de la entidad de certificación y mediante el servicio de Internet Information Services o IIS. En el
ejemplo, se solicitará un certificado de servidor de internet desde la consola de administración de
IIS del servidor entidad de certificación. Estos pasos son válidos en entidades raíz o
subordinadas que tengas los servicios de Internet Information Services instalados.
Paso Descripción
1. Inicie sesión en el servidor que actúa como cliente solicitante del servidor entidad de
certificación.
2. Ejecute el “Administrador de Internet Information Services (IIS)” a través de la siguiente ruta:

“Inicio  Herramientas administrativas  Administrador de Internet Information
Services (IIS)”

USO OFICIAL
USO OFICIAL
Paso Descripción
3. En el “Administrador de Internet Information Services” seleccione en el panel izquierdo el

nombre de la entidad de certificación y, en “Vista Características” localice “Certificados de
Servidor”.
4. Pulse doble clic sobre certificados de servidor y en el menú de acciones de la derecha

seleccione “Crear certificado de dominio”.

USO OFICIAL
USO OFICIAL
Paso Descripción
5. En el “Asistente para solicitar certificados” se podrán establecer los diferentes parámetros

según necesidades. Una vez establecidos estos parámetros pulse “Siguiente”.
Nota: Los datos introducidos que refleja la captura son a modo de ejemplo.
6. En “Especifique una entidad de certificación en línea:” pulse “Seleccionar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. Seleccione la entidad de certificación que emitirá el certificado y pulse “Aceptar”.
8. Proporcione un nombre descriptivo y pulse “Finalizar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. Compruebe que el certificado aparece en la lista.
Nota: En este caso, el certificado se inscribe de forma automática. El siguiente paso describe los pasos a
seguir en caso de que un certificado solicitado no se inscriba automáticamente.
6.2 EMISIÓN DE CERTIFICADOS

Esta sección define una serie de pasos para emitir y distribuir los certificados solicitados a través
de una entidad de certificación de empresa, independientemente de que ésta sea raíz o
subordinada.
Paso Descripción
1. Inicie sesión en el equipo Entidad de Certificación de empresa con credenciales de

administrador.

administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción

5. Sitúese sobre el contenedor “Solicitudes pendientes” y podrá comprobar que la solicitud está
registrada en la consola de certificados. Pulse el botón derecho sobre la solicitud y seleccione
“Todas las tareas  Emitir”.
6. Sitúese sobre el contenedor “Certificados emitidos” y podrá comprobar que el certificado

recién emitido aparece en la lista y será distribuido al cliente solicitante.

USO OFICIAL
USO OFICIAL
6.3 EXPORTACIÓN DE CERTIFICADOS

Para poder llevar certificados a un entorno que no puede acceder a la entidad de certificación,
existe la opción de exportar el certificado para importarlo desde el cliente que no tiene acceso a
la entidad de certificación o que no es compatible con el Directorio Activo.
Paso Descripción
1. Estos pasos se pueden realizar tanto desde la entidad de certificación como desde la consola
de certificados del cliente al que se le ha emitido el certificado. En el siguiente ejemplo, se va
a realizar la exportación de un certificado a través de la entidad de certificación que lo emitió.
2. Inicie sesión en la entidad de certificación sobre la que va a exportar el certificado con
credenciales de administración.

administrador.


USO OFICIAL
USO OFICIAL
Paso Descripción
6. Vaya a la carpeta certificados emitidos y seleccione, en el menú central, el certificado que

desea exportar. Pulsando el botón derecho del ratón, seleccione “Abrir”.
en archivo…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. En “Formato de archivo de exportación” seleccione el tipo de formato. En el ejemplo, se ha

seleccionado “Estándar de sintaxis de cifrado de mensajes: certificados PKCS #7 (.P7B)”.
Pulse “Siguiente”.
Nota: El certificado se exportará sin la clave privada, ya que para el propósito no es necesario. Incluso
cuando es posible exportar la clave privada, si el propósito del certificado no lo requiere, es más seguro
evitar exportar el certificado con su clave privada.
En el caso en que sí fuera necesaria la exportación de la clave privada (un servicio ajeno a Windows no
compatible con el Directorio Activo, por ejemplo), el sistema solicitará el establecimiento de una
contraseña (necesaria en la posterior importación).
10. En “Archivo que se va a exportar” pulse “Examinar…” para establecer la ubicación y el nombre
del archivo que se va a exportar.

Nota: En el ejemplo, se ubica el fichero en “C:\Scripts” y se denomina “CAsigned.P7B”.

USO OFICIAL
USO OFICIAL
Paso Descripción
12. Pulse “Aceptar” en el mensaje que confirma que la exportación se ha realizado correctamente.
14. En la ruta correspondiente podrá encontrar el certificado exportado.
6.4 IMPORTACIÓN DE CERTIFICADOS

En este apartado se definen los pasos para importar un certificado que se había exportado
previamente.
Paso Descripción
1. Inicie sesión en el cliente solicitante del certificado.


USO OFICIAL
USO OFICIAL
Paso Descripción
3. El sistema solicitará elevación de privilegios. Introduzca credenciales de administrador y pulse

“Sí” para la ejecución del “Administrador del servidor”.
4. En la consola seleccione “Archivo  Agregar o quitar complemento…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. Se deberá seleccionar el tipo de cuenta de la que se quiere abrir la consola de certificados.

Esta elección dependerá del tipo de certificado que se quiera solicitar.
Nota: En el ejemplo se selecciona “Mi cuenta de usuario”, ya que importaremos un certificado de

usuario de autenticación del cliente.

USO OFICIAL
USO OFICIAL
Paso Descripción
Pulse con el botón derecho del ratón y seleccione “Todas las tareas > Importar…”.
8. Se abrirá el “Asistente para la importación de certificados”. En la ventana inicial del asistente

pulse “Siguiente”.
9. En la ventana de “Archivo para importar” pulse el botón “Examinar…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
10. Localice el certificado y pulse “Abrir”.
11. Pulse “Siguiente” para continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
12. En “Almacén de certificados” seleccione “Colocar todos los certificados en el siguiente

almacén” y pulse “Examinar”. Seleccione “Personal” de la lista y pulse “Aceptar”.
13. Pulse “Siguiente >” para continuar.

14. Pulse “Finalizar” para cerrar el asistente.
15. Navegue hasta el contenedor de “certificados” mediante la siguiente ruta:
“Raíz de consola  Certificados: usuario actual  Personal  Certificados”
Compruebe que se ha importado el certificado para el usuario.

USO OFICIAL
USO OFICIAL
6.5 REVOCACIÓN DE CERTIFICADOS

Existen una serie de motivos para revocar un certificado, entre ellos podría estar el hecho de que
la clave o la entidad de certificación que lo emitió hayan sido comprometidas, que el certificado
ya no sea válido o haya sido sustituido por otro certificado, o bien que el cliente de dicho
certificado ya no vaya a hacer uso del mismo.
Esta sección define los pasos para revocar un certificado, por alguno de los motivos expuestos, a
través de un servidor entidad de certificación de empresa e independientemente de que sea una
entidad raíz o subordinada.
Paso Descripción
1. Inicie sesión en la entidad de certificación desde la que se va a revocar el certificado.


administrador.

5. Vaya a la carpeta certificados emitidos y seleccione, en el menú central, el certificado que
desea revocar. Pulsando el botón derecho del ratón, seleccione “Todas las tareas 
Revocar certificado”.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. En la ventana de “Revocación de certificados” seleccione el “Código de motivo” y escoja la

razón por la que se revocará el certificado.
Nota: En el ejemplo se ha seleccionado el compromiso de la clave como razón de revocación.
7. Pulse “Sí” para cerrar la ventana de “Revocación de certificados”.

8. Sitúese sobre el contenedor de “Certificados revocados” para comprobar que el certificado
recientemente revocado aparece en la lista.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. La revocación de un certificado no es reversible, a menos que la razón de revocación

seleccionada haya sido “Certificado retenido”.
Si fuera este el caso, sería posible deshacer la revocación pulsando sobre el certificado con el
botón derecho del ratón y seleccionando “Todas las tareas > No rechazar el certificado”.
Nota: En caso de haber escogido cualquier otro motivo de revocación (como es el caso en el ejemplo),
al intentar deshacer la revocación aparecerá el siguiente mensaje:
6.6 RENOVACIÓN DE CERTIFICADOS

Cuando un certificado expira es posible renovarlo siempre que esté disponible la misma plantilla
en el servidor de Entidad de certificación. Los siguientes pasos recogen el procedimiento para
que un cliente solicite un certificado de renovación del que ha expirado. El proceso es similar a
la solicitud de un nuevo certificado con la salvedad de que no nos permitirá elegir otra plantilla
que la escogida para la emisión del certificado anterior y que nos permitirá escoger entre renovar
el certificado con clave nueva o utilizar la misma clave para el nuevo certificado.
Paso Descripción
1. Inicie sesión en el cliente solicitante del certificado de renovación.


USO OFICIAL
USO OFICIAL
Paso Descripción

4. En la consola seleccione “Archivo > Agregar o quitar complemento…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. Según el tipo de certificado, se deberá seleccionar el tipo de cuenta de la que se quiere abrir
la consola de certificados. Esta elección dependerá del tipo de certificado que se quiera
renovar. Pulse “Finalizar”.
Nota: En el ejemplo se selecciona “Mi cuenta de usuario”, ya que renovaremos un certificado de usuario
de autenticación del cliente.
Pulse con el botón derecho del ratón y seleccione “Todas las tareas > Renovar certificado
con clave nueva…”.
Nota: En caso de querer conservar la misma clave sería posible a través del menú superior, manteniendo
seleccionado el certificado y haciendo clic sobre “Acción > Todas las tareas > Operaciones avanzadas >
Renovar certificado con la misma clave”.
8. Se abrirá el “Asistente para la inscripción de certificados”. En la ventana inicial del asistente

pulse “Siguiente”.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. En la ventana de “Solicitar certificados” pulse el botón “Inscribir”.
10. En “Resultados de la instalación del certificados” seleccione “Finalizar”.

USO OFICIAL
USO OFICIAL
7. COPIA DE SEGURIDAD Y RESTAURACIÓN DE UNA ENTIDAD DE

CERTIFICACIÓN
Con el objeto de prevenir que una corrupción de la base de datos o algún otro tipo incidencia
relacionado con la información contenida en la entidad de certificación, conlleve la pérdida del
servicio se recomienda la realización de una copia de seguridad preventiva. Ésta se realizará
tanto de la BBDD como del registro de transacciones correspondiente.
Los procedimientos operacionales del servicio permiten la recuperación tanto de la base de datos
como del fichero de registro sobre el mismo servidor o sobre otro diferente. La sección siguiente
describe el proceso para generar una copia de seguridad de la entidad de certificación, así como
la restauración sobre el mismo servidor. Para el proceso de restauración o migración de una
entidad de Certificación en otro servidor distinto al original, puede revisar el procedimiento
definido por el fabricante en el siguiente enlace:
https://technet.microsoft.com/es-es/library/ee126140(v=ws.10).aspx
7.1 COPIA DE SEGURIDAD DE UNA ENTIDAD DE CERTIFICACIÓN

Esta sección recoge los pasos a seguir para realizar una copia de seguridad de una entidad de
certificación y los pasos a seguir para restaurar desde dicha copia de seguridad. Estos pasos se
realizarán a través de una entidad de certificación, independientemente del tipo de la misma.
Paso Descripción
1. Inicie sesión en la entidad de certificación desde la que se va a realizar la copia de seguridad.


administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción

5. Pulse el botón derecho del ratón sobre la entidad de certificación para seleccionar “Todas las
tareas > Realizar copia de seguridad de la entidad de certificación…”.
6. En el “Asistente para copia de seguridad de entidad de certificación” pulse “Siguiente >” para
continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. En “Elementos para incluir en copia de seguridad” existe la opción de hacer salvaguarda

solamente de la base de datos (completa o incremental) o también de la clave privada y el
certificado de la entidad de certificación. En el ejemplo, se hace una copia completa. Para
ello, marque las opciones “Clave privada y certificado de CA” y “Base de datos de certificados
emitidos y registro de base de datos de certificados” y pulse “Examinar”.
Nota: En el ejemplo no es posible seleccionar una copia incremental de la base de datos porque no
existe ninguna copia completa anterior.
8. Seleccione un directorio vacío para realizar la copia de seguridad y pulse “Aceptar”.
Nota: En el ejemplo se ha utilizado “C:\BackupCA”

USO OFICIAL
USO OFICIAL
Paso Descripción
10. Establezca una contraseña escribiéndola por duplicado en los campos correspondientes y
pulse “Siguiente >”

12. En la carpeta podrá encontrar tanto el certificado de la CA como los ficheros de la base de
datos.
7.2 RESTAURACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN

La siguiente tabla recoge los pasos a seguir para restaurar una copia de seguridad de una entidad
de certificación. Estos pasos se realizarán a través de una Entidad de certificación,
independientemente del tipo de la misma.
Paso Descripción
1. Inicie sesión en la entidad de certificación desde la que se va a restaurar la copia de

seguridad.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.


USO OFICIAL
USO OFICIAL
Paso Descripción
5. Pulse el botón derecho del ratón sobre la entidad de certificación para seleccionar “Todas las
tareas > Restaurar la entidad de certificación…”.
Nota: Si el servicio de entidad de certificación está en funcionamiento, se le solicitará detenerlo. En este

caso pulse “Aceptar” para permitir al sistema detener el servicio de Entidad de certificación de
Directorio Activo.
6. En el “Asistente para copia de seguridad de entidad de certificación” pulse “Siguiente >” para
continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. Es posible recuperar tanto la base de datos como la clave privada y el certificado. En el

ejemplo se selecciona restaurar la base de datos solamente. Para ello, marque la opción
“Base de datos de certificados emitidos y registro de base de datos de certificados” y pulse
“Examinar”.
8. Localice la carpeta que contiene la base de datos y pulse “Aceptar”.
Nota: En el ejemplo se ha utilizado “C:\BackupCA”


USO OFICIAL
USO OFICIAL
Paso Descripción
11. En el mensaje que indica que la operación se completó y que se iniciará el servicio pulse “Sí”.

USO OFICIAL
USO OFICIAL
ANEXO G. LISTA DE COMPROBACIÓN DE LA CORRECTA

INSTALACIÓN DE UNA ENTIDAD DE
CERTIFICACIÓN RAÍZ DE EMPRESA DE
2008 R2
1. COMPROBACIONES EN EL CONTROLADOR DE DOMINIO

Las consolas y herramientas que se utilizarán son las siguientes:
– Administrador de directivas de grupo (gpmc.msc).
– Usuarios y equipos de Active Directory (dsa.msc).
– Conjunto resultante de directivas (rsop.msc).
Nota: La lista de comprobación está basada en los nombres de objetos de directivas, unidades organizativas y
cuentas de servicios tal y como se ha indicado en este documento. Deberá adaptar los pasos según la configuración
de su organización.
Comprobación OK/NOK Cómo hacerlo

1. Inicie En uno de los controladores de dominio, inicie sesión con una cuenta
sesión en que tenga privilegios de administración del dominio.
un
controlador
de dominio.
2. Verifique Ejecute el “Administrador de directivas de grupo” mediante la siguiente
que está ruta:
creada la “Inicio  Herramientas administrativas  Administración de
directiva directivas de grupo”
“CCN-
Despliegue el menú en árbol hasta llegar a la unidad organizativa
STIC-595
“Servidores Entidad de Certificación”. Verifique que la política “CCN-
Incremental
STIC-595 Incremental Servidor Entidad de Certificación” está creada y
Servidor
vinculada en el primer lugar de orden de vínculo.
Entidad de
Certificació
n”.

USO OFICIAL
USO OFICIAL
3. Verifique Haga clic derecho sobre la directiva y seleccione “Editar” para ejecutar
los el “Editor de Administración de directivas de grupo”.
servicios Verifique que la directiva tiene los siguientes valores en servicios del
del sistema sistema. Para ello, navegue hasta:
de la
Directiva CCN-STIC-595 Incremental Servidor Entidad de
directiva
Certificación  Configuración del equipo  Directivas 
“CCN-
Configuración de Windows  Configuración de seguridad 
STIC-595
Servicios del Sistema
Incremental
Servidor
Entidad de
Certificació
n”.
Nota: Si lo desea puede pulsar sobre el título “Permiso” para ordenar la lista
por servicios configurados.
Nombre de Servicio Inicio Permiso OK/NOK
Aislamiento de claves CNG Automático Configurado

CertSvc Automático Configurado
Servicios de cifrado Automático Configurado
4. Verifique la Verifique que la directiva tiene los siguientes valores en Firewall de
configuraci Windows con seguridad avanzada. Para ello, navegue hasta:
ón de Directiva CCN-STIC-595 Incremental Servidor Entidad de
firewall de Certificación  Configuración del equipo  Directivas 
la directiva Configuración de Windows  Configuración de seguridad 
“CCN- Firewall de Windows con seguridad avanzada  Firewall de
STIC-595 Windows con seguridad avanzada
Incremental
Pulse “Propiedades” sobre “Firewall de Windows con seguridad
Servidor
avanzada” y compruebe las configuraciones pulsando sobre cada una
Entidad de
de las pestañas.
Certificació
n”.
Nota: Para comprobar algunas configuraciones deberá pulsar sobre los

botones “Personalizar” de las opciones de configuración e inicio de sesión.

USO OFICIAL
USO OFICIAL
Pestaña / Configuración Valor OK/NOK
Perfil de dominio / Estado del firewall Activo (recomendado)

Perfil de dominio / Configuración /
No
Personalizar… / Mostrar una notificación
%systemroot%\system3
2\LogFiles\Firewall\pfire
Perfil de dominio / Inicio de sesión / wall.log
Personalizar… / Nombre:
(“No configurado” debe
aparecer marcado)
4096
Perfil de dominio / Inicio de sesión /
Personalizar… / Límite tamaño (KB) (“No configurado” debe
aparecer desmarcado)
Personalizar… / Registrar paquetes No (predeterminado)
descartados
Personalizar… / Registrar conexiones No (predeterminado)
correctas
Perfil privado / Estado del firewall Activo (recomendado)
Perfil privado / Configuración /
No
Perfil privado / Inicio de sesión / wall.log
aparecer marcado)
4096
Perfil privado / Inicio de sesión /
descartados
correctas
Perfil público / Estado del firewall Activo (recomendado)
Perfil público / Configuración /
No

USO OFICIAL
USO OFICIAL
Perfil público / Inicio de sesión / wall.log
aparecer marcado)
4096
Perfil público / Inicio de sesión /
descartados
correctas
5. Verifique la Verifique que la directiva tiene los siguientes valores en las reglas de
correcta entrada del Firewall de Windows con seguridad avanzada. Para ello,
aplicación navegue hasta:
de la Directiva CCN-STIC-595 Incremental Servidor Entidad de
configuraci Certificación  Configuración del equipo  Directivas 
ón de las Configuración de Windows  Configuración de seguridad 
reglas de Firewall de Windows con seguridad avanzada  Firewall de
entrada de Windows con seguridad avanzada  Reglas de entrada
firewall de
Compruebe que están creadas estas reglas, su estado, su acción y su
la política
puerto local.
CCN-STIC-
595
Incremental
Servidor
Entidad de
Certificació
n”.
Nombre Habilitado Acción Puerto OK/NOK

local
@%systemroot%\system32 Sí Permitir 445

\certsrv.exe,-51
@%systemroot%\system32 Sí Permitir Puertos
\certsrv.exe,-53 dinámicos
RPC

USO OFICIAL
USO OFICIAL

local

\certsrv.exe,-55
@%systemroot%\system32 Sí Permitir Asignador
\certsrv.exe,-57 de extremos
de RPC
6. Verifique la Verifique que la directiva tiene los siguientes valores en plantillas
configuraci administrativas. Para ello, navegue hasta:
ón de
plantillas
Certificación  Configuración del equipo  Plantillas
administrati
Administrativas  Red  Conexiones de red  Firewall de
vas de la
Windows  Perfil de dominio
directiva
“CCN-
STIC-595
Incremental
Servidor
Entidad de
Certificació
n”.
Compruebe que existen las reglas que se indican a continuación:

Configuración Estado OK/NOK
Firewall de Windows: proteger Habilitada

todas las conexiones de red
Firewall de Windows: permitir Habilitada
registro - Ruta o nombre del archivo de
registro:
(%systemroot%\system32\Lo
gfiles\Firewall\pfirewall.log
- - Límite de tamaño (KB): 4096
Firewall de Windows: No permitir Habilitada
notificaciones
7. Verifique Ejecute el “Administrador de directivas de grupo” a través de la
que está siguiente ruta:
“CCN-
Despliegue el menú en árbol hasta llegar al contenedor
STIC-595
correspondiente al dominio. Verifique que la política “CCN-STIC-595
Incremental
Incremental Dominio” está creada y vinculada en el primer lugar de
Dominio”.
orden de vínculo.

USO OFICIAL
USO OFICIAL
8. Verifique la Haga clic derecho sobre la directiva y seleccione “Editar” para ejecutar
configuraci el “Editor de Administración de directivas de grupo”.
ón de Verifique que la directiva tiene los siguientes valores en la
inscripción configuración de inscripción automática. Para ello, navegue hasta:
automática
Directiva CCN-STIC-595 Incremental Dominio  Configuración
de
del equipo  Directivas  Configuración de Windows 
certificados
Configuración de seguridad  Directivas de clave pública
en la
política Haga doble clic sobre el objeto “Cliente de Servicios de servidor de
“CCN- certificados – Inscripción automática” y compruebe los valores
STIC-595 correspondientes a la inscripción automática.
Incremental
Dominio”.
Modelo de configuración Habilitada

Renovar certificados expirados, actualizar Habilitada (marcada)
certificados pendientes y quitar certificados
revocados
Actualizar certificados que usan plantillas Habilitada (marcada)
de certificado

USO OFICIAL
USO OFICIAL
9. Verifique la Nota: En el ejemplo, se utilizará el mismo controlador de dominio ya que

correcta también recibe las políticas correspondientes al dominio.
aplicación
de la Para ello, pulse sobre el botón de inicio y escriba “rsop.msc” en el
política espacio adecuado para ello:
“CCN-
STIC-595
Incremental
Dominio”
en un
equipo
miembro
del Pulse “Intro” para ejecutar el “Conjunto resultante de directivas”. El
dominio. sistema solicitará elevación de privilegios, introduzca credenciales de
Administrador.
Haga clic derecho sobre “Configuración de equipo” en la consola de

“Conjunto resultante de directivas” y compruebe que la política “CCN-
STIC-595 Incremental Dominio” aparece en la lista como muestra la
imagen.

USO OFICIAL
USO OFICIAL
2. COMPROBACIONES EN EL SERVIDOR DE ENTIDAD DE

CERTIFICACIÓN
– Servicios (services.msc).
– Firewall de Windows con Seguridad Avanzada (wf.msc).
10. Inicie En el servidor entidad de certificación raíz de empresa, inicie sesión

sesión en con una cuenta que tenga privilegios de administración del dominio.
el servidor
entidad de
certificación
raíz de
empresa.
11. Verifique la Para ello, pulse sobre el botón de inicio y escriba “rsop.msc” en el
correcta espacio adecuado para ello:
aplicación
de la
política
CCN-STIC-
595
Incremental
Servidor
Entidad de
Certificació Pulse “Intro” para ejecutar el “Conjunto resultante de directivas”. El
n” en un sistema solicitará elevación de privilegios, introduzca credenciales de
equipo Administrador.
miembro
del
dominio.
Haga clic derecho sobre “Configuración de equipo” en la consola de

“Conjunto resultante de directivas” y compruebe que la política “CCN-
STIC-595 Incremental Servidor Entidad de Certificación” aparece en la
lista como muestra la imagen.

USO OFICIAL
USO OFICIAL
12. Verifique la Para ello, pulse sobre el botón de inicio y escriba “services.msc” en el
aplicación
de la
configuraci
ón de
servicios
del sistema
de la
política Pulse “Intro” para ejecutarla consola de servicios. El sistema solicitará
CCN-STIC- elevación de privilegios, introduzca credenciales de Administrador.
595
Incremental
Servidor
Entidad de
Certificació
n”.
En la consola de “Servicios”, compruebe los siguientes valores.

Nombre de Servicio Inicio OK/NOK
Aislamiento de claves CNG Automático

Servicios de certificados de Active Directory Automático
Servicios de cifrado Automático

USO OFICIAL
USO OFICIAL
aplicación
de la
configuraci
ón de
firewall de
la política
CCN-STIC- Pulse “Intro” para ejecutar el “Conjunto resultante de directivas”. El
595 sistema solicitará elevación de privilegios, introduzca credenciales de
Incremental Administrador.
Servidor
Entidad de
Certificació
n”.
En la consola de “Firewall de Windows con seguridad avanzada” haga

clic derecho sobre “Firewall de Windows con seguridad avanzada” y
seleccione “Propiedades”. Compruebe los siguientes valores.

Perfil de dominio / Conexiones entrantes Bloquear (predet.)
Perfil de dominio / Conexiones salientes Permitir (predet.)
No
Personalizar… / Permitir respuesta de Si (predeterminado)
unidifusión
Personalizar… / Aplicar reglas de firewall No
local
Personalizar… / Aplicar reglas de Sí (predeterminado)
seguridad de conexión local
wall.log
4096
Personalizar… / Límite tamaño (KB)

USO OFICIAL
USO OFICIAL

descartados
correctas
Perfil privado / Conexiones entrantes Bloquear (predet.)
Perfil privado / Conexiones salientes Permitir (predet.)
No
unidifusión
local
Personalizar… / Aplicar reglas de No
wall.log
4096
descartados
correctas
Perfil público / Conexiones entrantes Bloquear (predet.)
Perfil público / Conexiones salientes Permitir (predet.)
No
unidifusión

USO OFICIAL
USO OFICIAL

local
wall.log
4096
descartados
correctas
14. Verifique la En la misma consola de “Firewall de Windows con seguridad
correcta avanzada” haga clic sobre “Reglas de entrada” y compruebe que
aplicación están creadas estas reglas, su estado, su acción y su puerto local.
de la
configuraci
ón de las
reglas de
entrada de
firewall de
la política
CCN-STIC-
595
Incremental
Servidor
Entidad de
Certificació
n”.
local
Protocolo de administración Sí Permitir 135

e inscripción de entidades
de certificación (CERTSVC-
DCOM-IN)
Protocolo de administración Sí Permitir Asignador
e inscripción de entidades de extremos
de certificación (CERTSVC- de RPC
RPC-EPMAP-IN)

USO OFICIAL
USO OFICIAL

local

RPC-NP-IN)
Protocolo de administración Sí Permitir Puertos
e inscripción de entidades dinámicos
de certificación (CERTSVC- RPC
RPC-TCP-IN)
Nota: Estas reglas de entrada aparecerán duplicadas debido a que se crean a través de
políticas de grupo pero también a través de la instalación del rol de entidad de
certificación. Dicha duplicidad es correcta e indicará que la aplicación de reglas se ha
aplicado adecuadamente.

USO OFICIAL
USO OFICIAL
ANEXO H. LISTA DE COMPROBACIÓN DE LA CORRECTA

INSTALACIÓN DE UNA ENTIDAD DE
CERTIFICACIÓN RAÍZ INDEPENDIENTE Y UNA
ENTIDAD DE CERTIFICACIÓN SUBORDINADA
DE DIRECTORIO ACTIVO EN WINDOWS
SERVER 2008 R2
1. COMPROBACIONES EN EL SERVIDOR INDEPENDIENTE

ENTIDAD DE CERTIFICACIÓN RAÍZ
– Editor de políticas de grupo local (gpedit.msc).
1. Inicie En el servidor independiente entidad de certificación raíz, inicie sesión
sesión en con una cuenta que tenga privilegios de administración.
el servidor
independie
nte entidad
de
certificación
raíz.
aplicación
de la
configuraci
ón de
servicios
del
sistema”. Pulse “Intro” para ejecutar el “Conjunto resultante de directivas”. El
sistema solicitará elevación de privilegios, introduzca credenciales de
Administrador.

USO OFICIAL
USO OFICIAL
Pestaña / Configuración Valor / Estado OK/NOK
Aislamiento de claves CNG Manual / Iniciado

Servicios de certificados de Active Automático / Iniciado
Directory
Servicios de cifrado Automático / Iniciado
3. Verifique la Para ello, pulse sobre el botón de inicio y escriba “gpedit.msc” en el
aplicación
de la
configuraci
ón de a
través del
“Editor de
directivas Pulse “Intro” para ejecutar el “Conjunto resultante de directivas”. El
de grupo sistema solicitará elevación de privilegios, introduzca credenciales de
local”. Administrador.

seleccione “Propiedades”. A través de la siguiente ruta:
“Directiva de equipo local  Configuración de Windows 
Configuración de seguridad  Firewall de Windows con
seguridad avanzada  Firewall de Windows con seguridad
avanzada – Objeto de directiva de grupo local”
Compruebe los siguientes valores.
No
unidifusión

USO OFICIAL
USO OFICIAL

local
wall.log (“No
configurado” debe estar
marcado)
4096 (“No configurado”
debe estar
desmarcado)
descartados
correctas
No
unidifusión
local
wall.log (“No
marcado)
debe estar
desmarcado)

USO OFICIAL
USO OFICIAL

descartados
correctas
Perfil público / Conexiones entrantes Bloquear (predet.)
No
unidifusión
local
wall.log (“No
marcado)
debe estar
desmarcado)
descartados
correctas

USO OFICIAL
USO OFICIAL

de la
configuraci
ón de las
reglas de
entrada de
firewall de
la política
CCN-STIC-
595
Incremental
Servidor
Entidad de
Certificació
n”.
local

DCOM-IN)
RPC-EPMAP-IN)
RPC-NP-IN)
RPC-TCP-IN)
2. COMPROBACIONES EN EL CONTROLADOR DE DOMINIO

– Administrador de directivas de grupo (gpmc.msc).
– Usuarios y equipos de Active Directory (dsa.msc).
Nota: La lista de comprobación está basada en los nombres de objetos de directivas, unidades organizativas y
cuentas de servicios tal y como se ha indicado en este documento. Deberá adaptar los pasos según la configuración
de su organización.

USO OFICIAL
USO OFICIAL
5. Inicie En uno de los controladores de dominio, inicie sesión con una cuenta
sesión en que tenga privilegios de administración del dominio.
un
controlador
de dominio.
“CCN-
Despliegue el menú en árbol hasta llegar a la unidad organizativa
STIC-595
“Servidores Entidad de Certificación”. Verifique que la política “CCN-
Incremental
STIC-595 Incremental Servidor Entidad de Certificación” está creada y
Servidor
vinculada en el primer lugar de orden de vínculo.
Entidad de
Certificació
n”.
7. Verifique Haga clic derecho sobre la directiva y seleccione “Editar” para ejecutar
los el “Editor de Administración de directivas de grupo”.
servicios Verifique que la directiva tiene los siguientes valores en servicios del
del sistema sistema. Para ello, navegue hasta:
de la
directiva
Certificación  Configuración del equipo  Directivas 
“CCN-
Configuración de Windows  Configuración de seguridad 
STIC-595
Servicios del Sistema
Incremental
Servidor
Entidad de
Certificació
n”.
Nota: Si lo desea puede pulsar sobre el título “Permiso” para ordenar la lista
por servicios configurados.

USO OFICIAL
USO OFICIAL
Nombre de Servicio Inicio Permiso OK/NOK
Aislamiento de claves CNG Automático Configurado

CertSvc Automático Configurado
Servicios de cifrado Automático Configurado
8. Verifique la Verifique que la directiva tiene los siguientes valores en Firewall de
configuraci Windows con seguridad avanzada. Para ello, navegue hasta:
ón de Directiva CCN-STIC-595 Incremental Servidor Entidad de
firewall de Certificación  Configuración del equipo  Directivas 
la directiva Configuración de Windows  Configuración de seguridad 
“CCN- Firewall de Windows con seguridad avanzada  Firewall de
STIC-595 Windows con seguridad avanzada
Incremental
Pulse “Propiedades” sobre “Firewall de Windows con seguridad
Servidor
avanzada” y compruebe las configuraciones pulsando sobre cada una
Entidad de
de las pestañas.
Certificació
n”.
Nota: Para comprobar algunas configuraciones deberá pulsar sobre los

botones “Personalizar” de las opciones de configuración e inicio de sesión.

No
Perfil de dominio / Inicio de sesión / wall.log
aparecer marcado)
4096
descartados

USO OFICIAL
USO OFICIAL

correctas
No
Perfil privado / Inicio de sesión / wall.log
aparecer marcado)
4096
descartados
correctas
No
Perfil público / Inicio de sesión / wall.log
aparecer marcado)
4096
descartados
correctas

USO OFICIAL
USO OFICIAL
9. Verifique la Verifique que la directiva tiene los siguientes valores en las reglas de
correcta entrada del Firewall de Windows con seguridad avanzada. Para ello,
aplicación navegue hasta:
de la Directiva CCN-STIC-595 Incremental Servidor Entidad de
configuraci Certificación  Configuración del equipo  Directivas 
ón de las Configuración de Windows  Configuración de seguridad 
reglas de Firewall de Windows con seguridad avanzada  Firewall de
entrada de Windows con seguridad avanzada  Reglas de entrada
firewall de
Compruebe que están creadas estas reglas, su estado, su acción y su
la política
puerto local.
CCN-STIC-
595
Incremental
Servidor
Entidad de
Certificació
n”.

local

\certsrv.exe,-51
@%systemroot%\system32 Sí Permitir Puertos
\certsrv.exe,-53 dinámicos
RPC
\certsrv.exe,-55
@%systemroot%\system32 Sí Permitir Asignador
\certsrv.exe,-57 de extremos
de RPC

USO OFICIAL
USO OFICIAL
10. Verifique la Verifique que la directiva tiene los siguientes valores en plantillas
configuraci administrativas. Para ello, navegue hasta:
ón de
plantillas
Certificación  Configuración del equipo  Plantillas
administrati
Administrativas  Red  Conexiones de red  Firewall de
vas de la
Windows  Perfil de dominio
directiva
“CCN-
STIC-595
Incremental
Servidor
Entidad de
Certificació
n”.
Compruebe que existen las reglas que se indican a continuación:

Firewall de Windows: proteger Habilitada

todas las conexiones de red
Firewall de Windows: permitir Habilitada
registro - Ruta o nombre del archivo de
registro:
(%systemroot%\system32\Lo
gfiles\Firewall\pfirewall.log
- - Límite de tamaño (KB): 4096
Firewall de Windows: No permitir Habilitada
notificaciones
“CCN-
Despliegue el menú en árbol hasta llegar al contenedor
STIC-595
correspondiente al dominio. Verifique que la política “CCN-STIC-595
Incremental
Incremental Dominio” está creada y vinculada en el primer lugar de
Dominio”.
orden de vínculo.

USO OFICIAL
USO OFICIAL
12. Verifique la Haga clic derecho sobre la directiva y seleccione “Editar” para ejecutar
configuraci el “Editor de Administración de directivas de grupo”.
ón de Verifique que la directiva tiene los siguientes valores en la
inscripción configuración de inscripción automática. Para ello, navegue hasta:
automática
Directiva CCN-STIC-595 Incremental Dominio  Configuración
de
del equipo  Directivas  Configuración de Windows 
certificados
Configuración de seguridad  Directivas de clave pública
en la
política Haga doble clic sobre el objeto “Cliente de Servicios de servidor de
“CCN- certificados – Inscripción automática” y compruebe los valores
STIC-595 correspondientes a la inscripción automática.
Incremental
Dominio”.
Modelo de configuración Habilitada

Renovar certificados expirados, actualizar Habilitada (marcada)
certificados pendientes y quitar certificados
revocados
Actualizar certificados que usan plantillas Habilitada (marcada)
de certificado

USO OFICIAL
USO OFICIAL
13. Verifique la Nota: En el ejemplo, se utilizará el mismo controlador de dominio ya que

correcta también recibe las políticas correspondientes al dominio.
aplicación
de la Para ello, pulse sobre el botón de inicio y escriba “rsop.msc” en el
política espacio adecuado para ello:
“CCN-
STIC-595
Incremental
Dominio”
en un
equipo
miembro Pulse “Intro” para ejecutar el “Conjunto resultante de directivas”. El
del sistema solicitará elevación de privilegios, introduzca credenciales de
dominio. Administrador.
Haga clic derecho sobre “Configuración de equipo” y seleccione

“Propiedades” en la consola de “Conjunto resultante de directivas” y
compruebe que la política “CCN-STIC-595 Incremental Dominio”
aparece en la lista como muestra la imagen.
Nota: En el ejemplo se ha comprobado la aplicación en un controlador del

dominio.

USO OFICIAL
USO OFICIAL
3. COMPROBACIONES EN EL SERVIDOR DE ENTIDAD DE

CERTIFICACIÓN SUBORDINADA
– Firewall de Windows con Seguridad Avanzada (wf.msc).
14. Inicie En el servidor entidad de certificación subordinada de empresa, inicie

sesión en sesión con una cuenta que tenga privilegios de administración del
el servidor dominio.
entidad de
certificación
subordinad
a de
empresa.
15. Verifique la Para ello, pulse sobre el botón de inicio y escriba “rsop.msc” en el
aplicación
de la
política
CCN-STIC-
595
Incremental
Servidor
Entidad de
Pulse “Intro” para ejecutar el “Conjunto resultante de directivas”. El
Certificació
sistema solicitará elevación de privilegios, introduzca credenciales de
n” en un
Administrador.
equipo
miembro
del
dominio.
Haga clic derecho sobre “Configuración de equipo” y seleccione

“Propiedades” en la consola de “Conjunto resultante de directivas” y
compruebe que la política “CCN-STIC-595 Incremental Servidor
Entidad de Certificación” aparece en la lista como muestra la imagen.

USO OFICIAL
USO OFICIAL
aplicación
de la
configuraci
ón de
servicios
del sistema
de la
política Pulse “Intro” para ejecutarla consola de servicios. El sistema solicitará
CCN-STIC- elevación de privilegios, introduzca credenciales de Administrador.
595
Incremental
Servidor
Entidad de
Certificació
n”.

Nombre de Servicio Inicio OK/NOK
Aislamiento de claves CNG Automático

Servicios de certificados de Active Directory Automático
Servicios de cifrado Automático

USO OFICIAL
USO OFICIAL
17. Verifique la Para ello, pulse sobre el botón de inicio y escriba “wf.msc” en el
aplicación
de la
configuraci
ón de
firewall de
la política
CCN-STIC- Pulse “Intro” para ejecutar la consola “Firewall de Windows con
595 seguridad avanzada”. El sistema solicitará elevación de privilegios,
Incremental introduzca credenciales de Administrador.
Servidor
Entidad de
Certificació
n”.

seleccione “Propiedades”. Compruebe los siguientes valores.

No
unidifusión
Personalizar… / Aplicar reglas de firewall Sí (predeterminado)
local
wall.log (“No
marcado)

USO OFICIAL
USO OFICIAL

debe estar
desmarcado)
descartados
correctas
No
unidifusión
local
wall.log (“No
marcado)
debe estar
desmarcado)
descartados
correctas
Bloquear todas las
Perfil público / Conexiones entrantes
conexiones

USO OFICIAL
USO OFICIAL

No
unidifusión
local
wall.log (“No
marcado)
debe estar
desmarcado)
descartados
correctas
de la
configuraci
ón de las
reglas de
entrada de
firewall de
la política
CCN-STIC-
595
Incremental
Servidor
Entidad de
Certificació
n”.

USO OFICIAL
USO OFICIAL

local

DCOM-IN)
RPC-EPMAP-IN)
RPC-NP-IN)
RPC-TCP-IN)
Nota: Estas reglas de entrada aparecerán duplicadas debido a que se crean a través de
políticas de grupo pero también a través de la instalación del rol de entidad de
certificación. Dicha duplicidad es correcta e indicará que la aplicación de reglas se ha
aplicado adecuadamente.

USO OFICIAL

Guia-CCN-STIC-595 Entidad de Certificación en Windows 2008 R2

Cargado por

Copyright:

Formatos disponibles

Guia-CCN-STIC-595 Entidad de Certificación en Windows 2008 R2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia-CCN-STIC-595 Entidad de Certificación en Windows 2008 R2

Cargado por

Copyright:

Formatos disponibles

USO OFICIAL

GUÍA/NORMA DE SEGURIDAD DE LAS TIC

 Centro Criptológico Nacional, 2016

Fecha de Edición: noviembre de 2018

Centro Criptológico Nacional i

ANEXO A. PLANTILLA DE SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN

Centro Criptológico Nacional ii

3. RENOVACIÓN DE CERTIFICADO DE ENTIDAD RAÍZ DE EMPRESA ................................... 72

Centro Criptológico Nacional iii

ANEXO H. LISTA DE COMPROBACIÓN DE LA CORRECTA INSTALACIÓN DE UNA ENTIDAD

Centro Criptológico Nacional iv

Centro Criptológico Nacional 5

8. Sin embargo y debido a la necesidad de verificar la revocación de certificados, por parte

Centro Criptológico Nacional 6

– Un servidor independiente del dominio basado en Windows Server 2008 R2

4. DESCRIPCIÓN DEL USO DE ESTA GUÍA

Centro Criptológico Nacional 7

4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA

Centro Criptológico Nacional 8

5. INTRODUCCIÓN A LOS SERVICIOS DE CIFRADO

Centro Criptológico Nacional 9

5.1 PROVEEDORES DE SERVICIOS DE CIFRADO (CSP)

Contiene un conjunto básico de funcionalidades

Una extensión a “Microsoft Base Cryptographic

Basado en “Microsoft Base Cryptographic Provider”

Proporciona funcionalidades de Hash, firma digital

Es un súper-conjunto del proveedor criptográfico

Centro Criptológico Nacional 10

Soporta el intercambio de claves Diffie-Hellman (un

Soporta funcionalidad Hash, firma digital DSS,

Soporta funcionalidad Hash, firma digital y

Microsoft Base Smart Card Crypto Provider Soporta tarjetas inteligentes.

Imagen 1 – Selección de proveedor de servicio de cifrado (CSP)

Centro Criptológico Nacional 11

5.1.1 ALGORITMOS Y LONGITUDES DE CLAVES

5.1.1.1 MICROSOFT BASE CRYPTOGRAPHIC PROVIDER

Data Encryption Standard (DES) Cifrado Bloque 56/56/56

Hashed Message Authentication Checksum

Message Authentication Checksum (MAC) Hash Cualquiera 0/0/0

Message Digest 2 (MD2) Hash Cualquiera 128/128/128

Message Digest 4 (MD4) Hash Cualquiera 128/128/128

Message Digest 5 (MD5) Hash Cualquiera 128/128/128

RSA Data Security 2 (RC2) Cifrado Bloque 40/40/56

RSA Data Security 4 (RC4) Cifrado Bloque 40/40/56

RSA Signature Firma RSA 512/384/16384

Secure Hash Algorithm (SHA1) Hash Cualquiera 160/160/160

Secure Socket Layer 3 SHA and MD5 (SSL3

5.1.1.2 MICROSOFT STRONG CRYPTOGRAPHIC PROVIDER

Data Encryption Standard (DES) Cifrado Bloque 56/56/56

Two Key Triple DES Cifrado Bloque 112/112/112

Three Key Triple DES Cifrado Bloque 168/168/168

Centro Criptológico Nacional 12

Hashed Message Authentication Checksum

Message Authentication Checksum (MAC) Hash Cualquiera 0/0/0

Message Digest 2 (MD2) Hash Cualquiera 128/128/128

Message Digest 4 (MD4) Hash Cualquiera 128/128/128

Message Digest 5 (MD5) Hash Cualquiera 128/128/128

RSA Data Security 2 (RC2) Cifrado Bloque 128/40/128

RSA Data Security 4 (RC4) Cifrado Stream 128/40/128

RSA Signature Firma RSA 1024/384/16384