Tarjetas Inteligentes :: Plataformas :: Tecnologías :: Lectores de Tarjetas | DNI-e :: Servicios Profesionales +34 952608193 +34 686500726 Contact KALYSIS 
Kalysis Página Principal
Lectores de Tarjetas Inteligentes y Criptográficas | Firma Electrónica Avanzada | Tokens USB

El primer Token USB de la Historia.

Lectores de Tarjetas | DNI-e | Lector DNI electronico

Los lectores de DNIe más certificados del mercado.

Lectores de Tarjetas | DNI-e RFID Mifare | Tarjetas de Proximidad

Los sistemas de control de acceso más potentes de la industria :: La gestión informática y electrónica de grandes terminales nacionales de transporte.

usb token patentLa Patente Industrial de Kalysis nº 2.186.534 :: O.E.P.M. :: may 9, 2001 - 10:53
:: Lectores de Tarjetas Inteligentes y Criptográficas | Firma Electrónica Avanzada | Tokens USB
Kalysis MEI®
:: Control de Tiempos y Accesos  |  Lectores y Tarjetas de Proximidad RFID Mifare
Kalysis Community Entrar o crear una cuenta Descargas Envíar Noticias Temas
Índice Usuarios Descargas Envíar Noticias Temas
tarjetas inteligentes Business Intelligence
 
Aug 19, 2018 - 07:18 AM
buscar tarjeta inteligente buscar token usb
  
 Consorcio de Fabricantes de Lectores y Tarjetas
    
tarjeta inteligente tarjetas inteligentes   tarjeta inteligente modulo iot
tarjeta inteligente Tienda Online

Comprar en KALYSIS España Lector de tarjetas DNI - Internet de las cosas

Internet de las Cosas
- Dispositivos de Red
-- Serie a Super Ethernet
-- Serie a Ethernet
-- Serie a GPRS
-- Serie a Wi-Fi
- Módulos IoT

Lectores de Tarjetas DNI

Tarjetas Inteligentes
- Tarjeta Ciudadana
- Tarjeta Mifare

Llave de descarga de tacógrafo

La llave Bluetooth para tacógrafos digitales más avanzada del mundo.


tarjeta inteligente Es seguro. Es Kalysis

¿Preguntas? LLámanos:
(+34)
952608193

HELP CENTER
escribir a kalysisEscríbenos.



tarjeta inteligente Kalysis Lectores Tarjetas Inteligentes
· PRODUCTOS   SERVICIOS
· Lector de Tarjetas Token USB Firma Electrónica
· Lector Grabador Tarjetas Magnéticas
· Firma Electrónica Avanzada
· Teclado Tarjetas Magnéticas e Inteligentes
· APLICACIONES
Tarjetas Inteligentes

· CLIENTES
· BUSINESS PARTNERS
· INVERSORES
· SALA DE PRENSA
· PATROCINIOS
· SUBASTONIC
· CONTACTO
· Descargas
· Archivo de Noticias
· FAQs
   · MISIÓN
   · Smartcards History
   · Smartcards Statistics
   · Smartcards Links
   · Online Purchases - Statistics
   · Estudios Demográficos - Internet
   · ePayment News
   · Comisiones Bancarias - México
   · Stock Market Info
   · Statistics - Card Fraud
   · Sociedades Capital Riesgo e Inversores
   · Firma Electrónica España Legislación
   · Inscripción automática de certificados Windows Ser
   · Legislación Firma Electrónica
   · Tarjetas Inteligentes
   · Tecnologías
   · Tacógrafo Digital
· Propiedad Industrial
· Información Técnica
· Áreas de Aplicación
· ¿Por qué KALYSIS?
· Reseñas
· COTIZACIÓN

tarjeta inteligente Idioma
InglésEspañol
· Últimos 100 publicados
· Archivo de Artículos

SolounaTendrá solo UNA

Sabía que...

... KALYSIS es portada del Nilson Report?

Nilson Report - Tarjetas Inteligentes
Issue 814, July 2004

... la patente 2.186.534 de Kalysis es la base de la aplicación del DNI Digital o de la firma electrónica en tarjeta inteligente?

token USB... el "token USB" es un invento español patentado presentado publicamente en Bruselas?

...Los beneficios de pagos móviles crecerán drásticamente a USD20,000 millones en todo el mundo en 2005, de acuerdo con un nuevo informe estratégico de ARC Group. Esta cifra representa un crecimiento anual del 100%, y se deriva principalmente de nuevos tipos de transacción como prepago desde cajeros automáticos y otros innovadores ATMs.


tarjeta inteligente Empleo en Kalysis GRUPO
Trabajar en Kalysis
¿Buscas hacer empresa?

Que no te pique la envidia. Ven a inventar a Kalysis


tarjeta inteligente La concurrencia
Actualmente tenemos 14 invitado(s) y 0 Miembros

Eres un usuario anónimo. Puedes registrarte gratis haciendo clic aquí


tarjeta inteligente Kalysis Community
· Todos los Artículos
· AvantGo
· Descargas
· FAQ
· Feedback
· Mensajes
· Noticias
· Recomendarnos
· Reseñas
· Buscar
· Secciones
· Estadísticas
· Enviar Noticias
· Temas
· Top List
· Enlaces Web

tarjeta inteligente Tarjetas Inteligentes Estadísticas


Tarjetas Inteligentes - EstadísticasTarjetas Inteligentes en Europa


Informe mundial del mercado de tarjetas inteligentes Gartner DataQuest

Firma Electrónica Avanzada

Legislación Firma Electrónica

tarjeta inteligente Kalysis GRUPO
España Kalysis GRUPO - Plataforma Kalysis MEI

Kalysis EspañaKALYSIS Iberia, SL
Plaza de Uncibay 3
Primera Planta
29008 Málaga
ESPAÑA

952 60 81 93
686 500 726

CENTRO DE ATENCIÓN AL CLIENTE Voz/Fax

95 222 79 60

CENTRO DE INVESTIGACIÓN
BIC Euronova - Centro Europeo de Empresas e Innovación (CEEI)
Parque Tecnológico de Andalucía (PTA)
Málaga, ES 29590
ESPAÑA

INTERNACIONAL Voz

+34 952 608193

INTERNACIONAL FAX

+34 952 227960

ANID - National Association of Researchers in Educational Methodology
Camino de las Aguas, 48
37003 Salamanca
España

Kalysis SA de CVKALYSIS, SA de CV
:: General Payment Services de México, SA de CV


Camino al Desierto de Los Leones Número 35
Colonia San Ángel Inn
01000 México, Distrito Federal

Kalysis Miami
KALYSIS Central America
USA Office
9800 Southwest 62nd St
Miami, Florida 33173
USA

116 Northeast 3rd Avenue
Miami, Florida 33132
USA

Kalysis NicaraguaKALYSIS Nicaragua, SA
Edificio Grupo Lacayo
Km 5½ Carretera Norte Managua
NICARAGUA

Kalysis Argentina
KALYSIS Argentina

Buenos Aires
ARGENTINA

Kalysis Montevideo
AVICARD Identificación
Avda. Gestido, M-26, S-17, Sangrila
Canelones
URUGUAY

Kalysis Chile
KALYSIS Chile
Obispo Orrego, 42. Ñuñoa
Santiago de Chile
CHILE

Kalysis Colombia
KALYSIS Colombia SA
CRA 46 No 56-63
OFIC. 109
Edificio Argental
Medellín
COLOMBIA

INTERNACIONAL Voz

+34 952 608193

INTERNACIONAL FAX

+34 952 227960


Red de Distribuidores Europeos de Kalysis
Distribuidores EMEA

Austria, Alemania, Suiza, Dinamarca, Suecia, Noruega, Finlandia, Polonia, República Checa, Eslovaquia, Hungría, Eslovenia, Croacia, Latvia, Estonia y Lituania

Relaciones con la prensa y medios de comunicación
Iraís Quintana:
Correo prensa - tarjeta Inteligente


Sindicar Artículos de Kalysis Community
Tarjetas Inteligentes Sindicación Tarjetas Inteligentes


lector tarjeta inteligente

Inscripción automática de certificcados en Windows Server 2003

Firma Electrónica con Tokens USB o Lector de Tarjetas





Inscripción automática de certificados en Windows Server 2003












 





por David B. Cross
Microsoft Corporation


Resumen


El sistema operativo Microsoft® Windows® Server 2003 ofrece diversas mejoras en cuanto a los servicios de certificados y la infraestructura de clave pública (PKI). Estas mejoras permiten que las organizaciones implementen automáticamente certificados basados en clave pública para los usuarios.


Este artículo va dirigido a los directores de TI y administradores de sistemas. Proporciona un recorrido técnico por la característica de inscripción automática de certificados junto con una explicación en profundidad de su funcionamiento, además de información clave para la solución de problemas.


Reconocimientos


Darren Canavor, Jefe de pruebas, Microsoft Corporation



Índice



[subir]

Introducción

En Microsoft® Windows® Server 2003 Enterprise Edition se introduce la posibilidad de inscribir automáticamente certificados de usuarios y equipos, incluidos certificados basados en tarjetas inteligentes.


Con la característica de inscripción automática, las organizaciones pueden administrar el ciclo de vida de los certificados para los usuarios, lo que incluye:



  • Renovación de certificados
  • Reemplazo de certificados
  • Requisito de varias firmas

La inscripción automática de certificados se basa en la combinación de la configuración de la directiva de grupo y las plantillas de certificado de versión 2. Esta combinación permite al cliente Windows XP Professional o Windows Server 2003 inscribir usuarios cuando inician sesión en su dominio, o al iniciarse un equipo, y los mantiene actualizados de forma periódica hasta el siguiente inicio.


La inscripción automática de certificados de usuario ofrece una forma rápida y sencilla de emitir certificados para los usuarios y habilitar aplicaciones de infraestructura de clave pública (PKI), como el inicio de sesión mediante tarjeta inteligente, Sistema de archivos de cifrado (EFS), Nivel de sockets seguro (SSL) y Extensión segura de correo de Internet para múltiples propósitos (S/MIME), entre otras, en un entorno del servicio de directorio Active Directory®. La inscripción automática de usuarios minimiza el alto costo de las implementaciones normales de PKI y reduce el costo total de propiedad (TCO) de una implementación PKI si los clientes Windows XP Professional están configurados para utilizar Active Directory.


Compatibilidad con solicitudes de certificados pendientes y renovación de certificados


La inscripción automática de usuarios en Windows XP Professional y Windows Server 2003 admite las solicitudes de certificados pendientes y la renovación de certificados.


Solicitud de certificados


Los certificados se pueden solicitar de forma manual o automática a una entidad emisora de certificados (CA) de Windows Server 2003. La solicitud queda retenida hasta que se recibe la aprobación administrativa o se completa el proceso de verificación. Una vez aprobado o emitido el certificado, el proceso de inscripción automática finaliza y el certificado se instala automáticamente.


Renovación de certificados


El proceso para renovar un certificado de usuario caducado aprovecha también el mecanismo de inscripción automática. Los certificados se renuevan de forma automática en nombre del usuario, en función de las especificaciones de la plantilla del certificado.


Dependencias


La característica de inscripción automática cuenta con varios requisitos de infraestructura. Entre ellos se incluyen:



  • Actualización del esquema y la Directiva de grupo de Windows Server 2003
  • Controladores de dominio de Windows 2000 Server con Service Pack 3 o posterior
  • Clientes Windows XP Professional o Windows Server 2003
  • Windows Server 2003 Enterprise Edition o Datacenter Edition que se ejecute como una CA de empresa


Nota   La configuración de la Directiva de grupo para la inscripción automática sólo se puede aplicar si se utiliza un equipo con Windows XP Professional o Windows Server 2003.


Lista de temas



  • Funcionamiento de la inscripción automática
  • Configuración de las plantillas de certificado
  • Configuración de una CA de empresa
  • Configuración de la Directiva de grupo
  • Inscripción automática de usuarios
  • Renovación de certificados
  • Funciones de inscripción automática
  • Actualización de la Directiva de grupo
  • Características avanzadas
  • Hardware admitido
  • Solución de problemas

[subir]

Funcionamiento de la inscripción automática

En esta sección se trata acerca de cómo funciona la inscripción automática, lo que incluye la inscripción automática y Winlogon, un análisis de los componentes del proceso de inscripción automática y el trabajo con interfaces de entidad emisora de certificados.


Puntos clave


La inscripción automática funciona de manera óptima en un entorno de Windows Server 2003 Enterprise en el que el cliente Windows XP esté integrado con Active Directory.


La inscripción automática de certificados sólo se puede utilizar en equipos unidos a un dominio. Si bien el proceso de inscripción automática no busca expresamente equipos unidos a un dominio, el proceso Winlogon no activará userinit.exe salvo que el equipo o usuario forme parte de un dominio.


Temporización de la inscripción automática


Normalmente, el proceso de inscripción automática se desencadena en el proceso Winlogon y está diseñado para que se active y administre mediante una Directiva de grupo basada en el dominio. Las directivas de grupo basadas en el equipo y en el usuario pueden activar la inscripción automática para equipos y usuarios. De forma predeterminada, la directiva de grupo se aplica durante el reinicio para los equipos o en el inicio de sesión para los usuarios, y se actualiza cada ocho horas. El intervalo de actualización se puede configurar mediante la Directiva de grupo. La inscripción automática también se desencadena mediante un temporizador interno que se activa cada ocho horas a partir de la última vez que se activó la inscripción automática.


Para obtener información adicional, vea Actualización de la Directiva de grupo.



Nota   El desbloqueo de la estación de trabajo no activa la inscripción automática: el desencadenador de Winlogon sólo se iniciará mediante un inicio de sesión interactivo completo o una actualización de la directiva de grupo.


[subir]


Proceso de inscripción automática


La característica de inscripción automática controla todos los aspectos de la inscripción, renovación y mantenimiento de certificados, excepto en el caso de que se defina explícitamente la necesidad de interacción del usuario en una plantilla de certificado en Active Directory. Si el proceso de inscripción automática se activa mediante Winlogon o en un intervalo de actualización de la directiva de grupo, el sistema operativo consulta Active Directory para descargar los almacenes de certificados correspondientes al almacén local del equipo cliente; por ejemplo, certificados de CA raíz, certificados cruzados y el contenedor NTAuth. En el proceso de inscripción automática también se descargan plantillas de certificado del bosque y la lista se almacena en caché en el Registro al mismo tiempo. El último paso que se realiza en la inscripción automática es la limpieza de objetos de usuario (atributo userCertificate) en Active Directory. Los certificados revocados, caducados o anulados se eliminan automáticamente del objeto de usuario; sin embargo, los certificados caducados no se eliminan salvo que se emita un nuevo certificado válido al mismo tiempo. Los certificados del perfil de usuario local o del objeto de usuario en Active Directory sólo se pueden administrar si el certificado tiene una plantilla de certificado correspondiente en Active Directory. Los certificados externos y aquellos que no contienen la extensión de plantilla no se pueden administrar. Esta actividad transparente se procesa de forma asincrónica.


Lista de requisitos


A continuación, en la inscripción automática se procesa la lista de plantillas y se crea una lista de requisitos para las plantillas que tengan una entrada de control de acceso (ACE) de inscripción automática establecida en la plantilla del equipo o usuario actual. El equipo o usuario debe disponer también de la ACE de lectura establecida en la plantilla; de lo contrario, la plantilla no se enumerará. El almacén personal (Mi almacén) del usuario o equipo también se procesará en este momento en busca de certificados revocados, certificados sin claves privadas, certificados con invalidez temporal, etc. Estos certificados se agregan a la lista de requisitos. Para obtener más información acerca de los almacenes de certificados, vea el SDK de la plataforma de Microsoft: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/managing_certificates_with_certificate_stores.asp


Es muy posible que un usuario tenga un certificado en Mi almacén, pero no tenga permisos configurados en la lista de control de acceso (ACL) de una plantilla en Active Directory. Éstos se procesarán y agregarán a la lista, pero es probable que se produzca un error en la inscripción automática debido a que los permisos de la plantilla no permiten la inscripción o renovación en el momento de la actualización.


Los elementos de la lista de requisitos se pueden eliminar si se encuentra un certificado válido correspondiente en Mi almacén. Si una plantilla de certificado está marcada para buscar un certificado existente en Active Directory se consultará la existencia en Active Directory de un certificado duplicado en el atributo userCertificate del objeto de usuario y, si se encuentra, el requisito se eliminará de la lista.



Nota   La búsqueda en Active Directory de la presencia de un certificado existente asociado con el objeto de usuario o equipo puede afectar al rendimiento y retrasar el procesamiento de inscripción automática a causa de los requisitos de red y directorio implicados en la realización de dicha operación. Esto se debe a que se descargarán y examinarán los certificados reales del atributo userCertificate. En estas circunstancias, el directorio no se puede consultar mediante el Protocolo ligero de acceso a directorios (LDAP) para que simplemente responda si un determinado tipo de certificado existe sin descargar y procesar los certificados de forma local.


[subir]


La inscripción automática administra también el almacén CryptoAPI REQUEST del usuario. En este proceso se enumeran cada una de las solicitudes pendientes en el almacén y, después, se instala el certificado pendiente, si es posible, desde la entidad emisora de certificados. Si un certificado debe archivarse o eliminarse, de acuerdo con la regla de la plantilla de certificado, se procesará de la siguiente manera:



  • Si ya existe una solicitud en el almacén REQUEST, el certificado se eliminará de la lista de requisitos resumida.
  • Si una solicitud ha estado pendiente durante más de 60 días, la solicitud se eliminará y la lista de requisitos permanecerá “tal cual”.

La inscripción automática se puede utilizar para recuperar solicitudes pendientes sólo para los certificados con información de plantilla, por ejemplo, una solicitud inicial que incluya una plantilla de certificado. La lista ACL de inscripción automática de la plantilla de certificado no es necesaria para que en el proceso de inscripción automática se recupere una solicitud de certificado pendiente. Si el usuario se inscribe mediante una página Web y la solicitud del certificado queda pendiente, la inscripción automática recuperará la solicitud pendiente del usuario.


Se evaluarán las reglas de reemplazo de la plantilla y se procesarán las adiciones y eliminaciones correspondientes en la lista de requisitos. Por ejemplo, si en la plantilla se indica que "X reemplaza a Y", esto implica que si tiene intención de inscribirse en X e Y, en realidad sólo es necesario X. Si sólo dispone de Y, debe obtener X. Éste es el último paso del procesamiento de reglas. Una vez realizado, la lista de requisitos está completa.


Para cada plantilla que no requiera interacción del usuario, en el proceso de inscripción automática las solicitudes se crearán en segundo plano y se enviarán a una CA. Una vez realizado, la lista de requisitos está actualizada.


La inscripción automática siempre lleva a cabo una comprobación de revocación de la cadena de certificados entera, comenzando por la entidad emisora de certificados, para asegurar que la CA que ofrece los servicios de inscripción no ha sido revocada antes de realizar la inscripción. Si la CA ha sido revocada, la inscripción automática no enviará solicitudes a dicha entidad emisora de certificados. Sin embargo, la inscripción automática omitirá los errores de revocación si no existe una extensión CDP (punto de distribución CRL) en el certificado de la CA o si el estado de revocación se encuentra sin conexión.


Si la CA emite un certificado, éste se instala en Mi almacén del usuario o equipo. Si el certificado queda pendiente [especificado en la casilla de verificación de aprobación del Administrador de CA del complemento MMC (Microsoft Management Console) Plantillas de certificado], la información de la solicitud se guarda en el almacén REQUEST.


Interfaz de usuario de globo


Para cada solicitud que requiera interacción del usuario de acuerdo con la plantilla de certificado se llama a la interfaz de usuario (UI) de globo.



  • La UI de globo se muestra aproximadamente 60 segundos después del inicio de sesión. Si en la plantilla de certificado no se define explícitamente el requisito de interacción del usuario, no se mostrará ninguna UI al usuario. Este retardo se incorpora para permitir tiempos de respuesta rápidos de aplicación y shell durante el inicio de sesión y el inicio del equipo cliente.
  • Si no se desea utilizar el retraso de 60 segundos se puede agregar la siguiente clave del Registro para cada usuario.

HKEY_CURRENT_USERSOFTWAREMicrosoftCryptographyAutoEnrollmentAEExpress


No se recomienda el uso de esta clave en un entorno de producción normal. Si se utiliza, debe crearse para cada usuario.



Importante   Los certificados de equipo no admiten la interacción del usuario y no deben configurarse para requerirla.



  • La UI de globo espera a que el usuario vea el globo y se activa mediante un clic del mouse (ratón). Observe que, al cabo de unos 15 segundos, la ventana emergente del globo se reemplaza en la bandeja del sistema por un icono de certificado que se puede activar con un clic del mouse.
  • Si no se produce la activación en el plazo de siete horas, el icono de la barra de tareas desaparecerá y el subproceso silencioso se reactivará en cuanto tenga lugar el primero de los siguientes sucesos: inicio de sesión, reinicio del equipo o intervalo de actualización de la directiva de grupo.
  • Cuando el usuario activa la UI, en primer lugar se buscan solicitudes pendientes en el almacén REQUEST.

Emisión de la plantilla


Una vez que se ha enumerado una plantilla de certificado con la ACE correcta, el proceso de inscripción automática buscará una Entidad emisora de certificados de empresa de Microsoft en Active Directory que pueda emitir la plantilla. Si se encuentran varias CA de empresa, el cliente probará con cada una de las CA de la lista en orden aleatorio (por razones de equilibrio de carga) hasta que una de ellas responda y pueda emitir un certificado.


El cliente se pone en contacto con una CA mediante una interfaz DCOM (Modelo de objetos componentes distribuido) y ofrece un contexto de seguridad mediante DCOM para proporcionar una solicitud autenticada. El módulo de directivas predeterminado de la CA de empresa de Microsoft exige perfiles de certificado y seguridad de inscripción según se define en las plantillas.


Si la entidad emisora de certificados está configurada para “dejar pendiente” la solicitud con el fin de que un administrador o administrador de certificados la examine y apruebe, la inscripción automática consultará periódicamente la CA durante todos los intervalos de actualización de la directiva de grupo en busca de solicitudes aprobadas. La inscripción automática también volverá a inscribir las plantillas si se ha configurado Volver a inscribir a todos los poseedores de certificados en la directiva de grupo. Para obtener más información, vea Renovación de certificados.


[subir]


Interfaces de entidad emisora de certificados


En el proceso de inscripción automática se utilizan los siguientes métodos para ponerse en contacto con una CA de empresa de Microsoft y llevar a cabo la inscripción.



  • GetCAProperty
  • Submit
  • GetLastStatus
  • GetRequestId
  • GetFullResponseProperty
  • GetCertificate
  • Release
  • RetrievePending

Estos métodos se pueden encontrar en el SDK de la plataforma en la dirección http://msdn.microsoft.com/library/default.asp Configuración de las plantillas de certificado


En esta sección se trata acerca de cómo configurar las plantillas de certificado y se ofrece un ejemplo paso a paso de cómo crear una nueva plantilla para la inscripción automática de una tarjeta inteligente. También se explican los permisos de plantillas de certificado.


Punto clave


Para habilitar la inscripción automática, primero debe crearse una plantilla de certificado de versión 2 en Active Directory.


Configuración predeterminada


A continuación se indica la configuración predeterminada.



  • Sólo los administradores de dominio o los usuarios con delegación explícita en Active Directory pueden configurar plantillas en un dominio que se haya actualizado desde Windows 2000 Server.
  • Los administradores de dominio del dominio raíz y los administradores de empresa para actualizaciones nuevas de dominios de Windows Server 2003 pueden configurar plantillas.
  • Las listas ACL de plantillas de certificado se ven en el complemento MMC Plantillas de certificado.
  • Las plantillas de certificado se pueden clonar o editar con el complemento MMC Plantillas de certificado.


Nota   Sólo un dominio con el esquema de Windows Server 2003 admitirá plantillas de versión 2 y sólo una entidad emisora de certificados de Windows Server 2003 Enterprise Edition o Datacenter Edition puede emitir un certificado de plantilla de versión 2.


[subir]


Creación de una nueva plantilla para la inscripción automática de una tarjeta inteligente


Para crear una nueva plantilla de inscripción automática de una tarjeta inteligente



  1. Inicie sesión como un administrador de dominio.
  2. Haga clic en el botón Inicio y, después, en Ejecutar.
  3. En el cuadro de diálogo Ejecutar, en el cuadro Abrir, escriba mmc.exe y haga clic en Aceptar.
  4. En el menú Archivo, haga clic en Agregar o quitar complemento.
  5. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Agregar.
  6. En el cuadro de diálogo Agregar un complemento independiente, haga clic en Plantillas de certificado y, a continuación, en Agregar.

    Nota   El complemento MMC Plantillas de certificado está disponible en la versión de servidor de Windows Server 2003 o en Windows XP Professional mediante la instalación del paquete de herramientas de administración contenido en los medios de servidor.


  7. Haga clic en Cerrar.
  8. Haga clic en Aceptar.

    Nota   El complemento MMC Plantillas de certificado también se puede llamar mediante el complemento MMC Entidad emisora de certificados; para ello, seleccione la carpeta Plantillas de certificado, haga clic en ella con el botón secundario del mouse y seleccione Administrar.


  9. En el árbol de la consola, haga clic en Plantillas de certificado.
  10. En el panel de detalles, haga clic con el botón secundario del mouse en la plantilla Usuario de tarjeta inteligente y, después, haga clic en Plantilla duplicada (figura 1).

    Aparecerá la ficha General del cuadro de diálogo de propiedades de nueva plantilla.


    autoen01

    Figura 1 Creación de una nueva plantilla para la inscripción automática de una tarjeta inteligente


  11. En el campo Nombre para mostrar plantilla, escriba un nombre único para la plantilla (figura 2).

    autoen02


    Figura 2   Asignación de nombre a la plantilla


     


     



    Nota   Si la opción No volver a inscribir automáticamente si ya existe un certificado duplicado de Active Directory está activada, la inscripción automática no inscribirá un usuario en la plantilla de certificado, incluso si no existe un certificado en Mi almacén del usuario. Se consulta Active Directory y se determina si se debe inscribir el usuario. Esta característica es muy útil para los usuarios que no disponen de perfiles móviles e inician sesión en varios equipos. Sin esta configuración y sin perfiles móviles, el usuario se inscribirá automáticamente en todos los equipos en los que inicie sesión (incluidos los servidores).


  12. Haga clic en la ficha Tratamiento de la petición (figura 3).

    En esta ficha se define cómo debe procesarse la solicitud de certificado, incluidos los proveedores de servicios de cifrado (CSP) y los tamaños mínimos de clave que se utilizarán en la plantilla de inscripción.


    autoen03


    Figura 3   Definición de cómo debe procesarse la solicitud de certificado



    Importante   Si en esta ficha están disponibles varios CSP de tarjeta inteligente, se puede mostrar un mensaje por cada CSP seleccionado al inscribirse en esta plantilla. El comportamiento puede variar en función de los CSP disponibles en el equipo cliente. Si el usuario sólo tiene una tarjeta inteligente, deberán cancelarse los mensajes de los CSP no disponibles. Este comportamiento se produce por diseño. También es importante seleccionar un tamaño máximo de clave admitido por el CSP seleccionado; de lo contrario se producirá un error en la inscripción.


  13. Active la casilla de verificación Preguntar al usuario durante la inscripción (figura 3). (La inscripción de tarjetas inteligentes requiere que la información especificada por el usuario sea correcta).

    Importante   Si la plantilla de certificado no se va a utilizar para tarjetas inteligentes o si no se desea pedir confirmación al usuario para la inscripción de certificados, esta opción no es necesaria. Los certificados de equipo no deben tener activada esta opción; en caso contrario se producirá un error en la inscripción automática del equipo.


  14. Haga clic en la ficha Nombre de sujeto.

    En esta ficha se define cómo se crearán el nombre de sujeto y las propiedades del certificado. Se recomienda utilizar las selecciones predeterminadas al inscribirse en una plantilla de tarjeta inteligente.


  15. Haga clic en la ficha Extensiones.

    En esta ficha se define cómo las distintas extensiones se agregarán a esta plantilla de certificado durante la inscripción. Se recomienda utilizar la configuración predeterminada.



    Nota   Directivas de aplicación reemplaza Uso de clave extendida (EKU) en Windows Server 2003, aunque se sigue ofreciendo compatibilidad con EKU para las aplicaciones y sistemas operativos cliente antiguos.


  16. Haga clic en la ficha Seguridad.

    En esta ficha se define qué usuarios o grupos pueden inscribirse o inscribirse automáticamente en una plantilla de certificado. Un usuario o grupo debe tener los permisos Leer, Inscribir e Inscripción automática para poder inscribirse automáticamente en una plantilla de certificado.


  17. Haga clic en Aceptar cuando termine.

    En la columna Inscripción automática debe mostrarse Permitido.



Nota   En la columna Inscripción automática se indicará automáticamente si una plantilla es adecuada para la inscripción automática. El usuario no podrá cambiar el estado. Si una plantilla requiere más de una firma de entidad de registro (RA) o si el sujeto lo proporciona el solicitante, la inscripción automática no se permitirá. En la columna no se refleja el estado de la lista ACL de inscripción automática de la plantilla.



Importante   Una tarjeta inteligente emitida en un cliente Windows XP o una Estación de inscripción (ES) de Windows XP puede que sólo sea compatible con un cliente Windows XP. La compatibilidad varía entre diferentes proveedores de tarjetas inteligentes y CSP. Si necesita poder iniciar sesión en Windows 2000 y Windows XP, consulte con su proveedor de tarjeta inteligente y CSP para obtener información adicional.


Permisos de plantilla de certificado


Para que un usuario o equipo se inscriba en una plantilla de certificado debe contar con los permisos correctos (ACE) establecidos en la plantilla en Active Directory. Un usuario o equipo debe tener los permisos Inscribir y Leer para inscribirse en una plantilla de certificado seleccionada.



  • Con el permiso de lectura, el usuario puede descubrir la plantilla.
  • El permiso de inscripción lo exige la CA de empresa cuando un usuario solicita un certificado para una plantilla seleccionada. La CA de empresa debe tener también permisos de lectura en una plantilla para enumerar ésta en el directorio y emitir certificados basados en ella. Normalmente, la CA de empresa se incluye en el grupo Usuarios autenticados, que de forma predeterminada tiene permisos de lectura en una plantilla.
  • El permiso Control total se asigna a los administradores de organización y al grupo principal de administradores de dominio de forma predeterminada al instalar un dominio nuevo de Windows Server 2003. Si un dominio se ha actualizado desde Windows 2000, los administradores de organización no tendrán este permiso de forma predeterminada. Con el permiso Control total, un usuario puede configurar o modificar los permisos de una plantilla seleccionada.
  • El permiso de inscripción automática se establece en una plantilla cuando se desea que un usuario o equipo se inscriba automáticamente en una plantilla de certificado seleccionada. El permiso de inscripción automática es necesario junto con el permiso Inscribir para que un usuario se inscriba en una plantilla de certificado determinada. La ACE de inscripción automática sólo se puede establecer en las plantillas de versión 2 o plantillas de nueva creación.
  • Con el permiso de escritura, un usuario puede modificar el contenido de una plantilla de certificado. Observe que sólo se pueden modificar los certificados de versión 2 con un esquema de Windows Server 2003. Las plantillas de certificado de versión 1 sólo permiten la modificación de ACL.

[subir]

Configuración de una CA de empresa

En esta sección se muestra cómo debe configurarse una CA de empresa de Microsoft para emitir una plantilla de certificado una vez creada.


Cómo configurar una CA de empresa


Para configurar una CA de empresa



  1. En el menú Herramientas administrativas de una consola de Windows Server 2003, abra el complemento Entidad emisora de certificados.
  2. En el árbol de la consola, expanda la entidad emisora de certificados y, a continuación, haga clic en Plantillas de certificado (figura 4).

    autoen04


    Figura 4   Selección de plantillas de certificado


  3. Haga clic con el botón secundario del mouse (ratón) en Plantillas de certificado, haga clic en Nueva y, después, en Plantilla de certificado que se va a emitir.
  4. En el cuadro de diálogo Habilitar plantillas de certificados (figura 5), haga clic en Inscribir automáticamente usuario de tarjeta inteligente (éste es el nombre de la plantilla de certificado que se creó anteriormente) y, después, en Aceptar.

    (Vea Creación de una nueva plantilla para la inscripción automática de una tarjeta inteligente).


    autoen05


    Figura 5   Habilitación de una plantilla de certificado en una CA


     



    Nota   Debido a la latencia de replicación y al almacenamiento en caché de las plantillas en el Registro, es posible que una entidad emisora de certificados no pueda emitir una plantilla de certificado de forma inmediata. El tiempo de la emisión depende de la latencia de replicación entre los controladores de dominio.


  5. Cierre el complemento MMC Entidad emisora de certificados.

[subir]

Configuración de la Directiva de grupo

En esta sección se muestra cómo configurar la directiva de grupo para un sitio, dominio o unidad organizativa (OU).


Cómo configurar la Directiva de grupo


Debe configurarse la Directiva de grupo en un sitio, dominio o unidad organizativa para permitir la inscripción automática de certificados en un dominio.


Para configurar la Directiva de grupo



  1. Abra el complemento MMC Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario del mouse en el sitio, dominio o unidad organizativa en el que desee configurar la directiva de grupo y, después, haga clic en Propiedades.
  3. Haga clic en la ficha Directiva de grupo y, a continuación, en Editar (figura 6).

    autoen06


    Figura 6   Selección de las opciones de configuración de la directiva de grupo



    Nota   La directiva de equipo para la inscripción automática de certificados de equipo y controlador de dominio se configura de manera idéntica, aunque se controla a través de la directiva de equipo de un objeto de directiva de grupo.


  4. Haga clic en Configuración del usuario, Configuración de Windows, Configuración de seguridad y, finalmente, Directivas de claves públicas. En Tipo de objeto, haga clic con el botón secundario del mouse en Configuración de inscripción automática (figura 7) y, después, haga clic en Propiedades.

    autoen07


    Figura 7   Selección de la configuración de inscripción automática


     


     


  5. Asegúrese de que la opción Registrar certificados automáticamente está activada junto con las dos casillas situadas debajo de ella (figura 8). La renovación automática, limpieza de certificados y publicación en Active Directory sólo se habilitan si se activan todas las opciones.

    Nota   La Directiva de equipo y usuario debe configurarse para permitir la inscripción de certificados de ambos tipos.


    autoen08


    Figura 8   Selección de la configuración de inscripción automática


  6. Haga clic en Aceptar.

    La inscripción automática ya está habilitada.


[subir]

Inscripción automática de usuarios

En esta sección se explica cómo impulsar manualmente la inscripción automática y la inscripción de tarjetas inteligentes.


Puntos clave


A diferencia de otros tipos de certificados, la inscripción automática de usuarios para una tarjeta inteligente requiere el uso de pasos manuales obligatorios e interacción del usuario. Una vez habilitada la inscripción automática, el usuario verá un globo informativo en la barra de tareas en el siguiente intervalo de impulso de la directiva de grupo (predeterminado en ocho horas) o en el siguiente inicio de sesión.


Impulso manual de inscripción automática


La inscripción automática se puede impulsar manualmente mediante el complemento MMC Certificados.


Para activar manualmente la inscripción automática



  1. Inicie sesión en el dominio con la cuenta de usuario correcta.
  2. Haga clic en el botón Inicio y, después, en Ejecutar.
  3. Escriba mmc.exe y presione ENTRAR.

    Se iniciará un shell de MMC vacío.


  4. Seleccione el menú Archivo y, después, haga clic en Agregar o quitar complemento.

     



  5. Aparecerá un cuadro de diálogo con una lista de los complementos que se han agregado al shell de MMC.


  6. Haga clic en Agregar.

    Aparecerá una lista de los complementos registrados en el equipo actual.


  7. Haga doble clic en el complemento Certificados, seleccione Mi cuenta de usuario y, a continuación, haga clic en Finalizar. Si va a inscribir un certificado de equipo, como un controlador de dominio o un servidor Web, seleccione Cuenta de equipo.
  8. Haga clic en Siguiente.
  9. Seleccione Equipo local y haga clic en Finalizar.
  10. En el cuadro de diálogo Agregar un complemento independiente, haga clic en Cerrar. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.

    El complemento MMC ya contiene el almacén de certificados personales del usuario.


  11. Haga clic con el botón secundario del mouse en la parte superior del árbol en Certificados: usuario actual, seleccione Todas las tareas en el menú contextual y, después, seleccione Inscribir certificados automáticamente (figura 9).

    autoen09


    Figura 9   Inscripción automática de certificados


     


     



    Nota   El globo de inscripción de certificados tardará aproximadamente un minuto en aparecer, salvo que se haya configurado la clave del Registro mencionada anteriormente. (Vea Interfaz de usuario de globo).


[subir]


Inscripción de tarjetas inteligentes



  1. Haga clic en el globo o el icono de certificado correspondiente en la bandeja del sistema cuando aparezca el globo Inscripción de certificados. Tras un breve período de tiempo, el globo desaparecerá automáticamente y sólo permanecerá el icono de la bandeja del sistema. Al hacer clic en el globo se iniciará la UI de inscripción automática.

    Nota   El globo y el asistente de inscripción de certificados no se utilizan únicamente para la inscripción de tarjetas inteligentes, sino también para la entidad de auto-registro.


  2. Haga clic en el botón Inicio (figura 10).

    Se iniciará el asistente. (El botón Recordármelo más tarde causará que el globo de inscripción de certificados vuelva a aparecer en el siguiente intervalo de impulso de la directiva de grupo o el siguiente inicio de sesión interactivo).


    autoen10


    Figura 10   Inicio de la inscripción de certificados


  3. Si no se inserta una tarjeta inteligente con el CSP necesario del certificado en el lector de tarjetas inteligentes, se pedirá al usuario que lo haga. Inserte la tarjeta inteligente y haga clic en Aceptar.

    Nota   Si la plantilla de certificado del equipo del usuario contiene más de un CSP, puede que el usuario tenga que recorrer el asistente para llegar hasta el CSP deseado de la tarjeta inteligente.


  4. Si el CSP de la tarjeta inteligente que se muestra no es el que se desea, haga clic en Cancelar.

    Aparecerá el siguiente CSP que se enumera en la plantilla de certificado.


  5. Después de insertar una tarjeta inteligente correcta, haga clic en Aceptar.

    El asistente continuará.



    Nota   Si la tarjeta inteligente contiene una clave privada y un certificado en Slot0 (contenedor predeterminado), el usuario recibirá una advertencia acerca del reemplazo de las credenciales en la tarjeta inteligente.



    Importante   Debido a las limitaciones con los CSP de tarjeta inteligente, el inicio de sesión mediante tarjeta inteligente en Windows 2000 y Windows XP requiere que Slot0, o el contenedor predeterminado de la tarjeta, contenga el certificado y la clave privada utilizados para el inicio de sesión mediante tarjeta inteligente. Si la tarjeta contiene varias claves y certificados, la última clave y certificado generados se marcarán como el contenedor predeterminado de la tarjeta.


  6. Si se desea reemplazar las credenciales de la tarjeta inteligente, haga clic en (figura 11).

    El asistente continuará (figura 12).


    (A continuación se ofrece un ejemplo del cuadro de diálogo que se puede mostrar al usuario. La UI de tarjeta inteligente varía en función del CSP que se utilice).


    autoen11


    Figura 11   Cuadro de diálogo de reemplazo de credenciales


    autoen12


    Figura 12   Inscripción de certificados


     


     


     


     


     


     


  7. Si es necesario un NIP para la tarjeta inteligente, aparecerá un cuadro de diálogo. Escriba el NIP correspondiente y haga clic en Entrar.

    La inscripción finaliza.



    Nota   Si el NIP no se escribe correctamente, tendrá un número limitado de reintentos.


    El éxito o error del proceso de inscripción automática se registrará en el registro de sucesos de aplicación en el equipo local. Además, aparecerá un cuadro de diálogo de resumen para las solicitudes de certificados con error en las que se incluía interacción del usuario. Si se produce un error durante la inscripción, se le notificará al usuario (figura 13).


    autoen13


    Figura 13   Notificación de errores al usuario durante la inscripción de certificados



    Nota   Si la inscripción se realiza correctamente, los usuarios no reciben ningún mensaje.


[subir]

Renovación de certificados

En esta sección se trata acerca de los intervalos de renovación, reinscripción forzada y renovación de tarjetas inteligentes.


Intervalos de renovación


Los clientes Windows XP Professional o Windows Server 2003, en combinación con una entidad emisora de certificados de Windows Server 2003 Enterprise Edition, llevarán a cabo la renovación automática de certificados según se especifique en cada plantilla. Los intervalos de renovación se imponen en la plantilla de certificado, que tiene configurado un valor predeterminado de seis semanas (antes de la caducidad). Al realizar la renovación de certificados, los certificados antiguos (anteriores) inscritos siempre se archivan automáticamente en el equipo cliente y se actualiza el objeto de directorio de usuario.


En la renovación de certificados se deben tener en cuenta los siguientes criterios:



  • La renovación automática de certificados sólo se producirá cuando haya transcurrido el 80 por ciento de la duración del certificado o cuando se haya alcanzado el período de intervalo de renovación especificado en la plantilla, lo que antes tenga lugar.
  • Si el período de renovación es superior al 20 por ciento de la duración del certificado, la inscripción automática no intentará renovar automáticamente el certificado hasta que se haya alcanzado el umbral del 80 por ciento.

[subir]


Reinscripción forzada


Los administradores pueden forzar que todos los usuarios se reinscriban en una plantilla determinada mediante la actualización del número de versión principal de la misma. Al consultar Active Directory durante el inicio de sesión en busca de plantillas de certificados requeridas se examina el número de versión. Si el número de versión ha aumentado, la plantilla de certificado se considera actualizada y el usuario debe reinscribirse en ella.


Para forzar manualmente que se actualice la versión de la plantilla (y, por tanto, forzar la reinscripción)



  • Haga clic con el botón secundario del mouse en la plantilla y seleccione Volver a inscribir a todos los poseedores de certificados (figura 14).

    Nota   Las plantillas no se actualizan automáticamente. De forma predeterminada, las plantillas se actualizan con un intervalo mínimo de 10 minutos.


    autoen14


    Figura 14   Reinscripción de certificados forzada manualmente


Renovación de tarjetas inteligentes


El comportamiento de renovación de una tarjeta inteligente puede variar en función del tipo de CSP de la tarjeta inteligente que se utilice y el estado de la tarjeta en el momento de la renovación. En general, si la tarjeta inteligente que se utiliza tiene espacio disponible para una inscripción adicional y el CSP admite varias claves en una sola tarjeta, la inscripción automática solicitará que la tarjeta genere una nueva clave para la inscripción. Si se lleva a cabo correctamente, el certificado se escribe en la tarjeta y el contenedor se marca como predeterminado. El contenedor predeterminado es el único contenedor que se enumerará en el proceso Winlogon para un certificado y clave de inicio de sesión mediante tarjeta inteligente. Si la tarjeta inteligente o el CSP no pueden generar una nueva clave en la tarjeta se volverá a utilizar la clave existente y se forzará un nuevo certificado en la tarjeta. Esta acción generará un suceso en el registro de sucesos de aplicación del equipo.



Nota   La inscripción automática siempre utilizará una clave de nueva generación para todas las solicitudes de inscripción y renovación. La única excepción a esta regla es en el caso de determinados CSP de tarjeta inteligente que no pueden admitir una nueva clave a causa de las limitaciones de almacenamiento de la tarjeta inteligente. Si una clave se utiliza de nuevo se escribirá un suceso en el registro de aplicación del cliente.


Certificados revocados y renovación


Los certificados revocados no se pueden renovar ni utilizar para firmar una solicitud de renovación. Este escenario está bloqueado de forma explícita en la inscripción automática. En este escenario, el usuario debe realizar una nueva solicitud de inscripción manual en lugar de una renovación.


[subir]

Funciones de inscripción automática

En esta sección se explican diversas funciones que se llevan a cabo en el proceso de inscripción automática en los equipos unidos a un dominio de Active Directory.


Descarga de certificados y objetos de confianza de Active Directory


La inscripción automática descarga y administra automáticamente certificados raíz de confianza, certificados cruzados y certificados NTAuth de Active Directory al Registro del equipo local para los equipos unidos a un dominio. Todos los usuarios que inician sesión en el equipo heredan los certificados de confianza y descargados que la inscripción automática descarga y administra.


Eliminación de certificados caducados y revocados


La inscripción automática elimina los certificados caducados y revocados del atributo userCertificate del objeto de usuario en Active Directory. Esta característica se puede habilitar mediante la directiva de grupo de usuario o equipo para ayudar a asegurar que sólo los certificados válidos y activos se utilizan para las operaciones de cifrado.


El módulo de salida de la CA de Windows Server 2003 también ayuda a administrar la cuenta de usuario en Active Directory, pero sólo elimina los certificados caducados, no elimina los certificados revocados por motivos de rendimiento. En general, la publicación de un certificado de firma en el objeto de usuario en Active Directory no tiene ningún valor, excepto con fines de mantenimiento de registros.


Administración de certificados de usuario en Mi almacén de CryptoAPI


Los certificados del Almacén de mis certificados local del usuario también se pueden administrar mediante el proceso de inscripción automática. La inscripción automática se puede habilitar en cada plantilla para eliminar los certificados de firma caducados y revocados. Los certificados y claves de cifrado nunca se eliminan automáticamente. Sin embargo, la inscripción automática sólo administra los certificados correspondientes a las plantillas de certificados definidas en Active Directory que contienen la extensión de plantilla de certificado. Esta característica se habilita mediante la configuración de esta directiva en la ficha Tratamiento de la petición de las propiedades de cada plantilla de certificado (figura 15).


autoen15


Figura 15   Administración de certificados


Si la casilla de verificación Borrar certificados revocados o caducados no está activada, la inscripción automática archivará todos los certificados caducados y revocados de Mi almacén del usuario. Como se mencionó anteriormente, esta configuración no afecta al atributo userCertificate de Active Directory para el objeto de usuario.



Nota   Esta característica sólo se habilita con claves de cifrado, no con tipos de clave de firma, que no suelen publicarse en Active Directory.


[subir]

Actualización de la directiva de grupo

En esta sección se trata acerca de cómo actualizar la directiva de grupo de usuario y equipo.


Directiva de grupo de usuario y equipo


La inscripción automática de usuario se activa en el proceso Winlogon (inicio de sesión interactivo con las teclas CTRL+ALT+SUPRIMIR) o en los intervalos de actualización de la directiva de grupo. Normalmente, la directiva de grupo de usuario se actualiza al iniciar sesión y la directiva de grupo de equipo se actualiza al reiniciar el equipo. La directiva de grupo se puede actualizar manualmente con la herramienta gpupdate.exe que se incluye en Windows XP.


Actualización de la directiva de grupo forzada manualmente


Para forzar manualmente una actualización de la directiva de grupo (para un usuario o un equipo)



  • Ejecute gpupdate.exe con la opción -Force en la línea de comandos (figura 16).

    autoen16


    Figura 16 Actualización forzada de la directiva de grupo


     


     


[subir]

Características avanzadas

En esta sección se describen las plantillas que requieren aprobación del administrador de certificados, la entidad de auto-registro y cómo reemplazar una plantilla de certificado.


Requisito de aprobación del administrador de certificados


En una plantilla de certificado específica se puede requerir que un administrador de certificados (responsable de la CA) apruebe la solicitud antes de que la CA firme y emita el certificado. Esta característica de seguridad avanzada funciona en combinación con la inscripción automática y se habilita en la ficha Requisitos de emisión de cada plantilla de certificado (


figura 17). Esta configuración anula la configuración de estado pendiente de la propia CA.


Si se requiere aprobación del administrador de certificados, las solicitudes de inscripción automática no se emiten hasta que un administrador de certificados aprueba manualmente la solicitud.


autoen17


Figura 17   Configuración del requisito de aprobación del administrador de certificados


El proceso de inscripción automática buscará periódicamente solicitudes aprobadas en la CA e instalará los certificados de forma automática. Las tarjetas inteligentes, certificados de usuario y certificados de equipo admiten solicitudes pendientes. En el caso de las tarjetas inteligentes, se pedirá al usuario que inserte la tarjeta inteligente cuando se emita el certificado, de forma que éste se pueda escribir en la tarjeta.



Nota   El proceso de inscripción automática admite un requisito de firma como máximo en la plantilla. Esta limitación existe por compatibilidad con la característica de entidad de auto-registro que se describe en Entidad de auto-registro. Si se desea utilizar varias firmas en una inscripción de certificado determinada, debe utilizarse la inscripción manual.


Entidad de auto-registro


La entidad de auto-registro es una característica avanzada de inscripción de certificados que se puede combinar con el proceso de inscripción automática.


La entidad de auto-registro hace referencia a la inscripción de certificados basada en la existencia de un certificado inscrito previamente en el que la clave privada del usuario se utiliza para firmar la solicitud del nuevo certificado. El protocolo Mensajes de administración de certificados sobre CMS (CMC, Certificate Management Messages over CMS) proporciona esta característica, en la que se pueden utilizar o requerir una o varias firmas para una inscripción de certificado dada. Los requisitos de entidad de auto-registro se definen en una plantilla de certificado que se puede administrar con el complemento MMC Plantillas de certificado.



  • Para agregar un requisito de emisión (firma) a una plantilla de certificado, abra la plantilla y haga clic en la ficha Requisitos de emisión.

    Para agregar un requisito de firma o emisión, active la casilla de verificación Este nombre de firmas autorizadas y agregue el número correspondiente en el campo numérico contiguo (figura 18).


    Ya puede agregar requisitos específicos para el certificado de firma.


    autoen18


    Figura 18   Configuración del número de firmas autorizadas


     


     


     


     


[subir]


La configuración anterior es útil para los clientes que deseen inscribir usuarios manualmente en tarjetas inteligentes con una estación de inscripción. Después, pueden reemplazar la plantilla original por una nueva con la configuración anterior para permitir la renovación automática mediante el proceso de inscripción automática, que requerirá que el usuario firme la solicitud de renovación con el certificado antiguo.


Ejemplo adicional de entidad de auto-registro: puede agregar la directiva de aplicación para un certificado de inicio de sesión mediante tarjeta inteligente que se utilizaría para inscribirse en un certificado EFS. De esta forma se obligaría a que los usuarios firmaran su solicitud de un certificado EFS de inscripción automática con un certificado de tarjeta inteligente válido. Después, se pediría al usuario que insertara una tarjeta inteligente y escribiera un NIP al activarse la inscripción automática para el certificado EFS.


Reemplazo de plantillas de certificado


La inscripción automática de certificados también admite el concepto de reemplazar una plantilla o un certificado inscrito con anterioridad. El reemplazo de una plantilla permite a un administrador volver a inscribir, cambiar o combinar inscripciones de certificados emitidos previamente en la inscripción de un nuevo certificado. La inscripción automática siempre examina los certificados existentes en el almacén del usuario y determina si se ha reemplazado la plantilla utilizada en el certificado emitido. Si una plantilla de certificado ha sido reemplazada, el usuario se inscribirá automáticamente en la nueva plantilla y los certificados antiguos se eliminarán o archivarán en función de la configuración de la plantilla.


Ventajas


El reemplazo de plantillas de certificados es especialmente útil en los siguientes casos.



  • Cambio de la duración del certificado
  • Aumento del tamaño de clave
  • Extensión del uso de claves o incorporación de directivas de aplicación
  • Corrección de errores de directiva de inscripción
  • Actualización de usuarios de plantillas de versión 1 a plantillas de versión 2

Para crear o modificar una plantilla que reemplace un certificado existente



  1. Abra las Propiedades de la plantilla que prevalecerá, haga clic en la ficha Plantillas reemplazadas (figura 20) y, después, en Agregar.
  2. Seleccione la plantilla que desee reemplazar (figura 19) y haga clic en Aceptar.

    autoen19


    Figura 19   Selección de una plantilla que reemplazar


  3. La plantilla se agregará a la ficha Plantillas reemplazadas (figura 20). Si desea agregar plantillas adicionales que se reemplazarán por esta nueva plantilla, haga clic en Agregar y repita el procedimiento. De lo contrario, haga clic en Aceptar.

    autoen20


    Figura 20   Lista de plantillas reemplazadas


     


     



Nota   El reemplazo de un certificado siempre genera una nueva clave privada para el usuario o equipo.


[subir]

Hardware compatible

En esta sección se enumeran los lectores de tarjetas inteligentes y las tarjetas inteligentes que son compatibles con las instalaciones predeterminadas de Windows 2000 y Windows Server 2003.


Tabla 1   Lectores de tarjetas inteligentes






















































































































Nombre Tipo Nombre común Windows 2000 Windows XP/Server 2003
BULL SmarTLP3 Serie  
GEMPLUS GCR410P Serie GemPC410
GEMPLUS GPR400 PCMCIA GemPC400
Litronic 220 Serie  
Rainbow Technologies SCR3531 Serie   No
Schlumberger Reflex 20 PCMCIA  
Schlumberger Reflex 72 Serie  
SCM Microsystems SCR120 PCMCIA  
SCM Microsystems SCR200 Serie  
SCM Microsystems SCR300 USB  
GEMPLUS GemPC430 USB   No
HP ProtectTools Serie   No
Schlumberger Reflex Lite Serie   No
SCM Microsystems SCR111 Serie   No
Systemneeds External Serie   No
Omnikey AG CardMan 2020 USB Utimaco CardMan No
Omnikey AG CardMan 4000 PCMCIA Utimaco CardMan No
Omnikey AG CardMan 2010 Serie Utimaco CardMan No

Tabla 2   Tarjetas inteligentes







































Nombre Capacidad Windows 2000 Windows XP/Server2003
Gemplus GemSAFE 4k
Schlumberger Cryptoflex  4k
Schlumberger Cryptoflex  8k
Gemplus GemSAFE 8k No
Infineon (antes Siemens)   No
Schlumberger Cyberflex Access 16k No


Nota   El lector GEMPLUS GemPC430 no se admite en Windows Server 2003.


[subir]

Solución de problemas

En esta sección se describen los escenarios clave que se deben tener en cuenta al solucionar problemas de inscripción automática. También se trata acerca de cómo prepararse para posibles errores en la inscripción automática y se enumeran los mensajes de registro de sucesos.


Problemas clave


Al solucionar problemas de inscripción automática deben considerarse los siguientes problemas clave.


Requisitos de infraestructura


Los clientes Windows XP y las CA de Windows Server 2003 siempre solicitarán comunicaciones firmadas por LDAP con los controladores de dominio como función de seguridad. Antes de implementar la inscripción automática o una CA de Windows Server 2003, todos los controladores de dominio que ejecuten Windows 2000 deben actualizarse a Service Pack 3 o posterior.


Descarga de certificados raíz y cruzados en Active Directory


En la inscripción automática se descargan automáticamente certificados raíz y certificados cruzados de Active Directory cuando se detecta un cambio en el directorio o cuando se establece contacto con un controlador de dominio diferente. Si un certificado raíz o cruzado de terceros se elimina del almacén del equipo local, la inscripción automática no descargará los certificados de nuevo hasta que se produzca un cambio en Active Directory o se establezca contacto con un nuevo controlador de dominio.


Para forzar manualmente una nueva descarga, elimine la siguiente clave del Registro y todas las claves subordinadas en todos los equipos afectados. HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyAutoEnrollmentAEDirectoryCache


[subir]


EFS y la inscripción automática


EFS siempre intenta llevar a cabo la inscripción en la plantilla de EFS básico de forma predeterminada. El controlador de componentes EFS genera una solicitud de inscripción automática que la inscripción automática intenta satisfacer. Para los clientes que deseen asegurarse de que se utiliza una plantilla específica para EFS (por ejemplo, para incluir archivado de claves), la nueva plantilla debe reemplazar la plantilla de EFS básico. La plantilla de EFS básico también debe eliminarse de todas las CA de empresa. De esta forma se asegura que la inscripción automática no volverá a intentar realizar la inscripción en la plantilla de EFS básico. Para los clientes que deseen reemplazar la plantilla de EFS básico por un certificado y clave archivados mediante la CA de Windows Server 2003 Enterprise Edition, el procedimiento correcto consiste en reemplazar la plantilla de EFS básico por una nueva plantilla de certificado de versión 2.


Renovación de tarjetas inteligentes


Las plantillas de versión 1 Inicio de sesión de Tarjeta inteligente y Usuario de tarjeta inteligente no se pueden renovar mediante inscripción automática. El procedimiento correcto para renovar una plantilla Inicio de sesión de Tarjeta inteligente o Usuario de tarjeta inteligente de versión 1 consiste en reemplazar estas plantillas por una nueva plantilla de versión 2.


La inscripción automática siempre intenta generar una nueva clave al realizar la renovación de certificados. Para las tarjetas inteligentes con espacio limitado que no admitan la generación de claves adicionales, la inscripción automática intentará reutilizar la clave; no obstante, seguirá siendo necesario espacio adicional para instalar el nuevo certificado. Si no hay espacio disponible en la tarjeta para esas operaciones se puede producir un error en la renovación mediante la inscripción automática.


Inscripción automática y protección segura de claves privadas


Las propiedades de las plantillas de certificados de versión 2 en la ficha Tratamiento de la petición admiten la capacidad de requerir una contraseña de usuario cuando las aplicaciones utilizan la clave privada. Para configurar esta característica, debe activar la opción Preguntar al usuario durante la inscripción, que requiere que el usuario proporcione información cuando se utilice la clave privada. Es importante no utilizar nunca esta opción para los certificados de tarjeta inteligente, ya que los CSP de tarjeta inteligente no admiten esta posibilidad. Si se elige esta opción se puede producir un error en la inscripción automática.


Eliminación de certificados al unirse a un dominio o cambiar de dominio


Al eliminar un equipo de un dominio o agregarlo a un dominio nuevo, todos los certificados descargados de Active Directory se eliminarán y actualizarán si procede. Los certificados emitidos o inscritos automáticamente en un bosque anterior no se eliminarán, salvo que el equipo sea un controlador de dominio. Todos los equipos cliente actualizarán automáticamente los certificados al cambiar la información del dominio o equipo. Si los equipos o usuarios tienen certificados necesarios para la comunicación de red segura, comunicación inalámbrica, etc., puede que sea necesario eliminar los certificados antiguos después de unirse a un dominio o bosque nuevo.


[subir]


Errores de inscripción automática


Si se produzca un error en la inscripción automática se avisará al usuario mediante un cuadro de diálogo de advertencia. Esta característica sólo está habilitada si se requiere interacción del usuario en la plantilla del certificado.


Para habilitar la característica de advertencia de errores de inscripción automática



  1. Abra la plantilla especificada en el complemento MMC Plantillas de certificado.
  2. Haga clic en la ficha Tratamiento de la petición.
  3. Haga clic en Preguntar al usuario durante la inscripción en la ficha Tratamiento de la petición de las propiedades de la plantilla de certificado.

Tarjetas inteligentes reinicializadas


Si la inscripción de un certificado se basa en la existencia de un certificado de tarjeta inteligente y si la tarjeta inteligente se ha reinicializado, el cuadro de diálogo de inserción de la tarjeta inteligente pedirá al usuario que inserte una tarjeta inteligente que coincida con el contenedor de clave identificado en el certificado antiguo. Puesto que el contenedor de clave se ha eliminado, el cuadro de diálogo de inserción continuará apareciendo, a pesar de que el usuario ha quitado e insertado la tarjeta. La única posibilidad es hacer clic en Cancelar, con el consiguiente error en la inscripción.


Registro de sucesos mejorado


De forma predeterminada, la inscripción automática registra los errores y las inscripciones correctas en el registro de sucesos de aplicación del equipo cliente.


Para habilitar que el registro mejorado de procesos de inscripción automática incluya mensajes de advertencia e informativos, se deben crear los siguientes valores del Registro.


Inscripción automática de usuarios


HKEY_CURRENT_USERSoftwareMicrosoftCryptographyAutoenrollment: Cree un nuevo valor DWORD con el nombre “AEEventLogLevel"; configure el valor en 0.


Inscripción automática de equipos


HKEY_LOCAL_MACHINESoftwareMicrosoftCryptographyAutoenrollment: Cree un nuevo valor DWORD con el nombre “AEEventLogLevel"; configure el valor en 0.



Nota   Todos los errores se registran automáticamente. No es necesario habilitar la clave del Registro para activar el registro de errores.


Mensajes del registro de sucesos


Los siguientes mensajes del registro de sucesos sólo aparecen si está habilitado el registro de sucesos adicional.


Mensajes del registro de sucesos correctos


[subir]


A continuación se ofrecen ejemplos de mensajes del registro de sucesos correctos.































Tipo de suceso: Información
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 2
Fecha: 2/26/2001
Hora: 12:52:02
Usuario: No disponible
Equipo: EQUIPO1
Descripción: Se ha iniciado la inscripción de certificados automática para sistema local.

Para obtener más información, vea los Servicios de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp































Tipo de suceso: Información
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 3
Fecha: 2/26/2001
Hora: 12:52:10
Usuario: No disponible
Equipo: EQUIPO1
Descripción: Se ha completado la inscripción de certificados automática para sistema local.

Para obtener más información, vea los Servicios de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp































Tipo de suceso: Información
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 27
Fecha: 2/26/2001
Hora: 15:26:03
Usuario: HAYBUVUSUARIO1
Equipo: EQUIPO1
Descripción: Se ha cancelado la inscripción de certificados automática para el usuario que ha iniciado sesión.

Para obtener más información, vea los Servicios de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp































Tipo de suceso: Ninguna
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 28
Fecha: 6/25/2001
Hora: 07:36:16
Usuario: HAYBUVUSUARIO1
Equipo: EQUIPO1
Descripción: La inscripción de certificados automática para HAYBUVUsuario1 instaló correctamente un certificado Inscribir automáticamente correo electrónico de tarjeta inteligente al recuperar peticiones pendientes. Fue necesaria la actuación del usuario.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp































Tipo de suceso: Ninguna
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 29
Fecha: 7/9/2001
Hora: 06:39:29
Usuario: HAYBUVUSUARIO1
Equipo: EQUIPO1
Descripción: La inscripción de certificados automática para HAYBUVUSUARIO1 volvió a usar la clave privada al solicitar un certificado Inscribir automáticamente usuario de tarjeta inteligente.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp


[subir]































Tipo de suceso: Ninguna
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 20
Fecha: 7/9/2001
Hora: 06:39:29
Usuario: HAYBUVUSUARIO1
Equipo: EQUIPO1
Descripción: La inscripción de certificados automática para HAYBUVUSUARIO1 renovó correctamente un certificado Inscribir automáticamente usuario de tarjeta inteligente desde la entidad emisora de certificados PruebaCA en Servidor1.haybuv.com.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp































Tipo de suceso: Ninguna
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 29
Fecha: 7/17/2001
Hora: 09:37:29
Usuario: HAYBUVusuario1
Equipo: PRUEBACA
Descripción: La inscripción de certificados automática para HAYBUVusuario1 volvió a usar la clave privada al solicitar un certificado Inscribir automáticamente usuario de tarjeta inteligente.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp



Nota   Este suceso destaca el hecho de que se volvió a utilizar la clave privada durante la renovación de un certificado.


Mensajes del registro de sucesos con error


A continuación se ofrecen ejemplos de mensajes del registro de sucesos con error.































Tipo de suceso: Error
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 15
Fecha: 7/8/2001
Hora: 15:09:41
Usuario: No disponible
Equipo: PRUEBA1
Descripción: La inscripción de certificados automática para HaybuvUsuario1 no puede ponerse en contacto con el directorio activo (0x8007054b). El dominio especificado no existe o no se ha podido establecer contacto con él. La inscripción no se efectuará.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp



Nota   Este error suele producirse cuando un usuario ha iniciado sesión en un equipo con credenciales almacenadas en la caché y se encuentra sin conexión. Por lo tanto, la inscripción automática no puede continuar y se intentará posteriormente.


[subir]































Tipo de suceso: Error
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 15
Fecha: 2/24/2001
Hora: 10:36:08
Usuario: No disponible
Equipo: PRUEBA1
Descripción: La inscripción de certificados automática para sistema local no puede ponerse en contacto con un servidor del directorio (0x80072751). Se ha intentado una operación de socket en una red no accesible. La inscripción no se efectuará.

Para obtener más información, vea los Servicios de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp



Nota   Este error suele producirse cuando un controlador de dominio no está disponible o no es accesible para el cliente. Algunas causas comunes son los errores de red, la conexión de red, etc.































Tipo de suceso: Error
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 13
Fecha: 7/5/2001
Hora: 9:37:44
Usuario: No disponible
Equipo: PRUEBA1
Descripción: La inscripción de certificados automática para sistema local no puede inscribir un certificado HAYBUV IPSEC (0x800706ba). El servidor RPC no está disponible.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp



Nota   Este error suele producirse cuando la entidad emisora de certificados no está disponible en la red o el servicio se ha detenido.































Tipo de suceso: Error
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 13
Fecha: 7/5/2001
Hora: 07:41:27
Usuario: No disponible
Equipo: PRUEBA1
Descripción: La inscripción de certificados automática para sistema local no puede inscribir un certificado HAYBUV IPSEC (0x8009400f). Se ha intentado abrir una sesión de base de datos de entidad emisora de certificados pero ya hay muchas sesiones activas. El servidor necesita ser configurado para permitir sesiones adicionales.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp



Nota   Este suceso poco habitual se produce cuando la entidad emisora de certificados está sometida a una gran carga y no puede responder a la solicitud con rapidez. La inscripción automática se volverá a intentar posteriormente.


[subir]































Tipo de suceso: Error
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 16
Fecha: 7/5/2001
Hora: 02:53:34
Usuario: No disponible
Equipo: PRUEBA1
Descripción: La inscripción de certificados automática para sistema local no puede renovar un certificado HAYBUV IPSEC (0x8009400f). Se ha intentado abrir una sesión de base de datos de entidad emisora de certificados pero ya hay muchas sesiones activas. El servidor necesita ser configurado para permitir sesiones adicionales.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp



Nota   Este error es igual que el anterior, pero referido a una renovación.































Tipo de suceso: Advertencia
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 7
Fecha: 7/24/2001
Hora: 19:48:27
Usuario: HAYBUVUSUARIO1
Equipo: PRUEBA1
Descripción: La inscripción de certificados automática para HAYBUVUSUARIO1 no pudo inscribir la plantilla de certificado Agente de recuperación de claves debido a la siguiente causa.


  • El acceso de inscripción no está permitido en esta plantilla.
  • No se pueden cumplir los requisitos de nombre de asunto o firma de plantilla o de hardware.
  • No se puede encontrar ninguna entidad emisora de certificados válida para emitir esta plantilla.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp



Nota   Este error de inscripción automática se produce cuando un usuario dispone de un certificado y clave privada instalados correspondientes a una plantilla que está a punto de caducar. La inscripción automática intenta renovar automáticamente el certificado; sin embargo, el usuario no tiene permisos aplicables para la plantilla y, por lo tanto, se produce un error en la inscripción automática. La inscripción automática se basa en los certificados del almacén así como en la configuración de la plantilla de certificado.































Tipo de suceso: Error
Origen del suceso: Inscripción automática
Categoría: Ninguna
Id. del suceso: 13
Fecha: 7/17/2001
Hora: 9:22:10
Usuario: HAYBUVuser1
Equipo: PRUEBACA
Descripción: La inscripción de certificados automática para HAYBUVusuario1 no puede inscribir un certificado Inscribir automáticamente usuario de tarjeta inteligente (0x80094812). El nombre de correo electrónico no se encuentra disponible y no puede agregarse al nombre de Asunto o Asunto alternativo.

Para obtener más información, vea el Centro de ayuda y soporte técnico en la dirección www.microsoft.com/contentredirect.asp



Nota   Este error se produce cuando la cuenta de usuario de Active Directory no tiene una dirección de correo electrónico válida en la página de propiedades del usuario en el complemento MMC Usuarios y equipos de Active Directory. La inscripción en plantillas de certificado en Active Directory requiere la existencia previa de una dirección de correo electrónico.


[subir]


Herramientas del registro de sucesos


Se incluye una nueva herramienta (secuencia de comandos) en los clientes Windows XP Professional y Windows Server 2003 para buscar diversos sucesos en un sistema local. Esta secuencia de comandos se puede utilizar para identificar los errores de inscripción automática en el cliente y llevar a cabo las acciones correspondientes. A continuación se ofrece la notación y contenido de la ayuda de la línea de comandos para esta herramienta:

Z:>eventquery /?

Microsoft (R) Windows Script Host versión 5.6
Copyright (C) Microsoft Corporation 1996-2001. Reservados todos los derechos.
----------------------------------------------------------------------
EVENTQUERY.vbs [/S sistema [/U nombre_usuario [/P contraseña]]] [/FI filtro]
[/FO formato] [/R intervalo] [/NH] [/V] [/L registro | *]

Descripción:
La secuencia de comandos EventQuery.vbs permite a un administrador listar
sucesos y propiedades de uno o más registros de sucesos.

Lista de parámetros:
/S sistema Especifica el sistema remoto al que conectarse.

/U [dominio]usuario Especifica el contexto de usuario en el que
se ejecutará el comando.

/P contraseña Especifica la contraseña para el contexto
de usuario dado.

/V Especifica que se debe mostrar
la información detallada en el resultado.

/FI filtro Especifica los tipos de sucesos
que se filtrarán en la solicitud.

/FO formato Especifica el formato en el que se mostrará
el resultado.
Los formatos son "TABLE", "LIST", "CSV".

/R intervalo Especifica el intervalo de sucesos a mostrar.
Valores válidos son:
'N' - Listas 'N' de sucesos más recientes.
'-N' - Listas 'N' de los sucesos más antiguos.
'N1-N2' - Listas de sucesos N1 a N2.

/NH Especifica que el "Encabezado de columna" no debe
mostrarse en el resultado.
Sólo válido para formatos "TABLE" y "CSV".

/L registro Especifica los registros que se consultarán.

/? Muestra esta ayuda/uso.



Filtros válidos Operadores permitidos Valores válidos
------------- ------------------ ------------
DATETIME eq,ne,ge,le,gt,lt mm/dd/aa(aaaa),hh:mm:ssAM(/PM)
TYPE eq,ne ERROR, INFORMATION, WARNING,
SUCCESSAUDIT, FAILUREAUDIT
ID eq,ne,ge,le,gt,lt entero no negativo
USER eq,ne cadena
COMPUTER eq,ne cadena
SOURCE eq,ne cadena
CATEGORY eq,ne cadena


Nota   El filtro "DATETIME" puede especificarse como "FechaDesde-FechaHasta".

   Sólo se puede usar el operador "eq" para este formato.

Ejemplos:
EVENTQUERY.vbs
EVENTQUERY.vbs /L system
EVENTQUERY.vbs /S sistema /U usuario /P contraseña /V /L *
EVENTQUERY.vbs /R 10 /L Application /NH
EVENTQUERY.vbs /R -10 /FO LIST /L Security
EVENTQUERY.vbs /R 5-10 /L "Servidor DNS"
EVENTQUERY.vbs /FI "Type eq Error" /L Application
EVENTQUERY.vbs /L Application /FI "Datetime eq 06/25/00,03:15:00AM-06/25/00,03:15:00PM"
EVENTQUERY.vbs /FI "Datetime gt 08/03/00,06:20:00PM"
                 /FI "Id gt 700" /FI "Type eq warning" /L System

EVENTQUERY.vbs /FI "Type eq error OR Id gt 1000 "

[subir]

Conclusión

Windows Server 2003 Enterprise Edition ofrece inscripción automática de certificados mediante el componente Servicios de certificados. Esto permite a los administradores implementar certificados de forma sencilla en toda la empresa sin requerir la interacción del usuario. La inscripción automática de certificados de usuario en los sistemas operativos Windows XP Professional y Windows Server 2003 aprovecha la arraigada reputación de Microsoft en la provisión de robustos componentes PKI con un TCO bajo. Puesto que PKI forma parte integral del sistema operativo Windows XP Professional, PKI de Windows Server 2003 ofrece algunas ventajas destacadas con respecto a los componentes complementarios de otros fabricantes. Algunas de las ventajas son:



  • No hay pago de cuotas por certificado ni licencias PKI por usuario
  • Administración centralizada de seguridad de usuarios
  • Integración con las tareas normales de administración empresarial
  • Posibilidad de inicio de sesión único en redes y aplicaciones
  • Capacidades de confianzas administradas
  • Compatibilidad con todas las aplicaciones mediante CryptoAPI

Debe tenerse en cuenta que casi todas las PKI de terceros se deben adquirir de forma independiente y requieren el pago de cuotas de licencia por certificado y mayores tareas de administración.


En general, las características de inscripción automática de certificados en Windows Server 2003 proporcionan a las organizaciones y empresas la posibilidad de implementar de forma sencilla certificados digitales y aplicaciones habilitadas para PKI con poco o ningún costo adicional para un presupuesto normal de operaciones de TI.


[subir]

Vínculos relacionados


La información que contiene este documento representa la visión actual de Microsoft Corporation acerca de los temas tratados en el momento de su publicación. Dado que Microsoft debe responder a las condiciones variables del mercado, este documento no debe interpretarse como un compromiso por parte de Microsoft, y Microsoft no puede garantizar la exactitud de la información presentada con posterioridad a la fecha de publicación.


La finalidad de este documento es únicamente informativa. MICROSOFT NO OTORGA GARANTÍAS EXPRESAS NI IMPLÍCITAS SOBRE LA INFORMACIÓN DE ESTE DOCUMENTO.


Es responsabilidad del usuario el cumplimiento de las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation.


Microsoft puede ser titular de patentes, solicitudes de patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual sobre los contenidos de este documento. La posesión de este documento no le otorga ninguna licencia sobre estas patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual, a menos que se prevea en un contrato de licencia por escrito de Microsoft.


Los ejemplos de empresas, organizaciones, productos, personas y acontecimientos aquí descritos son ficticios. No están asociados ni se deben asociar de ningún modo con ninguna empresa, organización, producto, persona o acontecimiento reales.


© 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, Windows y Windows NT son marcas comerciales o marcas comerciales registradas de Microsoft Corporation en los Estados Unidos o en otros países.


Otros nombres de productos y compañías reales mencionados aquí pueden ser marcas registradas de sus respectivos propietarios.


[subir]



lector tarjeta inteligente
Kalysis GRUPO © 2001-2017 Licensed Materials - Program Property of Kalysis. All Rights Reserved
Licensed under one or more Spain Patents Nº 2,186,534 assigned to Kalysis Iberia, SL. MEI® is a trademark of Kalysis GRUPO
All trademarks are the property of their respective companies. Technical data subject to change without notice

NOTA LEGAL AMPLIADA

El Greco, 17. 29749 Málaga - Andalucía - España - EU
Inscrita en el Registro Mercantil nº 5 de Málaga. Tomo 3.322, Libro 2.234, Folio 45, Hoja MA-63694. Sociedad Limitada C.I.F. ES B92451996 Kalysis es un Operador Intracomunitario registrado en el V.I.E.S.
© 2001-2017 Kalysis Iberia, SL