CCN-STIC-597 - Entidad de Certificación en Windows 2012 R2

USO OFICIAL
GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-597)
ENTIDAD DE CERTIFICACIÓN EN
WINDOWS SERVER 2012 R2
NOVIEMBRE 2018
USO OFICIAL
USO OFICIAL
Edita:
CENTRO CRIPTOLOGICO NACIONAL

2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrónico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2018.11.16 10:13:26 +01'00'
 Centro Criptológico Nacional, 2016
Fecha de Edición: noviembre de 2018

Sidertia Solutions S.L. ha participado en la realización del presente documento y sus anexos.
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del
mismo mediante alquiler o préstamo públicos.
USO OFICIAL
USO OFICIAL
PRÓLOGO
El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos
de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y
agresiones, y donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de
derecho, la prosperidad económica, el estado de bienestar y el normal funcionamiento de la
sociedad y de las administraciones públicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al

Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las
tecnologías de la información en su artículo 4.e), y de protección de la información clasificada en su
artículo 4.f), a la vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir
el Centro Criptológico Nacional en su artículo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia
de riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por
el Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la
seguridad de las TIC, orientadas a la formación de personal experto, a la aplicación de políticas y
procedimientos de seguridad, y al empleo de tecnologías de seguridad adecuadas.
Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración, materializada en la
existencia de la serie de documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de
los medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de 22 de
junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 sobre
el Esquema Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad
fija los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración, y promueve la elaboración y difusión de guías de seguridad de las
tecnologías de la información y las comunicaciones por parte de CCN para facilitar un mejor
cumplimiento de dichos requisitos mínimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los

cometidos del Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de Seguridad,
conscientes de la importancia que tiene el establecimiento de un marco de referencia en esta materia que
sirva de apoyo para que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata
tarea de proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad.
Noviembre de 2018
Félix Sanz Roldán

Secretario de Estado
Director del Centro Criptológico Nacional
USO OFICIAL
USO OFICIAL
CCN-STIC-597 v1.1 Entidad de Certificación en Windows Server 2012 R2
ÍNDICE
1. INTRODUCCIÓN ......................................................................................................................................4
2. OBJETO .....................................................................................................................................................4
3. ALCANCE .................................................................................................................................................5
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA ............................................................................................6
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA ......................................................6
5. INTRODUCCIÓN A LOS SERVICIOS DE CIFRADO ...........................................................................7
5.1 PROVEEDORES DE SERVICIOS DE CIFRADO (CSP) ...................................................................8
5.1.1 ALGORITMOS Y LONGITUDES DE CLAVES .........................................................................11
5.1.1.1 MICROSOFT BASE CRYPTOGRAPHIC PROVIDER ..........................................................11
5.1.1.2 MICROSOFT STRONG CRYPTOGRAPHIC PROVIDER ....................................................11
5.1.1.3 MICROSOFT ENHANCED CRYPTOGRAPHIC PROVIDER ..............................................12
5.1.1.4 MICROSOFT ENHANCED RSA AND AES CRYPTOGRAPHIC PROVIDER ...................13
5.1.1.5 MICROSOFT BASE DSS CRYPTOGRAPHIC PROVIDER .................................................14
5.1.1.6 MICROSOFT BASE DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC PROVIDER ......14
5.1.1.7 MICROSOFT ENHANCED DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC
PROVIDER ...............................................................................................................................15
5.1.1.8 MICROSOFT DH SCHANNEL CRYPTOGRAPHIC PROVIDER ........................................16
5.1.1.9 MICROSOFT RSA SCHANNEL CRYPTOGRAPHIC PROVIDER ......................................17
5.1.1.10 MICROSOFT BASE SMART CARD CRYPTO PROVIDER. ...............................................18
5.1.1.11 ALGORITMOS SIMÉTRICOS ................................................................................................19
5.1.1.12 ALGORITMOS ASIMÉTRICOS .............................................................................................19
5.1.1.13 ALGORITMOS HASH .............................................................................................................20
5.1.1.14 ALGORITMOS DE INTERCAMBIO DE CLAVES ...............................................................20
5.1.1.15 MICROSOFT SOFTWARE KEY STORAGE PROVIDER ....................................................21
5.1.1.16 MICROSOFT SMART CARD KEY STORAGE PROVIDER ................................................21
6. ARQUITECTURA Y SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN DE
WINDOWS SERVER 2012 R2 ................................................................................................................22
6.1 COMPONENTES DE LOS SERVICIOS DE CERTIFICADOS .......................................................22
6.2 ROLES DISPONIBLES EN LAS DIFERENTES EDICIONES DE WINDOWS SERVER .............23
6.3 CONFIGURACIÓN DE LA SEGURIDAD DE LA ENTIDAD DE CERTIFICACIÓN...................24
6.4 RESTRICCIÓN DE LOS ADMINISTRADORES DE CERTIFICADOS .........................................27
6.5 AUDITORÍA DE EVENTOS DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN ...................27
6.6 SOPORTE DE VALIDACIÓN EXTENDIDA (EV) ..........................................................................29
7. NOVEDADES EN SERVICIOS DE SERVIDOR DE CERTIFICADOS EN WINDOWS SERVER
2012 Y WINDOWS SERVER 2012 R2 ...................................................................................................30
7.1 COMPATIBILIDAD DEL MODULO DE DIRECTIVAS CON EL SERVICIO DE INSCRIPCION
DE DISPOSITIVOS DE RED .............................................................................................................30
7.2 ATESTACIÓN DE CLAVE DE TPM ................................................................................................30
7.3 WINDOWS POWERSHELL PARA SERVICIOS DE SERVIDOR DE CERTIFICADOS ..............31
7.4 COMPATIBILIDAD CON LA RENOVACIÓN BASADA EN CLAVES........................................31
7.5 COMPATIBILIDAD CON PLANTILLAS DE CERTIFICADO.......................................................31
7.6 COMPATIBILIDAD CON LA RENOVACIÓN DE CERTIFICADOS CON LA MISMA CLAVE32
7.7 COMPATIBILIDAD CON NOMBRES DE DOMINIO INTERNACIONALIZADOS ....................32
7.8 MAYOR SEGURIDAD HABILITADA DE MANERA PREDETERMINADA EN EL SERVICIO
DE ROL ENTIDAD DE CERTIFICACIÓN ......................................................................................33
7.9 FORMATO PFX PROTEGIDO POR UN GRUPO ............................................................................33
7.10 LAS CLAVES PRIVADAS DE CA SE INCLUYEN EN LA IMAGEN DE COPIA DE
SEGURIDAD DE ESTADO DEL SISTEMA ....................................................................................33
Centro Criptológico Nacional i

USO OFICIAL
USO OFICIAL
ANEXOS
ANEXO A. PLANTILLA DE SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN

INTEGRADA EN DIRECTORIO ACTIVO EN WINDOWS SERVER 2012 R2..................................34
ANEXO B. PLANTILLA DE SEGURIDAD DE INSCRIPCIÓN AUTOMÁTICA DE CERTIFICADOS
EN EL DOMINIO ....................................................................................................................................41
ANEXO C. PLANTILLA DE SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN EN
SERVIDOR WINDOWS SERVER 2012 R2 INDEPENDIENTE ..........................................................42
ANEXO D. GUÍA PASO A PASO DE LA INSTALACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN
RAÍZ DE EMPRESA EN WINDOWS SERVER 2012 R2 .....................................................................48
1. PREPARACIÓN DEL DIRECTORIO ACTIVO................................................................................48
1.1 INSTALACIÓN DEL SERVIDOR ENTIDAD DE CERTIFICACIÓN .......................................64
1.2 CONFIGURACIÓN DE LA ENTIDAD DE CERTIFICACIÓN RAÍZ DE EMPRESA ..............70
1.3 RENOVACIÓN DE CERTIFICADO DE ENTIDAD RAÍZ DE EMPRESA ...............................79
ANEXO E. GUÍA PASO A PASO DE LA INSTALACIÓN DE UNA ENTIDAD RAÍZ
INDEPENDIENTE Y UNA ENTIDAD DE CERTIFICACIÓN SUBORDINADA DE DIRECTORIO
ACTIVO EN WINDOWS SERVER 2012 R2 .........................................................................................85
1. INSTALACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ SOBRE UN SERVIDOR
INDEPENDIENTE. .............................................................................................................................85
2. CREACIÓN DE UNA PARTICIÓN...................................................................................................87
3. CONTINUACIÓN CON LA INSTALACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ
SOBRE UN SERVIDOR INDEPENDIENTE. ...................................................................................90
4. CONFIGURACIÓN DE LISTA DE REVOCACIÓN DE CERTIFICADOS (CRL) .........................93
5. AMPLIACIÓN DEL PERIODO DE VALIDEZ DE LOS CERTIFICADOS ..................................104
6. PREPARACIÓN DEL DIRECTORIO ACTIVO..............................................................................107
7. INSTALACIÓN DEL SERVIDOR ENTIDAD DE CERTIFICACIÓN SUBORDINADA A LA
ENTIDAD DE CERTIFICACIÓN RAÍZ .........................................................................................123
7.1 CREACIÓN DE UNA PARTICIÓN ...........................................................................................130
7.2 CONFIGURACIÓN DE LA ENTIDAD DE CERTIFICACIÓN SUBORDINADA ..................133
7.3 PASOS FINALES EN LA INSTALACIÓN DE LA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA DE EMPRESA ...............................................................................................139
7.4 CONFIGURACIÓN DE LISTA DE REVOCACIÓN DE CERTIFICADOS (CRL) EN LA
ENTIDAD SUBORDINADA. .....................................................................................................146
ANEXO F. ADMINISTRACIÓN DE CARACTERÍSTICAS DE LA ENTIDAD DE CERTIFICACIÓN
................................................................................................................................................................157
1. CONFIGURACIÓN DE LA AUDITORÍA DE LAS OPERACIONES DE LA ENTIDAD DE
CERTIFICACIÓN .............................................................................................................................157
2. CONFIGURACIÓN DE PROPIEDADES DE LA ENTIDAD DE CERTIFICACIÓN ...................160
3. RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE CERTIFICACIÓN ..........162
3.1 RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ
......................................................................................................................................................162
3.2 RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA .........................................................................................................................164
4. GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE CERTIFICADOS .......174
4.1 GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE CERTIFICADOS
(CRL) MEDIANTE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ DE EMPRESA ................175
4.2 GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE CERTIFICADOS
(CRL) MEDIANTE UNA ENTIDAD DE CERTIFICACIÓN SUBORDINADA A UNA
ENTIDAD DE CERTIFICACIÓN RAÍZ INDEPENDIENTE ....................................................178
5. GENERACIÓN DE PLANTILLAS DE CERTIFICADO ................................................................181
5.1 MODIFICACIÓN DE DURACIÓN MÁXIMA DEL PERIODO DE VALIDEZ DE LOS
CERTIFICADOS .........................................................................................................................182
Centro Criptológico Nacional ii

USO OFICIAL
USO OFICIAL
5.2 CREACIÓN DE PLANTILLAS DE CERTIFICADO ................................................................184

5.3 PUBLICACIÓN DE UNA PLANTILLA DE CERTIFICADOS EN LA ENTIDAD DE
CERTIFICACIÓN ........................................................................................................................192
6. PROCEDIMIENTOS DE SOLICITUD Y ADMINISTRACIÓN DE CERTIFICADOS.................194
6.1 SOLICITUD DE CERTIFICADOS .............................................................................................194
6.1.1 DESDE LA CONSOLA MMC ...............................................................................................194
6.1.2 DESDE EL SERVICIO DE INTERNET INFORMATION SERVICES (IIS) .......................199
6.2 EMISIÓN DE SOLICITUDES PENDIENTES DE CERTIFICADOS .......................................203
6.3 EXPORTACIÓN DE CERTIFICADOS ......................................................................................205
6.4 IMPORTACIÓN DE CERTIFICADOS ......................................................................................210
6.5 REVOCACIÓN DE CERTIFICADOS ........................................................................................216
6.6 RENOVACIÓN DE CERTIFICADOS ........................................................................................218
7. COPIA DE SEGURIDAD Y RESTAURACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN .....223
7.1 COPIA DE SEGURIDAD DE UNA ENTIDAD DE CERTIFICACIÓN ...................................223
7.2 RESTAURACIÓN DE COPIA DE SEGURIDAD DE UNA ENTIDAD DE CERTIFICACIÓN
......................................................................................................................................................226
ANEXO G. LISTA DE COMPROBACIÓN DE LA CORRECTA INSTALACIÓN DE UNA ENTIDAD
DE CERTIFICACIÓN RAÍZ DE EMPRESA DE DIRECTORIO ACTIVO EN WINDOWS SERVER
2012 R2...................................................................................................................................................231
1. COMPROBACIONES EN EL CONTROLADOR DE DOMINIO ..................................................231
2. COMPROBACIONES EN EL SERVIDOR DE ENTIDAD DE CERTIFICACIÓN.......................238
ANEXO H. LISTA DE COMPROBACIÓN DE LA CORRECTA INSTALACIÓN DE UNA ENTIDAD
DE CERTIFICACIÓN RAÍZ INDEPENDIENTE Y UNA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA DE DIRECTORIO ACTIVO EN WINDOWS SERVER 2012 R2 ..........................244
1. COMPROBACIONES EN EL SERVIDOR INDEPENDIENTE ENTIDAD DE CERTIFICACIÓN
RAÍZ ..................................................................................................................................................244
2. COMPROBACIONES EN EL CONTROLADOR DE DOMINIO ..................................................248
3. COMPROBACIONES EN EL SERVIDOR DE ENTIDAD DE CERTIFICACIÓN
SUBORDINADA ..............................................................................................................................255
Centro Criptológico Nacional iii

USO OFICIAL
USO OFICIAL
CCN-STIC-597 v1.1 Entidad de Certificación en Windows Server 2012 R2 Standard
1. INTRODUCCIÓN
1. Este documento forma parte del conjunto de normas desarrolladas por el Centro
Criptológico Nacional para entornos basados en los productos y sistemas operativos de
Microsoft (CCN-STIC-500) siendo de aplicación para la Administración y de obligado
cumplimiento para los Sistemas que manejen información clasificada Nacional.
2. La serie CCN-STIC-500 se ha diseñado de manera incremental. Así que, dependiendo del
sistema, se aplicarán consecutivamente varias de estas guías. Por ejemplo, para un
servidor de Entidad de Certificación de empresa de Windows Server 2012 R2, las guías
que deberán aplicarse son:
– CCN-STIC-560A Windows Server 2012 R2 - Inst completa, DC o miembro.
– CCN-STIC-563 Implementación de IIS 8.5 sobre Windows Server 2012 R2 en
servidor miembro del dominio.
– La presente guía.
Nota: Estas guías están pensadas y diseñadas para entornos de máxima seguridad donde no existirá ningún tipo de
conexión con redes consideradas no seguras como puede ser Internet.
2. OBJETO
3. El propósito de este documento consiste en proporcionar los procedimientos para la
implementación, establecer la configuración y realizar tareas de administración
maximizando las condiciones de seguridad del servidor que actúe como Entidad de
Certificación de Microsoft Windows Server 2012 R2 en un servidor miembro de una
infraestructura de dominio.
4. La instalación, así como los procesos de administración, se ha diseñado para que la
implementación sea lo más restrictiva posible. Es posible que determinadas
funcionalidades del servidor de Entidad de Certificación requieran modificar algunas de
las configuraciones que se plantean a través de la presente guía.
5. Esta guía asume que el servidor de Entidad de Certificación se va a implementar sobre un
equipo con Windows Server 2012 R2 de 64 Bits en el cuál se ha seguido el proceso de
implementación definido en las guías CCN-STIC-560A y CCN-STIC-563.
6. Cumpliendo con estos requisitos previos, se puede iniciar la instalación del servidor de
Entidad de Certificación basado en Microsoft Windows Server 2012 R2.
7. Así mismo y por motivos de seguridad y reducción de la superficie de ataque, no se
contempla en esta guía la instalación del servicio Web de inscripción de certificados,
servicio respondedor en línea u otros servicios que no sean estrictamente necesarios para
el adecuado funcionamiento del servicio de la Entidad de Certificación en un entorno
privado.
8. Sin embargo y debido a la necesidad de verificar la revocación de certificados, por parte
de los equipos cliente y aplicaciones, será necesario instalar el servicio “Internet
Information Services (IIS)” para publicar la lista de revocación de certificados de la
Entidad de Certificación. Es por ello que antes de iniciar las tareas de instalación de la
presente guía, es necesario aplicar la guía de seguridad “CCN-STIC-563 Implementación
de IIS 8.5 sobre Windows Server 2012 R2 en servidor miembro de dominio”.
Centro Criptológico Nacional 4

USO OFICIAL
USO OFICIAL
3. ALCANCE
9. La guía ha sido elaborada con el propósito de proporcionar información específica para
realizar una implementación del servidor de Entidad de Certificación de Microsoft
Windows Server 2012 R2 en una configuración restrictiva de seguridad. Se incluyen,
además, operaciones básicas de administración como la gestión de extensiones, creación
de plantillas de certificados, gestión de la seguridad de la Entidad de Certificación y
control de auditoría, además de aquellas acciones que deben ser llevadas a cabo para el
adecuado mantenimiento del servicio.
10. Esta guía de seguridad contempla dos escenarios de implementación: un primer escenario
con una única Entidad de Certificación raíz de tipo “Empresa” instalada en un servidor
miembro de un dominio de Directorio Activo y un segundo escenario con una Entidad de
Certificación raíz de tipo “Independiente” instalada en un servidor independiente y una
Entidad de Certificación subordinada de la primera, de tipo “Empresa” e instalada en un
servidor miembro de un dominio de Directorio Activo.
11. El escenario de una única Entidad de Certificación raíz de empresa tiene las siguientes
características técnicas:
– Un único bosque de Directorio Activo.
– Un único dominio dentro del bosque de Directorio Activo.
– Nivel funcional del bosque y del dominio en Windows Server 2012 Standard.
– Un controlador de dominio basado en Windows Server 2012 R2 Standard.
– Un servidor miembro del dominio basado en Windows Server 2012 R2 Standard.
– La instalación del servicio de Entidad de Certificación se realiza en modo limpio, es
decir, no se contemplan procedimientos de migración desde versiones anteriores.
– No se contemplan mecanismos de alta disponibilidad ni balanceo de carga en el
escenario planteado.
12. El escenario de dos entidades de certificación, una entidad raíz y otra subordinada tiene
las siguientes características técnicas:
– Un único bosque de Directorio Activo.
– Un único dominio dentro del bosque de Directorio Activo.
– Nivel funcional del bosque y del dominio en Windows Server 2012 Standard.
– Un controlador de dominio basado en Windows Server 2012 R2 Standard.
– Un servidor miembro del dominio basado en Windows Server 2012 R2 Standard.
– Un servidor independiente del dominio basado en Windows Server 2012 R2
Standard.
– La instalación del servicio de Entidad de Certificación se realiza en modo limpio, es
decir, no se contemplan procedimientos de migración desde versiones anteriores.
– No se contemplan mecanismos de alta disponibilidad ni balanceo de carga en el
escenario planteado.

USO OFICIAL
USO OFICIAL
13. Este documento incluye:

– Mecanismos para la aplicación de configuraciones. Se incorporan mecanismos
para la implementación, de forma automática, de las configuraciones de seguridad
susceptibles de ello.
– Mecanismos para la creación de cuentas necesarias para la funcionalidad de la
solución. Tanto los procesos de implementación como de instalación requieren de
cuentas específicas; se ha automatizado el proceso de creación de dichas cuentas.
– Descripción de la seguridad en el servicio de Entidad de Certificación. Completa
la descripción de los mecanismos de seguridad, autenticación y autorización
utilizados en el servicio de Entidad de Certificación de Windows Server 2012 R2, así
como las medidas para reforzar dicha seguridad.
– Guía paso a paso. Va a permitir implantar y establecer las configuraciones de
seguridad de un servidor de Entidad de Certificación de Windows Server 2012 R2.
– Guía de administración. Va a permitir realizar tareas de administración en el
entorno de seguridad establecido.
– Lista de comprobación. Permitirá verificar el grado de cumplimiento de un servidor
con respecto a las condiciones de seguridad que se establecen en esta guía.
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA

14. Para entender esta guía de seguridad es conveniente explicar el proceso de refuerzo de la
seguridad que describe y los recursos que proporciona. Este procedimiento constará, a
grandes rasgos, de los siguientes pasos:
– Antes de comenzar a aplicar la guía, además de los requisitos para la instalación del
servicio de Entidad de Certificación, será necesario cumplir los requisitos definidos
para Windows Server 2012 R2.
– Así mismo, antes de instalar el rol de servicios de certificados de Directorio Activo,
será necesario aplicar la guía de seguridad codificada como CCN-STIC-560A.
– A continuación, se deberá instalar y configurar el rol de servidor web (IIS) y aplicar
la guía de seguridad codificada como CCN-STIC-563.
– Por último, se deberá instalar y configurar el rol de servicios de certificados de
Directorio Activo tal y como se describe en la presente guía.
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA

15. Los contenidos de esta guía son de aplicación para servidores con Sistemas Operativos
Microsoft Windows Server 2012 R2.
16. La guía ha sido probada y verificada con la versión de Windows Server 2012 R2
Standard, con los parámetros por defecto de instalación y aplicando la guía CCN-STIC-
560A para su configuración. No se ha verificado en otros tipos de instalaciones como
pudiera ser la de tipo OEM.
17. Esta guía ha sido diseñada para reducir la superficie de exposición de los equipos
servidores que cuenten con una implementación de rol de servicios de certificados de
Directorio Activo en un entorno de dominio de Directorio Activo.

USO OFICIAL
USO OFICIAL
18. La guía de seguridad ha sido elaborada utilizando un laboratorio basado en una

plataforma de virtualización tipo Hyper-V de Windows Server 2012 R2 con las siguientes
características técnicas:
– Servidor Dell PowerEdge™ T320:
 Intel Pentium Xeon CPU ES 2430 2.20 GHz.
 HDD 1 TB.
 64 GB de RAM.
 Interfaz de Red 1 Gbit/s.
19. Esta guía de seguridad no funcionará con hardware que no cumpla con los requisitos de
seguridad mínimos de Windows Server 2012 R2 Standard de 64 bits. Esto quiere decir
que se requieren equipos con procesadores Intel o AMD de 64 bits (x64), con más de 512
MB de memoria RAM. No están soportados los procesadores Itanium de 64 bits.
20. Así mismo, hay que tener en cuenta que el rol de servicios de certificados de Directorio
Activo, para un entorno de producción, necesitará un mínimo de 2 GB de memora RAM
para funcionar adecuadamente, aunque se recomiendan 4 GB.
21. La guía ha sido desarrollada con el objetivo de dotar a la infraestructura de la seguridad
máxima. Es posible que algunas de las funcionalidades esperadas hayan sido desactivadas
y, por lo tanto, pueda ser necesario realizar acciones adicionales para habilitar servicios o
características deseadas en Microsoft Windows Server 2012 R2.
22. Para garantizar la seguridad de los servidores, deberán instalarse las actualizaciones
recomendadas por el fabricante, disponibles a través del servicio de Windows Update.
Las actualizaciones por lo general se liberan los segundos martes de cada mes, no
obstante, hay que tener presente que determinadas actualizaciones por su criticidad
pueden ser liberadas en cualquier momento.
23. Dependiendo de la naturaleza de estas actualizaciones, el lector podrá encontrarse con
algunas diferencias respecto a lo descrito en esta guía. Esto viene motivado por los
cambios que en ocasiones se realizan para las distintas actualizaciones de seguridad.
24. Antes de aplicar esta guía en producción debe asegurarse que, previamente, ha sido
probada en un entorno aislado y controlado donde se hayan aplicado los tests y cambios
en la configuración que se ajustan a los criterios específicos de cada organización.
25. El espíritu de estas guías no está dirigido a reemplazar políticas consolidadas y probadas
de las organizaciones sino a servir como la línea base de seguridad que deberá ser
adaptada a las necesidades propias de cada organización.
5. INTRODUCCIÓN A LOS SERVICIOS DE CIFRADO

26. Como ya es sabido, las redes públicas no proporcionan mecanismos de seguridad para la
transmisión de datos entre sistemas y usuarios. El diseño original de Internet, y por
consiguiente de la pila de protocolos TCP/IP, no contemplaba la seguridad en el
intercambio de datos.
27. Es por ello que este tipo de comunicaciones es susceptible de ser interceptada y
modificada por terceras personas o sistemas, sin previa autorización.

USO OFICIAL
USO OFICIAL
28. La criptografía ayuda a proteger los datos que se transmiten en redes públicas y privadas,
así como aquellos que están almacenados en bases de datos o sistemas de información.
29. Los principales objetivos de la criptografía son los siguientes:
– Confidencialidad. Ayuda a proteger la identidad de un usuario o sistema y evita que
se lea la información transmitida.
– Integridad. Garantiza que la información transmitida no ha sido alterada en el
transcurso de la comunicación.
– Autenticación. Identifica de forma única la identidad del remitente o receptor de la
información, para garantizar a la otra parte que es quien dice ser.
– No repudio o sin rechazo. Evita que una parte involucrada en la comunicación niegue
el envío de un mensaje.
30. Para alcanzar estos objetivos, se puede usar una combinación de algoritmos y prácticas
conocidas como primitivas criptográficas para crear un esquema de cifrado.
– Cifrado de clave secreta (cifrado simétrico). Realiza la transformación de los datos
para impedir que puedan ser leídos por terceros. Este tipo de cifrado utiliza una clave
secreta compartida para cifrar y descifrar los datos. Los algoritmos de cifrado de
clave secreta son muy rápidos (comparados con los de clave pública) y resultan
adecuados para realizar transformaciones criptográficas en grandes flujos de datos.
– Cifrado de clave pública (cifrado asimétrico). Realiza la transformación de los datos
para impedir que puedan ser leídos por terceros. Este tipo de cifrado utiliza un par de
claves pública y privada para cifrar y descifrar los datos. La clave pública y la clave
privada están vinculadas matemáticamente; los datos cifrados con la clave pública
solo pueden descifrarse con la clave privada y los datos firmados con la clave
privada solo pueden comprobarse con la clave pública.
– Firmas digitales. Ayudan a comprobar que los datos se originan en una parte
específica mediante la creación de una firma digital única para esa parte. En este
proceso también se usan funciones hash.
– Valores hash de cifrado. Los algoritmos hash asignan valores binarios de longitud
arbitraria a valores binarios más pequeños de longitud fija, que se denominan valores
hash. Un valor hash es una representación numérica de un segmento de datos. Los
valores hash son únicos estadísticamente; el valor hash de una secuencia de dos bytes
distinta no será el mismo.
5.1 PROVEEDORES DE SERVICIOS DE CIFRADO (CSP)

31. Un proveedor de servicios de cifrado (CSP) es un programa que ofrece servicios de
autenticación, codificación y cifrado para que las aplicaciones basadas en Windows
obtengan acceso mediante la interfaz de programación de aplicaciones criptográficas de
Microsoft (CryptoAPI).
32. Cada proveedor contiene la implementación de los algoritmos y funciones de criptografía
estándar y como mínimo, consiste en una librería de enlace dinámica (DLL) que
implementa las funciones CryptoAPI.
33. Los proveedores asociados con CryptoAPI implementan tanto algoritmos de cifrado
como almacenamiento de claves.

USO OFICIAL
USO OFICIAL
34. Sin embargo, los proveedores asociados con CNG (Crypto New generation) disponibles a
partir de los sistemas operativos Windows Vista y Windows Server 2008, separan la
implementación de algoritmos de cifrado del almacenamiento de las claves.
35. La siguiente lista muestra los proveedores de servicios de cifrado que actualmente están
disponibles y que se distribuyen como parte de Windows Vista y Windows Server 2008.
Nota: La información sobre proveedores de servicios de cifrado, así como algoritmos soportados y longitudes de
claves, ha sido extraída de la siguiente página Web de Microsoft MSDN https://msdn.microsoft.com/en-
us/library/windows/desktop/bb931380(v=vs.85).aspx. Es posible que las actualizaciones de seguridad modifiquen
las configuraciones de seguridad predeterminadas de los proveedores de servicios de cifrado o incluso invaliden
algoritmos que han sido considerados obsoletos.
Proveedor Descripción
Microsoft Base Cryptographic Provider Contiene un conjunto básico de funcionalidades

criptográficas. Se distribuye con CryptoAPI v1.0 y
v2.0.
Microsoft Strong Cryptographic Provider Una extensión a “Microsoft Base Cryptographic

Provider” disponible a partir de Windows XP y
versiones superiores.
Microsoft Enhanced Cryptographic Provider Basado en “Microsoft Base Cryptographic

Provider” con mayor longitud en las claves y
algoritmos adicionales añadidos.
Microsoft Enhanced RSA and AES Cryptographic Proveedor de cifrado mejorado de Microsoft que
Provider proporciona soporte de algoritmos de cifrado AES.
Microsoft Base DSS Cryptographic Provider Proporciona funcionalidades de Hash, firma digital
y verificación de la firma utilizando los algoritmos
Secure Hash Algorithm (SHA) y Digital Signature
Standard (DSS).
Microsoft Base DSS and Diffie-Hellman Es un súper-conjunto del proveedor de cifrado

Cryptographic Provider DSS que además soporta el intercambio de claves
Diffie-Hellman, funcionalidad Hash SHA, firma
digital DSS y verificación de firma DSS.
Microsoft Enhanced DSS and Diffie-Hellman Soporta el intercambio de claves Diffie-Hellman

Cryptographic Provider (un derivado DES de 40 bits), funcionalidad Hash
SHA, firma digital DSS y verificación de firma
DSS.
Microsoft DH Schannel Cryptographic Provider Soporta funcionalidad Hash, firma digital DSS,
generación de claves Diffie-Hellman (D-H),
intercambio de claves D-H. Además, soporta la
derivación de claves para los protocolos SSL 3.0 y
TLS 1.0

USO OFICIAL
USO OFICIAL
Proveedor Descripción
Microsoft RSA/Schannel Cryptographic Provider Soporta funcionalidad Hash, firma digital y

verificación de firma. El algoritmo
CALG_SSL3_SHAMD5 se utiliza para la
autenticación de clientes con los protocolos SSL
3.0 y TLS 1.0. Además, soporta la derivación de
claves para los protocolos SSL2, PCT1, SSL3 y
TLS1
Microsoft Base Smart Card Crypto Provider Soporta tarjetas inteligentes.
36. Cuando se instala una Entidad de Certificación, uno de los parámetros más importantes
que se debe seleccionar es el proveedor de servicios de cifrado (CSP) que va a utilizar
dicha Entidad de Certificación junto con la longitud de la clave pública, tal y como se
muestra en la siguiente imagen.
37. Más adelante, en esta guía, se mostrarán los pasos necesarios para instalar y configurar
correctamente un servidor de Entidad de Certificación basado en Windows Server 2012
R2 con los más altos niveles de seguridad.

USO OFICIAL
USO OFICIAL
5.1.1 ALGORITMOS Y LONGITUDES DE CLAVES
5.1.1.1 MICROSOFT BASE CRYPTOGRAPHIC PROVIDER
Algoritmo Utilización Tipo Longitud de clave

(predeterminado /
mínimo /
máximo)
Data Encryption Standard (DES) Cifrado Bloque 56/56/56
Hashed Message Authentication Checksum Hash Cualquiera 0/0/0

(HMAC)
Message Authentication Checksum (MAC) Hash Cualquiera 0/0/0
Message Digest 2 (MD2) Hash Cualquiera 128/128/128
RSA Data Security 2 (RC2) Cifrado Bloque 40/40/56
RSA Key Exchange Intercambio RSA 512/384/1024

de claves
RSA Signature Firma RSA 512/384/16384
Secure Hash Algorithm (SHA1) Hash Cualquiera 160/160/160
Secure Socket Layer 3 SHA and MD5 (SSL3 Hash Cualquiera 288/288/288
SHAMD5)
5.1.1.2 MICROSOFT STRONG CRYPTOGRAPHIC PROVIDER

(predeterminado /
mínimo /
máximo)
Two Key Triple DES Cifrado Bloque 112/112/112
Three Key Triple DES Cifrado Bloque 168/168/168

(HMAC)

USO OFICIAL
USO OFICIAL

(predeterminado /
mínimo /
máximo)
RSA Data Security 4 (RC4) Cifrado Stream 128/40/128

de claves
SHAMD5)
5.1.1.3 MICROSOFT ENHANCED CRYPTOGRAPHIC PROVIDER

(predeterminado /
mínimo /
máximo)

(HMAC)

USO OFICIAL
USO OFICIAL

(predeterminado /
mínimo /
máximo)

de claves
SHAMD5)
5.1.1.4 MICROSOFT ENHANCED RSA AND AES CRYPTOGRAPHIC PROVIDER

(predeterminado /
mínimo /
máximo)
Advanced Encryption Standard 128 (AES128) Cifrado Bloque 128/128/128

(HMAC)

USO OFICIAL
USO OFICIAL

(predeterminado /
mínimo /
máximo)

de claves
SHAMD5)
5.1.1.5 MICROSOFT BASE DSS CRYPTOGRAPHIC PROVIDER

(predeterminado /
mínimo /
máximo)
Digital Signature Algorithm (DSA) Firma DSS 1024/512/1024
5.1.1.6 MICROSOFT BASE DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC

PROVIDER

(predeterminado /
mínimo /
máximo)
CYLINK Message Encryption Algorithm Cifrado Bloque 40/40/40
Diffie-Hellman Key Exchange Algorithm Intercambio Diffie-Hellman 512/512/1024

de claves

USO OFICIAL
USO OFICIAL

(predeterminado /
mínimo /
máximo)
Diffie-Hellman Ephemeral Algorithm Intercambio Diffie-Hellman 512/512/1024

de claves
5.1.1.7 MICROSOFT ENHANCED DSS AND DIFFIE-HELLMAN CRYPTOGRAPHIC

PROVIDER

(predeterminado /
mínimo /
máximo)
Diffie-Hellman Key Exchange Algorithm Intercambio Diffie-Hellman 1024/512/4096

de claves
Diffie-Hellman Ephemeral Algorithm Intercambio Diffie-Hellman 1024/512/4096

de claves

USO OFICIAL
USO OFICIAL
5.1.1.8 MICROSOFT DH SCHANNEL CRYPTOGRAPHIC PROVIDER
Algoritmo Utilización Tipo Longitud de

clave
(predeterminado
/ mínimo /
máximo)
Diffie-Hellman Key Exchange Algorithm Intercambio de Diffie-Hellman 512/512/4096

claves
Diffie-Hellman Ephemeral Algorithm Intercambio de Diffie-Hellman 512/512/4096

claves
Schannel Encryption Key Cifrado Schannel 0/0/-1
Schannel MAC Key Cifrado / Hash Schannel 0/0/-1
Schannel Master Hash Cifrado / Hash Schannel 0/0/-1
Secure Sockets Layer (SSL3) Master Cifrado Schannel 384/384/384
Transport Layer Security (TLS1) Master Cifrado Schannel 384/384/384

USO OFICIAL
USO OFICIAL
5.1.1.9 MICROSOFT RSA SCHANNEL CRYPTOGRAPHIC PROVIDER

clave
(predeterminado
/ mínimo /
máximo)
Advanced Encryption Standard 128 Cifrado Bloque 128/128/128

(AES128)
Advanced Encryption Standard 256 Cifrado Bloque 256/256/256

(AES256)

(HMAC)
RSA Key Exchange Intercambio de RSA 1024/384/16384

claves
Schannel Encryption Key Cifrado Schannel 0/0/-1
Schannel Master Hash Cifrado / Hash Schannel 0/0/-1
Schannel MAC Key Cifrado / Hash Schannel 0/0/-1
Secure Socket Layer 2 (SSL2) Master Cifrado Schannel 40/40/192
Secure Socket Layer 3 (SSL3) Master Cifrado Schannel 384/384/384
Secure Socket Layer 3 SHA and MD5 Hash Cualquiera 288/288/288

(SSL3 SHAMD5)
Transport Layer Security (TLS1) Master Cifrado Schannel 384/384/384

USO OFICIAL
USO OFICIAL
5.1.1.10 MICROSOFT BASE SMART CARD CRYPTO PROVIDER.

clave
(predeterminado
/ mínimo /
máximo)
Advanced Encryption Standard 128 Cifrado Block 128/128/128

(AES128)

(AES192)

(AES256)
Data Encryption Standard (DES) Cifrado Block 56/56/56
Two Key Triple DES Cifrado Block 112/112/112
Three Key Triple DES Cifrado Block 168/168/168
Hashed Message Authentication Checksum Hash Any 0/0/0

(HMAC)
Message Authentication Checksum (MAC) Hash Any 0/0/0
Message Digest 2 (MD2) Hash Any 128/128/128
RSA Data Security 2 (RC2) Cifrado Block 128/40/128
RSA Key Exchange Intercambio de RSA 1024/1024/4096

claves
Secure Hash Algorithm (SHA1) Hash Any 160/160/160
Secure Hash Algorithm 256 (SHA256) Hash Any 256/256/256

USO OFICIAL
USO OFICIAL

clave
(predeterminado
/ mínimo /
máximo)
Secure Socket Layer 3 SHA and MD5 Hash Any 288/288/288

(SSL3 SHAMD5)
38. A continuación, se muestran los algoritmos de cifrado soportados por los proveedores de
servicios de cifrado (CSP) de tipo CNG (Cryptography API Next Generation).
5.1.1.11 ALGORITMOS SIMÉTRICOS
Algoritmo Modos soportados Longitud de clave

(predeterminado /
mínimo / máximo)
Advanced Encryption Standard (AES) ECB, CBC, CFB8, CFB128, GCM, 128/192/256
CCM, GMAC, CMAC, AES Key Wrap
Data Encryption Standard (DES) ECB, CBC, CFB8, CFB64 56/56/56
Data Encryption Standard ECB, CBC, CFB8, CFB64 192/192/192

XORed(DESX)
Triple Data Encryption Standard ECB, CBC, CFB8, CFB64 112/168

(3DES)
RSA Data Security 2 (RC2) ECB, CBC, CFB8, CFB64 16 to 128 in 8 bit
increments
RSA Data Security 4 (RC4) 8 to 512, in 8-bit

increments
5.1.1.12 ALGORITMOS ASIMÉTRICOS

(predeterminado /
mínimo / máximo)
Digital Signature Algorithm (DSA) La implementación cumple con FIPS De 512 a 3072 en
186-3 para los tamaños de claves incrementos de 64
desde 1024 a 3072 bits. La bits
implementación cumple con FIPS
186-2 para los tamaños de claves
desde 512 a 1024 bits

USO OFICIAL
USO OFICIAL

(predeterminado /
mínimo / máximo)
RSA Incluye algoritmos RSA que utilizan De 512 a 16384 en

PKCS1, codificación “Optimal incrementos de 64
Asymmetric Encryption Padding bits
(OAEP)” o “Probabilistic Signature
Scheme (PSS) plaintext padding”
5.1.1.13 ALGORITMOS HASH

(predeterminado /
mínimo / máximo)
Secure Hash Algorithm 1 (SHA1) Incluye HmacSha1 160/160/160
Message Digest 2 (MD2) Incluye HmacMd2 128/128/128
5.1.1.14 ALGORITMOS DE INTERCAMBIO DE CLAVES

(predeterminado /
mínimo / máximo)
Diffie-Hellman Key Exchange Algorithm De 512 a 4096 en

incrementos de 64
bits
Elliptic Curve Diffie-Hellman (ECDH) Incluye curvas que utilizan claves 256/384/521
públicas de 256, 384 y 521 bits, según
se especifica en SP800-56A
Elliptic Curve Digital Signature Incluye curvas que utilizan claves 256/384/521
Algorithm (ECDSA) públicas de 256, 384 y 521 bits, según
se especifica en FIPS 186-3
39. A continuación, y para finalizar la identificación de los diferentes proveedores de

servicios de cifrado incluidos en los sistemas operativos Windows, se muestran los
proveedores de almacenamiento de claves (CNG Key Storage Providers).

USO OFICIAL
USO OFICIAL
40. Al contrario de lo que sucede con Cryptography API (CryptoAPI), la nueva

implementación que se incluye a partir de Windows Vista y Windows Server 2008,
denominada Cryptography API Next Generation (CNG), separa los proveedores de
cifrado de los proveedores de almacenamiento de claves (Key Storage Providers).
41. Los proveedores de almacenamiento de claves se utilizan para crear, eliminar, exportar,
importar, abrir y almacenar claves de cifrado.
42. Dependiendo de la implementación, también se pueden utilizar para las funciones de
cifrado asimétrico, acuerdo de secretos y firma digital.
43. De forma predeterminada, Microsoft instala los siguientes proveedores de
almacenamiento de claves a partir de Vista y Windows Server 2008, sin embargo, otros
fabricantes de software pueden instalar sus propias implementaciones.
5.1.1.15 MICROSOFT SOFTWARE KEY STORAGE PROVIDER
Algoritmo Propósito Longitud de clave

(predeterminado /
mínimo / máximo)
Diffie-Hellman (DH) Acuerdo de secretos e intercambio de De 512 a 4096 en

claves incrementos de 64
bits
Digital Signature Algorithm (DSA) Firma De 512 a 1024 en

incrementos de 64
bits
Elliptic Curve Diffie-Hellman (ECDH) Acuerdo de secretos e intercambio de P256, P384, P521
claves
Elliptic Curve Digital Signature Firma P256, P384, P521

Algorithm (ECDSA)
RSA Cifrado asimétrico y firma De 512 a 16384 en

incrementos de 64
bits
5.1.1.16 MICROSOFT SMART CARD KEY STORAGE PROVIDER

(predeterminado /
mínimo / máximo)
Diffie-Hellman (DH) Acuerdo de secretos e intercambio de De 512 a 4096 en

claves incrementos de 64
bits
Elliptic Curve Diffie-Hellman (ECDH) Acuerdo de secretos e intercambio de P256, P384, P521
claves

USO OFICIAL
USO OFICIAL

(predeterminado /
mínimo / máximo)
Elliptic Curve Digital Signature Firma P256, P384, P521

Algorithm (ECDSA)
RSA Cifrado asimétrico y firma De 512 a 16384 en

incrementos de 64
bits
6. ARQUITECTURA Y SEGURIDAD DEL SERVICIO DE ENTIDAD DE

CERTIFICACIÓN DE WINDOWS SERVER 2012 R2
6.1 COMPONENTES DE LOS SERVICIOS DE CERTIFICADOS
44. Los servicios de certificados de Directorio Activo (AD CS) en Windows Server 2012 R2
incluyen los siguientes componentes instalables:
– Entidad de Certificación (CA). Las entidades de certificación de tipo raíz y
subordinadas se utilizan para la emisión de certificados a usuarios, equipos y
servicios, además de administrar sus características y tiempo de validez.
– Inscripción Web de Entidad de Certificación. El servicio de inscripción Web de
Entidad de Certificación permite a los usuarios conectarse a la Entidad de
Certificación a través de un navegador para solicitar y renovar certificados, así como
visualizar solicitudes pendientes, descargar la lista de revocación de certificados o
realizar la inscripción para certificados de tarjetas inteligentes.
– Servicio respondedor en línea. El servicio respondedor en línea implementa el
protocolo en línea de estado de certificados (OCSP) y permite que los datos de
comprobación de revocación de los certificados sean accesibles a clientes en
entornos de red complejos. Se puede utilizar como una alternativa a las listas de
revocación de certificados (CRLs). Este servicio cumple con la especificación RFC
2560 de OCSP.
– Servicio de inscripción de dispositivos de red. El servicio de inscripción de
dispositivos de red permite que enrutadores y otro tipo de dispositivos de red
obtengan certificados basándose en el protocolo simple de inscripción de certificados
(SCEP) de Cisco Systems. El servicio soporta el registro y la distribución de claves
públicas de Entidades de Certificación, inscripción de certificados, revocación,
consultas y renovación de certificados.
– Servicio Web de inscripción de certificados. El servicio Web de inscripción de
certificados permite a los usuarios y equipos inscribir certificados nuevos y renovar
los existentes incluso cuando el equipo no es miembro de un dominio o se encuentra
provisionalmente fuera del límite de seguridad de la red. Este servicio colabora con
el servicio Web de directivas de inscripción de certificados a fin de proporcionar
inscripciones automáticas de certificados basadas en directivas a los usuarios y
equipos.

USO OFICIAL
USO OFICIAL
– Servicio Web de directivas de inscripción de certificados. El servicio Web de

directivas de inscripción de certificados permite a los usuarios y equipos obtener
información sobre la directiva de inscripción de certificados incluso cuando el equipo
no es miembro de un dominio o se encuentra provisionalmente fuera del límite de
seguridad de la red corporativa.
6.2 ROLES DISPONIBLES EN LAS DIFERENTES EDICIONES DE WINDOWS

SERVER
45. Una Entidad de Certificación se puede instalar en cualquier edición de Windows Server
2012 R2, excepto la edición Web, sin embargo, no todas las ediciones incluyen todos los
roles del servicio.
46. Los escenarios que presenta esta guía están basados en la edición Standard de Microsoft
Windows Server 2012 R2.
47. La siguiente tabla muestra los diferentes componentes del servicio de Entidad de
Certificación de Directorio Activo que se pueden instalar en cada una de las ediciones
disponibles de Windows Server 2012 R2.
Componente Web Standard Datacenter
Entidad de Certificación No Si Si
Inscripción Web de Entidad de Certificación No Si Si
Servicio respondedor en línea No Si Si
Servicio de inscripción de dispositivos de red No Si Si
Servicio Web de inscripción de certificados No Si Si
Servicio Web de directivas de inscripción de certificados No Si Si
Versión 2 y versión 3 de certificados No Si Si
Plantillas No Si Si
Archivado de claves No Si Si
Separación de roles No Si Si
Restricciones en la gestión de certificados No Si No
Restricciones en la delegación del agente de inscripción No Si Si
Compatibilidad del módulo de directivas con el Servicio de No Si Si

inscripción de dispositivos de red
Atestación de clave de TPM No Si Si
Windows PowerShell para servicios de servidor de certificados No Si Si

USO OFICIAL
USO OFICIAL
6.3 CONFIGURACIÓN DE LA SEGURIDAD DE LA ENTIDAD DE CERTIFICACIÓN

48. Es sumamente importante definir y planificar la seguridad de una infraestructura de clave
pública como son los servicios de Entidad de Certificación de Windows Server 2012 R2.
49. La Entidad de Certificación se convierte en un componente clave de la seguridad de la
organización, por lo tanto, debe estar protegida y adecuadamente administrada, al mismo
nivel, si cabe, en el que están los servidores controladores de dominio.
50. Si se vulnera la seguridad de una Entidad de Certificación, o de alguno de sus
componentes o certificados, toda la seguridad de la organización queda expuesta a
diferentes tipos de ataques, entre los que se encuentran los ataques “man in the middle”,
suplantación de identidad, revelación de información confidencial, etc.
51. Es por ello que una de las recomendaciones de seguridad en la fase de diseño de una
infraestructura de clave pública, es implementar la administración basada en roles, para
organizar a los administradores de la Entidad de Certificación en roles separados y
predefinidos.
52. Se pueden asignar roles a usuarios para que puedan desarrollar un tipo de tarea específica
en la administración de la Entidad de Certificación, de tal forma que se tenga un control
en todo momento, del usuario o grupo de usuarios que han podido realizar una tarea
concreta.
53. La siguiente tabla muestra los roles, usuarios y grupos que se pueden utilizar para
implementar una administración basada en roles.
Roles y grupos Permisos de seguridad Descripción
Administrador de Administrar la Entidad Configura y mantiene la CA. Es un rol de CA que incluye

la Entidad de de Certificación la capacidad de asignar todos los demás roles de CA y
Certificación renovar el certificado de CA. Estos permisos se asignan
mediante el complemento Entidad de Certificación.
Administrador de Emitir y administrar Aprueba solicitudes de revocación e inscripción de

certificados certificados certificados. Es un rol de CA. Este rol se llama, a veces,
autoridad CA. Estos permisos se asignan mediante el
complemento Entidad de Certificación.
Operador de Hacer copias de Lleva a cabo la copia de seguridad y la recuperación del

copias de seguridad de archivos y sistema. Copia de seguridad es una característica del
seguridad directorios. Restaurar sistema operativo.
archivos y directorios
Auditor Administrar registro de Configura, ve y mantiene los registros de auditoría.

seguridad y auditoría Auditoría es una característica del sistema operativo.
Auditor es un rol del sistema operativo.
Inscritos Leer e inscribir Los inscritos son clientes con autorización para solicitar
certificados certificados desde una CA. No es un rol de CA.
54. Los miembros del grupo “administradores locales”, “administradores de empresas” o

“Admins. del dominio” pueden asignar y modificar todos los roles de la Entidad de
Certificación.

USO OFICIAL
USO OFICIAL
55. Además, en las Entidades de Certificación de empresa, los administradores locales,

administradores de empresas y administradores de dominio son administradores de la
Entidad de Certificación de manera predeterminada.
56. Cada rol de la Entidad de Certificación tiene asociado una lista específica de tareas de
administración de CA. En la siguiente tabla se enumeran todas las tareas de
administración de la Entidad de Certificación junto con los roles en las que se llevan a
cabo.
Actividad Administrador Administrador Auditor Operador Administrador

de CA de certificados de copias de local
seguridad
Instalar CA X
Configurar módulos X
de directivas y de
salida
Detener e iniciar el X
servicio Servicios
de certificados de
Active Directory
(AD CS)
Configurar X
extensiones
Configurar roles X
Renovar claves de X
CA
Definir agentes de X
recuperación de
claves (Key
Recovery Agent)
Configurar X
restricciones de
administrador de
certificados
Eliminar una única X

fila en la base de
datos de CA
Eliminar varias filas X X

de la base de datos
de CA (eliminación
en masa)
Habilitar separación X
de roles

USO OFICIAL
USO OFICIAL
Actividad Administrador Administrador Auditor Operador Administrador

de CA de certificados de copias de local
seguridad
Emitir y aprobar X
certificados
Denegar X
certificados
Revocar X
certificados
Reactivar X
certificados en
suspensión
Habilitar, publicar o X
configurar
programaciones de
lista de revocación
de certificados
(CRL)
Recuperar claves X
archivadas
Configurar X
parámetros de
auditoría
Registros de X
auditoría
Copia de seguridad X
del sistema
Restaurar el X
sistema
Leer la base de X X X X
datos de CA
Leer información de X X X X
configuración de
CA
57. Los inscritos pueden leer las propiedades de las entidades de certificación y listas CRL, y
también pueden solicitar certificados. En una Entidad de Certificación de empresa, un
usuario debe tener permisos de lectura y de inscripción en la plantilla de certificados para
solicitar un certificado.

USO OFICIAL
USO OFICIAL
58. Además, los administradores de Entidad de Certificación, los administradores de

certificados, los auditores y los operadores de copia de seguridad tienen permisos de
lectura implícitos.
59. Un auditor tiene el derecho de usuario de auditoría del sistema.
60. Un operador de copia de seguridad tiene el derecho de usuario de copia de seguridad del
sistema. Además, el operador de copia de seguridad puede iniciar y detener el servicio
“Servicios de certificados de Active Directory (AD CS)”.
6.4 RESTRICCIÓN DE LOS ADMINISTRADORES DE CERTIFICADOS

61. En entornos con un alto nivel de seguridad y control de las operaciones, es posible que se
necesiten restringir los procesos de aprobación y emisión de certificados de forma
individualizada y por plantilla de certificados a usuarios o grupos específicos.
62. El servicio de Entidad de Certificación de Windows Server 2012 R2 permite precisar, aún
más, su capacidad de administrar certificados por grupo y por plantilla de certificado. Por
ejemplo, es posible que requiera implementar una restricción, para que solo puedan
aprobar solicitudes o revocar certificados de inicio de sesión de tarjeta inteligente, para
los usuarios de una determinada oficina o unidad organizativa que sea la base de un grupo
de seguridad.
63. Esta restricción se basa en un subconjunto de plantillas de certificado habilitado para la
Entidad de Certificación (CA) y los grupos de usuarios con permisos de inscripción para
la plantilla de certificado de dicha CA.
6.5 AUDITORÍA DE EVENTOS DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN

64. Tal y como sucede con otros servicios de Windows Server, el servicio de Entidad de
Certificación de Directorio Activo, se puede configurar para que se registren los
principales eventos relacionados con la administración y las actividades de la propia
entidad.
65. Se puede habilitar la auditoría de los siguientes eventos:
– Copia de seguridad y restauración de la base de datos de CA.
– Cambio de la configuración de CA.
– Cambio de la configuración de seguridad de CA.
– Emisión y administración de solicitudes de certificados.
– Revocación de certificados y publicación de listas de revocación de certificados
(CRL).
– Almacenamiento y recuperación de claves archivadas.
– Inicio y detención individual de los Servicios de certificados de Active Directory
(AD CS).
66. Para auditar eventos indicados, el servidor debe estar configurado para auditar también el
acceso a objetos. De forma predeterminada, la auditoría no está habilitada.
67. Las opciones de directiva de auditoría se pueden ver y administrar mediante una directiva
de grupo local o de dominio en “Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas locales”.

USO OFICIAL
USO OFICIAL
68. Si aplica esta configuración de directiva, aparecen los siguientes eventos en el sistema
operativo:
Identificador de evento Mensaje de evento
4868 El Administrador de certificados ha denegado una solicitud de certificado

pendiente.
4869 Los servicios de certificación recibieron una solicitud de certificado reenviada.
4870 Los servicios de certificación han revocado un certificado.
4871 Los servicios de certificación recibieron una solicitud para publicar la lista de
revocación de certificados (CRL).
4872 Los servicios de certificación han publicado la lista de revocación de

certificados (CRL).
4873 Se ha cambiado una extensión de solicitud de certificado.
4874 Se ha cambiado uno o varios atributos de la solicitud de certificado.
4875 Los servicios de certificación recibieron una solicitud para apagar el servicio.
4876 Se inició la copia de seguridad de los servicios de certificación.
4877 Copia de seguridad completada.
4878 Se ha iniciado la restauración de los servicios de certificación.
4879 Se ha completado de restauración de los servicios de certificación.
4880 Se han iniciado los servicios de certificación.
4881 Se han detenido los servicios de certificación.
4882 Se han cambiado los permisos de seguridad para los servicios de

certificación.
4883 Los servicios de certificación han recuperado una clave archivada.
4884 Los servicios de certificación han importado un certificado a su base de

datos.
4885 El filtro de auditoría para los servicios de certificación ha cambiado.
4886 Los servicios de certificación recibieron una solicitud de certificado.
4887 Los servicios de certificación han aprobado una solicitud de certificado y se

ha emitido un certificado.

USO OFICIAL
USO OFICIAL
Identificador de evento Mensaje de evento
4888 Los servicios de certificación han denegado una solicitud de certificado.
4889 Los servicios de certificación han establecido el estado de una solicitud de

certificado como pendiente.
4890 Se ha cambiado la configuración del administrador de certificados para los

servicios de certificación.
4891 Una entrada de configuración ha sido cambiada en los servicios de

certificación.
4892 Se ha cambiado una propiedad de los servicios de certificación.
4893 Los servicios de certificación han archivado una clave.
4894 Los servicios de certificación han importado y archivado una clave.
4895 Los servicios de certificación han publicado el certificado de entidad emisora

de certificados en los servicios de dominio de Directorio Activo.
4896 Una o más filas se eliminaron de la base de datos de certificados.
4897 Habilitada la separación de funciones.
4898 Los servicios de certificación han cargado una plantilla.
69. Más adelante, en esta misma guía, se mostrará como configurar paso a paso la auditoría
de una Entidad de Certificación.
6.6 SOPORTE DE VALIDACIÓN EXTENDIDA (EV)

70. Los certificados de validación extendida son un tipo especial de certificados que
requieren un proceso más exhaustivo de análisis del solicitante para poder emitir el
certificado.
71. En el año 2006, el grupo “CA Browser Forum”, el cual engloba a las principales
autoridades de certificación y fabricantes de software de navegadores, aprobó un conjunto
de estándares de visibilidad y validación de certificados denominadas directrices SSL con
validación extendida (EV).
72. Los principales objetivos de un certificado de validación extendida son:
– Identificar la entidad legal que controla un sitio Web y, por tanto, proporcionar una
garantía razonable, a los usuarios de un navegador de internet, de que el sitio Web
que están visitando está controlado por una entidad legal. Esta entidad legal vendrá
identificada en el certificado de validación extendida por su nombre, dirección del
negocio, jurisdicción, número de registro del negocio u otra información relativa a la
organización.
– Habilitar las comunicaciones cifradas con un sitio Web, facilitando el intercambio de
claves de cifrado para permitir el envío cifrado de comunicación a través de internet
entre el usuario del navegador y el sitio Web.

USO OFICIAL
USO OFICIAL
73. Así mismo, los certificados de validación extendida ayudan a establecer la legitimidad de
una entidad y afrontar problemas relacionados con el phising, código dañino y otros tipos
de fraudes o suplantaciones de identidad.
74. En el siguiente enlace se puede descargar la última versión de la guía de emisión de
certificados de validación extendida que deben cumplir todas las Entidades de
Certificación públicas adscritas al CA Browser Forum: https://cabforum.org/extended-
validation/.
75. En entornos de ámbito privado, el servicio de Entidad de Certificación de Directorio
Activo de Windows Server 2012 R2 soporta la configuración de propiedades de
aplicación y la emisión de certificados con un O.I.D. específico para la validación
extendida.
Nota: Es importante señalar que una Entidad de Certificación privada sólo será de confianza para los equipos y
usuarios del dominio o para aquellos que hayan instalado localmente los certificados incluidos en la cadena de
certificación. En ningún caso, un certificado privado, aunque haya sido emitido con validación extendida, será
considerado de confianza para un usuario o equipo externo a la propia organización y, por lo tanto, se rige por los
mismos principios de confianza que cualquier otro certificado emitido por una Entidad de Certificación privada.
7. NOVEDADES EN SERVICIOS DE SERVIDOR DE CERTIFICADOS

EN WINDOWS SERVER 2012 Y WINDOWS SERVER 2012 R2
7.1 COMPATIBILIDAD DEL MODULO DE DIRECTIVAS CON EL SERVICIO DE
INSCRIPCION DE DISPOSITIVOS DE RED
76. El servicio de inscripción de dispositivos de red, está diseñado para redes protegidas y
administradores de confianza, la inscripción de dispositivos de red puede usar una
contraseña, o incluso ninguna contraseña para solicitar varios certificados.
77. Windows Server 2012 R2 es compatible con un módulo de directivas para el Servicio de
inscripción de dispositivos de red, el cual proporciona una autenticación. Esta
configuración admite el escenario Bring Your Own Device (BYOD), donde los
dispositivos móviles y equipos que no son miembros del dominio pueden usar el Servicio
de inscripción de dispositivos de red para solicitar certificados de usuario y equipo desde
Internet. Esto se conoce como inscripción móvil.
78. En Windows Server 2012 R2 no se incluye un módulo de directivas, éste debe instalarse
por separado, de un proveedor de software que proporcione un módulo de directivas o
escribir su propio módulo de directivas.
7.2 ATESTACIÓN DE CLAVE DE TPM

79. La atestación de clave de TPM permite a la entidad emisora de certificados (CA)
comprobar que la clave privada está protegida por un TPM basado en hardware y que el
TPM es de confianza para la autoridad de certificación.
80. La atestación de clave de TPM impide que el certificado se exponga a un dispositivo no
autorizado y se puede enlazar la identidad del usuario con el dispositivo.
81. Así mismo, se puede denominar como la capacidad del usuario que solicita un certificado
para demostrar criptográficamente a una Entidad de Certificación, que la clave RSA en la
solicitud de certificado está protegida por el TPM que confía en la entidad certificadora.

USO OFICIAL
USO OFICIAL
82. La configuración de la atestación de clave de TPM, permite aumentar significativamente

los niveles de seguridad a través de la especificación para validar la clave de aprobación
que graba el fabricante en el TPM:
– Credenciales de usuario. No requiere ninguna configuración adicional en la entidad
certificadora.
– Certificado de aprobación. Se deben agregar los certificados de Entidad de
Certificación y raíz para los TPM a nuevos almacenes de certificados de la CA. Los
nuevos almacenes de certificados son EKCA para el almacén intermedio y EKRROT
para el almacén raíz.
– Clave de aprobación. Se debe agregar cada clave de aprobación para los TPM a una
lista aprobada (lista EKPUB).
7.3 WINDOWS POWERSHELL PARA SERVICIOS DE SERVIDOR DE

CERTIFICADOS
83. Se pueden utilizar los siguientes cmdlets de Powershel para realizar copias de seguridad y
restauraciones de una base de datos de una Entidad de Certificación (CA) basada en
Windows Server 2012 R2.
Nombre del cmdlet Descripción
Backup-CARoleService Copia de seguridad de la base de datos de la CA.
Restore-CARoleService Restaure la base de datos de la CA.
Nota: Si desea obtener mas información puede consultar las siguientes páginas Web de Microsoft Technet para el
cmdlet Backup-CARoleService https://technet.microsoft.com/library/dn440704(v=wps.630).aspx y el cmdlet
Restore-CARoleService https://technet.microsoft.com/library/dn440703(v=wps.630).aspx
7.4 COMPATIBILIDAD CON LA RENOVACIÓN BASADA EN CLAVES

84. Windows Server 2012 R2 aprovecha los servicios Web de inscripción de certificados para
agregar la capacidad de renovar certificados automáticamente. Estos certificados
corresponden a equipos que son parte de dominios de Directorio Activo que no son de
confianza o equipos que no están unidos a un dominio.
85. Con esta característica, ya no es necesario renovar los certificados manualmente para
equipos que son miembros de grupos de trabajo o que pueden haberse unido a un dominio
o bosque de Directorio Actrivo distinto sin una confianza establecida.
7.5 COMPATIBILIDAD CON PLANTILLAS DE CERTIFICADO

86. Windows Server 2012 R2 incluye plantillas de certificados de la versión 4 que
proporcionan funcionalidades adicionales:
– Admiten proveedores de servicios de cifrado (CSP) y proveedores de servicios de
claves (KSP).
– Se pueden configurar para requerir la renovación con la misma clave.
– Solamente están disponibles para su uso en Windows 8, Windows 8.1, Windows
Server 2012 y Windows Server 2012 R2.

USO OFICIAL
USO OFICIAL
– Especifican los requisitos mínimos de Entidad de Certificación y sistemas operativos

de cliente de certificados, que puede usar la plantilla.
– Existe una nueva pestaña llamada “Compatibilidad” que permite que los
administradores establezcan diferentes combinaciones de versiones de sistemas
operativos para la autoridad de certificación y los clientes de certificado, y vean
solamente los parámetros de configuración que funcionarán con esas versiones del
cliente.
7.6 COMPATIBILIDAD CON LA RENOVACIÓN DE CERTIFICADOS CON LA

MISMA CLAVE
87. Esta característica permite a un administrador aplicar la renovación de certificados con la
misma clave, lo que reduce el esfuerzo de administración y aumenta la seguridad de las
claves, al mantener el nivel de seguridad de la clave original durante todo su ciclo de
vida.
88. Windows Server 2012 R2 admite la generación de claves protegidas mediante el módulo
de plataforma segura (TPM) haciendo uso de proveedores de almacenamiento de claves
(KSP) basados en TPM.
89. La ventaja de usar KSP basados en TPM es la imposibilidad de exportar claves
respaldada por el mecanismo de protección contra ataques de repetición (hammering) de
los TPM.
90. Los administradores de las organizaciones pueden configurar plantillas de certificado
para que Windows 8, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2
les proporcionen prioridad más alta a los KSP basados en TPM para generar claves.
91. Además, al usar la renovación con la misma clave, los administradores pueden estar
seguros de que la clave permanecerá en el TPM tras la renovación.
Nota: Si se introduce un número de identificación personal (PIN) incorrecto demasiadas veces, se activa la lógica de
protección contra ataques de repetición del TPM. La lógica de protección contra ataques de repetición (hammering)
es una serie de métodos de software o hardware que aumentan la dificultad y el costo de un ataque por fuerza bruta
contra un PIN al no aceptar entradas de PIN hasta que haya transcurrido una determinada cantidad de tiempo.
7.7 COMPATIBILIDAD CON NOMBRES DE DOMINIO INTERNACIONALIZADOS

92. Windows Server 2012 R2 admite nombres de dominio internacionalizados (IDN) en
diversos escenarios:
– Inscripción de certificados para equipos que usan IDN.
– Generar y enviar una solicitud de certificado con un IDN mediante la herramienta de
línea de comandos certreq.exe.
– Publicar listas de revocación de certificados (CRL) y el Protocolo de estado de
certificados en línea (OCSP) en servidores que usan IDN
– La interfaz de usuario de certificados admite el uso de certificados con IDN.
– El complemento MMC de certificados también permite IDN en las propiedades de
certificado.

USO OFICIAL
USO OFICIAL
7.8 MAYOR SEGURIDAD HABILITADA DE MANERA PREDETERMINADA EN EL

SERVICIO DE ROL ENTIDAD DE CERTIFICACIÓN
93. Cuando una Entidad de Certificación (CA) recibe una solicitud de certificado, la entidad
puede forzar el cifrado para la solicitud a través de RPC_C_AUTHN_LEVEL_PKT. En
las anteriores versiones de Windows esta característica no estaba habilitada por defecto.
94. Con esta configuración, la Entidad de Certificación fuerza el aumento de seguridad de las
solicitudes que se le envían y este nivel de seguridad más alto requiere que los paquetes
que solicitan un certificado estén cifrados, de forma que no se puedan interceptar y leer.
95. Si esta configuración no estuviera habilitada, cualquiera con acceso a la red podría leer
los paquetes enviados a (o recibidos de) la Entidad de Certificación mediante un
analizador de red.
96. Esto significa que la exposición de determinada información, como los nombres de
usuarios o equipos solicitantes, los tipos de certificados para los que se van a inscribir, las
claves públicas implicadas, etc. podría considerarse una infracción de privacidad.
97. En un bosque o un dominio, una fuga de datos así no supondrá un motivo de
preocupación para la mayoría de las organizaciones. Sin embargo, si los atacantes
tuvieran acceso al tráfico de red, podrían obtener información interna sobre la estructura y
la actividad de la empresa, y usarla para ataques dedicados de ingeniería social o
suplantación de identidad (phishing).
7.9 FORMATO PFX PROTEGIDO POR UN GRUPO

98. Windows Server 2012 R2 puede proteger los certificados y claves privadas asociadas al
combinar un formato PFX existente con una nueva característica de protección de datos.
99. Esto permite cifrar el contenido del archivo PFX con una clave que pertenece a un grupo
o a una persona, en lugar de protegerlo con una contraseña.
Nota: Para implementar esta característica, al menos un controlador de dominio debe estar ejecutando Windows
Server 2012 o Windows Server 2012 R2.
100. Mediante esta característica, los administradores pueden implementar, administrar y

solucionar problemas de certificados de forma remota y en granjas de servidores
mediante Windows PowerShell.
101. Así mismo, se pueden compartir certificados y claves de forma segura en granjas de
servidores que dispongan de Windows Server 2012 R2 mediante las API de Windows.
7.10 LAS CLAVES PRIVADAS DE CA SE INCLUYEN EN LA IMAGEN DE COPIA

DE SEGURIDAD DE ESTADO DEL SISTEMA
102. Cuando un administrador o un usuario con permisos usa la función de copia de seguridad
de Windows Server 2012 R2 para realizar una copia del estado del sistema, se añade en
esta función de copia, la posibilidad de realizar una copia de seguridad de la clave privada
de las CA de manera automática.

USO OFICIAL
USO OFICIAL
ANEXO A. PLANTILLA DE SEGURIDAD DEL SERVICIO DE

ENTIDAD DE CERTIFICACIÓN INTEGRADA EN
DIRECTORIO ACTIVO EN WINDOWS SERVER
2012 R2
Para la aplicación de la presente guía se ha generado una plantilla de seguridad que deberá ser
aplicada en la unidad organizativa donde se encuentren los servidores donde se vaya a
implementar el servicio de Entidad de Certificación de Directorio Activo (AD CS) de Windows
Server 2012 R2.
Esta plantilla aplica, por tanto, tanto a las entidades de certificación raíz de empresa como a las
entidades de certificación subordinadas de empresa.
Debe tener en cuenta el hecho de que, si implementa múltiples servicios sobre el servidor, se
deberán aplicar todas aquellas políticas que le correspondiera de las guías CCN-STIC.
CCN-STIC-597 Incremental Servidor Entidad de Certificacion
General
Configuración del equipo (habilitada)
Directivas
Configuración de Windows
Configuración de seguridad
Servicios del sistema
CertSvc (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso
Permitir BUILTIN\Administradores Control total
Permitir NT AUTHORITY\SYSTEM Control total
Permitir NT AUTHORITY\INTERACTIVE Leer
Auditoría
Tipo Nombre Acceso
Errores Todos Control total
Servicios de cifrado (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Aislamiento de claves CNG (Modo de inicio: Automático)

USO OFICIAL
USO OFICIAL
Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Servidor (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Registro remoto (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Firewall de Windows con seguridad avanzada

Configuración global
Directiva Configuración
Versión de directivas 2.22
Deshabilitar FTP con estado Verdadero
Deshabilitar PPTP con estado Verdadero
Exención de IPsec Detección de vecinos, Desconocido

USO OFICIAL
USO OFICIAL
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado

Configuración de perfil de dominio
Estado del firewall Activado
Conexiones entrantes No configurado
Conexiones salientes No configurado
Aplicar reglas de firewall local No configurado
Aplicar reglas de seguridad de conexión local No configurado
Mostrar notificaciones No
Permitir respuestas de unidifusión No configurado
Registrar paquetes perdidos No
Registrar conexiones correctas No
Ruta de acceso del archivo de registro %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Tamaño máximo del archivo de registro (KB) 4096

Configuración de perfil privado

Configuración de perfil público

USO OFICIAL
USO OFICIAL
Ruta de acceso del archivo de registro No configurado

Reglas de entrada
Nombre Descripción
@%systemroot%\system32\certsrv.exe,-51 @%systemroot%\system32\certsrv.exe,-52
Esta regla puede incluir algunos elementos que la versión

actual del módulo de informe GPMC no puede interpretar
Habilitado Verdadero
Programa System
Acción Permitir
Seguridad Requerir autenticación
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 445
Puerto remoto Cualquiera
Configuración ICMP Cualquiera
Ámbito local Cualquiera
Ámbito remoto Cualquiera
Perfil Todo
Tipo de interfaz de red Todo
Servicio Todos los programas y servicios
Permitir cruce seguro del perímetro Falso
Grupo @%systemroot%\system32\certsrv.exe,-61

USO OFICIAL
USO OFICIAL
Programa %systemroot%\system32\certsrv.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local RPC dinámico
Perfil Todo
Servicio CertSvc

Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados

USO OFICIAL
USO OFICIAL
Protocolo 6
Puerto local Asignación de extremo de RPC
Perfil Todo
Servicio RpcSs

Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Todo

USO OFICIAL
USO OFICIAL
Servicio RpcSs
Configuración de seguridad de conexión

Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperadas del equipo local.
Red/Conexiones de red/Firewall de Windows/Perfil de dominio
Directiva Configuración Comentario
Firewall de Windows: no permitir Habilitado
notificaciones
Firewall de Windows: permitir registro Habilitado
Registro de paquetes perdidos Deshabilitado
Registrar conexiones correctas Deshabilitado
Ruta y nombre de archivo de registro: %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Límite de tamaño (KB): 4096
Firewall de Windows: proteger todas las Habilitado
conexiones de red
Configuración del usuario (habilitada)
Configuración no definida.

USO OFICIAL
USO OFICIAL
ANEXO B. PLANTILLA DE SEGURIDAD DE INSCRIPCIÓN

AUTOMÁTICA DE CERTIFICADOS EN EL
DOMINIO
Para que los usuarios y equipos clientes de todo el dominio puedan solicitar, renovar y en
general, hacer uso de los servicios de la Entidad de Certificación, es necesario establecer ciertos
criterios para que dichos procesos sean transparentes y seguros para los usuarios de la
organización.
Es posible que en ciertos escenarios no se deseen permitir los procesos de inscripción
automática, para lo cual se deben establecer los permisos adecuados en las plantillas de
certificados y en los grupos del Directorio Activo.
CCN-STIC-597 Incremental Dominio
General
Directivas
Directivas de clave pública/Cliente de Servicios de servidor de certificados: configuración de inscripción automática
Administración automática de certificados Habilitado
Opción Configuración
Inscribir nuevos certificados, renovar certificados expirados, Habilitado

procesar solicitudes de certificado pendientes y quitar
certificados revocados
Actualizar y administrar certificados que usen plantillas de Habilitado

certificado de Active Directory


USO OFICIAL
USO OFICIAL
ANEXO C. PLANTILLA DE SEGURIDAD DEL SERVICIO DE

ENTIDAD DE CERTIFICACIÓN EN SERVIDOR
WINDOWS SERVER 2012 R2 INDEPENDIENTE
Para la aplicación de la presente guía, se ha generado una plantilla de seguridad de directivas de

firewall que deberá ser aplicada en la Entidad de Certificación de Windows Server 2012 R2
independiente y que será implementada a través del editor de políticas de grupo local.
CCN-STIC-597 Servidor Independiente Entidad de Certificación
General
Directivas
Servicios del sistema
CertSvc (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Servicios de cifrado (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Aislamiento de claves CNG (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

USO OFICIAL
USO OFICIAL
Auditoría
Tipo Nombre Acceso
Firewall de Windows con seguridad avanzada

Configuración global
Versión de directivas 2.22
Deshabilitar FTP con estado Verdadero
Deshabilitar PPTP con estado Verdadero
Exención de IPsec Detección de vecinos, Desconocido
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado

Configuración de perfil de dominio

Configuración de perfil privado

USO OFICIAL
USO OFICIAL

Configuración de perfil público

Reglas de entrada
Nombre Descripción

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445

USO OFICIAL
USO OFICIAL
Perfil Todo
Servicio Todos los programas y servicios

Programa %systemroot%\system32\certsrv.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local RPC dinámico
Perfil Todo
Servicio CertSvc

USO OFICIAL
USO OFICIAL

Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local Asignación de extremo de RPC
Perfil Todo
Servicio RpcSs

Acción Permitir
Equipos autorizados

USO OFICIAL
USO OFICIAL
Protocolo 6
Puerto local 135
Perfil Todo
Servicio RpcSs
Configuración de seguridad de conexión

Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperadas del equipo local.
Red/Conexiones de red/Firewall de Windows/Perfil de dominio
Firewall de Windows: no permitir Habilitado
notificaciones
Firewall de Windows: permitir registro Habilitado
Registro de paquetes perdidos Deshabilitado
Registrar conexiones correctas Deshabilitado
Ruta y nombre de archivo de registro: %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Límite de tamaño (KB): 4096
Firewall de Windows: proteger todas las Habilitado
conexiones de red

USO OFICIAL
USO OFICIAL
ANEXO D. GUÍA PASO A PASO DE LA INSTALACIÓN DE UNA

ENTIDAD DE CERTIFICACIÓN RAÍZ DE
EMPRESA EN WINDOWS SERVER 2012 R2
El presente anexo ha sido diseñado para ayudar a los operadores a implementar un servidor que
actúe como Entidad de Certificación raíz de empresa y que esté unido al dominio y en línea.
Antes de iniciar las operaciones de implementación es necesario disponer de un servidor
controlador de dominio Windows Server 2012 R2 que haya sido preparado siguiendo la guía de
seguridad CCN-STIC-560A y un servidor miembro del dominio con el servicio Web Internet
Information Services instalado y preparado siguiendo las guías CCN-STIC-560A y CCN-STIC-
563.
Con respecto a la preparación del servidor Internet Information Services (IIS) 8.5 y debido a que
existen diferentes opciones de implementación según su objetivo, en el caso de Entidades de
Certificación se deberá aplicar la guía CCN-STIC-563, comenzando por el apartados “ANEXO
D. PREPARATIVOS PARA LA INSTALACIÓN DE UN SERVIDOR INTERNET
INFORMATION SERVICES 8.5 SOBRE UN SERVIDOR MIEMBRO WINDOWS SERVER
2012 R2” y a continuación el apartado “ANEXO F. GUÍA PASO A PASO DE LA
INSTALACIÓN DE UN SERVIDOR WEB DINÁMICO CON ASP.NET 4.5”.
Cuando se hayan cumplido estos requerimientos, puede continuar con la implementación del
servicio de Entidad de Certificación de Directorio Activo (AD CS) tal y como se indica a
continuación.
1. PREPARACIÓN DEL DIRECTORIO ACTIVO

Los pasos que se describen a continuación se realizarán en un controlador de dominio del
dominio donde se realizará la implementación del servidor Entidad de Certificación. Sólo es
necesario realizar este procedimiento una vez.
Paso Descripción
1. Inicie sesión en el servidor Controlador de Dominio del dominio al que pertenece el servidor
que se va a instalar.
Nota: Debe iniciar sesión con una cuenta que sea Administrador del Dominio.
2. Cree el directorio “Scripts” en la unidad “C:\”.

3. Copie los scripts y plantillas de seguridad asociadas a esta guía en el directorio “C:\Scripts”.
Nota: el sistema solicitará elevación de privilegios para completar la acción. En este ejemplo se utiliza la
cuenta DOMINIO\SDT.

USO OFICIAL
USO OFICIAL
Paso Descripción
4. Copie los ficheros “CCN-STIC-597 Plantilla Servidor de Certificacion.inf” y “CCN-STIC-597

Servidor Entidad de Certificacion.wfw” al directorio “%SYSTEMROOT%\Security\Templates”
del Controlador de Dominio.
Nota: Para copiar ficheros en carpetas protegidas por el sistema, el sistema le solicitará una elevación de
privilegios. Haga clic en el botón “Continuar” e introduzca las credenciales de la cuenta con que ha
iniciado sesión, la cual debe ser al menos administrador de dominio.
5. Ejecute la consola administrativa “Usuarios y Equipos de Active Directory” desde el siguiente

menú:
“Inicio  Herramientas Administrativas  Usuarios y Equipos de Active Directory”
6. El control de cuentas de usuario le solicitará las credenciales del administrador del dominio.
Nota: En este ejemplo y durante todo el paso a paso, se utilizará la cuenta con privilegios de
administrador del dominio “DOMINIO\SDT”.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. En la consola, cree una unidad organizativa denominada “Servidores Entidad de Certificación”

dependiente de la unidad organizativa “Servidores”. Para ello, deberá desplegar el menú hasta
llegar a la unidad organizativa “Servidores” mediante la siguiente ruta:
“Usuarios y equipos de Active Directory  <Dominio>  Servidores”
Pulse sobre la unidad organizativa “Servidores” con el botón derecho del ratón y seleccione lo
siguiente: “Nuevo  Unidad Organizativa”
8. Escriba “Servidores Entidad de Certificación” en el campo “Nombre:” como muestra la

siguiente figura:
9. Pulse “Aceptar” para guardar los cambios y cerrar la ventana “Nuevo objeto: Unidad
organizativa”.

USO OFICIAL
USO OFICIAL
Paso Descripción
10. Inicie la consola de “Administración de directivas de grupo”. Para ello selecciónela mediante la
siguiente ruta:
“Inicio  Herramientas administrativas  Administración de directivas de grupo”
11. Escriba las credenciales de la cuenta de Administrador del dominio, anteriormente indicada,
cuando se las solicite el sistema.
12. A continuación, vincule el objeto de directiva de grupo “CCN-STIC-563 Incremental Servidores
IIS 8.5” a la nueva unidad organizativa “Servidores Entidad de Certificación”, haciendo clic con
el botón derecho sobre ella y, seleccionando “Vincular un GPO existente…”

USO OFICIAL
USO OFICIAL
Paso Descripción
13. Seleccione el objeto de directiva de grupo “CCN-STIC-563 Incremental Servidores IIS 8.5” y
pulse “Aceptar”.
14. A continuación, cree un nuevo objeto de directiva de grupo en la unidad organizativa

“Servidores de Entidad de Certificación”, haciendo clic con el botón derecho sobre ella y
seleccionando en el menú “Crear un GPO en este dominio y vincularlo aquí…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
15. Escriba el nombre de la GPO “CCN-STIC-597 Incremental Servidor Entidad de Certificación” y

haga clic en el botón “Aceptar”.
16. Para que la aplicación de las directivas se realice en el orden correcto, asegúrese de que la
directiva “CCN-STIC-597 Incremental Servidor Entidad de Certificación” aparezca en primer
lugar. Para ello sitúese sobre la unidad organizativa “Servidores Entidad de Certificación” y, en
el panel derecho, seleccione la directiva “CCN-STIC-597 Incremental Servidor Entidad de
Certificación”. Haga clic sobre la flecha doble para que se sitúe con el número 1 de orden
vínculos, tal y como se muestra en la imagen.
17. Edite ahora la GPO recién creada haciendo clic con el botón derecho sobre ella y
seleccionando la opción “Editar”.
18. Expanda el siguiente nodo:

“Configuración del equipo  Directivas  Configuración de Windows  Configuración
de seguridad”

USO OFICIAL
USO OFICIAL
Paso Descripción
19. Con el botón derecho seleccione “Configuración de seguridad y pulse sobre la opción “Importar
directiva…”.
20. Seleccione la plantilla, situada en la ruta “%SYSTEMROOT%\Security\Templates”, “CCN-

STIC-597 Plantilla Servidor de Certificación” y haga clic en el botón “Abrir”.
21. A continuación, se va a realizar la importación de la configuración de firewall que permite que

la Entidad de Certificación reciba tráfico de red en sus servicios. Para ello, vaya a la siguiente
ruta:
“Directiva CCN-STIC-597 Incremental Servidor Entidad de Certificación  Configuración
del equipo  Directivas  Configuración de Windows  Configuración de seguridad 
Firewall de Windows con seguridad Avanzada  Firewall de Windows con seguridad
Avanzada – LDAP C://…”
22. Pulse con el botón derecho la configuración de “Firewall con seguridad avanzada” y seleccione
la opción “Importar directiva…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
23. Cuando aparezca la advertencia del Firewall de Windows con seguridad avanzada, indicando
que se sobrescribirá la configuración, pulse el botón “Sí”.
24. Seleccione el fichero “%SYSTEMROOT%\Security\Templates\CCN-STIC-597 Servidor Entidad

de Certificacion.wfw” y haga clic en “Abrir”.
25. Acepte el mensaje de confirmación.
26. Cierre el “Editor de administración de directivas de grupo”.

USO OFICIAL
USO OFICIAL
Paso Descripción
27. A continuación, se va a configurar una directiva incremental que habilita los procesos de
inscripción automática y renovación automática de certificados para usuarios y equipos de todo
el dominio, siempre y cuando, la plantilla correspondiente así lo establezca en su configuración
de seguridad.
Nota: Si no desea que se habilite la inscripción y renovación automática de certificados, no ejecute los
siguientes pasos. Sin embargo, se recomienda habilitar esta funcionalidad ya que permite que, de forma
transparente para los usuarios y haciendo uso de Kerberos como protocolo de autenticación de usuarios y
equipos de Directorio Activo, se emitan y se renueven certificados en todo el dominio.
Independientemente de ello, en las plantillas de certificados se pueden establecer los requerimientos de
emisión de los certificados y la pertenencia a los grupos de seguridad para cada tipo de certificado.
28. Seleccione el nodo raíz del dominio de su organización y, haciendo clic con el botón derecho,
seleccione la opción “Crear un GPO en este dominio y vincularlo aquí…”.
29. Escriba, como nombre de la nueva política, “CCN-STIC-597 Incremental Dominio” y pulse el
botón “Aceptar”.
30. Sitúese sobre el contenedor correspondiente al dominio, seleccione la GPO recién creada y
pulsando sobre la doble flecha sitúe dicha GPO en el primer lugar en el orden de vínculos tal y
como muestra la imagen.

USO OFICIAL
USO OFICIAL
Paso Descripción
31. Despliegue el contenedor “Objetos de directiva de grupo” y haga clic derecho sobre la GPO
recién creada “CCN-STIC-597 Incremental Dominio” seleccionando la opción “Importar
configuración…”.
32. Haga clic en “Siguiente >” en el “Asistente para importar configuración”.

33. Haga clic en “Siguiente >” en “Hacer copia de seguridad de GPO”, ya que no será necesario
hacer una copia de seguridad.
34. Haga clic en “Examinar…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
35. En la ventana “Buscar carpeta” seleccione la ubicación de la copia de seguridad

“C:\Scripts\CCN-STIC-597 Incremental Dominio” y pulse “Aceptar”.
36. Pulse “Siguiente >” para continuar con la importación.

USO OFICIAL
USO OFICIAL
Paso Descripción
37. En “GPO de origen” compruebe que aparece la política de seguridad “CCN-STIC-597

Incremental Dominio” y pulse “Siguiente”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el fichero “manifest.xml”. Éste es un fichero
oculto y debe mostrarse a través de “opciones de carpeta”, con la opción “Mostrar archivos, carpetas y
unidades ocultos”.
38. En la pantalla de “Resultados del examen” pulse el botón “Siguiente >”.

39. Para completar el asistente pulse el botón “Finalizar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
40. Deberá aparecer un mensaje indicando que la importación se ha realizado correctamente.

Pulse finalmente “Aceptar” para cerrar el asistente de importación de políticas.
41. A continuación, ejecute la consola administrativa “Usuarios y Equipos de Active Directory”

desde la siguiente ruta:
42. El control de cuentas de usuario le solicitará las credenciales de un administrador del dominio.
43. En la consola, localice el objeto que representa el servidor donde se instalará la Entidad de
Certificación y muévalo desde su ubicación hasta la unidad organizativa “Servidores Entidad de
Certificación”.

USO OFICIAL
USO OFICIAL
Paso Descripción
44. Seleccione el servidor con el botón derecho y haga clic en la opción “Mover…”.
Nota: En este ejemplo se está utilizando un servidor con nombre SVRCA. Es posible que en su
organización se utilicen otros nombres de servidores.
45. Seleccione la Unidad Organizativa “Servidores Entidad de Certificación” y haga clic en el botón
“Aceptar”.
46. Compruebe que el equipo está en la unidad organizativa “Servidores Entidad de Certificación”,
tal y como se muestra a continuación.

USO OFICIAL
USO OFICIAL
En el siguiente apartado, se configurará el servidor Entidad de Certificación y el sitio web que

mantendrá las listas de revocación de certificados (CRLs). Previo a estas configuraciones se va a
establecer un nombre DNS para el sitio web donde se publicarán dichas CRLs.
Paso Descripción
47. Inicie sesión en el equipo controlador de dominio con credenciales de administrador del
dominio.
48. Diríjase a la consola de servicios “DNS” situada en la siguiente ruta:
“Inicio  Herramientas administrativas  DNS”
49. El Control de Cuentas de Usuario le solicitará elevación de privilegios. Introduzca credenciales
de Administrador del dominio.
50. Navegue hasta el objeto con el nombre del dominio, mediante la siguiente ruta:
“<nombre de controlador de dominio>  Zonas de búsqueda directa  <Nombre de
dominio>”
Pulse con el botón derecho sobre él para seleccionar “Alias nuevo (CNAME)…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
51. En la ventana “Nuevo registro de recursos”, escriba el nombre DNS del sitio web repositorio de
CRLs.
Nota: En el ejemplo se define “CRL.dominio.local”. En el campo “Nombre de alias” solamente será

necesario escribir “CRL”, ya que se autocompletará el FQDN con el nombre del dominio de manera
automática.
52. En el campo “Nombre de dominio completo (FQDN) para el host de destino:” deberá introducir
el FQDN del servidor Entidad de Certificación subordinada de empresa”.
Nota: En el ejemplo se introduce “SRVCA.dominio.local” que corresponde al FQDN del equipo usado
para este escenario.

USO OFICIAL
USO OFICIAL
Paso Descripción
53. Pulse “Aceptar” para cerrar la ventana “Nuevo registro de recursos” y compruebe que el objeto
CNAME se ha creado correctamente y que apunta al objeto de tipo HOST (A) correspondiente.
1.1 INSTALACIÓN DEL SERVIDOR ENTIDAD DE CERTIFICACIÓN

Los siguientes pasos describen el proceso de instalación del servidor Entidad de Certificación
raíz empresarial en un sistema miembro de dominio Microsoft Windows Server 2012 R2.
Nota: Para automatizar el proceso de instalación de la Entidad de Certificación se ha incorporado a esta guía el
script público y gratuito que Microsoft proporciona a sus clientes para la instalación en las ediciones “Core” de
Windows Server 2012 R2. En él, se admiten diferentes parámetros de configuración como el nombre de la Entidad
de Certificación, el proveedor de cifrado y la longitud de la clave de cifrado, entre otros. De forma predeterminada
se realizará una instalación utilizando el nombre del servidor como nombre de la Entidad de Certificación y el
proveedor de cifrado “RSA#Microsoft Software Key Storage Provider” con una clave de 2048 bits y el hash que
firmará los certificados será SHA-256. Puede obtener más información acerca de este script en la siguiente página
web: https://technet.microsoft.com/en-us/library/ee918754(v=ws.10).aspx
Paso Descripción
54. Si no lo ha hecho anteriormente, inicie sesión en el equipo donde se va a instalar el servidor

Entidad de Certificación.
55. Previo a la instalación de la Entidad de Certificación será necesario comprobar que el sitio Web
del servidor IIS está activo. Para ello, acceda al “Administrador del servidor” mediante el icono
correspondiente.
56. Navegue hasta el “Administrador de Internet Information Services (IIS)” mediante la siguiente
ruta:
“Administrador del servidor  Herramientas  Administrador de Internet Information
Services (IIS)”

USO OFICIAL
USO OFICIAL
Paso Descripción
57. Dentro del “Administrador de Internet Information Services (IIS)” navegue hasta el sitio
correspondiente mediante la siguiente ruta:
“<Nombre de la Entidad de Certificación>  Sitios”
58. Sobre el sitio pulse botón derecho y seleccione lo siguiente:
“Administrar sitio web  Iniciar”
Nota: Si la opción “Iniciar” se muestra inactiva, en gris, esto indica que el sitio está activo y no es
necesario iniciarlo.
59. Cree el directorio “Scripts” en la unidad C:\.

cuenta DOMINIO\SDT.
61. Con el botón derecho seleccione el fichero denominado “CCN-STIC-597 Instalación CA raíz de
empresa - Paso 1.bat” y haga clic en “Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción
62. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio que
se están utilizando para instalar el servidor Entidad de Certificación.
63. Aparecerá la siguiente pantalla.
64. Pulse una tecla para iniciar el proceso de instalación y espere a que finalice.
65. Pulse sobre una tecla para cerrar la pantalla.

USO OFICIAL
USO OFICIAL
Paso Descripción
68. Se mostrará la siguiente pantalla. Asegúrese de que los ficheros y scripts se encuentran en el
directorio C:\.

USO OFICIAL
USO OFICIAL
Paso Descripción
69. Pulse una tecla para iniciar el proceso de instalación.
70. A continuación, espere que finalice la instalación y pulse una tecla para continuar.
71. El proceso de instalación puede tardar varios minutos. Espere hasta que finalice
correctamente. No es necesario que reinicie el servidor, lo cual le es indicado en la ventana.
Nota: El mensaje “Advertencia: No se pudo iniciar la actualización automática de los componentes

instalados. Error: 0x80070422” se puede ignorar. Avisa de la no disponibilidad del servicio de
actualizaciones, que fue desactivado en el proceso de instalación del servidor Windows bajo la guía
CCN-STIC-560A.

USO OFICIAL
USO OFICIAL
Paso Descripción
72. Pulse sobre una tecla para cerrar el script.

74. Aparecerá la siguiente pantalla. Pulse una tecla para comenzar la ejecución del script.
75. Pulse sobre una tecla para cerrar la pantalla y finalizar la instalación.

USO OFICIAL
USO OFICIAL
1.2 CONFIGURACIÓN DE LA ENTIDAD DE CERTIFICACIÓN RAÍZ DE

EMPRESA
En este apartado, se establecerá la configuración que permite que un sitio web mantenga las
CRLs de modo que sean accesibles por todos los clientes de la Entidad de Certificación.
Paso Descripción
76. Inicie sesión en el equipo donde se ha instalado la Entidad de Certificación raíz de empresa.
Nota: Deberá iniciar sesión con una cuenta con persmisos de administrador del dominio.
77. Acceda al “Administrador del Servidor” mediante el icono de la barra de tareas.
78. El control de cuentas de usuario le solicitará las credenciales del administrador de dominio.
79. Navegue hasta “Entidad de certificación” mediante la siguiente ruta:

“Administrador del servidor  Herramientas  Entidad de certificación”

USO OFICIAL
USO OFICIAL
Paso Descripción
80. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado de la Entidad de
Certificación configurada recientemente y, con el botón derecho del ratón selecciónela, y pulse
la opción “Propiedades”.
81. En la ventana de “Propiedades” diríjase a la pestaña “Extensiones” y, manteniendo

seleccionada la extensión “Puntos de distribución de lista de revocación de certificados (CDP)”,
revise la publicación de CRLs mediante la ruta local seleccionando
“C:\Windows\System32\CertSrv\CertEnroll\<nombre de CA><sufijo de nombre de lista
CRL><diferencias entre listas CRL permitidas>.crl” y mantenga las opciones marcadas por
defecto. Ambas casillas deben quedar marcadas tal y como se muestra en la siguiente figura.

USO OFICIAL
USO OFICIAL
Paso Descripción
82. De nuevo, en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Puntos de

distribución de lista de revocación de certificados (CDP)”, deshabilite la publicación de CRLs
mediante ldap seleccionando “ldap://CN=<nombre truncado de CA><sufijo de nombre de lista
CRL>,CN=nombre corto del servidor>,CN=CDP,CN=Public Key Services,<contenedor de
configuración><clase de objeto CDP>” y desmarcando todas las opciones. Todas las casillas
deben quedar desmarcadas tal y como se muestra en la siguiente figura.
83. De nuevo en “Extensiones” y manteniendo seleccionada la extensión “Puntos de distribución

de lista de revocación de certificados (CDP)”, seleccione “file://<nombre DNS del
servidor>/CertEnroll/<nombre de CA>/sufijo de nombre de lista CRL><diferencias entre listas
CRL permitidas>.crl” asegúrese que tiene todas las opciones desmarcadas tal y como aparece
en la siguiente figura.

USO OFICIAL
USO OFICIAL
Paso Descripción
84. De nuevo en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Puntos de

distribución de lista de revocación de certificados (CDP)”, seleccione “http://<nombre DNS del
servidor>/CertEnroll/<nombre de CA><sufijo de nombre de lista CRL><diferencias entre listas
CRL permitidas>.crl” y copie el elemento mediante la combinación de teclas “Control + C”.
85. Pulse el botón “Agregar”.
86. En “Agregar ubicación” coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la
combinación de teclas “Control + V” para pegar el contenido recién copiado.

USO OFICIAL
USO OFICIAL
Paso Descripción
87. En “Agregar ubicación” diríjase al comienzo de la línea de texto y sustituya el valor “<nombre
DNS del servidor>” por el nombre DNS completo que corresponderá al servidor web de
Entidad de Certificación y que se creará posteriormente en la Entidad de Certificación
subordinada. Pulse “Aceptar” para guardar los cambios.
Nota: En el ejemplo, se ha utilizado el nombre CRL.dominio.local.

distribución de lista de revocación de certificados (CDP)”, seleccione la ubicación recién creada
“http://CRL.dominio.local/CertEnroll/<nombre de CA>/sufijo de nombre de lista
CRL><diferencias entre listas CRL permitidas>.crl” y marque los siguientes elementos:
– Incluir en las CRL. Usada para encontrar la ubicación de diferencias CRL.
– Incluir en la extensión CDP de los certificados emitidos.
– Incluir en la extensión IDP de CRL emitidas.
Pulse “Aplicar” para guardar los cambios.

USO OFICIAL
USO OFICIAL
Paso Descripción
89. El sistema reiniciará los “Servicios de certificados”. Pulse “Sí” para continuar.
90. De nuevo en la pestaña “Extensiones”, seleccione la flecha para desplegar el campo

“Seleccionar extensión” y haga clic sobre “Acceso a la información de entidad (AIA)”.

USO OFICIAL
USO OFICIAL
Paso Descripción
91. Compruebe que en el objeto “C:\Windows\System32\CertSrv\CertEnroll\<nombre DNS del

servidor>_<nombre de CA><Nombre de certificado>.crt” todas las casillas están desmarcadas
tal y como se muestra en la siguiente figura.
92. Compruebe que en el objeto “ldap://CN=<nombre truncado de CA>,CN=AIA,CN=Public Key

Services,CN=Services,<contenedor de configuración><clase de objeto CA>” están
desmarcadas todas las opciones. Todas las casillas deben quedar desmarcadas tal y como se
muestra en la siguiente figura.

USO OFICIAL
USO OFICIAL
Paso Descripción
93. Seleccione “file://<nombre DNS del servidor>/CertEnroll/<nombre DNS del servidor>_<nombre

de CA><nombre de certificado>.crt” y asegúrese que todas las casillas están desmarcadas tal
y como se muestra en la siguiente figura.
94. Seleccione ahora “http://<nombre DNS del servidor>/CertEnroll/<nombre DNS del

servidor>_<nombre de CA><nombre de certificado>.crt” y copie el elemento mediante la
combinación de teclas “Control + C”.

USO OFICIAL
USO OFICIAL
Paso Descripción
96. En “Agregar ubicación” coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la
combinación de teclas “Control + V” para pegar el contenido recién copiado.
97. En “Agregar ubicación” diríjase al comienzo de la línea de texto y sustituya el valor “<nombre
Entidad de Certificación que se creará posteriormente (ANEXO E de la presente guía) en la
Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.

USO OFICIAL
USO OFICIAL
Paso Descripción
98. De nuevo en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Acceso a la

información de entidad (AIA)”, seleccione la ubicación recién creada
“http://CRL.dominio.local/CertEnroll/<nombre DNS del servidor>_<nombre de CA><nombre de
certificado>.crt” y marque el elemento “Incluir en la extensión AIA de los certificados emitidos”.
100. Pulse “Aceptar” para cerrar la ventana de “Propiedades” de la Entidad de Certificación.
1.3 RENOVACIÓN DE CERTIFICADO DE ENTIDAD RAÍZ DE EMPRESA

Será necesario volver a generar el certificado de la Entidad de Certificación tras hacer
modificaciones en las propiedades.
Los pasos que se definen a continuación comprenden la renovación de una Entidad de
Certificación raíz de empresa.
Paso Descripción
101. Inicie sesión en el equipo Entidad de Certificación raíz con credenciales de administrador de
dominio.

USO OFICIAL
USO OFICIAL
Paso Descripción
102. Acceda al “Administrador del Servidor” mediante el icono de la barra de tareas.
103. El control de cuentas de usuario le solicitará elevación de privilegios, emplee credenciales de

administrador de dominio.
104. Despliegue el menú de la izquierda hasta llegar a los servicios de certificado del servidor
Entidad de Certificados y con el botón derecho del ratón selecciónela y pulse sobre “Todas las
tareas  Renovar certificado de CA…”.
105. Pulse “Sí” en la ventana que solicita confirmación de parada de servicios de certificados.

USO OFICIAL
USO OFICIAL
Paso Descripción
106. En la ventana “Renovar certificado de CA” seleccione “No” ante la pregunta de generar nuevas
claves y pulse “Aceptar”.
Nota: Si la entidad raíz es de empresa, no será necesario establecer ningún paso adicional, en caso de ser
una Entidad de Certificación independiente del dominio, además de haber tenido que encenderla para
realizar el proceso, será necesario extraer el fichero “.CRT” que se ha generado en la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll” y pegarlas en la misma ruta, pero en la Entidad de
Certificación subordinada de empresa.
El siguiente paso estará dedicado a preparar el sitio web para que mantenga el fichero “.crl”.
Paso Descripción
107. Inicie sesión en el equipo donde se va a instalar el servidor Entidad de Certificación raíz de
empresa con credenciales de administrador.
108. Acceda al “Administrador del servidor” mediante el icono correspondiente.

administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción
ruta:
Services (IIS)”
111. Dentro del “Administrador de Internet Information Services (IIS)” navegue hasta el sitio
correspondiente mediante la ruta siguiente:
112. Sobre el sitio pulse botón derecho y seleccione lo siguiente:
“Administrar sitio web  Iniciar”
Nota: Si la opción “Iniciar” se muestra inactiva en gris, esto indica que el sitio está activo y no es
113. Pulse el botón derecho del ratón sobre el sitio y seleccione “Agregar directorio virtual…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
114. En el campo “Alias” introduzca “CertEnroll” y en “Ruta de acceso física” la ruta en la que ha
copiado los ficheros extraídos de la Entidad de Certificación raíz en los pasos anteriores.
115. Pulse “Aceptar” para guardar los cambios.

USO OFICIAL
USO OFICIAL
Paso Descripción
116. Pulse sobre el directorio virtual recién creado y haga doble clic sobre “Autenticación”.
117. Seleccione “Autenticación anónima” en el menú central y “Habilitar” en el menú “Acciones”.

USO OFICIAL
USO OFICIAL
ANEXO E. GUÍA PASO A PASO DE LA INSTALACIÓN DE UNA

ENTIDAD RAÍZ INDEPENDIENTE Y UNA
ENTIDAD DE CERTIFICACIÓN SUBORDINADA DE
2012 R2
El presente anexo ha sido diseñado para ayudar a los operadores a implementar los siguientes
servidores:
– Un servidor que actúe como Entidad de Certificación raíz independiente del dominio y
fuera de línea.
– Un servidor que actúe como Entidad de Certificación subordinada del citado servidor
raíz, en línea y miembro del dominio.
Antes de iniciar las operaciones de implementación es necesario disponer de los siguientes
elementos:
– Un servidor controlador de dominio Windows Server 2012 R2 que haya sido preparado
siguiendo la guía de seguridad CCN-STIC-560A.
– Un servidor independiente del dominio preparado siguiendo la guía CCN-STIC-560B.
– Un servidor miembro del dominio con el servicio Web Internet Information Services
instalado y preparado siguiendo las guías CCN-STIC-560A y CCN-STIC-563.
Con respecto a la preparación del servidor Internet Information Services (IIS) 8.5 y debido a que
existen diferentes opciones de implementación según su objetivo, en el caso de Entidades de
Certificación se deberá aplicar la guía CCN-STIC-563, comenzando por el apartados “ANEXO
D. PREPARATIVOS PARA LA INSTALACIÓN DE UN SERVIDOR INTERNET
INFORMATION SERVICES 8.5 SOBRE UN SERVIDOR MIEMBRO WINDOWS SERVER
2012 R2” y a continuación el apartado “ANEXO F. GUÍA PASO A PASO DE LA
INSTALACIÓN DE UN SERVIDOR WEB DINÁMICO CON ASP.NET 4.5”.
Cuando se hayan cumplido estos requerimientos, puede continuar con la implementación del
servicio de Entidad de Certificación de Directorio Activo (AD CS) tal y como se indica a
continuación.
1. INSTALACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ

SOBRE UN SERVIDOR INDEPENDIENTE.
Los pasos que se describen a continuación se realizarán en un servidor independiente del
dominio donde se realizará la implementación del servidor Entidad de Certificación.
Posteriormente a la instalación, los certificados serán distribuidos a través de una Entidad de
Certificación subordinada que se instalará en posteriores apartados y, por seguridad, esta entidad
raíz sobre servidor independiente permanecerá en modo fuera de línea (apagada).

USO OFICIAL
USO OFICIAL
Paso Descripción

independiente Entidad de Certificación raíz.
Nota: Deberá iniciar sesión con una cuenta con permisos de administrador local.
2. Cree el directorio “Scripts” en la unidad C:\.

3. Copie los scripts y plantillas de seguridad asociadas a esta guía en el directorio C:\scripts.
4. A continuación, se importará la configuración del Firewall de Windows con seguridad avanzada.
Para ello, pulse “Inicio”, teclee “gpedit.msc” y pulse “Enter”.
5. El control de cuentas de usuario le solicitará las credenciales del administrador que se están
utilizando para instalar el servidor Entidad de Certificación.
6. Navegue por el menú de árbol de la izquierda hasta llegar a “Firewall de Windows con
seguridad avanzada – Objeto de directiva de grupo local” mediante la siguiente ruta:
“Directiva Equipo Local  Configuración del equipo  Configuración de Windows 
Configuración de seguridad  Firewall de Windows con Seguridad Avanzada”.
Pulse botón derecho sobre “Firewall de Windows con seguridad avanzada – Objeto de directiva
de grupo local” y seleccione “Importar directiva…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. Pulse “Sí” sobre el mensaje de confirmación.
8. Seleccione el fichero “CCN-STIC-597 Servidor Independiente Entidad de Certificacion.wfw”,

que se encuentra en “C:\Scripts”, y pulse “Abrir”.
Una vez importada la configuración cierre el editor.
2. CREACIÓN DE UNA PARTICIÓN

Este paso es opcional, si bien muy recomendado. En este paso a paso se va a crear la unidad D:\
en el servidor donde se instalará la entidad certificadora.
Nota: Si no dispone de esta posibilidad o la unidad creada tiene asignada una letra distinta a D deberá adaptar
ciertos pasos de esta guía para poder completarlos.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. Ejecute la consola “Administración de equipos” desde “Menú inicio > Herramientas

Administrativas > Administración de equipos”.
10. Introduzca, cuando se le solicite, la cuenta y contraseña de un administrador local.

Nota: En esta guía se utiliza el administrador local aCdCmN560, creado para ello. Puede utilizar el que
habitualmente use Ud.
11. Seleccione en el “Administración de discos”, el espacio de disco o el disco físico preparado

para alojar los datos web con el botón derecho del ratón y seleccione la opción “Nuevo
volumen simple…”.
Nota: Se ha seleccionado como etiqueta ADCS, pero puede poner el nombre que considere, no es
transcendente.

USO OFICIAL
USO OFICIAL
Paso Descripción
12. El asistente para la creación del volumen comenzará. Debe hacer clic en “Siguiente >” en la
primera ventana. En la segunda, en la imagen, seleccione el tamaño a utilizar.
Presione, otra vez, “Siguiente >”.

Nota: Se ha seleccionado, en el ejemplo, todo el espacio disponible, aunque en su entorno no tiene
porqué ser así.
13. En este paso se selecciona la letra de unidad.
Con el botón “Siguiente >” continuará la ejecución del asistente.

Nota: Si el sistema no le ofrece la posibilidad de seleccionar la letra D, habitualmente, es debido a que ya
está asignada a otra partición, dispositivo de DVD, pendrive, etc.

USO OFICIAL
USO OFICIAL
Paso Descripción
14. Ahora puede elegir el nombre del disco y desmarcar la opción “Dar formato rápido” para que se
realice un formateo completo. Presione “Siguiente >” para continuar.
15. En este momento se le muestra el resumen de la actuación a realizar. Pulse “Finalizar” para
realizar el formateo del disco.
16. Cierre todas las consolas, exploradores y demás ventanas que pudiera tener abiertas. Reinicie
el equipo antes de comenzar con ninguna instalación posterior, para asegurar que se aplican
las directivas, posibles cambios de letra de unidad, etc.
3. CONTINUACIÓN CON LA INSTALACIÓN DE UNA ENTIDAD DE

CERTIFICACIÓN RAÍZ SOBRE UN SERVIDOR INDEPENDIENTE.
Paso Descripción
17. A continuación, debe ejecutar el paso 1 de la instalación del rol de entidad certificadora, con
elevación de privilegios, con el botón derecho seleccione el fichero denominado “CCN-STIC-
597 Servidor Independiente Instalacion CA raíz independiente– Paso 1.bat” situado en
C:\scripts y haga clic en “Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción
18. A continuación, se detalla la configuración del certificado:

– Tipo de instalación: Independiente
– Tipo de CA: CA raíz.
– Clave privada: Nueva clave privada.
– Proveedor de servicios de cifrado (CSP): RSA #Microsoft Software Key Storage Provider
– Longitud de caracteres de la clave: 2048
– Algoritmo hash para firmar los certificados: SHA256
– Periodo de Validez: 20 años
– Ubicación Base de datos de certificado: D:\CertDB
– Ubicación Registro Base de datos de Certificado: D:\CertLog
Nota: Si desea modificar la configuración del certificado debe modificar el archivo: “CCN-STIC-597
Servidor Independiente Instala rol CA.ps1”, ubicado en C:\scripts.
19. El control de cuentas de usuario le solicitará de nuevo las credenciales del administrador local
se están utilizando para instalar la entidad certificadora raiz.
20. La ejecución del script tendrá un aspecto como el de la siguiente ventana.
Nota: Como se indica en el propio script, se supone que tiene un disco D:\ dispuesto para el trabajo de
CA, si la letra del disco es distinta a “D:\” debería editar el fichero “CCN-STIC-597 Servidor
Independiente Instala rol CA.ps1”, ubicado en c:\scripts y realizar el cambio de la letra “D” por la de su
disco.

USO OFICIAL
USO OFICIAL
Paso Descripción
21. Durante la ejecución del script se emiten mensajes informativos. Pulse una tecla para continuar.
22. A continuación, se instalará el rol de entidad certificadora.
23. Cuando termine la ejecución se mostrará el mensaje con la confirmación exitosa de la

instalación.
Pulse una tecla para continuar y cerrar la ventana.

USO OFICIAL
USO OFICIAL
Paso Descripción
24. A continuación, confirme la instalación de las carpetas en la ubicación D:\
25. A continuación, diríjase a la carpeta C:\Scripts y ejecute con permisos de administrador el script
C:\Scripts\CCN-STIC-597 Servidor de Certificacion Raiz Independiente - Paso 1.bat. Este script
aplica al sistema la plantilla de servicios “C:\Scripts\ CCN-STIC-597 Plantilla Servidor de
Certificacion Raiz Independiente.inf”.
Nota: Una vez finalizado pulse cualquier botón para cerrar la pantala.
26. Puede consultar el fichero de texto generado para verificar la correcta instalación de la plantilla
de seguridad “C:\Scripts\ servicios_windows.log”, ignore el mensaje de advertencia siempre y
cuando el fichero indique que ha completado la tarea.
4. CONFIGURACIÓN DE LISTA DE REVOCACIÓN DE

CERTIFICADOS (CRL)
Los pasos que se describen a continuación se realizarán sobre el servidor Entidad de
Certificación independiente del dominio, como paso previo a la instalación de la Entidad de
Certificación subordinada de empresa que se configurará en el apartado 6 del presente anexo.

USO OFICIAL
USO OFICIAL
Paso Descripción

independiente Entidad de Certificación raíz.
28. Acceda al “administrador del servidor” mediante el icono de la barra de tareas.
utilizando para instalar el servidor Entidad de Certificación.
30. En el menú de la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
certificación” en el menú desplegable.
Entidad de Certificación configurado recientemente, con el botón derecho del ratón
selecciónelo y pulse sobre “Propiedades”.

USO OFICIAL
USO OFICIAL
Paso Descripción


distribución de lista de revocación de certificados (CDP)” deshabilite la publicación de CRLs
mediante LDAP seleccionando “ldap://CN=<nombre truncado de CA><sufijo de nombre de lista
configuración><clase de objeto CDP>” y desmarque todas las opciones.
Todas las casillas deben quedar desmarcadas tal y como se muestra en la siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción

distribución de lista de revocación de certificados (CDP)”, seleccione “file://<nombre DNS del
CRL permitidas>.crl” y desmarque todas las opciones como muestra la siguiente figura:

CRL permitidas>.crl” y pulse “Control + C”, para copiar el objeto.

USO OFICIAL
USO OFICIAL
Paso Descripción
37. Coloque el cursor sobre el campo vacío bajo “Ubicación:” y pulse la combinación de teclas
“Control + V” para pegar el contenido recién copiado.
38. En “Agregar ubicación” y pulsando la tecla “Inicio”, diríjase al comienzo de la línea de texto y
sustituya el valor “<nombre DNS del servidor>” por el nombre DNS completo que
corresponderá al servidor web de Entidad de Certificación que se creará posteriormente (Punto
7) en la Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.

– Incluir en la extensión CDP de los certificados emitidos.
– Incluir en la extensión IDP de CRL emitidas.

USO OFICIAL
USO OFICIAL
Paso Descripción


servidor>_<nombre de CA><Nombre de certificado>.crt” todas las casillas están desmarcadas,
tal y como se muestra en la siguiente figura.

USO OFICIAL
USO OFICIAL
Paso Descripción

Services,CN=Services,<contenedor de configuración><clase de objeto CA>” todas las casillas
están desmarcadas tal y como se muestra en la siguiente figura.
44. Seleccione ahora “file://<nombre DNS del servidor>/CertEnroll/<nombre DNS del

servidor>_<nombre de CA><nombre de certificado>.crt” y desmarque la opción “Incluir en la
extensión AIA de los certificados emitidos”.

USO OFICIAL
USO OFICIAL
Paso Descripción

48. En “Agregar ubicación” y pulsando la tecla “Inicio” diríjase al comienzo de la línea de texto y
sustituya el valor “<nombre DNS del servidor>” por el nombre DNS completo que
corresponderá al servidor web de Entidad de Certificación que se creará posteriormente (Paso
7) en la Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios.

USO OFICIAL
USO OFICIAL
Paso Descripción
49. De nuevo, en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Acceso a la

información de entidad (AIA)”, seleccione la ubicación recién creada ahora

USO OFICIAL
USO OFICIAL
Paso Descripción
52. El siguiente paso será establecer un período de caducidad para la lista de revocación de
certificados (CRL), si caduca la CRL, al no poder comprobar si un certificado está en vigor o
no, no será posible hacer uso de dicho certificado del mismo modo que si éste estuviera
caducado.
Para establecer el período de caducidad de las CRLs, en el “Administrador del Servidor” que
ya se había abierto para las configuraciones anteriores, se deberá navegar hasta alcanzar el
contenedor de “Certificados revocados” que se encuentra en la siguiente ruta:
“Administrador del Servidor  Herramientas  Entidad de certificación  <nombre de
la Entidad de Certificación>  Certificados revocados”
Pulse el botón derecho del ratón sobre el contenedor “Certificados Revocados” y seleccione
“Propiedades”.
53. En “Intervalo de publicación CRL” introduzca el intervalo que indica cada cuánto tiempo se
publicará la CRL. Establezca el intervalo de publicación y pulse “Aceptar” para cerrar la
ventana de “Propiedades: Certificados revocados”.
Nota: En el ejemplo, se ha indicado un periodo de validez igual al del certificado (20 años). Así mimo y
debido al propósito de esta entidad, no será necesario el uso de “Diferencias CRL” y, por tanto, se
mantendrá desmarcado como indica la figura.

USO OFICIAL
USO OFICIAL
Paso Descripción
54. En los “Servicios de certificados de Active Directory”, haga clic derecho de nuevo sobre
“Certificados revocados” y seleccione “Todas las tareas  Publicar”.
55. Mantenga seleccionada la opción “Lista de revocación de certificados (CRL) nueva” y pulse
“Aceptar”.
56. Una vez cambiados estos parámetros será necesario emitir un certificado de la entidad raíz
actualizado. Para ello, sobre el objeto con el nombre de la Entidad de Certificación, pulse con
el botón derecho y seleccione “Todas las tareas  Renovar certificado de CA…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
Nota: Este proceso comienza en segundo plano y puede tardar unos minutos. No debe cerrar la ventana
hasta que finalice el proceso.
5. AMPLIACIÓN DEL PERIODO DE VALIDEZ DE LOS

CERTIFICADOS
Para que los certificados emitidos por la Entidad de Certificación raíz independiente sean válidos
por más de un año (valor predeterminado), es necesario ampliar el periodo de validez de dichos
certificados. De esta forma, no será necesario renovar el certificado de la Entidad de
Certificación subordinada cada año.
Se recomienda establecer un periodo lo suficientemente amplio como para cubrir las necesidades
de seguridad y administración de su organización. En esta guía se establecerá un periodo de
validez de 10 años para el certificado de la Entidad de Certificación subordinada.

USO OFICIAL
USO OFICIAL
Paso Descripción
59. Inicie sesión en el Servidor Entidad de Certificación raíz independiente.

60. Vaya al menú “Inicio” y teclee “cmd.exe”.

61. Pulse el botón derecho del ratón sobre el programa “Símbolo del sistema” y seleccione
“Ejecutar como administrador”.

un administrador local.
63. Teclee “regedit” en la consola de comandos y pulse “Enter”.

USO OFICIAL
USO OFICIAL
Paso Descripción
64. Una vez abierto el “Editor del registro” expanda el menú hasta llegar a los parámetros de la
Entidad de Certificación mediante la siguiente ruta:
HKEY_LOCAL_MACHINE  System CurrentControlSet Services CertSvc
Configuration <Nombre de la Entidad de Certificación>
Nota: En el ejemplo, la Entidad de Certificación se denomina “SRVCA-CA” correpondiente a la entidad

raíz independiente.
65. En el panel de la derecha, localice el objeto “ValidityPeriodUnits” y haga doble clic sobre él.
66. Modifique el valor de “Información del valor” por el número decimal de años que se quiera
establecer como período de validez máximo para los certificados y pulse “Aceptar”.
Nota: En este caso el número de años que se establecerá al valor decimal es 10.
67. Cierre el “Editor del registro”. A partir de este momento se podrán emitir certificados con un
período de validez superior a dos años y con el máximo de años establecido mediante la
entrada de registro modificada.

USO OFICIAL
USO OFICIAL
Paso Descripción
68. Reinicie el servicio de la Entidad de Certificación raíz independiente. Para ello y sobre el objeto
con el nombre de la Entidad de Certificación, pulse con el botón derecho y seleccione “Todas
las tareas  Detener servicio”.
69. Inmedientemente después, vuleva a iniciar el servicio. Para ello y sobre el objeto con el
nombre de la Entidad de Certificación, pulse con el botón derecho y seleccione “Todas las
tareas  Iniciar servicio”.
6. PREPARACIÓN DEL DIRECTORIO ACTIVO

Los pasos que se describen a continuación se realizarán en un controlador de dominio del
dominio donde se realizará la implementación del servidor Entidad de Certificación. Sólo es
necesario realizar este procedimiento una vez.
Paso Descripción
70. Inicie sesión en el servidor Controlador de Dominio del dominio al que pertenece el servidor
que se va a instalar.
Nota: Debe iniciar sesión con una cuenta que sea Administrador del Dominio.

cuenta DOMINIO\SDT.

USO OFICIAL
USO OFICIAL
Paso Descripción
73. Copie los ficheros “CCN-STIC-597 Plantilla Servidor de Certificacion.inf” y “CCN-STIC-597

Servidor Entidad de Certificacion.wfw” al directorio “%SYSTEMROOT%\Security\Templates”
del Controlador de Dominio.
Nota: Para copiar ficheros en carpetas protegidas por el sistema, el sistema le solicitará una elevación de
privilegios. Haga clic en el botón “Continuar” e introduzca las credenciales de la cuenta con que ha
iniciado sesión, la cual debe ser al menos administrador de dominio.
74. Ejecute la consola administrativa “Usuarios y Equipos de Active Directory” desde el siguiente
menú:
75. El control de cuentas de usuario le solicitará las credenciales del administrador del dominio.
Nota: En este ejemplo y durante todo el paso a paso, se utilizará la cuenta con privilegios de
administrador del dominio “DOMINIO\SDT”.

USO OFICIAL
USO OFICIAL
Paso Descripción
76. En la consola, cree una unidad organizativa denominada “Servidores Entidad de Certificación”
dependiendo de la unidad organizativa “Servidores”. Para ello, deberá desplegar el menú hasta
llegar a la unidad organizativa “Servidores” mediante la siguiente ruta: “Usuarios y equipos
de Active Directory  <Dominio>  Servidores”
Pulse sobre la unidad organizativa “Servidores” con el botón derecho del ratón y seleccione lo
siguiente: “Nuevo  Unidad Organizativa”
77. Escriba “Servidores Entidad de Certificación” en el campo “Nombre:” como muestra la siguiente
figura.
78. Pulse “Aceptar” para guardar los cambios y cerrar la ventana “Nuevo objeto: Unidad
organizativa”.

USO OFICIAL
USO OFICIAL
Paso Descripción
79. Inicie la consola de “Administración de directivas de grupo”. Para ello selecciónela mediante la
siguiente ruta:
“Inicio  Herramientas administrativas  Administración de directivas de grupo”
80. Escriba las credenciales de la cuenta de Administrador del dominio anteriormente indicada
cuando se las solicite el sistema.
81. A continuación, vincule el objeto de directiva de grupo “CCN-STIC-563 Incremental Servidores
IIS 8.5” a la nueva unidad organizativa “Servidores Entidad de Certificación”, haciendo clic con
el botón derecho sobre ella y, seleccionando “Vincular un GPO existente…”

USO OFICIAL
USO OFICIAL
Paso Descripción
82. Seleccione el objeto de directiva de grupo “CCN-STIC-563 Incremental Servidores IIS 8.5” y
pulse “Aceptar”.
83. A continuación, cree un nuevo objeto de directiva de grupo en la unidad organizativa

“Servidores de Entidad de Certificación”, haciendo clic con el botón derecho sobre ella y
seleccionando la opción “Crear un GPO en este dominio y vincularlo aquí…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
84. Escriba el nombre de la GPO “CCN-STIC-597 Incremental Servidor Entidad de Certificación” y

haga clic en el botón “Aceptar”.
85. Para que la aplicación de las directivas se realice en el orden correcto, asegúrese de que la
directiva “CCN-STIC-597 Incremental Servidor Entidad de Certificación” aparezca en primer
lugar. Para ello sitúese sobre la unidad organizativa “Servidores Entidad de Certificación” y, en
el panel derecho, seleccione la directiva “CCN-STIC-597 Incremental Servidor Entidad de
Certificación”. Haga clic sobre la flecha doble hacia arriba para que se sitúe con el número 1 de
orden vínculos, tal y como se muestra en la imagen.
86. Edite ahora la GPO recién creada haciendo clic con el botón derecho sobre ella y
seleccionando la opción “Editar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
87. Expanda el siguiente nodo:

“Configuración del equipo  Directivas  Configuración de Windows  Configuración
de seguridad”
88. Pulse con el botón derecho sobre “Configuración de seguridad” y seleccione la opción
“Importar directiva…”.
89. Seleccione la plantilla, situada en la ruta “%SYSTEMROOT%\Security\Templates”, “CCN-

STIC-597 Plantilla Servidor de Certificacion.inf” y haga clic en el botón “Abrir”.
90. A continuación, se realizará la importación de la configuración de firewall que permitirá que la

Entidad de Certificación reciba tráfico de red en sus servicios. Para ello, vaya a la siguiente
ruta:
“Directiva CCN-STIC-597 Incremental Servidor Entidad de Certificación  Configuración
del equipo  Directivas  Configuración de Windows  Configuración de seguridad 
Firewall de Windows con seguridad Avanzada  Firewall de Windows con seguridad
Avanzada – LDAP://CN…”

USO OFICIAL
USO OFICIAL
Paso Descripción
91. Pulse con el botón derecho sobre “Firewall con seguridad avanzada – LDAP://CN…” y
seleccione la opción “Importar directiva…”.
92. Cuando aparezca la advertencia del Firewall de Windows con seguridad avanzada, indicando
que se sobrescribirá la configuración, pulse el botón “Sí”.
93. Seleccione el fichero “%SYSTEMROOT%\Security\Templates\CCN-STIC-597 Servidor Entidad

de Certificacion.wfw” y haga clic en “Abrir”.

USO OFICIAL
USO OFICIAL
Paso Descripción
94. Acepte el mensaje de confirmación.
95. A continuación, se configurará una directiva incremental que habilitará los procesos de
inscripción automática y renovación automática de certificados para usuarios y equipos de todo
el dominio, siempre y cuando la plantilla correspondiente así lo establezca en su configuración
de seguridad.
Nota: Si no desea que se habilite la inscripción y renovación automática de certificados, no ejecute los
siguientes pasos. Sin embargo, se recomienda habilitar esta funcionalidad ya que permite que, de forma
transparente para los usuarios y haciendo uso de Kerberos como protocolo de autenticación de usuarios y
equipos de Active Directory, se emitan y se renueven certificados en todo el dominio.
Independientemente de ello, en las plantillas de certificados se pueden establecer los requerimientos de
emisión de los certificados y la pertenencia a los grupos de seguridad para cada tipo de certificado.
96. Seleccione el nodo raíz del dominio de su organización y, haciendo clic con el botón derecho
él, seleccione la opción “Crear un GPO en este dominio y vincularlo aquí…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
97. Escriba, como nombre de la nueva política, “CCN-STIC-597 Incremental Dominio” y pulse el
98. Sitúese sobre el contenedor correspondiente al dominio, seleccione la GPO recién creada y
pulsando sobre la doble flecha sitúe dicha GPO en el primer lugar en el orden de vínculos tal y
como muestra la imagen.
99. Despliegue el contenedor “Objetos de directiva de grupo” y haga clic derecho sobre la GPO
recién creada “CCN-STIC-597 Incremental Dominio” seleccionando la opción “Importar
configuración…”.
100. Haga clic en “Siguiente >” en el “Asistente para importar configuración”.

USO OFICIAL
USO OFICIAL
Paso Descripción
101. Haga clic en “Siguiente >” en “Hacer copia de seguridad de GPO”, ya que no será necesario
hacer una copia de seguridad.
102. Haga clic en “Examinar…” y seleccione la ubicación de la copia de seguridad “C:\Scripts\CCN-
STIC-597 Incremental Dominio”.
103. Pulse “Aceptar” y “Siguiente >” para continuar con la importación.

104. En “GPO de origen” compruebe que aparece la política de seguridad “CCN-STIC-597
Incremental Dominio” y pulse “Siguiente >”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el fichero “manifest.xml”. Este es un fichero
oculto y por lo tanto debe mostrar en las opciones de carpeta (“Vista \ Opciones \ Ver” en el menú
superior del explorador de archivos) la opción “Mostrar archivos, carpetas y unidades ocultos”.

USO OFICIAL
USO OFICIAL
Paso Descripción
105. En la pantalla de “Resultados del examen” pulse el botón “Siguiente >”

106. Para completar el asistente pulse el botón “Finalizar”.
107. Deberá aparecer un mensaje indicando que la importación se ha realizado correctamente.

Pulse finalmente “Aceptar” para cerrar el asistente de importación de políticas.
108. A continuación, ejecute la consola administrativa “Usuarios y Equipos de Active Directory”

desde la siguiente ruta:

USO OFICIAL
USO OFICIAL
Paso Descripción
109. El control de cuentas de usuario le solicitará las credenciales de un administrador del dominio.
110. En la consola, localice el objeto que representa el servidor donde se instalará la Entidad de
Certificación y muévalo desde su ubicación hasta la unidad organizativa “Servidores Entidad de
Certificación”.
111. Seleccione el servidor con el botón derecho y haga clic en el menú “Mover…”.
Nota: En este ejemplo, se está utilizando un servidor con nombre SVRCASUB. Es posible que en su
organización se utilicen otros nombres de servidores.

USO OFICIAL
USO OFICIAL
Paso Descripción
112. Seleccione la Unidad Organizativa “Servidores Entidad de Certificación” y haga clic en el

113. Compruebe que el equipo está en la unidad organizativa “Servidores Entidad de

Certificación”, tal y como se muestra a continuación.
114. Establezca un nombre DNS para el repositorio web de CRLs que se definió en el apartado 4
del presente anexo. Para ello, diríjase a la consola de servicios “DNS” situada en el menú
“Inicio”:
“Inicio  Herramientas administrativas  DNS”

USO OFICIAL
USO OFICIAL
Paso Descripción
115. El Control de Cuentas de Usuario le solicitará elevación de privilegios. Introduzca

credenciales de Administrador del dominio.
116. Navegue hasta el objeto con el nombre del dominio, mediante la ruta siguiente:
“<Nombre de controlador de dominio>  Zonas de búsqueda directa  <Nombre de
dominio>”.
Pulse con el botón derecho sobre él y seleccione “Alias nuevo (CNAME)…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
117. En la ventana “Nuevo registro de recursos” escriba el nombre DNS del repositorio de CRLs
que se definió en el apartado 4 del presente anexo.
Nota: En el ejemplo se definió “SVRCASUB.dominio.local”. En el campo “Nombre de alias”

solamente será necesario escribir “CRL”, ya que se autocompletará el FQDN con el nombre del
dominio de manera automática.
118. En el campo “Nombre de dominio completo (FQDN) para el host de destino:” deberá
introducir el FQDN del servidor Entidad de Certificación subordinada de empresa.
Nota: En el ejemplo se introduce “SVRCASUB.dominio.local”.

USO OFICIAL
USO OFICIAL
Paso Descripción
119. Pulse “Aceptar” para cerrar la ventana “Nuevo registro de recursos” y compruebe que el
objeto CNAME se ha creado correctamente y que apunta al objeto de tipo HOST (A)
correspondiente.
120. Elimine la carpeta “C:\Scripts”.
7. INSTALACIÓN DEL SERVIDOR ENTIDAD DE CERTIFICACIÓN

SUBORDINADA A LA ENTIDAD DE CERTIFICACIÓN RAÍZ
Los siguientes pasos describen el proceso de instalación del servidor Entidad de Certificación
subordinada a la Entidad de Certificación raíz creada en el apartado anterior y en un sistema,
miembro de dominio Microsoft Windows Server 2012 R2.
Nota: Para automatizar el proceso de instalación de la Entidad de Certificación se ha incorporado a esta guía el
script público y gratuito que Microsoft proporciona a sus clientes para la instalación en las ediciones “Core” de
Windows Server 2012 R2. En él, se admiten diferentes parámetros de configuración como el nombre de la Entidad
de Certificación, el proveedor de cifrado y la longitud de la clave de cifrado, entre otros. De forma predeterminada
se realizará una instalación utilizando el nombre del servidor como nombre de la Entidad de Certificación y el
proveedor de cifrado “RSA#Microsoft Software Key Storage Provider” con una clave de 2048 bits y el hash que
firmará los certificados será SHA-256. Puede obtener más información acerca de este script en la siguiente página
web: https://technet.microsoft.com/en-us/library/ee918754(v=ws.10).aspx
Paso Descripción
121. Inicie sesión en el equipo donde se va a instalar el servidor Entidad de Certificación

subordinada de empresa con credenciales de administrador.
122. Previo a la instalación de la Entidad de Certificación será necesario comprobar que el sitio web
del servidor IIS está activo. Para ello, acceda al “Administrador del servidor” mediante el icono
correspondiente.

USO OFICIAL
USO OFICIAL
Paso Descripción
ruta:
Services (IIS)”
124. Dentro del “Administrador de Internet Information Services (IIS)”, navegue hasta el sitio
correspondiente mediante la siguiente ruta:
125. Sobre el sitio pulse botón derecho y seleccione “Administrar sitio web  Iniciar”.
Nota: Si la opción “Iniciar” se muestra inactiva en gris, esto indica que el sitio está activo y no es


USO OFICIAL
USO OFICIAL
Paso Descripción
128. Con el botón derecho seleccione el fichero denominado “CCN-STIC-597 Instalación CA

subordinada - Paso 1.bat” y haga clic en “Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción
130. Aparecerá la siguiente pantalla.

133. Diríjase ahora al apartado “7.1 CREACIÓN DE UNA PARTICIÓN” y ejecute los pasos
opcionales para la creación de una partición. Después retome la aplicación de la guía en este
punto y continúe con los siguientes pasos.
134. A continuación, con el botón derecho seleccione el fichero denominado “CCN-STIC-597
Instalación CA subordinada - Paso 2.bat” y haga clic en “Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción
135. A continuación, se detalla la configuración del certificado:

– Tipo de instalación: Independiente.
– Tipo de CA: CA Subordinada.
– Clave privada: Nueva clave privada.
– Proveedor de servicios de cifrado (CSP): RSA #Microsoft Software Key Storage Provider.
– Longitud de caracteres de la clave: 2048.
– Algoritmo hash para firmar los certificados: SHA256.
– Periodo de Validez: 20 años.
– Ubicación Base de datos de certificado: E:\CertDB.
– Ubicación Registro Base de datos de Certificado: E:\CertLog.
Nota: Si desea modificar la configuración del certificado debe modificar el archivo: “CCN-STIC-597
Servidor Independiente Instala rol CA_SUB.ps1”, ubicado en C:\scripts.
137. Asegúrese de que los ficheros y scripts se encuentran en el directorio C:\scripts y

Pulse una tecla para iniciar el proceso de instalación y espere a que finalice.

USO OFICIAL
USO OFICIAL
Paso Descripción
139. A continuación, espere a que finalice la instalación y pulse una tecla para continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
140. El proceso de instalación puede tardar varios minutos. Espere hasta que finalice
correctamente. No es necesario que reinicie el servidor, lo cual le es indicado en la ventana.
Nota: El primer mensaje de Advertencia hace referencia ha: No se pudo iniciar la actualización
automática de los componentes instalados. Error: 0x80070422” se puede ignorar. Avisa de la no
disponibilidad del servicio de actualizaciones, que fue desactivado en el proceso de instalación del
servidor Windows bajo la guía CCN-STIC-560. El segundo mensaje de Advertencia hace referencia al
archivo C:\Scripts\CASUB.req el cual debe usarse para obtener el certificado de la CA primaria.

142. A continuación, confirme la creación de las carpetas en la ubicación E:\

USO OFICIAL
USO OFICIAL
Paso Descripción
143. A continuación, confirme que se ha generado un fichero de solicitud de certificado en la ruta

especificada en el script.
Nota: Si no se ha cambiado la configuración del script, la ruta por defecto es “C:\Scripts\CASUB.req”.
144. Copie este fichero para llevarlo al servidor independiente Entidad de Certificación raíz.
Nota: Para realizar copias de una máquina a otra y teniendo en cuenta que no son accesibles entre ellas,
se deberá utilizar un dispositivo externo tipo disco duro o pendrive tanto si se trata de una máquina física
como de una máquina virtual con acceso a dispositivos externos de almacenamiento tipo USB. En el caso
de Hyper-V se podrán emplear dispositivos virtuales de almacenamiento.
7.1 CREACIÓN DE UNA PARTICIÓN

Este paso es opcional, si bien muy recomendado. En esta guía se va a crear la unidad E:\ en el
servidor donde se instalará la entidad certificadora subordinada.
Nota: Si no dispone de esta posibilidad o la unidad creada tiene asignada una letra distinta a “E:\” deberá adaptar
ciertos pasos de esta guía para poder completarlos.
Paso Descripción
145. Ejecute la consola “Administración de equipos” desde “Menú inicio > Herramientas
Administrativas > Administración de equipos”.
146. Introduzca, cuando se le solicite, la cuenta y contraseña de un administrador con los privilegios
suficientes para poder administrar el dominio.
Nota: En esta guía se utiliza el administrador del dominio SDT, creado para ello. Puede utilizar el que
habitualmente use Ud.

USO OFICIAL
USO OFICIAL
Paso Descripción
147. Seleccione “Administración de discos”. Una vez dentro, seleccione el espacio de disco o el
disco físico preparado para alojar los datos web con el botón derecho del ratón y pulse sobre
“Nuevo volumen simple…”.
Nota: Se ha seleccionado como etiqueta CASUB, pero puede poner el nombre que considere, no es
transcendente.
148. El asistente para la creación del volumen comenzará. Debe hacer clic en “Siguiente >” en la
primera ventana. En la segunda, en la imagen, puede seleccionar el tamaño a utilizar.
Presione, otra vez, “Siguiente >”.

Nota: Se ha seleccionado, en el ejemplo, todo el espacio disponible, aunque en su entorno no tiene
porqué ser así.

USO OFICIAL
USO OFICIAL
Paso Descripción
149. En este paso se selecciona la letra de unidad.
Con el botón “Siguiente >” continuará la ejecución del asistente.

Nota: Si el sistema no le ofrece la posibilidad de seleccionar la letra E, habitualmente, es debido a que ya
está asignada a otra partición, dispositivo de DVD, pendrive, etc.
150. Ahora introduzca una etiqueta para el nuevo volumen y desmaque la opción “Dar formato
rápido”. Presione “Siguiente >” para continuar.
151. Se mostrará el resumen de la actuación a realizar. Presione “Finalizar” para realizar el

formateo del disco.

USO OFICIAL
USO OFICIAL
Paso Descripción
152. Cierre todas las consolas, exploradores y demás ventanas que pudiera tener abiertas. Reinicie
el equipo antes de comenzar con ninguna instalación posterior, para asegurar que se aplican
las directivas, posibles cambios de letra de unidad, etc.
7.2 CONFIGURACIÓN DE LA ENTIDAD DE CERTIFICACIÓN SUBORDINADA

Los siguientes pasos describen el proceso de firma del certificado de la entidad subordinada a
través de la Entidad de Certificación raíz creada en la primera sección del presente anexo.
Paso Descripción
153. Inicie sesión en el equipo independiente Entidad de Certificación raíz con credenciales de
administrador local.
154. Copie el fichero de solicitud de certificado generado en el apartado anterior en el directorio
“C:\Scripts”.
Nota: En el ejemplo, el fichero se denomina “CASUB.req”.
155. Abra el “Administrador del servidor” a través del icono correspondiente.

administrador.
157. Navegue hasta “Entidad de certificación” mediante la siguiente ruta:

“Administrador del servidor  Herramientas  Entidad de Certificación”

USO OFICIAL
USO OFICIAL
Paso Descripción
158. Pulse botón derecho sobre el nombre de la Entidad de Certificación y seleccione “Todas las
tareas  Enviar solicitud nueva…”.
159. Navegue hasta el fichero de solicitud de certificado que ha copiado recientemente en

“C:\Scripts” y pulse “Abrir”.
Nota: En el ejemplo, el fichero se denomina “CASUB.req”.
160. Sitúese sobre el contenedor “Solicitudes pendientes” y podrá comprobar que la solicitud ya
está registrada en la consola de certificados. Pulse con el botón derecho sobre la solicitud y
seleccione “Todas las tareas  Emitir”.

USO OFICIAL
USO OFICIAL
Paso Descripción
161. Sitúese sobre el contenedor “Certificados emitidos” y haciendo clic derecho sobre el certificado
emitido recientemente, seleccione “Abrir”.
162. Una vez abierta la ventana “Certificado”, diríjase a la pestaña “Detalles” y pulse sobre “Copiar
en archivo…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
163. En el “Asistente para exportación de certificados” pulse “Siguiente”.
164. En “Formato de archivo de exportación” seleccione “Estándar de sintaxis de cifrado de

mensajes: certificados PKCS #7 (.P7B)” y pulse “Siguiente”.

USO OFICIAL
USO OFICIAL
Paso Descripción
165. En “Archivo que se va a exportar” pulse “Examinar” para establecer la ubicación.

y el nombre del archivo que se va a exportar. Pulse “Siguiente” para continuar.
Nota: En el ejemplo se ubica el fichero en “C:\Scripts” y se denomina “CAsigned.p7b”.
166. Pulse “Finalizar” para salir del asistente.

USO OFICIAL
USO OFICIAL
Paso Descripción
167. Pulse “Aceptar” en el mensaje que confirma que la exportación se ha realizado correctamente.
168. Pulse “Aceptar”, de nuevo, para cerrar la ventana “Certificado”.
169. Ahora, a través del “Explorador de Windows” sitúese en la ruta

“%SYSTEMROOT%\System32\CertSrv\CertEnroll” y copie todos los ficheros con extensiones
“.crt” y “.crl”. Puede pegar dichos ficheros en la misma ruta en la que había almacenado el
certificado exportado.
Nota: En el ejemplo se ubican los ficheros en “C:\Scripts”. Al haber vuelto a emitir el certificado de la
entidad raíz, pueden aparecer dos certificados ".crt" en la carpeta. Copie el más reciente, ya que es el que
contiene los parámetros correctos.

USO OFICIAL
USO OFICIAL
Paso Descripción
170. Extraiga todos los ficheros (“.crt”, “.crl”, “.p7b”) para posteriormente copiarlos en el servidor
Entidad de Certificación subordinada de empresa que se ha instalado en el punto 7 del
presente anexo.
se deberá utilizar un dispositivo externo tipo disco duro o pendrive tanto si se trata de una máquina física
como de una máquina virtual con acceso a dispositivos externos de almacenamiento tipo USB. En el caso
de Hyper-V se podrán emplear dispositivos virtuales de almacenamiento.
171. Una vez extraídos los 3 ficheros, elimine la carpeta “C:\Scripts”.

Nota: A partir de este momento, el servidor independiente Entidad de Certificación puede ser apagado
para utilizar la Entidad de Certificación subordinada y mantener, por tanto, protegida la clave privada. Si
se va a realizar la comprobación a través del ANEXO H LISTA DE COMPROBACIÓN DE LA
CORRECTA INSTALACIÓN DE UNA ENTIDAD DE CERTIFICACIÓN RAÍZ INDEPENDIENTE Y
UNA ENTIDAD DE CERTIFICACIÓN SUBORDINADA DE DIRECTORIO ACTIVO EN
WINDOWS SERVER 2012 R2 se puede mantener encendida o, en su caso, será necesario encender la
entidad de nuevo, realizar las comprobaciones y volver a apagarla.
7.3 PASOS FINALES EN LA INSTALACIÓN DE LA ENTIDAD DE

CERTIFICACIÓN SUBORDINADA DE EMPRESA
Los siguientes pasos describen el proceso final en que se copian los ficheros correspondientes en
el servidor Entidad de Certificación subordinada de empresa, se establece una ruta de acceso a
los ficheros y se importa el certificado firmado por la Entidad de Certificación raíz.
Paso Descripción
172. Inicie sesión en el equipo Entidad de Certificación subordinada de empresa con credenciales
con permisos de administrador de dominio.
173. Copie los ficheros generados en el apartado anterior en el directorio “C:\Scripts”.
174. Copie los 2 ficheros con extensiones “.crt” y “.crl” en la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll”.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador del dominio.
176. Una vez copiados los ficheros, puede cerrar la ventana del “Explorador de Windows”.
177. Debido a la seguridad aplicada en el servidor y a pesar de que los servicios web de Entidad de
Certificación están instalados, la dirección virtual que apuntará hacia los ficheros recién
copiados no se habrá creado automáticamente. Por esta razón, se va a establecer dicha
dirección de forma manual a través del “Administrador de Internet Information Services”. Para
ello, abra el “Administrador del servidor” a través del icono correspondiente.


USO OFICIAL
USO OFICIAL
Paso Descripción
179. Navegue hasta “Administrador de Internet Information Services” mediante la siguiente ruta:
“Administrador del servidor  Herramientas  “Administrador de Internet Information
Services (IIS)”
180. Dentro del “Administrador de Internet Information Services”, navegue hasta el sitio web
mediante la siguiente ruta:
“<Nombre del servidor Entidad de Certificación>  Sitios”
181. Pulse el botón derecho del ratón sobre el sitio y seleccione “Agregar directorio virtual…”.
182. En el campo “Alias” introduzca “CertEnroll” y en la ruta de acceso física, la ruta en la que ha
copiado los ficheros extraídos de la Entidad de Certificación raíz en los pasos anteriores.
183. Pulse Aceptar para guardar los cambios.

USO OFICIAL
USO OFICIAL
Paso Descripción
184. Pulse sobre el directorio virtual recién creado y localice el icono de “Autenticación”.
185. Pulse doble clic sobre “Autenticación” y una vez abierto el menú seleccione “Autentificación
anónima”. Pulse “Habilitar” en el menú “Acciones”.
186. A continuación, se habilitará la opción “Compartir impresoras y archivos para redes Microsoft”,
Para ello, abra el “Administrador del servidor” a través del icono correspondiente.


USO OFICIAL
USO OFICIAL
Paso Descripción
188. Sitúese sobre Servidor Local y pulse en la dirección IP, que sería en este caso 192.168.10.2.
189. Sitúese sobre Ethernet, pulse botón derecho y haga clic en “Propiedades”.


USO OFICIAL
USO OFICIAL
Paso Descripción
191. Habilite “Compartir y archivos para redes Microsoft”, tal y como se muestra en la imagen, y
pulse Aceptar.
192. Con el botón derecho seleccione el fichero denominado “CCN-STIC-597 Instalación CA

subordinada - Paso 3.bat” y haga clic en “Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción
194. A continuación, se procederá a instalar el certificado de CA. Pulse una tecla para comenzar la
ejecución del script
195. Pulse “Aceptar” en el mensaje de advertencia para localizar el certificado que se había copiado
previamente en “%SYSTEMROOT%\System32\CertSrv\CertEnroll”.
Nota: Si no le aparece este mensaje, es posible que ya se esté Confiando en la Entidad Certificadora raíz
independiente.

USO OFICIAL
USO OFICIAL
Paso Descripción
196. Navegue, por tanto, hasta llegar al fichero de certificado de la CA raíz mediante la ruta
“%SYSTEMROOT%\System32\CertSrv\CertEnroll” y pulse “Abrir”.
Nota: En caso de que no figure ningún fichero, esto se debe a que no se está listando el tipo de extensión
correspondiente. Seleccione el tipo de fichero adecuado en la parte inferior de la ventana “Buscar
certificado para <CA raíz>”. En el ejemplo, el fichero a elegir es “SVRCA_SVRCA_CA(1).crt”.
197. Una vez finalizada la instalación y configuración pulse una tecla para cerrar la ventana.
7.4 CONFIGURACIÓN DE LISTA DE REVOCACIÓN DE CERTIFICADOS (CRL)

EN LA ENTIDAD SUBORDINADA.
Los pasos que se describen a continuación se realizarán sobre el servidor miembro de Entidad de
Certificación subordinada del dominio.

USO OFICIAL
USO OFICIAL
Paso Descripción
198. Inicie sesión en el equipo en dónde está instalado el servidor de Entidad de Certificación
subordinada de empresa con credenciales de administrador.
Nota: Deberá iniciar sesión con la cuenta de administrador.
199. Acceda al “administrador del servidor” mediante el icono de la barra de tareas.
utilizando en el acceso a la administración del servidor.
Entidad de Certificación configurado recientemente y con el botón derecho del ratón seleccione
“Propiedades”.

USO OFICIAL
USO OFICIAL
Paso Descripción


distribución de lista de revocación de certificados (CDP)” deshabilite la publicación de CRLs
mediante LDAP seleccionando “ldap://CN=<nombre truncado de CA><sufijo de nombre de lista
configuración><clase de objeto CDP>” y desmarcando todas las opciones.
Todas las casillas deben quedar desmarcadas tal y como se muestra en la siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción

distribución de lista de revocación de certificados (CDP)”, seleccione “file://<nombre DNS del
CRL permitidas>.crl” y desmarque todas las opciones como muestra la siguiente figura:

CRL permitidas>.crl” y pulse “Control + C”, para copiar el objeto.

USO OFICIAL
USO OFICIAL
Paso Descripción
209. En “Agregar ubicación”, diríjase al comienzo de la línea de texto y sustituya el valor “<nombre
Entidad de Certificación que se creó anteriormente (Punto 7) en la Entidad de Certificación
subordinada. Pulse “Aceptar” para guardar los cambios.

– Incluir en la extensión CDP de los certificados emitidos
– Incluir en la extensión IDP de CRL emitidas

USO OFICIAL
USO OFICIAL
Paso Descripción


servidor>_<nombre de CA><Nombre de certificado>.crt” todas las casillas están desmarcadas,
tal y como se muestra en la siguiente figura:

USO OFICIAL
USO OFICIAL
Paso Descripción

Services,CN=Services,<contenedor de configuración><clase de objeto CA>” todas las casillas
están desmarcadas tal y como se muestra en la siguiente figura:
215. Seleccione ahora “file://<nombre DNS del servidor>/CertEnroll/<nombre DNS del

servidor>_<nombre de CA><nombre de certificado>.crt” y desmarque la opción “Incluir en la
extensión AIA de los certificados emitidos”.

USO OFICIAL
USO OFICIAL
Paso Descripción

219. En “Agregar ubicación”, diríjase al comienzo de la línea de texto y sustituya el valor “<nombre
Entidad de Certificación subordinada. Pulse “Aceptar” para guardar los cambios:

USO OFICIAL
USO OFICIAL
Paso Descripción
220. De nuevo, en la pestaña “Extensiones” y manteniendo seleccionada la extensión “Acceso a la

información de entidad (AIA)”, seleccione la ubicación recién creada ahora

USO OFICIAL
USO OFICIAL
Paso Descripción
223. El siguiente paso será establecer un período de caducidad para la lista de revocación de
certificados (CRL), si caduca la CRL y al no poder comprobar si un certificado está en vigor o
no, no será posible hacer uso de dicho certificado del mismo modo que si éste estuviera
caducado.
Para establecer el período de caducidad de las CRLs, en el “Administrador del Servidor” que
ya se había abierto para las configuraciones anteriores, se deberá navegar hasta alcanzar el
contenedor de “Certificados revocados” que se encuentra en la siguiente ruta:
“Administrador del Servidor  Herramientas  Entidad de certificación  <nombre de
la Entidad de Certificación>  Certificados revocados”
Pulse el botón derecho del ratón sobre el contenedor “Certificados Revocados” y seleccione
“Propiedades”.
224. En “Intervalo de publicación CRL” introduzca el intervalo que indica cada cuánto tiempo se
publicará la CRL. Establezca el intervalo de publicación y pulse “Aceptar” para cerrar la
ventana de “Propiedades: Certificados revocados”.
Nota: En el ejemplo, se ha indicado un periodo de validez igual al del certificado (20 años). Así mimo y
debido al propósito de esta entidad, no será necesario el uso de “Diferencias CRL” y, por tanto, se
mantendrá desmarcado como indica la figura.

USO OFICIAL
USO OFICIAL
Paso Descripción
“Aceptar”.

USO OFICIAL
USO OFICIAL
ANEXO F. ADMINISTRACIÓN DE CARACTERÍSTICAS DE LA

ENTIDAD DE CERTIFICACIÓN
El siguiente anexo describe paso a paso una serie de labores administrativas básicas en el empleo
de entidades de certificación y la emisión de certificados solicitados por los equipos clientes de
dicha entidad.
1. CONFIGURACIÓN DE LA AUDITORÍA DE LAS OPERACIONES DE

LA ENTIDAD DE CERTIFICACIÓN
Existe la posibilidad de los auditores lleven un control de las diferentes tareas que se realizan a
través de la Entidad de Certificación. Esta sección recoge los pasos a seguir para realizar la
configuración de una auditoria de eventos de una Entidad de Certificación. Estos pasos se
realizarán a través de una Entidad de Certificación, independientemente del tipo de la misma.
Paso Descripción
1. Inicie sesión en la Entidad de Certificación para configurar la auditoría.

Nota: Deberá iniciar sesión con una cuenta con privilegios de administración.

administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción

5. Pulse con el botón derecho del ratón sobre la Entidad de Certificación y seleccione
“Propiedades”.
6. En la ventana “Propiedades” seleccione la pestaña “Auditoría”, marque la opción “Emitir y

administrar solicitudes de certificados” y a continuación pulse “Aceptar”.
Nota: En este ejemplo se ha decidido seleccionar la pestaña “Emitir y administrar solicitudes de

certificados”. La elección de marcar diferentes opciones de auditoría dependerá de las necesidades de la
organización. Para que sea posible la captura de eventos de la Entidad de Certificación, el equipo debe
estar configurado para auditar también el acceso a objetos. Las opciones de directiva de auditoría se
pueden ver y administrar en una directiva de grupo local o de dominio en la siguiente ruta:
“Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales”.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. A continuación, pulse el botón derecho del ratón sobre la Entidad de Certificación, en el menú
“Todas las tareas  Detener servicio”.
8. Una vez que el servicio esté parado, en la ventana de “Administrador del servidor” pulse en el
menú “Acción > Todas las tareas > Iniciar servicio” para iniciarlo de nuevo.
9. A partir de este momento, el sistema capturará los eventos que hayan sido seleccionado, tal y
como muestra la siguiente imagen.
Nota: Para visualizar los eventos de la Entidad de Certifiación, vaya al menú inicio: “Inicio >
Herramientas administrativas > Visor de eventos”. Una vez dentro navegue por el árbol de la izquierda
hasta llegar al apartado de seguridad y a través de la siguiente ruta: “Visor de eventos (local) > Registro
de Windows > Seguridad”. Puede consultar los diferentes tipos de eventos que genera una Entidad de
Certificación a través de la guía “CCN-STIC-590 Recolección y consolidación de eventos con Windows
Server 2012 R2”.

USO OFICIAL
USO OFICIAL
2. CONFIGURACIÓN DE PROPIEDADES DE LA ENTIDAD DE

CERTIFICACIÓN
En caso de cambiar la política de la empresa con respecto a los puntos de distribución de la lista
de revocación de certificados (CRLs), será necesario modificar dichos parámetros en las
propiedades de la Entidad de Certificación para, posteriormente, renovar o emitir nuevos
certificados actualizados con los nuevos parámetros.
Este apartado indica los pasos a seguir para establecer modificaciones en el servidor Entidad de
Certificación, independientemente del tipo de Entidad de Certificación.
Paso Descripción
1. Inicie sesión en el servidor Entidad de Certificación raíz de empresa.


administrador.


USO OFICIAL
USO OFICIAL
Paso Descripción
5. Pulse el botón derecho del ratón sobre la Entidad de Certificación y seleccione “Propiedades”.
6. En la ventana “Propiedades” modifique los parámetros necesarios para alcanzar los objetivos
de su entorno y pulse “Aceptar” para guardar los cambios.
Tal y como se ha indicado anteriormente, uUna vez modificados los diferentes parámetros de la
Entidad de Certificación, para que éstos se reflejen en los certificados ya emitidos, será necesario
renovar dichos certificados o emitir nuevos certificados.

USO OFICIAL
USO OFICIAL
3. RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE

CERTIFICACIÓN
Los certificados emitidos a través de una Entidad de Certificación tienen un período de validez
determinado que, una vez superado, impide que se siga haciendo uso de dichos certificados. Por
tanto, cada vez que se supere el espacio de tiempo en el cual los certificados están en vigor, será
necesario realizar una renovación del certificado expirado que pertenece a dicha Entidad de
Certificación.
Así mismo, existe la posibilidad de que se requiera la renovación del certificado raíz de la
Entidad debido a un cambio en las políticas de comportamiento o para evitar su uso por haber
sido comprometido de algún modo. Este hecho provocaría la necesidad de cambio del certificado
de la Entidad de Certificación tras revocar el que se emitió con anterioridad. Esto es debido a que
dicho certificado anterior continúa en vigor y el hecho de que no cumpla con los requisitos o
políticas estipulados necesita que este certificado pase a un estado de inutilizable o revocado.
Existen una serie de elementos predeterminados a tener en cuenta según el tipo de certificado
que se desea renovar:
– Para un certificado correspondiente a una Entidad de Certificación raíz, el período de
validez se especifica durante la instalación de los Servicios de certificados de Directorio
Activo.
– Para un certificado correspondiente a una Entidad de Certificación raíz, el período de
validez podrá ser de hasta 5 años y nunca deberá sobrepasar el período de validez de la
Entidad de Certificación raíz de la que depende.
– El resto de los certificados tendrán una duración de un máximo de dos años y nunca
deberán sobrepasar el período de validez de la Entidad de Certificación que entrega
dichos certificados.
Nota: Como se podrá comprobar en pasos posteriores, es posible modificar la duración máxima de los certificados
mediante una entrada de registro.
A la hora de realizar la renovación del certificado, el sistema solicitará si se quieren crear nuevas
claves pública y privada para el certificado. Si bien es cierto que, con un nivel de cifrado
suficiente es difícil que se pueda llegar a romper las claves, es más seguro regenerar las claves
porque este procedimiento le otorga al atacante menos tiempo para romper la seguridad, aunque
el coste administrativo se ve aumentado.
El algoritmo de cifrado con el que se están emitiendo los certificados es muy seguro, esto hace
que el conjunto de claves sea prácticamente irrompible, en el entorno que ocupa a esta guía no se
volverán a emitir claves privadas y públicas nuevas para evitar tener que emitir de nuevo todos
los certificados que comparten confianza con la entidad.
3.1 RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE

CERTIFICACIÓN RAÍZ
Los pasos que se definen a continuación comprenden la renovación de una Entidad de
Certificación raíz tanto si ésta es de empresa como independiente del dominio.
Paso Descripción
1. Inicie sesión en el equipo Entidad de Certificación raíz con credenciales de administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.

5. Sobre el nombre de la Entidad de Certificación, con el botón derecho del ratón seleccione
“Todas las tareas  Renovar certificado de CA…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
3.2 RENOVACIÓN DEL CERTIFICADO RAÍZ DE UNA ENTIDAD DE

CERTIFICACIÓN SUBORDINADA
El proceso de renovación de una Entidad de Certificación subordinada, en el escenario
contemplado en esta guía, deberá solicitar la firma a la entidad raíz independiente del dominio.
Los pasos que se definen a continuación comprenden el método para renovar el certificado y
posteriormente solicitar la firma a través de la entidad raíz.
Paso Descripción
1. Inicie sesión en el equipo Entidad de Certificación subordinada con credenciales de

administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.

“Todas las tareas  Renovar el certificado de CA…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. En la ventana “Solicitud de certificado de CA”, pulse “Cancelar”, ya que la entidad raíz no es

accesible.
Nota: La nueva solicitud de certificado se alojará en la ruta indicada en el mensaje que figura en la zona
inferior de la ventana “Solicitud de certificado de CA”; en el ejemplo, “C:\Scripts”.
9. Extraiga el fichero de solicitud (en el ejemplo, “CASUB(1).req”) para utilizarlo en el servidor

independiente de la Entidad de Certificación raíz.
Los pasos siguientes se realizarán en el servidor independiente Entidad de Certificación raíz.

Paso Descripción
10. Inicie sesión en el servidor independiente de la Entidad de Certificación raíz con credenciales
de administrador local.

USO OFICIAL
USO OFICIAL
Paso Descripción
11. Copie en fichero de solicitud generado anteriormente en la entidad subordinada a “C:\Scripts”.

Nota: En el ejemplo, “CASUB(1).req”. Si la carpeta “C:\Scripts” no existe, créela.

administrador.
“Todas las tareas  Enviar solicitud nueva…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
16. En la ventana “Abrir archivo de solicitud”, seleccione la solicitud que se acaba de copiar y pulse
“Abrir”.
Nota: En el ejemplo “C:\Scripts\CASUB(1).req”.
17. Sitúese en el contenedor de “Solicitudes pendientes” y sobre la solicitud de certificado que

aparece pulse con el botón derecho del ratón y seleccione “Todas las tareas  Emitir”.
18. Sitúese sobre el contenedor “Certificados emitidos” y haciendo clic derecho sobre el certificado
emitido recientemente, seleccione “Abrir”.

USO OFICIAL
USO OFICIAL
Paso Descripción
en archivo…”.
20. En el “Asistente para exportación de certificados” pulse “Siguiente >”.

USO OFICIAL
USO OFICIAL
Paso Descripción

22. En “Archivo que se va a exportar” pulse examinar para establecer la ubicación y el nombre del
archivo que se va a exportar.
Pulse “Siguiente” para continuar.

Nota: En el ejemplo se ubica el fichero en “C:\Scripts” y se denomina “CArenovacion.P7B”.

USO OFICIAL
USO OFICIAL
Paso Descripción

USO OFICIAL
USO OFICIAL
Paso Descripción
25. Pulse “Aceptar”, de nuevo, para cerrar la ventana “Certificado”.
26. Extraiga el fichero con extensión “.p7b” para, posteriormente copiarlo en el servidor de la
Entidad de Certificación subordinada de empresa.
se deberá utilizar un dispositivo externo tipo disco duro o pendrive USB tanto si se trata de una máquina
física como de una máquina virtual con acceso a dispositivos externos de almacenamiento tipo USB. En
el caso de Hyper-V se podrán emplear dispositivos virtuales de almacenamiento.
27. Una vez extraído el fichero, elimine la carpeta “C:\Scripts”.
Los siguientes pasos se realizarán en el servidor de la Entidad de Certificación subordinada de

empresa.

USO OFICIAL
USO OFICIAL
Paso Descripción
28. Inicie sesión en el equipo Entidad de Certificación subordinada de empresa con credenciales
de administrador.
29. Copie el fichero generado en el apartado anterior en el directorio “C:\Scripts”.
Nota: En el ejemplo “CArenovacion.p7b”. Si la carpeta “C:\Scripts” no está generada, créela.

administrador.
33. Pulse botón derecho sobre el nombre de la Entidad de Certificación y seleccione “Todas las
tareas  Instalar el certificado de CA…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
35. Navegue hasta el fichero de certificado que ha copiado recientemente a “C:\Scripts” y pulse
“Abrir”.
Nota: En el ejemplo, el fichero se denomina “CArenovacion.p7b”.
36. Una vez se ha renovado el certificado, elimine la carpeta “C:\Scripts”.
4. GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE

CERTIFICADOS
Una lista de revocación es un archivo que mantiene almacenada la lista de los certificados que
han sido revocados y que, por tanto, ya no están disponibles para hacer uso de ellos.
El siguiente apartado enumera los pasos necesarios para generar listas de revocación de
certificados (CRLs) y publicarlas tanto en el caso de entornos con Entidad de Certificación raíz
de empresa como en entornos de servidor independiente Entidad de Certificación raíz y Entidad
de Certificación subordinada de empresa.

USO OFICIAL
USO OFICIAL
4.1 GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE

CERTIFICADOS (CRL) MEDIANTE UNA ENTIDAD DE CERTIFICACIÓN
RAÍZ DE EMPRESA
Las siguientes configuraciones se realizarán en el servidor de la Entidad de Certificación raíz de
empresa.
Paso Descripción


administrador.


USO OFICIAL
USO OFICIAL
Paso Descripción
5. Para configurar las CRLs, pulse el botón derecho del ratón sobre el contenedor “Certificados
Revocados” y seleccione “Propiedades”.
6. Modifique el “Intervalo de publicación CRL” y deshabilite la publicación de diferencias CRL. Es

posible también la consulta de las listas de revocación mediante la pestaña “Ver listas de
revocación de certificados (CRL)”.

USO OFICIAL
USO OFICIAL
Paso Descripción

“Aceptar”.

USO OFICIAL
USO OFICIAL
4.2 GENERACIÓN Y PUBLICACIÓN DE LISTAS DE REVOCACIÓN DE

CERTIFICADOS (CRL) MEDIANTE UNA ENTIDAD DE CERTIFICACIÓN
SUBORDINADA A UNA ENTIDAD DE CERTIFICACIÓN RAÍZ
INDEPENDIENTE
Las siguientes configuraciones se realizarán a través de una certificación raíz independiente.
Paso Descripción


administrador.


USO OFICIAL
USO OFICIAL
Paso Descripción
5. Para configurar las CRLs, pulse el botón derecho del ratón sobre el contenedor “Certificados
Revocados” y seleccione “Propiedades”.
6. Modifique el “Intervalo de publicación CRL” y deshabilite la publicación de diferencias CRL. Es

posible también la consulta de las listas de revocación mediante la pestaña “Ver listas de
revocación de certificados (CRL)”.

USO OFICIAL
USO OFICIAL
Paso Descripción

“Aceptar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
11. A continuación, copie el fichero con extensión “.crl” que se ha generado en la ruta
“%SYSTEMROOT%\System32\CertSvr\CertEnroll” a un dispositivo externo para
posteriormente copiarlo en el servidor Entidad de Certificación subordinada de empresa.
se deberá utilizar un dispositivo externo tipo disco duro o pendrive USB tanto si se trata de una máquina
física como de una máquina virtual con acceso a dispositivos externos de almacenamiento tipo USB. En
el caso de Hyper-V se podrán emplear dispositivos virtuales de almacenamiento.
Los siguientes pasos se realizarán en la Entidad de Certificación subordinada de empresa.

Paso Descripción
12. Inicie sesión en el servidor Entidad de Certificación subordinada de empresa.

13. Copie el fichero con extensión “.crl”, que se ha generado y exportado en el paso anterior en la
ruta “%SYSTEMROOT%\System32\CertSvr\CertEnroll” a un dispositivo externo para
posteriormente copiarlo en el servidor Entidad de Certificación subordinada de empresa.
5. GENERACIÓN DE PLANTILLAS DE CERTIFICADO

Del mismo modo que existen numerosos tipos de certificados, existen numerosos tipos de
plantillas de certificado. El servicio de Entidad de Certificación del directorio activo incluye una
serie de plantillas predefinidas, que suelen ser las solicitadas más habitualmente como podrían
ser las plantillas de autenticación de cliente (para autenticación de sesión, correo, etc.), plantillas
de autenticación de un equipo o servidor o plantillas para autenticar un sitio web…
Estas plantillas pregeneradas se pueden utilizar para la emisión de certificados sin realizar sobre
ellas ningún tipo de modificación, siempre y cuando el propósito coincida con los parámetros del
certificado. Así mismo, estas plantillas se utilizarán como base para crear una plantilla de
certificado personalizada mediante la cual se pueden establecer de forma manual parámetros y
características que se adecuen totalmente a la necesidad o propósito del certificado a solicitar.

USO OFICIAL
USO OFICIAL
Esta sección define los pasos a seguir para generar plantillas a través de una plantilla base y se
realizarán a través de una Entidad de Certificación raíz de empresa o de una Entidad de
Certificación subordinada de empresa que permita que sean accesibles para los clientes que
vayan a realizar la solicitud.
Para más información sobre plantillas de certificados puede visitar el siguiente enlace:
https://technet.microsoft.com/en-us/library/cc730826(v=ws.10).aspx
5.1 MODIFICACIÓN DE DURACIÓN MÁXIMA DEL PERIODO DE VALIDEZ DE

LOS CERTIFICADOS
En el caso de que sea necesario establecer un período de validez superior a los dos años para los
certificados y como paso previo a la creación, modificación o publicación de las plantillas de
certificado, sería necesario editar el registro, ya que, de otro modo, los certificados emitidos a
través de la Entidad de Certificación, nunca superarán los dos años de período de validez.
En este apartado se definen los pasos para permitir un período de validez superior a dos años en
las plantillas de certificado, en el ejemplo se establecerán 5 años.
Paso Descripción
1. Inicie sesión en el servidor Entidad de Certificación raíz o subordinada de empresa.

2. Vaya al menú “Inicio” y teclee “cmd.exe”.

3. Pulse el botón derecho del ratón sobre el programa “Símbolo del sistema” y seleccione
“Ejecutar como administrador”.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.
5. Teclee “regedit” en la consola de comandos y pulse “Enter”.
6. Una vez abierto el “Editor del registro” expanda el menú hasta llegar a los parámetros de la
Entidad de Certificación mediante la siguiente ruta:
HKEY_LOCAL_MACHINE  System CurrentControlSet Services CertSvc
Configuration <Nombre de la Entidad de Certificación>
Nota: En el ejemplo, la Entidad de Certificación se denomina “dominio-SRVCASUB-CA-9” y es la

entidad subordinada del escenario descrito en el ANEXO E GUÍA PASO A PASO DE LA
INSTALACIÓN DE UNA ENTIDAD RAÍZ INDEPENDIENTE Y UNA ENTIDAD DE
CERTIFICACIÓN SUBORDINADA DE DIRECTORIO ACTIVO EN WINDOWS SERVER 2012 R2.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. En el panel de la derecha, localice el objeto “ValidityPeriodUnits” y haga doble clic sobre él.
8. Modifique el apartado “Información del valor” por el número máximo de años que se quiera
establecer como período de validez máximo para las plantillas y pulse “Aceptar”.
Nota: Asegúrese de seleccionar “Base Decimal” antes de modificar el valor.
9. Cierre el “Editor del registro”. A partir de este momento se podrán emitir certificados con un
período de validez superior a dos años y con el máximo de años establecido mediante la
entrada de registro modificada.
5.2 CREACIÓN DE PLANTILLAS DE CERTIFICADO

Este apartado define los pasos para crear una plantilla de certificado a partir de una plantilla
base.
Paso Descripción

Nota: Deberá iniciar sesión con una cuenta con permisos de administrador.

USO OFICIAL
USO OFICIAL
Paso Descripción

administrador.

5. Sitúese sobre el contenedor de “Plantillas de certificado”.
Nota: La lista de plantillas que aparece en el menú derecho contiene las plantillas de certificado que
están disponibles para su solicitud. Existe un repositorio con más tipos de plantillas de certificados que se
pueden parametrizar para posteriormente publicar. Solamente las plantillas que aparecen en esta lista
estarán accesibles para que los clientes realicen la solicitud del certificado.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. Sitúese sobre el contenedor “Plantillas de certificado”, pulse el botón derecho del ratón sobre
él y seleccione “Administrar” para acceder al resto de plantillas de certificado.
7. A continuación, se abrirá la “Consola de plantillas de certificado” que mostrará la lista completa

de plantillas que se podrán usar como base para la creación de la plantilla de certificados
personalizada.
Nota: En caso de no necesitar la personalización de la plantilla y si solamente se requiere que una

plantilla de esta lista aparezca en el contenedor de plantillas de certificado para que sea accesible a
solicitudes, consulte el apartado 5.3 PUBLICACIÓN DE UNA PLANTILLA DE CERTIFICADOS EN
LA ENTIDAD DE CERTIFICACIÓN.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. Una plantilla base no debe ser modificada debido a que se perdería la parametrización por
defecto de dicha plantilla. Por tanto, se duplicará una plantilla para personalizar tanto sus
parámetros como el nombre de la plantilla. Para ello, en la “Consola de plantillas de
certificado” seleccione una plantilla y pulsando el botón derecho del ratón sobre ella seleccione
“Plantilla Duplicada”.
Nota: En el ejemplo se realizará un duplicado de la plantilla “Servidor web”.
9. Es posible establecer la configuración de compatibilidad separándolo por Entidad de

Certificación y destinatario de certificado.
Nota: La configuración de compatibilidad se configurará en base al entorno en el que este basado la

entidad certificadora.

USO OFICIAL
USO OFICIAL
Paso Descripción
10. Se abrirá la ventana de “Propiedades de plantilla nueva” donde se podrá definir los diferentes
parámetros para adecuar la plantilla al tipo de certificado necesario.
En la pestaña “General” se puede establecer un nombre para la plantilla, así como definir el
período de validez o la posibilidad de publicar el certificado en el directorio activo.
Nota: En el ejemplo se mantienen los períodos y se cambia el nombre a “Prueba Servidor Web”. Nótese
que a menos que se modifique, el campo “Nombre de plantilla” omite los espacios. Este hecho se deberá
tener en cuenta en caso de utilizar herramientas de comandos como “certutil.exe”, ya que, si se invoca la
plantilla con el “Nombre para mostrar de la plantilla”, dará error. El período de validez máximo que se
puede establecer en una plantilla de certificado es de dos años. Sin embargo, si se modifica la entrada de
registro tal como se ha hecho en el apartado anterior, sería posible establecer un periodo mayor, hasta
alcanzar el número definido en dicha entrada.
11. En la pestaña “Tratamiento de la solicitud” se puede especificar el propósito del certificado,

tanto si servirá para firmar un sitio web como para cifrar contenidos. Del mismo modo se
puede definir el comportamiento de cara al cifrado y permitir la exportación de la clave privada
(la exportación de la clave privada es necesaria cuando se usa el certificado en un servicio que
no puede comunicarse con el directorio activo).
Nota: En el ejemplo se marcará la opción de “Permitir que la clave privada se pueda exportar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
12. En la pestaña de “Criptografía” se podrá definir el algoritmo, tamaño de clave, proveedor de

cifrado y hash de la solicitud.
13. En la pestaña “Requisitos de emisión”, es posible definir si el administrador de la Entidad de

Certificación debe aprobar la publicación del certificado solicitado mediante la opción
“Aprobación del administrador de certificados de Entidad de Certificación”. Seleccionando esta
opción, ningún solicitante recibirá el certificado, a menos que el administrador gestione la
emisión, independientemente de los permisos de inscripción o inscripción automática que
tenga el solicitante.
Nota: En el ejemplo, se marcará esta opción.

USO OFICIAL
USO OFICIAL
Paso Descripción
14. En la pestaña “Seguridad”, se puede definir qué usuarios tendrán permiso para operar sobre
los certificados, en caso de que se quisiera que el equipo de ejemplo, fuera capaz de recibir el
certificado tras su solicitud y que esta recepción se recibiera de forma automática (sin que el
administrador tuviera la obligación de administrar la entrega), se debe añadir el grupo “Equipos
del dominio” y darle los permisos que le permitan las opciones “Inscribirse” e “Inscripción
automática”. Para ello, pulse el botón “Agregar”.
15. Escriba “Equipos del dominio” en el campo de texto y pulse “Aceptar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
16. Sitúese sobre el grupo añadido recientemente “Equipos del dominio” y marque las dos
opciones “Inscribirse” e “Inscripción automática”. Pulse “Aceptar” para cerrar la ventana de
“Propiedades”.
Nota: En el ejemplo se marcan las opciones “Inscribirse” e “Inscripción automática” para el grupo de
directorio activo “Equipos del dominio”. En este caso particular, al haber marcado en el paso 13 la
opción “Aprobación del administrador de certificados de Entidad de Certificación”, aunque, por
permisos, los equipos del dominio deben poder recibir el certificado de forma automática, requerirán por
parte del administrador la entrega del certificado tras la solicitud.
17. Compruebe que la nueva plantilla aparece en la “Consola de plantillas de certificado”.
La plantilla aún no está disponible para poder solicitarla. Para poder utilizar la plantilla deberá
completar el apartado siguiente “5.3 PUBLICACIÓN DE UNA PLANTILLA DE
CERTIFICADOS EN LA ENTIDAD DE CERTIFICACIÓN”.

USO OFICIAL
USO OFICIAL
5.3 PUBLICACIÓN DE UNA PLANTILLA DE CERTIFICADOS EN LA ENTIDAD

DE CERTIFICACIÓN
Este apartado define los pasos para publicar en la Entidad de Certificación la plantilla creada en
el apartado anterior para que sea accesible a solicitudes de certificado.
Paso Descripción

Nota: Deberá iniciar sesión con una cuenta con permisos de administrador.

administrador.


USO OFICIAL
USO OFICIAL
Paso Descripción
5. Sitúese sobre el contenedor de “Plantillas de certificado”.
Nota: En el ejemplo, la Entidad de Certificación es de tipo subordinada y recibe el nombre de “dominio-

SRVCASUB-CA-9”.
6. Sitúese sobre el contenedor “Plantillas de certificado”, pulse el botón derecho del ratón y
seleccione “Nuevo  Plantilla de certificado que se va a emitir” para acceder al resto de
plantillas de certificado.
7. En “Habilitar plantillas de certificado”, seleccione la plantilla de certificado que desee publicar a

través de la Entidad de Certificación para que sea accesible desde los clientes solicitantes. A
continuación, pulse “Aceptar”.
Nota: En el ejemplo se publica en la Entidad de Certificación” la plantilla creada en el paso anterior

“PruebaServidorWeb”.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. Compruebe que la plantilla aparece en el contenedor “Plantillas de certificado” de la Entidad de

Certificación. En este momento, la plantilla será accesible para solicitar un certificado a través
de ella.
6. PROCEDIMIENTOS DE SOLICITUD Y ADMINISTRACIÓN DE

CERTIFICADOS
La presente sección define los pasos para realizar diversas operaciones con certificados.
6.1 SOLICITUD DE CERTIFICADOS
6.1.1 DESDE LA CONSOLA MMC

Esta sección define los pasos a seguir para solicitar un certificado, a través de un equipo cliente
de la Entidad de Certificación y mediante la consola de “Certificados” de Administración de
Microsoft o MMC. En el ejemplo, se solicitará un certificado a partir de la plantilla de
autenticación de usuario y la solicitud se hará desde un servidor que actuará como cliente de la
entidad.
Paso Descripción
1. Inicie sesión en el servidor que actúa como cliente solicitante del servidor Entidad de
Certificación.
2. Pulse sobre el botón de Inicio, escriba “mmc.exe”.

USO OFICIAL
USO OFICIAL
Paso Descripción
3. Pulse con el boton derecho sobre “mmc.exe” y seleccione la opción “Ejecutar como
administrador”.
4. El sistema le solicitará elevación de privilegios. Introduzca credenciales de un usuario con

permisos de administrador y pulse “Sí”.
5. En la consola seleccione “Archivo  Agregar o quitar complemento…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. Seleccione “Certificados” de la columna “Complementos disponibles” y pulse “Agregar >”.
7. Según el tipo de certificado, se deberá seleccionar el tipo de cuenta de la que se quiere abrir la
consola de certificados. Esta elección dependerá del tipo de certificado que se quiera solicitar.
Pulse “Finalizar” para continuar.
Nota: En el ejemplo se selecciona “Mi cuenta de usuario”, ya que se solicita un certificado de usuario de
autenticación del cliente.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. Pulse “Aceptar” para abrir la consola de certificados y despliegue el menú en árbol situado a la
izquierda hasta llegar al contenedor “Personal” mediante la siguiente ruta:
“Raíz de consola  Certificados: usuario actual  Personal”
Pulse con el botón derecho del ratón sobre “Personal” y seleccione “Todas las tareas 
Solicitar un nuevo certificado…”.
9. Se abrirá el asistente de “Inscripción de certificados”. En la ventana “Antes de comenzar” pulse

“Siguiente”.

USO OFICIAL
USO OFICIAL
Paso Descripción
10. En “Seleccionar directiva de inscripción de certificados”, mantenga la configuración y pulse

“Siguiente”.
11. Seleccione posteriormente “Usuario” y pulse sobre el botón “Inscribir”.

USO OFICIAL
USO OFICIAL
Paso Descripción
12. El certificado se inscribirá automáticamente debido a que el usuario tenía permisos de

“Inscripción automática” en la plantilla.
Nota: En caso de que el usuario no tuviera los permisos mencionados, sería necesario realizar una serie
de pasos adicionales en la Entidad de Certificación. Estos pasos serán descritos en el apartado siguiente:
“Emisión de certificados”.
13. Navegue hasta el contenedor “Certificados” mediante la siguiente ruta:

“Raíz de consola  Certificados: usuario actual  Personal  Certificados”
Compruebe que se ha emitido el certificado para el usuario y se ha hecho desde la entidad raíz
de empresa o subordinada de empresa.
Nota: En el ejemplo se ha empleado la entidad subordinada y se ha emitido el certificado para el usuario

“sdt”.
6.1.2 DESDE EL SERVICIO DE INTERNET INFORMATION SERVICES (IIS)

Esta sección define los pasos a seguir para solicitar un certificado, a través de un equipo cliente
de la Entidad de Certificación y mediante el servicio de Internet Information Services o IIS. En
el ejemplo, se solicitará un certificado de servidor de internet desde la consola de administración
de IIS del servidor Entidad de Certificación, aunque estos pasos también son válidos en
servidores miembros del dominio que tengan los servicios de Internet Information Services
instalados.
USO OFICIAL
USO OFICIAL
Paso Descripción
1. Inicie sesión en el servidor que actúa como cliente solicitante del servidor Entidad de
Certificación.
2. Acceda al “Administrador del servidor” mediante el icono correspondiente.

ruta:
Services (IIS)”
4. En el “Administrador de Internet Information Services” seleccione en el panel izquierdo el

nombre de la Entidad de Certificación y, en “Vista Características” localice “Certificados de
Servidor”.

USO OFICIAL
USO OFICIAL
Paso Descripción
5. Pulse doble clic sobre certificados de servidor y en el menú “Acciones” situado a la derecha
seleccione “Crear certificado de dominio…”.
6. En el “Asistente para solicitar certificados” se podrán establecer los diferentes parámetros

según las necesidades. Una vez establecidos estos parámetros pulse “Siguiente”.
Nota: Los datos introducidos que refleja la captura son a modo de ejemplo.

USO OFICIAL
USO OFICIAL
Paso Descripción
7. En “Especifique una Entidad de Certificación en línea:” pulse “Seleccionar”.
8. Seleccione la Entidad de Certificación que emitirá el certificado y pulse “Aceptar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
9. Proporcione un nombre descriptivo y pulse “Finalizar”.
10. Compruebe que el certificado aparece en la lista.
Nota: En este caso, el certificado se inscribe de forma automática. El siguiente paso describe los pasos a
seguir en caso de que un certificado solicitado no se inscriba automáticamente.
6.2 EMISIÓN DE SOLICITUDES PENDIENTES DE CERTIFICADOS

Esta sección define una serie de pasos para emitir y distribuir los certificados solicitados a través
de una Entidad de Certificación de empresa, independientemente de que ésta sea raíz o
subordinada.
Paso Descripción
1. Inicie sesión en el equipo Entidad de Certificación de empresa con credenciales de

administración.

USO OFICIAL
USO OFICIAL
Paso Descripción

un usuario con permisos de administrador.
4. En el menú situado a la derecha, haga clic sobre “Herramientas” y pulse sobre “Entidad de
5. Navegue hasta el nombre de la Entidad de Certificación.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. Sitúese en el contenedor “Solicitudes pendientes” y sobre la solicitud de certificado que

aparece pulse con el botón derecho del ratón y seleccione “Todas las tareas  Emitir”.
7. Sitúese sobre el contenedor “Certificados emitidos”. Podrá comprobar que el certificado recién
emitido aparece en la lista y será distribuido al cliente solicitante.
6.3 EXPORTACIÓN DE CERTIFICADOS

Para poder llevar certificados a un entorno que no puede acceder a la Entidad de Certificación,
existe la opción de exportar el certificado para importarlo desde el cliente que no tiene acceso a
la Entidad de Certificación o que no es compatible con el Directorio Activo.
Estos pasos se pueden realizar tanto desde la Entidad de Certificación como desde la consola de
certificados del cliente al que se le ha emitido el certificado. En el siguiente ejemplo, se va a
realizar la exportación de un certificado a través de la Entidad de Certificación que lo emitió.
Paso Descripción
1. Inicie sesión en la Entidad de Certificación sobre la que va a exportar el certificado con

credenciales de administración.

USO OFICIAL
USO OFICIAL
Paso Descripción
3. El control de cuentas de usuario le solicitará elevación de privilegios, emplee las credenciales

de un usuario con permisos de administrador.
5. Navegue hasta el nombre de la Entidad de Certificación.

USO OFICIAL
USO OFICIAL
Paso Descripción
6. Vaya a la carpeta certificados emitidos, seleccione, en el apartado central, el certificado que

desea exportar con el botón derecho del ratón y seleccione la opción “Abrir”.
en archivo…”.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. En el “Asistente para exportación de certificados” pulse “Siguiente”.

Nota: El certificado se exportará sin la clave privada, ya que para el propósito no es necesario. Incluso
cuando es posible exportar la clave privada, si el propósito del certificado no lo requiere, es más seguro
evitar exportar el certificado con su clave privada. En el caso de que sí fuera necesaria la exportación de
la clave privada (un servicio ajeno a Windows no compatible con el Directorio Activo, por ejemplo), el
sistema solicitará el establecimiento de una contraseña (necesaria en la posterior importación).

USO OFICIAL
USO OFICIAL
Paso Descripción
10. En “Archivo que se va a exportar” pulse examinar para establecer la ubicación y el nombre del
archivo que se va a exportar. Pulse “Siguiente” para continuar.
Nota: En el ejemplo se ubica el fichero en “C:\Scripts” y se denomina “CAsigned.P7B”.

USO OFICIAL
USO OFICIAL
Paso Descripción
13. En la ruta correspondiente podrá encontrar el certificado exportado.
6.4 IMPORTACIÓN DE CERTIFICADOS

En este apartado se definen los pasos para importar un certificado que se había exportado
previamente.
Paso Descripción
1. Inicie sesión en el cliente solicitante del certificado.

2. Pulse sobre el botón de Inicio y escriba “mmc.exe”.

USO OFICIAL
USO OFICIAL
Paso Descripción
3. Pulse con boton derecho sobre “mmc.exe” y seleccione la opción “Ejecutar como
administrador.


USO OFICIAL
USO OFICIAL
Paso Descripción
6. Seleccione “Certificados” en la columna “Complementos disponibles” y pulse “Agregar >”

USO OFICIAL
USO OFICIAL
Paso Descripción
Pulse con el botón derecho del ratón sobre “Personal” y seleccione “Todas las tareas 
Importar…”.
9. Se abrirá el “Asistente para la importación de certificados”. En la ventana inicial del asistente

pulse “Siguiente”.

USO OFICIAL
USO OFICIAL
Paso Descripción
10. En la ventana “Archivo para importar” pulse el botón “Examinar…”.
11. Localice el certificado y pulse “Abrir”.

USO OFICIAL
USO OFICIAL
Paso Descripción
12. Pulse “Siguiente” para continuar.
13. En “Almacén de certificados” seleccione “Colocar todos los certificados en el siguiente

almacén” y pulse “Examinar”. Seleccione “Personal” de la lista y pulse “Aceptar”.

USO OFICIAL
USO OFICIAL
Paso Descripción
14. Pulse “Siguiente” para continuar.

15. Pulse “Finalizar” para cerrar el asistente.
16. Navegue hasta el contenedor “Certificados” mediante la siguiente ruta:
“Raíz de consola  Certificados: usuario actual  Personal  Certificados”
Compruebe que se ha importado el certificado para el usuario.
6.5 REVOCACIÓN DE CERTIFICADOS

Existen una serie de motivos para revocar un certificado, entre ellos podría estar el hecho de que
la clave o la Entidad de Certificación que lo emitió hayan sido comprometidas, que el certificado
ya no sea válido o haya sido sustituido por otro certificado, o bien que el cliente de dicho
certificado ya no vaya a hacer uso del mismo.
Esta sección define los pasos para revocar un certificado, por alguno de los motivos expuestos, a
través de un servidor Entidad de Certificación de empresa e independientemente de que sea una
entidad raíz o subordinada.
Paso Descripción
1. Inicie sesión en la Entidad de Certificación desde la que se va a revocar el certificado.



USO OFICIAL
USO OFICIAL
Paso Descripción
5. Vaya a la carpeta “Certificados emitidos”, seleccione, en el apartado central, el certificado que

desea revocar con el botón derecho del ratón, y seleccione “Todas las tareas  Revocar
certificado”.
6. En la ventana de “Revocación de certificados” despliegue “Código de motivo:” y escoja la razón

por la que se revocará el certificado.
Nota: En el ejemplo se ha seleccionado “Compromiso de la clave” como razón de revocación.
7. Pulse “Sí” para cerrar la ventana de “Revocación de certificados”.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. Sitúese sobre el contenedor “Certificados revocados” para comprobar que el certificado

recientemente revocado aparece en la lista.
9. La revocación de un certificado no es reversible, a menos que la razón de revocación

seleccionada haya sido “Certificado retenido”. Si fuera este el caso, sería posible deshacer la
revocación pulsando sobre el certificado con el botón derecho del ratón y seleccionando
“Todas las tareas  No rechazar el certificado”.
Nota: En caso de haber escogido cualquier otro motivo de revocación (como en el ejemplo), al intentar
deshacer la revocación aparecerá el siguiente mensaje:
6.6 RENOVACIÓN DE CERTIFICADOS

Cuando un certificado expira es posible renovarlo siempre que esté disponible la misma plantilla
en el servidor de Entidad de Certificación. Los siguientes pasos recogen el procedimiento para
que un cliente solicite un certificado de renovación del que ha expirado. El proceso es similar a
la solicitud de un nuevo certificado con la salvedad de que no permitirá elegir otra plantilla que
la escogida para la emisión del certificado anterior y que permitirá escoger entre renovar el
certificado con clave nueva o utilizar la misma clave para el nuevo certificado.

USO OFICIAL
USO OFICIAL
Paso Descripción
1. Inicie sesión en el cliente solicitante del certificado de renovación.

2. Pulse sobre el botón de Inicio y escriba “mmc.exe”.
3. Pulse con boton derecho sobre “mmc.exe” y seleccione la opción “Ejecutar como
administrador.


USO OFICIAL
USO OFICIAL
Paso Descripción
6. Seleccione “Certificados” de la columna “Complementos disponibles” y pulse “Agregar >”

USO OFICIAL
USO OFICIAL
Paso Descripción
Pulse con el botón derecho del ratón sobre el certificado y seleccione “Todas las tareas 
Renovar certificado con clave nueva…”.
Nota: En caso de querer conservar la misma clave sería posible a través del menú superior, manteniendo
seleccionado el certificado y haciendo clic sobre “Acción > Todas las tareas > Operaciones avanzadas >
Renovar certificado con la misma clave”.
9. Se abrirá el “Asistente para la inscripción de certificados”. En la ventana inicial del asistente

pulse “Siguiente”.

USO OFICIAL
USO OFICIAL
Paso Descripción
10. En la ventana “Solicitar certificados” pulse el botón “Inscribir”.
11. En “Resultados de la instalación del certificado” seleccione “Finalizar”.

USO OFICIAL
USO OFICIAL
7. COPIA DE SEGURIDAD Y RESTAURACIÓN DE UNA ENTIDAD DE

CERTIFICACIÓN
Con el objeto de prevenir que una corrupción de la base de datos o algún otro tipo incidencia
relacionado con la información contenida en la Entidad de Certificación, que conlleve la pérdida
del servicio se recomienda la realización de una copia de seguridad preventiva. Ésta se realizará
tanto de la base de datos, como del registro de transacciones correspondiente.
Los procedimientos operacionales del servicio permiten la recuperación tanto de la base de datos
como del fichero de registro sobre el mismo servidor o sobre otro diferente. La sección siguiente
describe el proceso para generar una copia de seguridad de la Entidad de Certificación, así como
la restauración sobre el mismo servidor. Para el proceso de restauración o migración de una
Entidad de Certificación en otro servidor distinto al original, puede revisar el procedimiento
definido por el fabricante a través del siguiente enlace: https://technet.microsoft.com/es-
es/library/ee126140(v=ws.10).aspx
7.1 COPIA DE SEGURIDAD DE UNA ENTIDAD DE CERTIFICACIÓN

Esta sección recoge los pasos a seguir para realizar una copia de seguridad de una Entidad de
Certificación y los pasos a seguir para restaurar desde dicha copia de seguridad. Estos pasos se
realizarán a través de una Entidad de Certificación, independientemente del tipo de la misma.
Paso Descripción
1. Inicie sesión en la Entidad de Certificación desde la que se va a realizar la copia de seguridad.



USO OFICIAL
USO OFICIAL
Paso Descripción
5. Navegue hasta el nombre de la Entidad de Certificación
6. Pulse el botón derecho del ratón sobre la Entidad de Certificación y seleccione “Todas las
tareas  Realizar copia de seguridad de la Entidad de Certificación…”.
7. En el “Asistente para copia de seguridad de Entidad de Certificación” pulse “Siguiente >” para
continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. En “Elementos para incluir en copia de seguridad” existe la opción de hacer salvaguarda

solamente de la base de datos (completa o incremental) o también de la clave privada y el
certificado de la Entidad de Certificación. En el ejemplo, se hace una copia completa. Para ello,
marque las opciones “Clave privada y certificado de CA” y “Base de datos de certificados
emitidos y registro de base de datos de certificados”. Pulse “Examinar” para continuar.
Nota: En el ejemplo no es posible seleccionar una copia incremental de la base de datos porque no existe
ninguna copia completa anterior.
9. Seleccione un directorio vacío para realizar la copia de seguridad y pulse “Aceptar”.
Nota: En el ejemplo se ha utilizado “C:\BackupCA”
10. Pulse “Siguiente >” para continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
11. Establezca una contraseña escribiéndola por duplicado en los campos correspondientes y
pulse “Siguiente >”

13. En la carpeta podrá encontrar tanto el certificado de la CA como los ficheros de la base de
datos.
7.2 RESTAURACIÓN DE COPIA DE SEGURIDAD DE UNA ENTIDAD DE

CERTIFICACIÓN
La siguiente tabla recoge los pasos a seguir para restaurar una copia de seguridad de una Entidad
de Certificación. Estos pasos se realizarán a través de una Entidad de Certificación,
independientemente del tipo de la misma.

USO OFICIAL
USO OFICIAL
Paso Descripción
1. Inicie sesión en la Entidad de Certificación desde la que se va a restaurar la copia de

seguridad.


USO OFICIAL
USO OFICIAL
Paso Descripción
5. Navegue hasta el nombre de la Entidad de Certificación
6. Pulse el botón derecho del ratón sobre la Entidad de Certificación y seleccione “Todas las
tareas  Restaurar la Entidad de Certificación…”.
Nota: Si el servicio de Entidad de Certificación está en funcionamiento, se le solicitará detenerlo. En este

caso pulse “Aceptar” para permitir al sistema detener el servicio de Entidad de Certificación de Directorio
Activo.
7. En el “Asistente para copia de seguridad de Entidad de Certificación” pulse “Siguiente >” para
continuar.

USO OFICIAL
USO OFICIAL
Paso Descripción
8. Es posible recuperar tanto la base de datos como la clave privada y el certificado. En el

ejemplo se selecciona restaurar la base de datos solamente. Para ello, marque la opción “Base
de datos de certificados emitidos y registro de base de datos de certificados”. Pulse “Examinar”
para continuar.
9. Localice la carpeta que contiene la base de datos y pulse “Aceptar”.
Nota: En el ejemplo se ha utilizado “C:\BackupCA”
10. Pulse “Siguiente >” para continuar.


USO OFICIAL
USO OFICIAL
Paso Descripción
12. Ante el mensaje que indica que la operación se completó y que se iniciará el servicio de nuevo
pulse “Sí”.

USO OFICIAL
USO OFICIAL
ANEXO G. LISTA DE COMPROBACIÓN DE LA CORRECTA

INSTALACIÓN DE UNA ENTIDAD DE
CERTIFICACIÓN RAÍZ DE EMPRESA DE
2012 R2
1. COMPROBACIONES EN EL CONTROLADOR DE DOMINIO

Las consolas y herramientas que se utilizarán son las siguientes:
– Administrador de directivas de grupo (gpmc.msc).
– Usuarios y equipos de Active Directory (dsa.msc).
– Conjunto resultante de directivas (rsop.msc).
Nota: La lista de comprobación está basada en los nombres de objetos de directivas, unidades organizativas y
cuentas de servicios tal y como se ha indicado en este documento. Deberá adaptar los pasos según la configuración
de su organización.
Comprobación OK/NOK Cómo hacerlo
1. Inicie sesión en En uno de los controladores de dominio, inicie sesión con una cuenta
un controlador que tenga privilegios de administración del dominio.
de dominio.
2. Verifique que Ejecute el “Administrador de directivas de grupo” mediante la siguiente
está creada la ruta:
directiva “CCN- “Inicio  Herramientas administrativas  Administración de
STIC-597 directivas de grupo”
Incremental
Despliegue el menú en árbol hasta llegar a la unidad organizativa
Servidor
“Servidores Entidad de Certificación”. Verifique que la política “CCN-
Entidad de
STIC-597 Incremental Servidor Entidad de Certificación” está creada y
Certificación”.
vinculada en el primer lugar de orden de vínculo.

USO OFICIAL
USO OFICIAL
3. Verifique los Haga clic derecho sobre la directiva y seleccione “Editar” para ejecutar
servicios del el “Editor de Administración de directivas de grupo”.
sistema de la Verifique que la directiva tiene los siguientes valores en servicios del
directiva “CCN- sistema. Para ello, navegue hasta:
STIC-597
Directiva CCN-STIC-597 Incremental Servidor Entidad de
Incremental
Certificación  Configuración del equipo  Directivas 
Servidor
Configuración de Windows  Configuración de seguridad 
Entidad de
Servicios del Sistema
Certificación”.
Nota: Si lo desea puede pulsar sobre el título “Permiso” para ordenar la lista
por servicios configurados.
Nombre de Servicio Inicio Permiso OK/NOK
Aislamiento de claves CNG Automático Configurado

CertSvc Automático Configurado
Servicios de cifrado Automático Configurado
4. Verifique la Verifique que la directiva tiene los siguientes valores en Firewall de
configuración Windows con seguridad avanzada. Para ello, navegue hasta:
de firewall de la Directiva CCN-STIC-597 Incremental Servidor Entidad de
directiva “CCN- Certificación  Configuración del equipo  Directivas 
STIC-597 Configuración de Windows  Configuración de seguridad 
Incremental Firewall de Windows con seguridad avanzada  Firewall de
Servidor Windows con seguridad avanzada
Entidad de
Pulse “Propiedades” sobre “Firewall de Windows con seguridad
Certificación”.
avanzada” y compruebe las configuraciones pulsando sobre cada una
de las pestañas.
Nota: Para comprobar algunas configuraciones deberá pulsar sobre los

botones “Personalizar” de las opciones de configuración e inicio de sesión.

USO OFICIAL
USO OFICIAL
Pestaña / Configuración Valor OK/NOK
Perfil de dominio / Estado del firewall Activo (recomendado)

Perfil de dominio / Configuración / No
Personalizar… / Mostrar una notificación
Perfil de dominio / Inicio de sesión / %systemroot%\system3
Personalizar… / Nombre: 2\LogFiles\Firewall\pfire
wall.log
(“No configurado” debe
aparecer marcado)
Perfil de dominio / Inicio de sesión / 4096
Personalizar… / Límite tamaño (KB) (“No configurado” debe
aparecer desmarcado)
Perfil de dominio / Inicio de sesión / No (predeterminado)
Personalizar… / Registrar paquetes
descartados
Personalizar… / Registrar conexiones
correctas
Perfil privado / Estado del firewall Activo (recomendado)
Perfil privado / Configuración / No
Perfil privado / Inicio de sesión / %systemroot%\system3
wall.log
aparecer marcado)
Perfil privado / Inicio de sesión / 4096
Perfil privado / Inicio de sesión / No (predeterminado)
descartados
correctas
Perfil público / Estado del firewall Activo (recomendado)
Perfil público / Configuración / No

USO OFICIAL
USO OFICIAL
Perfil público / Inicio de sesión / %systemroot%\system3

wall.log
aparecer marcado)
Perfil público / Inicio de sesión / 4096
Perfil público / Inicio de sesión / No (predeterminado)
descartados
correctas
5. Verifique la Verifique que la directiva tiene los siguientes valores en las reglas de
correcta entrada del Firewall de Windows con seguridad avanzada. Para ello,
aplicación de la navegue hasta:
configuración Directiva CCN-STIC-597 Incremental Servidor Entidad de
de las reglas de Certificación  Configuración del equipo  Directivas 
entrada de Configuración de Windows  Configuración de seguridad 
firewall de la Firewall de Windows con seguridad avanzada  Firewall de
política CCN- Windows con seguridad avanzada  Reglas de entrada
STIC-597
Compruebe que están creadas estas reglas, su estado, su acción y su
Incremental
puerto local.
Servidor
Entidad de
Certificación”.
Nombre Habilitado Acción Puerto OK/NOK

local
@%systemroot%\system32 Sí Permitir 445

\certsrv.exe,-51
@%systemroot%\system32 Sí Permitir Puertos
\certsrv.exe,-53 dinámicos
RPC
@%systemroot%\system32 Sí Permitir 135
\certsrv.exe,-55
@%systemroot%\system32 Sí Permitir Asignador
\certsrv.exe,-57 de extremos
de RPC

USO OFICIAL
USO OFICIAL
6. Verifique la Verifique que la directiva tiene los siguientes valores en plantillas

configuración administrativas. Para ello, navegue hasta:
de plantillas Directiva CCN-STIC-597 Incremental Servidor Entidad de
administrativas Certificación  Configuración del equipo  Plantillas
de la directiva Administrativas  Red  Conexiones de red  Firewall de
“CCN-STIC- Windows  Perfil de dominio
597
Incremental
Servidor
Entidad de
Certificación”.
Compruebe que existen las reglas que se indican a continuación:

Configuración Estado OK/NOK
Firewall de Windows: proteger Habilitada

todas las conexiones de red
Firewall de Windows: permitir Habilitada
registro – Ruta o nombre del archivo
de registro:
(%systemroot%\system32\Lo
gfiles\Firewall\pfirewall.log
– Límite de tamaño (KB): 4096
Firewall de Windows: No Habilitada
permitir notificaciones
7. Verifique que Ejecute el “Administrador de directivas de grupo” a través de la
está creada la siguiente ruta:
directiva “CCN- “Inicio  Herramientas administrativas  Administración de
STIC-597 directivas de grupo”
Incremental
Despliegue el menú en árbol hasta llegar al contenedor
Dominio”.
correspondiente al dominio. Verifique que la política “CCN-STIC-597
Incremental Dominio” está creada y vinculada en el primer lugar de
orden de vínculo.

USO OFICIAL
USO OFICIAL
8. Verifique la Haga clic derecho sobre la directiva y seleccione “Editar” para ejecutar
configuración el “Editor de Administración de directivas de grupo”.
de inscripción Verifique que la directiva tiene los siguientes valores en la
automática de configuración de inscripción automática. Para ello, navegue hasta:
certificados en
Directiva CCN-STIC-597 Incremental Dominio  Configuración
la política
del equipo  Directivas  Configuración de Windows 
“CCN-STIC-
Configuración de seguridad  Directivas de clave pública
597
Incremental Haga doble clic sobre el objeto “Cliente de Servicios de servidor de
Dominio”. certificados – Inscripción automática” y compruebe los valores
correspondientes a la inscripción automática.
Modelo de configuración Habilitada

Renovar certificados expirados, actualizar Habilitada (marcada)
certificados pendientes y quitar certificados
revocados
Actualizar certificados que usan plantillas Habilitada (marcada)
de certificado

USO OFICIAL
USO OFICIAL
9. Verifique la Nota: En el ejemplo, se utilizará el mismo controlador de dominio ya que

correcta también recibe las políticas correspondientes al dominio.
aplicación de la
política “CCN- Para ello, pulse sobre el botón de inicio y escriba “rsop.msc” en el
STIC-597 espacio adecuado para ello:
Incremental
Dominio” en un
equipo
miembro del
dominio.
Pulse “Enter” para ejecutar el “Conjunto resultante de directivas”. El

sistema solicitará elevación de privilegios, introduzca credenciales de
Administrador.
Haga clic derecho sobre “Configuración de equipo” en la consola de

“Conjunto resultante de directivas” y compruebe que la política “CCN-
STIC-597 Incremental Dominio” aparece en la lista como muestra la
imagen.

USO OFICIAL
USO OFICIAL
2. COMPROBACIONES EN EL SERVIDOR DE ENTIDAD DE

CERTIFICACIÓN
– Servicios (services.msc).
– Firewall de Windows con Seguridad Avanzada (wf.msc).
1. Inicie sesión en En el servidor Entidad de Certificación raíz de empresa, inicie sesión

el servidor con una cuenta que tenga privilegios de administración del dominio.
Entidad de
Certificación
raíz de
empresa.
2. Verifique la Para ello, pulse sobre el botón de inicio y escriba “rsop.msc” en el
correcta espacio adecuado para ello:
aplicación de la
política CCN-
STIC-597
Incremental
Servidor
Entidad de
Certificación”
en un equipo
miembro del
dominio. Pulse “Enter” para ejecutar el “Conjunto resultante de directivas”. El
Administrador.
Haga clic derecho sobre “Configuración de equipo” en la consola de

“Conjunto resultante de directivas” y compruebe que la política “CCN-
STIC-597 Incremental Servidor Entidad de Certificación” aparece en la
lista como muestra la imagen.

USO OFICIAL
USO OFICIAL
3. Verifique la Para ello, pulse sobre el botón de inicio y escriba “services.msc” en el

aplicación de la
configuración
de servicios del
sistema de la
política CCN-
STIC-597
Incremental
Servidor
Entidad de
Certificación”.
Pulse “Enter” para ejecutarla consola de servicios. El sistema

solicitará elevación de privilegios, introduzca credenciales de
Administrador.
En la consola de “Servicios”, compruebe los siguientes valores.

USO OFICIAL
USO OFICIAL
Nombre de Servicio Inicio OK/NOK
Aislamiento de claves CNG Automático

Servicios de certificados de Active Directory Automático
Servicios de cifrado Automático
aplicación de la
configuración
de firewall de la
política CCN-
STIC-597
Incremental
Servidor
Entidad de
Certificación”.

Administrador.
En la consola de “Firewall de Windows con seguridad avanzada” haga

clic derecho sobre “Firewall de Windows con seguridad avanzada” y
seleccione “Propiedades”. Compruebe los siguientes valores.

USO OFICIAL
USO OFICIAL

Perfil de dominio / Conexiones entrantes Bloquear (predet.)
Perfil de dominio / Conexiones salientes Permitir (predet.)
Perfil de dominio / Configuración /
No
Personalizar… / Permitir respuesta de Si (predeterminado)
unidifusión
Personalizar… / Aplicar reglas de firewall Sí (predeterminado)
local
Personalizar… / Aplicar reglas de No
seguridad de conexión local
%systemroot%\system3
Perfil de dominio / Inicio de sesión /
2\LogFiles\Firewall\pfire
Personalizar… / Nombre:
wall.log
4096
Personalizar… / Límite tamaño (KB)
Personalizar… / Registrar paquetes No (predeterminado)
descartados
Personalizar… / Registrar conexiones No (predeterminado)
correctas
Perfil privado / Conexiones entrantes Bloquear (predet.)
Perfil privado / Conexiones salientes Permitir (predet.)
Perfil privado / Configuración /
No
unidifusión
Personalizar… / Aplicar reglas de firewall No
local
Perfil privado / Inicio de sesión /
wall.log

USO OFICIAL
USO OFICIAL

4096
descartados
correctas
Perfil público / Conexiones entrantes Bloquear (predet.)
Perfil público / Conexiones salientes Permitir (predet.)
Perfil público / Configuración /
No
unidifusión
local
Perfil público / Inicio de sesión /
wall.log
4096
descartados
correctas
5. Verifique la En la misma consola de “Firewall de Windows con seguridad
correcta avanzada” haga clic sobre “Reglas de entrada” y compruebe que
aplicación de la están creadas estas reglas, su estado, su acción y su puerto local.
configuración
de las reglas de
entrada de
firewall de la
política CCN-
STIC-597
Incremental
Servidor
Entidad de
Certificación”.

USO OFICIAL
USO OFICIAL

local
Protocolo de administración Sí Permitir 135

e inscripción de entidades
de certificación (CERTSVC-
DCOM-IN)
Protocolo de administración Sí Permitir Asignador
e inscripción de entidades de extremos
de certificación (CERTSVC- de RPC
RPC-EPMAP-IN)
RPC-NP-IN)
Protocolo de administración Sí Permitir Puertos
e inscripción de entidades dinámicos
de certificación (CERTSVC- RPC
RPC-TCP-IN)
Nota: Estas reglas de entrada aparecerán duplicadas debido a que se crean a través de
políticas de grupo, pero también a través de la instalación del rol de Entidad de
Certificación. Dicha duplicidad es correcta e indicará que la aplicación de reglas se ha
aplicado adecuadamente.

USO OFICIAL
USO OFICIAL
ANEXO H. LISTA DE COMPROBACIÓN DE LA CORRECTA

INSTALACIÓN DE UNA ENTIDAD DE
CERTIFICACIÓN RAÍZ INDEPENDIENTE Y UNA
ENTIDAD DE CERTIFICACIÓN SUBORDINADA DE
2012 R2
1. COMPROBACIONES EN EL SERVIDOR INDEPENDIENTE

ENTIDAD DE CERTIFICACIÓN RAÍZ
– Editor de políticas de grupo local (gpedit.msc).
1. Inicie sesión en En el servidor independiente Entidad de Certificación raíz, inicie

el servidor sesión con una cuenta que tenga privilegios de administración.
independiente
Entidad de
Certific. raíz.
aplicación de la
configuración
de servicios del
sistema”.

Administrador.

USO OFICIAL
USO OFICIAL

Pestaña / Configuración Valor / Estado OK/NOK
Aislamiento de claves CNG Manual / Iniciado

Servicios de certificados de Active Automático / Iniciado
Directory
Servicios de cifrado Automático / Iniciado
3. Verifique la Para ello, pulse sobre el botón de inicio y escriba “gpedit.msc” en el
aplicación de la
configuración
de a través del
“Editor de
directivas de
grupo local”.

Administrador.

USO OFICIAL
USO OFICIAL

seleccione “Propiedades”. A través de la siguiente ruta:
“Directiva de equipo local  Configuración de Windows 
Configuración de seguridad  Firewall de Windows con
seguridad avanzada  Firewall de Windows con seguridad
avanzada – Objeto de directiva de grupo local”
Compruebe los siguientes valores.

No
unidifusión
local
wall.log (“No
configurado” debe estar
marcado)
4096 (“No configurado”
debe estar
desmarcado)
descartados
correctas
No
unidifusión

USO OFICIAL
USO OFICIAL

local
wall.log (“No
marcado)
debe estar
desmarcado)
descartados
correctas
Perfil público / Conexiones entrantes Bloquear (predet.)
No
unidifusión
local
wall.log (“No
marcado)
debe estar
desmarcado)
descartados

USO OFICIAL
USO OFICIAL

correctas
configuración
de las reglas de
entrada de
firewall de la
política CCN-
STIC-597
Nombre Habilitado Acción Puerto local OK/NOK

DCOM-IN)
Protocolo de administración Sí Permitir Asignador de
e inscripción de entidades extremos de
RPC-EPMAP-IN)
RPC-NP-IN)
RPC-TCP-IN)
2. COMPROBACIONES EN EL CONTROLADOR DE DOMINIO

– Administrador de directivas de grupo (gpmc.msc).
– Usuarios y equipos de Active Directory (dsa.msc).
Nota: La lista de comprobación está basada en los nombres de objetos de directivas, unidades organizativas y
cuentas de servicios tal y como se ha indicado en este documento. Deberá adaptar los pasos según la configuración
de su organización.

USO OFICIAL
USO OFICIAL
1. Inicie sesión en un En uno de los controladores de dominio, inicie sesión con una
controlador de cuenta que tenga privilegios de administración del dominio.
dominio.
2. Verifique que está Ejecute el “Administrador de directivas de grupo” a través de la
creada la directiva siguiente ruta:
“CCN-STIC-597 “Inicio  Herramientas administrativas  Administración de
Incremental directivas de grupo”
Servidor Entidad
Despliegue el menú en árbol hasta llegar a la unidad organizativa
de Certificación”.
“Servidores Entidad de Certificación”. Verifique que la política “CCN-
STIC-597 Incremental Servidor Entidad de Certificación” está
creada y vinculada en el primer lugar de orden de vínculo.
3. Verifique los Haga clic derecho sobre la directiva y seleccione “Editar” para
servicios del ejecutar el “Editor de Administración de directivas de grupo”.
sistema de la Verifique que la directiva tiene los siguientes valores en servicios
directiva “CCN- del sistema. Para ello, navegue hasta:
STIC-597
Directiva CCN-STIC-597 Incremental Servidor Entidad de
Incremental
Certificación  Configuración del equipo  Directivas 
Servidor Entidad
Configuración de Windows  Configuración de seguridad 
Servicios del Sistema
Nota: Si lo desea puede pulsar sobre el título “Permiso” para ordenar la

lista por servicios configurados.
Nombre de Servicio Inicio Permiso OK/NOK
Aislamiento de claves CNG Automático Configurado

CertSvc Automático Configurado
Servicios de cifrado Automático Configurado
Registro Remoto Automatico Configurado
Servidor Automatico Configurado

USO OFICIAL
USO OFICIAL
4. Verifique la Verifique que la directiva tiene los siguientes valores en Firewall de

configuración de Windows con seguridad avanzada. Para ello, navegue hasta:
firewall de la Directiva CCN-STIC-597 Incremental Servidor Entidad de
directiva “CCN- Certificación  Configuración del equipo  Directivas 
STIC-597 Configuración de Windows  Configuración de seguridad 
Incremental Firewall de Windows con seguridad avanzada  Firewall de
Servidor Entidad Windows con seguridad avanzada
Pulse “Propiedades” sobre “Firewall de Windows con seguridad
avanzada” y compruebe las configuraciones pulsando sobre cada
una de las pestañas.
Nota: Para comprobar algunas configuraciones deberá pulsar sobre los

botones “Personalizar” de las opciones de configuración e inicio de sesión.

Perfil de dominio / Configuración / No
Perfil de dominio / Inicio de sesión / %systemroot%\system3
wall.log
aparecer marcado)
Perfil de dominio / Inicio de sesión / 4096
descartados
correctas
Perfil privado / Configuración / No

USO OFICIAL
USO OFICIAL
Perfil privado / Inicio de sesión / %systemroot%\syste

Personalizar… / Nombre: m32\LogFiles\Firewall
\pfirewall.log
(“No configurado”
debe aparecer
marcado)
Perfil privado / Inicio de sesión / 4096
Personalizar… / Límite tamaño (KB) (“No configurado”
debe aparecer
desmarcado)
descartados
correctas
Perfil público / Configuración / No
Perfil público / Inicio de sesión / %systemroot%\syste
Personalizar… / Nombre: m32\LogFiles\Firewall
\pfirewall.log
(“No configurado”
debe aparecer
marcado)
Perfil público / Inicio de sesión / 4096
Personalizar… / Límite tamaño (KB) (“No configurado”
debe aparecer
desmarcado)
descartados
correctas

USO OFICIAL
USO OFICIAL
5. Verifique la Verifique que la directiva tiene los siguientes valores en las reglas
correcta de entrada del Firewall de Windows con seguridad avanzada. Para
aplicación de la ello, navegue hasta:
configuración de Directiva CCN-STIC-597 Incremental Servidor Entidad de
las reglas de Certificación  Configuración del equipo  Directivas 
entrada de firewall Configuración de Windows  Configuración de seguridad 
de la política Firewall de Windows con seguridad avanzada  Firewall de
CCN-STIC-597 Windows con seguridad avanzada  Reglas de entrada
Incremental
Compruebe que están creadas estas reglas, su estado, su acción y
Servidor Entidad
su puerto local.
Nombre Habilitado Acción Puerto local OK/NOK
@%systemroot%\system Sí Permitir 445

32\certsrv.exe,-51
@%systemroot%\system Sí Permitir Puertos
32\certsrv.exe,-53 dinámicos
RPC
@%systemroot%\system Sí Permitir 135
32\certsrv.exe,-55
@%systemroot%\system Sí Permitir Asignador de
32\certsrv.exe,-57 extremos de
RPC
6. Verifique la Verifique que la directiva tiene los siguientes valores en plantillas
configuración de administrativas. Para ello, navegue hasta:
plantillas Directiva CCN-STIC-597 Incremental Servidor Entidad de
administrativas de Certificación  Configuración del equipo  Directivas 
la directiva “CCN- Plantillas Administrativas  Red  Conexiones de red 
STIC-597 Firewall de Windows  Perfil de dominio
Incremental
Servidor Entidad
Compruebe que existen las reglas que se indican a continuación:

USO OFICIAL
USO OFICIAL
Firewall de Windows: proteger Habilitada

todas las conexiones de red
Firewall de Windows: permitir Habilitada
registro – Ruta o nombre del archivo
de registro:
(%systemroot%\system32\L
ogfiles\Firewall\pfirewall.log
– Límite de tamaño (KB): 4096
Firewall de Windows: No Habilitada
permitir notificaciones
7. Verifique que está Ejecute el “Administrador de directivas de grupo” a través de la
creada la directiva siguiente ruta:
“CCN-STIC-597 “Inicio  Herramientas administrativas  Administración de
Incremental directivas de grupo”
Dominio”.
Despliegue el menú en árbol hasta llegar al contenedor
correspondiente al dominio. Verifique que la política “CCN-STIC-597
Incremental Dominio” está creada y vinculada en el primer lugar de
orden de vínculo.
8. Verifique la Haga clic derecho sobre la directiva y seleccione “Editar” para

configuración de ejecutar el “Editor de Administración de directivas de grupo”.
inscripción Verifique que la directiva tiene los siguientes valores en la
automática de configuración de inscripción automática. Para ello, navegue hasta:
certificados en la
Directiva CCN-STIC-597 Incremental Dominio  Configuración
política “CCN-
del equipo  Directivas  Configuración de Windows 
STIC-597
Configuración de seguridad  Directivas de clave pública
Incremental
Dominio”. Haga doble clic sobre el objeto “Cliente de Servicios de servidor de
certificados – Inscripción automática” y compruebe los valores
correspondientes a la inscripción automática.

USO OFICIAL
USO OFICIAL
Modelo de configuración Habilitada

Renovar certificados expirados, actualizar Habilitada (marcada)
certificados pendientes y quitar certificados
revocados
Actualizar certificados que usan plantillas Habilitada (marcada)
de certificado
9. Verifique la Nota: En el ejemplo, se utilizará el mismo controlador de dominio ya que
correcta también recibe las políticas correspondientes al dominio.
aplicación de la
política “CCN- Para ello, pulse sobre el botón de inicio y escriba “rsop.msc” en el
STIC-597 espacio adecuado para ello:
Incremental
Dominio” en un
equipo miembro
del dominio.

sistema solicitará elevación de privilegios, introduzca credenciales
de Administrador.

USO OFICIAL
USO OFICIAL
Haga clic derecho sobre “Configuración de equipo” y seleccione

“Propiedades” en la consola de “Conjunto resultante de directivas” y
compruebe que la política “CCN-STIC-597 Incremental Dominio”
aparece en la lista como muestra la imagen.
Nota: En el ejemplo se ha comprobado la aplicación en un controlador del

dominio.
3. COMPROBACIONES EN EL SERVIDOR DE ENTIDAD DE

CERTIFICACIÓN SUBORDINADA
– Firewall de Windows con Seguridad Avanzada (wf.msc).

USO OFICIAL
USO OFICIAL
1. Inicie sesión en En el servidor Entidad de Certificación subordinada de empresa, inicie

el servidor sesión con una cuenta que tenga privilegios de administración del
Entidad de dominio.
Certificación
subordinada de
empresa.
2. Verifique la Para ello, pulse sobre el botón de inicio y escriba “rsop.msc” en el
aplicación de la
política CCN-
STIC-597
Incremental
Servidor
Entidad de
Certificación”
en un equipo
miembro del
dominio. Pulse “Enter” para ejecutar el “Conjunto resultante de directivas”. El
Administrador.
Haga clic derecho sobre “Configuración de equipo” y seleccione

“Propiedades” en la consola de “Conjunto resultante de directivas” y
compruebe que la política “CCN-STIC-597 Incremental Servidor
Entidad de Certificación” aparece en la lista como muestra la imagen.

USO OFICIAL
USO OFICIAL

aplicación de la
configuración
de servicios del
sistema de la
política CCN-
STIC-597
Incremental
Servidor
Entidad de
Certificación”.
Pulse “Enter” para ejecutarla consola de servicios. El sistema

solicitará elevación de privilegios, introduzca credenciales de
Administrador.

Nombre de Servicio Inicio OK/NOK
Aislamiento de claves CNG Automático

Servicios de certificados de Active Directory Automático
Servicios de cifrado Automático
4. Verifique la Para ello, pulse sobre el botón de inicio y escriba “wf.msc” en el
aplicación de la
configuración
de firewall de la
política CCN-
STIC-597
Incremental
Servidor
Entidad de
Certificación”.
Pulse “Enter” para ejecutar la consola “Firewall de Windows con

seguridad avanzada”. El sistema solicitará elevación de privilegios,
introduzca credenciales de Administrador.

USO OFICIAL
USO OFICIAL

seleccione “Propiedades”. Compruebe los siguientes valores.

No
unidifusión
Personalizar… / Aplicar reglas de firewall Sí (predeterminado)
local
wall.log (“No
marcado)
debe estar
desmarcado)
descartados
correctas

USO OFICIAL
USO OFICIAL

No
unidifusión
local
wall.log (“No
marcado)
debe estar
desmarcado)
descartados
correctas
Bloquear todas las
Perfil público / Conexiones entrantes
conexiones
No
unidifusión
local
wall.log (“No
marcado)

USO OFICIAL
USO OFICIAL

debe estar
desmarcado)
descartados
correctas
configuración
de las reglas de
entrada de
firewall de la
política CCN-
STIC-597
Incremental
Servidor
Entidad de
Certificación”.
local

DCOM-IN)
Protocolo de administración Sí Permitir Asignador
e inscripción de entidades de extremos
de certificación (CERTSVC- de RPC
RPC-EPMAP-IN)
RPC-NP-IN)
RPC-TCP-IN)
Nota: Estas reglas de entrada aparecerán duplicadas debido a que se crean a través de
políticas de grupo, pero también a través de la instalación del rol de Entidad de
Certificación. Dicha duplicidad es correcta e indicará que la aplicación de reglas se ha
aplicado adecuadamente.

USO OFICIAL

CCN-STIC-597 - Entidad de Certificación en Windows 2012 R2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCN-STIC-597 - Entidad de Certificación en Windows 2012 R2

Cargado por

Copyright:

Formatos disponibles

USO OFICIAL

GUÍA DE SEGURIDAD DE LAS TIC

CENTRO CRIPTOLOGICO NACIONAL

 Centro Criptológico Nacional, 2016

Fecha de Edición: noviembre de 2018

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los

Félix Sanz Roldán

Centro Criptológico Nacional i

ANEXO A. PLANTILLA DE SEGURIDAD DEL SERVICIO DE ENTIDAD DE CERTIFICACIÓN

Centro Criptológico Nacional ii

5.2 CREACIÓN DE PLANTILLAS DE CERTIFICADO ................................................................184

Centro Criptológico Nacional iii

Centro Criptológico Nacional 4

Centro Criptológico Nacional 5

13. Este documento incluye:

4. DESCRIPCIÓN DEL USO DE ESTA GUÍA

4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA

Centro Criptológico Nacional 6

18. La guía de seguridad ha sido elaborada utilizando un laboratorio basado en una

5. INTRODUCCIÓN A LOS SERVICIOS DE CIFRADO

Centro Criptológico Nacional 7

5.1 PROVEEDORES DE SERVICIOS DE CIFRADO (CSP)

Centro Criptológico Nacional 8

Microsoft Base Cryptographic Provider Contiene un conjunto básico de funcionalidades

Microsoft Strong Cryptographic Provider Una extensión a “Microsoft Base Cryptographic

Microsoft Enhanced Cryptographic Provider Basado en “Microsoft Base Cryptographic

Microsoft Base DSS and Diffie-Hellman Es un súper-conjunto del proveedor de cifrado

Microsoft Enhanced DSS and Diffie-Hellman Soporta el intercambio de claves Diffie-Hellman

Centro Criptológico Nacional 9

Microsoft RSA/Schannel Cryptographic Provider Soporta funcionalidad Hash, firma digital y

Microsoft Base Smart Card Crypto Provider Soporta tarjetas inteligentes.

Centro Criptológico Nacional 10

5.1.1 ALGORITMOS Y LONGITUDES DE CLAVES

5.1.1.1 MICROSOFT BASE CRYPTOGRAPHIC PROVIDER

Algoritmo Utilización Tipo Longitud de clave

Data Encryption Standard (DES) Cifrado Bloque 56/56/56

Hashed Message Authentication Checksum Hash Cualquiera 0/0/0

Message Authentication Checksum (MAC) Hash Cualquiera 0/0/0

Message Digest 2 (MD2) Hash Cualquiera 128/128/128

Message Digest 4 (MD4) Hash Cualquiera 128/128/128

Message Digest 5 (MD5) Hash Cualquiera 128/128/128

RSA Data Security 2 (RC2) Cifrado Bloque 40/40/56

RSA Data Security 4 (RC4) Cifrado Bloque 40/40/56

RSA Key Exchange Intercambio RSA 512/384/1024

RSA Signature Firma RSA 512/384/16384

Secure Hash Algorithm (SHA1) Hash Cualquiera 160/160/160

5.1.1.2 MICROSOFT STRONG CRYPTOGRAPHIC PROVIDER

Algoritmo Utilización Tipo Longitud de clave

Data Encryption Standard (DES) Cifrado Bloque 56/56/56

Two Key Triple DES Cifrado Bloque 112/112/112

Three Key Triple DES Cifrado Bloque 168/168/168

Hashed Message Authentication Checksum Hash Cualquiera 0/0/0

Centro Criptológico Nacional 11

Algoritmo Utilización Tipo Longitud de clave

Message Authentication Checksum (MAC) Hash Cualquiera 0/0/0

Message Digest 2 (MD2) Hash Cualquiera 128/128/128

Message Digest 4 (MD4) Hash Cualquiera 128/128/128

Message Digest 5 (MD5) Hash Cualquiera 128/128/128

RSA Data Security 2 (RC2) Cifrado Bloque 128/40/128

RSA Data Security 4 (RC4) Cifrado Stream 128/40/128

RSA Key Exchange Intercambio RSA 1024/384/16384

RSA Signature Firma RSA 1024/384/16384

Secure Hash Algorithm (SHA1) Hash Cualquiera 160/160/160