RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2012 & R2

Active Directory Certificate Services (AD CS)

Avatar photo

ByRoberto Di Lello

Ago 24, 2016 ,

www.radians.com.ar Hoy vamos a ver algunas cosas de Windows Server 2012, mas puntualmente sobre Certificados y que cambios presenta esta nueva versión. Debemos tener en cuenta que es sobre una versión preliminar y puede tener cambios en futuras versiones.

Los Servicios de certificado de Active Directory (AD CS) en Windows Server 2012 ofrecen nuevas características y funcionalidades en comparación con las versiones anteriores.

Esta funcionalidad (AD CS) nos proporciona servicios personalizables para emitir y administrar certificados de infraestructura de clave pública (PKI) que frecuentemente utilizamos en sistemas de seguridad de software que emplean tecnologías de clave públicas. La función de servidor de AD CS incluye seis servicios de rol:

  • Entidad emisora de certificados (CA)
  • Inscripción en Web
  • Respondedor en línea
  • Servicio de inscripción de dispositivos de red
  • Servicio Web de directiva de inscripción de certificados
  • Servicio Web de inscripción de certificados

Las nuevas funciones disponibles en la versión de Windows Server 2012 de AD CS, incluyen:

  • Integración con el administrador del servidor
  • Capacidades de implementación y administración de Windows PowerShell ®
  • Todos los servicios de rol de AD CS ejecutarán en cualquier versión de Windows Server 2012
  • Todos los servicios de rol de AD CS se pueden ejecutar en Server Core
  • Apoyo a la renovación automática de certificados de dominio no se unió a los equipos
  • Aplicación de renovación de certificado con la misma clave
  • Soporte para nombres de dominio internacionales
  • Mayor seguridad habilitada de forma predeterminada en el servicio de rol de CA

La Integración con el administrador del servidor es por medio de la consola Server Manager que nos proporciona una interfaz gráfica de usuario centralizada para instalar y administrar la función de servidor de AD CS y su papel de seis servicios.

Esto nos da un valor agregado, el feature AD CS y sus servicios están integrados en Server Manager, y nos permite instalar el servicio de rol de AD CS en el menú Administrar utilizando Agregar Roles y características. Una vez que añadimos la función de servidor, AD CS aparece en la consola de administrador de servidor como uno de los roles que se pueden administrar. Esto proporciona una ubicación central desde donde podemos implementar y administrar AD CS y los servicios de rol. Además, el nuevo Manager Server nos permite administrar varios servidores desde una única ubicación y puede ver los servicios de rol de AD CS instalados en cada servidor, revisar eventos relacionados y realizar tareas de administración en cada servidor.

El metodo de la instalación de AD CS es similar a la de la versión anterior, excepto que para la división del proceso de instalación binaria y el proceso de configuración. Previamente la instalación y configuración era un sencillo asistente. En el nuevo proceso de instalación, primero debemos instalar los archivos binarios y, a continuación, podemos iniciar el Asistente de configuración de AD CS para configurar los servicios de rol que ya tienen sus archivos binarios instalados. Para quitar la función de servidor de AD CS, si lo podemos hacer directamente desde Quitar Roles y funciones en el menú de administración. También, podemos configurar todos los servicios de rol de AD CS o quitar sus configuraciones utilizando los cmdlets de AD CS desde Windows PowerShell.

Todas las versiones de Windows Server 2012 le permiten instalar todos los servicios de rol de AD CS, antiguamente no era así. En la versión Enterprise y Datacenter podíamos utilizar todos los features, en la estándar era limitado, y en la versión Web directamente no podíamos implementarlo. En Windows Server 2012, las seis versiones tienen disponibles los servicios de AD CS. Los seis de los servicios de rol de Windows Server 2012 AD CS se pueden instalar y ejecutar en las instalaciones Server Core de Windows Server 2012 o las opciones de instalación mínima interfaz de servidor.

Un tema muy importante, los denominados Servicios de Web de inscripción de certificados es una característica que fue agregada en Windows 7 y Windows Server 2008 R2. Esta característica permite que las solicitudes de certificados en línea provienen de dominios no confiables de servicios de dominio de Active Directory (AD DS) o incluso de los equipos que no están Unidos a un dominio. AD CS en Windows Server 2012 se basa en los servicios de Web de inscripción de certificados mediante la adición del feature de renovación automática de certificados para los equipos que forman parte de los dominios de confianza AD DS o no unidos a un dominio.

Esto es esencial para los administradores que ya no necesitan renovar manualmente certificados para equipos que son miembros de grupos de trabajo o posiblemente unieron a un dominio de AD DS diferente o un bosque.

En definitiva, los Servicios de Certificate Server Web siguen funcionando como lo hacían antes, pero ahora los equipos que están fuera del dominio pueden renovar sus certificados mediante su certificado existente para la autenticación.

AD CS en Windows Server 2012 introduce las plantillas de certificado 4 versión. Estas plantillas tienen varias diferencias de versiones anteriores. Las Plantillas de certificado de la versión 4 nos ofrecen:

  • Soporte de proveedores de servicios criptográficos (CSP) y proveedores de servicios clave (KSPs).
  • pueden establecerse para exigir la renovación con la misma clave.
  • sólo están disponibles para su uso por 8 versión previa de Windows ® y Windows Server 2012.
  • Especifique la autoridad de certificación mínima y sistemas operativos de cliente que se puede utilizar la plantilla de certificado.

Para ayudar a los administradores a separar qué características son compatibles con la versión de sistema operativo, la ficha compatibilidad fue agregada a la ficha de propiedades de plantilla de certificado. La nueva ficha de compatibilidad permite a los administradores establecer diferentes combinaciones de sistemas operativos para la certificación de autoridad y certificado de clientes y ver sólo las opciones que funcionarán con las versiones de cliente. Hay que tener en cuenta que los clientes anteriores a Windows 8 y Windows Server 2012 no será capaces de tomar ventaja de las nuevas plantillas de la versión 4.

También con AD CS en Windows Server 2012 aumenta la seguridad al exigir la renovación de un certificado con la misma clave. Esto permite que el mismo nivel de seguridad de la clave original para mantenerse durante todo su ciclo de vida. Windows Server 2012 apoya generar claves protegidas Trusted Platform Module (TPM) mediante proveedores de almacenamiento de claves basada en TPM (KSPs). La ventaja de utilizar KSP basada en TPM es la no exportabilidad de las claves respaldadas por el mecanismo anti-martilleo (anti-hammering mechanism) del TPMs. Los administradores pueden configurar plantillas de certificado, por lo que Windows 8 y Windows Server 2012 podrán dar mayor prioridad a KSPs basada en TPM para generar claves.

Algo que debemos tener en cuenta es que al Introducir el número de identificación personal (PIN) incorrectamente demasiadas veces activa la lógica anti-martilleo de TPM; que es un método de software o hardware que aumenta la dificultad y el costo frente a un ataque de fuerza bruta en un cierto tiempo.

Esta función permite a un administrador aplicar la renovación con la misma clave, que puede reducir los costes administrativos (cuando las claves se renuevan automáticamente) y aumentar la seguridad de la clave (cuando las claves se almacenan utilizando KSPs basada en TPM).

Lo distinto es que los clientes que reciben certificados de plantillas que están configuradas con la misma clave de renovación deben renovar sus certificados utilizando la misma clave o renovación se producirá un error. Además, esta opción sólo está disponible para clientes de certificado de Windows 8 y Windows Server 2012.

Nombres internacionalizados son nombres que contengan caracteres que no pueden representarse en ASCII. AD CS en Windows Server 2012 admite nombres de dominio internacionalizados (IDN) en varios escenarios.

Ahora se admiten los siguientes escenarios IDN

  • Inscripción de certificados para equipos que utilicen nombres de dominio internacionalizados
  • Generar y enviar una solicitud de certificado con un IDN utilizando la herramienta de línea de comandos certreq.exe
  • Publicación de listas de revocación de certificados (CRL) y Protocolo de estado de certificados en línea (OCSP) publicación en servidores utilizando nombres de dominio internacionalizados
  • La interfaz de usuario de certificado admite nombres de dominio internacionalizados
  • El complemento MMC de certificados también permite nombres de dominio internacionalizados en Propiedades de certificado

Cuando se recibe una solicitud de certificado por una autoridad de certificación (CA), puede aplicarse cifrado para la solicitud de la entidad emisora de certificados a través de la RPC_C_AUTHN_LEVEL_PKT. En Windows Server 2008 R2 y versiones anteriores, esta opción no estaba habilitada de forma predeterminada en la CA. En una CA de Windows Server 2012, esta configuración de seguridad mejorada está activada de forma predeterminada.

La CA exige mayor seguridad en las peticiones que se envían a la misma. Este mayor nivel de seguridad requiere el cifrado de los paquetes de solicitud de un certificado, por lo que no pueden ser interceptados y leídos. Sin esta opción habilitada, cualquier persona con acceso a la red puede leer paquetes enviaron desde la CA y utilizando un analizador de red. Esto significa que podría estar expuesto a información que puede ser considerado una violación de la privacidad, tales como los nombres de los que solicitan los usuarios o equipos, los tipos de certificados para que ellos se reclutaron, las claves públicas involucradas y así sucesivamente. Dentro de un dominio o bosque, la pérdida de estos datos no puede ser una preocupación para la mayoría de las organizaciones. Sin embargo, si los atacantes obtienen acceso para el tráfico de red, estructura interna de la empresa y actividad podría ser recopilado, que podría utilizarse para más de ingeniería social dirigida o phishing ataques.

Espero que les sea de utilidad y de interés; les dejo unos links con material adicional. Próximamente estaré viajando a USA para participar del Staff del TechEd, con lo cual voy a estar complicado con los tiempos pero podre traer información fresca y certera acerca de Windows Server 2012 y de Windows 8. Hasta ahora no podía publicar material al respecto, pero ya si, con lo cual tengo mucho material que iré publicando con el pasar de los días.

Saludos, Roberto Di Lello.

Post Relacionados:

  1. Windows Server: Como Implementar un CAroot y un certificado Web – Parte 1 {HowTo}
  2. Windows Server: Como Implementar un CAroot y un certificado Web – Parte 2 {HowTo}
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

2012 & R2 2016 2019 Directory Services

Como verificar los requisitos de complejidad de las contraseñas en Active Directory [Howto]

Feb 15, 2024 Roberto Di Lello
2008 & R2 2012 & R2 2016

Windows Server: No existe carpetas SYSVOL y Netlogon en nuestro Controlador de Dominio [segunda opcion]

Oct 10, 2023 Roberto Di Lello
2008 & R2 2012 & R2 2016 2019 Windows 10 Windows 11 Windows 7

Entendiendo el protocolo NTLM: Evaluacion de su entorno para la reduccion de NTLM [Parte4]

Oct 3, 2023 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

You missed

Intune Windows 11 Windows 365

Microsoft Intune – Como registrar un dispositivo? [HowTo]

Ene 9, 2026 Roberto Di Lello
Noticias & Eventos & Videos

Tu Xbox 360 necesita un ajuste urgente antes de 2026: partidas y logros podrían tener errores

Dic 12, 2025 Roberto Di Lello
Intune Windows 11 Windows 365

Intune: Cómo migrar PCs de Windows 10 a Windows 11

Dic 5, 2025 Roberto Di Lello
Windows 11 Windows Insiders

Win25H2 – Windows 11 Insider Preview Build 26200.7070 (canal de desarrollo)

Nov 28, 2025 Roberto Di Lello