Innumerables organizaciones utilizan Windows Server como la base de su infraestructura de TI. Innumerables organizaciones también usan PKI para diversas necesidades de seguridad (tales como: protección de servidores web [SSL], autenticación basada en certificados, firmas digitales para documentos, cifrado de correos electrónicos [S/MIME]). Sin embargo, a menudo nos sorprende saber cuántas personas no son conscientes de que los dos pueden estar conectados.
¿Qué son los Servicios de Certificados del Active Directory(AD CS)?
De acuerdo a Microsoft, AD CS es la "Función de servidor que le permite crear una infraestructura de clave pública (PKI) y proporcionar criptografía de clave pública, certificados digitales y capacidades de firma digital para su organización".
Básicamente lo que esto significa es en lugar de ir a una Autoridad Certificadora de terceros (AC) para obtener certificados de PKI y el uso de sus servicios alojados, en realidad puede manejar esto internamente.
Beneficios de usar Servicios de Certificados del Active Directory (AD CS)
Usando AD CS entrega un número de benéficos, la mayoría enfocados a la administración de certificados.
- Extración del Active Directory – puede utilizar la información de identidad de punto final existente que existe en el AD para registrar certificados (para evitar el re-registro).
- Aprovechar las políticas de grupo existente – puede utilizar la información de identidad de punto final existente que existe en AD para registrar certificados (para evitar el re-registro).
- Automatizar el aprovisionamiento de certificados y la gestión del ciclo de vida – una vez que un punto final se pone en línea por primera vez, se envía una solicitud al AD para comprobar qué tipos de certificados (plantillas) tiene acceso el punto final basándose en la directiva de grupo. Sobre la base de los resultados de esa solicitud, el punto final solicita los certificados apropiados, que luego se envían al punto final e instalan. Los certificados se pueden configurar para que se renueven automáticamente, eliminando la preocupación por la caducidad inesperada y las brechas en la cobertura.
- Instalación silenciosa – Como se indicó anteriormente, el proceso de instalación es automático y no requiere intervención del usuario final (o TI).
Las Desventajas de los Servicios de Certificados del Active Directory (AD CS)- Ejecute su Propia AC
Ahora, después de los beneficios descritos anteriormente, puede estar pensando, "inscríbeme!" Pero realmente no podemos hablar de AD CS sin discutir el otro elemento crítico para este tipo de uso de PKI - la AC interna (es decir, Microsoft) Que provisiona los certificados. AD CS es como un mesero en el escenario discutido anteriormente, tomando las solicitudes de puntos finales y la entrega de los certificados adecuados y es un excelente mesero! La "cocina" es la que puede ser un dolor de cabeza de administrar (es decir, Microsoft AC).
Hemos Cubierto las Desventajas de ejecutar una AC interna en el pasado, pero generalmente se reducen a los mismos argumentos que siempre se evaluan cuando se trata de decidir entre la externalización o la gestión interna. Piénselo. ¿Dedicaría tiempo, dinero y recursos al desarrollo de un CRM interno? ¿O usarías una de las muchas opciones disponibles de SaaS que fueron diseñadas por expertos?
La PKI aporta también consideraciones adicionales a la discusión. Éstos son sólo algunos ejemplos:
- Costos de Hardware – Necesita proteger y almacenar su raíz y firmar claves privadas en hardware seguro (por ejemplo, Hardware Security Module).
- Manteniendo Servicios de Validación – Debe asegurarse de que dispone de una forma de comprobar la validez del certificado, como por ejemplo actualizar el CRL, mantener el CRL y ejecutar servicios OCSP.
- Experiencia PKI Interna – PKI es complejo y las mejores prácticas están evolucionando continuamente. ¿Cómo se asegurará de mantener el cumplimiento?
¿Lo Mejor de dos Mundos? Una Integración de Directorio Activo de una AC de terceros
Algunas personas todavía pueden pensar esto, la única manera de aprovechar el Active Directory para PKI y obtener todos esos beneficios impresionantes fue usar AD CS y ejecutar su propia AC, pero los tiempos han cambiado. Algunas AC públicas (GlobalSign) ahora ofrecen integraciones con el AD que le brindan los mismos beneficios de administración y automatización sin necesidad de administrar internamente una AC.
Con estas integraciones, puede aprovechar las políticas de grupo y de AD para el registro y las asignaciones de certificados, pero las solicitudes de certificados se envían y responden por medio de la AC pública basada en SaaS. Los certificados todavía se pueden aprovisionar, renovar e instalar de forma silenciosa y automatica.
Algunas organizaciones quieren mantener el control completo y disponer de los recursos internos para soportar una entidadde Autoridad Certificadora de Microsoft. Algunos no lo hacen, en cuyo caso es importante saber que existen estos tipos de integraciones de AC públicas. El principal punto aquí es que el Active Directory puede ser una herramienta muy poderosa para implementar PKI, independientemente de cómo hacerlo.
Los invitamos a ver nuestro webinar sobre la integración de GlobalSign y el Directorio Activo: Portal de Auto Registro Corporativo