Qu es el complemento Certificados?

El complemento Certificados es la herramienta principal para que los usuarios y administradores vean y administren los certificados para un usuario, un equipo o un servicio. El complemento Certificados permite al usuario solicitar, renovar, buscar, ver, mover, copiar y eliminar certificados.Por qu usar el complemento CertificadosEl complemento Certificados es una herramienta verstil para administrar certificados para un usuario, un equipo o un servicio. Se puede usar para saber qu certificados hay almacenados en un equipo, dnde estn almacenados o las opciones de configuracin para dichos certificados.Adems, con el complemento Certificados, el usuario puede iniciar los asistentes que simplifican las tareas de: Inscripcin para certificados nuevos Renovacin de certificados existentes Bsqueda de certificados Importacin de certificados Exportacin o copia de seguridad de certificadosEn la mayora de los casos, los usuarios no tienen que administrar personalmente sus certificados y sus almacenes de certificados. Los administradores pueden llevar a cabo esta tarea mediante la configuracin de directivas y con programas que usen certificados.Los administradores son los principales usuarios del complemento Certificados y, como tales, pueden realizar numerosas tareas de administracin de certificados en sus almacenes de certificados personales, as como en los almacenes de certificados de cualquier equipo o servicio que puedan administrar. Los usuarios solo pueden administrar certificados de su almacn personal.Para obtener informacin acerca de los certificados y cmo usar el complemento Certificados, vea los siguientes temas: Introduccin a los certificados Agregar el complemento Certificados a MMC Administrar certificados Solucionar problemas relacionados con los certificados Recursos para certificados Introduccin a los certificadosSe aplica a: Windows 7, Windows Server 2008 R2Un certificado de clave pblica, por lo general conocido simplemente como un "certificado", es una declaracin firmada digitalmente que enlaza el valor de una clave pblica con la identidad de una persona, un dispositivo o un servicio que posee la clave privada correspondiente. Una de las ventajas principales de los certificados es que los host ya no tienen que mantener ningn conjunto de contraseas para sujetos individuales que necesiten como requisito previo autenticarse para tener acceso. Por el contrario, el host simplemente establece la confianza en un emisor de certificados.La mayor parte de los certificados de uso comn se basan en el estndar de certificados X.509 v3. Normalmente, los certificados contienen la informacin siguiente: Valor de la clave pblica del sujeto Informacin del identificador del sujeto, como el nombre y la direccin de correo electrnico. Perodo de validez (el tiempo durante el que el certificado se considera vlido). Informacin del identificador del emisor. La firma digital del emisor, que da fe de la validez del enlace entre la clave pblica del sujeto y la informacin del identificador de sujeto.Un certificado slo es vlido para el perodo especificado en ste; cada certificado contiene las fechas Vlido desde y Vlido hasta, que marcan el lmite del perodo de validez. Una vez que el perodo de validez del certificado ha transcurrido, el sujeto del certificado que ha expirado debe solicitar un certificado nuevo. Uso de certificados Claves pblicas y privadas Formatos de archivos de certificado Uso de certificadosSe aplica a: Windows 7, Windows Server 2008 R2Los certificados se pueden usar para lo siguiente: Autenticacin, que comprueba la identidad de alguien o de algo. Privacidad, que garantiza que la informacin est disponible solo para los destinatarios deseados. Cifrado, que oculta informacin de forma que los lectores no autorizados no puedan descifrarla. Firmas digitales, que facilitan la integridad y la obligatoriedad de aceptar los mensajes. Estos servicios pueden ser importantes para la seguridad de las comunicaciones. Adems, muchas aplicaciones usan certificados, como las aplicaciones de correo electrnico y los exploradores web.AutenticacinLa autenticacin es fundamental para que la comunicacin sea ms segura. Los usuarios deben poder demostrar su identidad a aqullos con los que se comunican y deben ser capaces de comprobar la identidad de los otros. La autenticacin de la identidad en una red es compleja porque las partes que se comunican no se conocen fsicamente. Esto puede permitir que una persona desconocida intercepte mensajes o se haga pasar por otra persona o entidad.PrivacidadPor lo tanto, si se transmite informacin confidencial entre dos dispositivos en cualquier tipo de red, es recomendable que los usuarios usen alguna clase de cifrado para mantener la privacidad de sus datos.CifradoEl cifrado se puede entender como el hecho de guardar algo valioso dentro de una caja fuerte cerrada con llave. Por el contrario, el descifrado se puede comparar con abrir la caja y recuperar el elemento valioso. En los equipos, los datos confidenciales que adquieren la forma de mensajes de correo electrnico, archivos en un disco y archivos que se transmiten a travs de la red, se pueden cifrar mediante una clave. Los datos cifrados y la clave usada para cifrar los datos son ininteligibles.Para obtener ms informacin acerca del cifrado y los certificados, consulte Recursos para certificados.Firmas digitalesUna firma digital es una forma de asegurar la integridad y el origen de los datos. Proporciona una evidencia de que los datos no se han modificado desde que se firmaron y confirma la identidad de la persona o entidad que los firm. Esto posibilita las importantes caractersticas de seguridad de integridad y ausencia de rechazo, que resultan esenciales para asegurar las transacciones de comercio electrnico. Normalmente, las firmas digitales se usan cuando los datos se distribuyen en formato de texto simple o sin cifrar. En estos casos, aunque la confidencialidad del propio mensaje puede no hacer preciso el cifrado, podra haber un motivo convincente para asegurar que los datos se encuentran en su formato original y no han sido enviados por un impostor porque, en un entorno informtico distribuido, cualquier persona en la red con los recursos adecuados puede leer o modificar el texto simple, est autorizada o no.Claves pblicas y privadasSe aplica a: Windows 7, Windows Server 2008 R2En el cifrado de claves pblicas, se usan dos claves diferentes para cifrar y descifrar la informacin. La clave privada solo la conoce su propietario, mientras que la clave pblica se puede revelar y poner a disposicin de otras entidades en la red. Estas dos claves son distintas, aunque complementarias por lo que respecta a su funcin. Por ejemplo, una clave pblica del usuario se puede publicar en un certificado de una carpeta de modo que otras personas de la organizacin puedan obtener acceso a ella. El remitente de un mensaje puede recuperar el certificado del usuario de los Servicios de dominio de Active Directory, obtener la clave pblica del certificado y, a continuacin, cifrar el mensaje con la clave pblica del destinatario. La informacin cifrada con la clave pblica slo se puede descifrar con la clave privada correspondiente del conjunto, que permanece con su propietario, que es el destinatario del mensaje.Formatos de archivos de certificadoSe aplica a: Windows 7, Windows Server 2008 R2Las operaciones de importacin y exportacin de certificados admiten cuatro formatos de archivo. Elija el formato que cumpla sus requisitos especficos. Intercambio de informacin personal (PKCS#12)

El formato Intercambio de informacin personal (PFX, tambin denominado PKCS#12) admite el almacenamiento seguro de certificados, claves privadas y todos los certificados en una ruta de certificacin.

El formato PKCS#12 es el nico formato de archivo que se puede usar para exportar un certificado y su clave privada. Estndar de sintaxis de cifrado de mensajes (PKCS#7)

E l formato PKCS#7 admite el almacenamiento de certificados y todos los certificados en la ruta de certificacin. DER binario codificado X.509

El formato de reglas de codificacin distinguible (DER) admite el almacenamiento de un certificado nico. Este formato no admite el almacenamiento de la clave privada o la ruta de certificacin. X.509 codificado base 64

El formato Base64 admite el almacenamiento de un certificado nico. Este formato no admite el almacenamiento de la clave privada o la ruta de certificacin.Agregar el complemento Certificados a MMCSe aplica a: Windows 7, Windows Server 2008 R2Puede usar el complemento Certificados para administrar certificados para un usuario, un equipo o una cuenta de servicio. Para cambiar entre la administracin de certificados para la cuenta de usuario, un equipo o un servicio, debe agregar instancias independientes del complemento Certificados a la consola. Para una cuenta de usuario Para una cuenta de equipo Para un servicio Usuarios o Administradores locales son las pertenencias a grupos mnimas requeridas para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema. Para agregar el complemento Certificados a MMC para una cuenta de usuario 1. Haga clic en Inicio, escriba mmc en el cuadro Buscar programas y archivos y, a continuacin, presione ENTRAR.2. En el men Archivo, haga clic en Agregar o quitar complemento.3. En Complementos disponibles, haga doble clic en Certificados y, a continuacin: Si ha iniciado una sesin como administrador, haga clic en Mi cuenta de usuario y, a continuacin, en Finalizar. Si ha iniciado sesin como usuario, se abrir automticamente el complemento Certificados.4. Si no tiene ms complementos que agregar a la consola, haga clic en Aceptar.5. Para guardar esta consola, en el men Archivo, haga clic en Guardar.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario.Administradores locales es la pertenencia al grupo mnima necesaria para completar este procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema. Para agregar el complemento Certificados a MMC para una cuenta de equipo 1. Haga clic en Inicio, escriba mmc en el cuadro Buscar programas y archivos y, a continuacin, presione ENTRAR.2. En el men Archivo, haga clic en Agregar o quitar complemento.3. En Complementos disponibles, haga doble clic en Certificados.4. Seleccione Cuenta de equipo y, a continuacin, haga clic en Siguiente.5. Realice una de estas acciones: Para administrar certificados para el equipo local, haga clic en Equipo local y, a continuacin, en Finalizar. Para administrar certificados para un equipo remoto, haga clic en Otro equipo y, a continuacin, escriba el nombre del equipo, o haga clic en Examinar para seleccionar el nombre del equipo y, a continuacin, haga clic en Finalizar.6. Si no tiene ms complementos que agregar a la consola, haga clic en Aceptar.7. Para guardar esta consola, en el men Archivo, haga clic en Guardar.Consideraciones adicionales Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo est unido a un dominio, los miembros del grupo Administradores de dominio podran llevar a cabo este procedimiento. Como prctica recomendada de seguridad, considere la posibilidad de usar la opcin Ejecutar como para llevar a cabo este procedimiento. Para administrar certificados para otro equipo, puede crear otra instancia del complemento Certificados o hacer clic con el botn secundario en Certificados (Nombre del equipo) y, a continuacin, en Conectarse a otro equipo.Administradores locales es la pertenencia al grupo mnima necesaria para completar este procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema. Para agregar el complemento Certificados a MMC para un servicio 1. Haga clic en Inicio, escriba mmc en el cuadro Buscar programas y archivos y, a continuacin, presione ENTRAR.2. En el men Archivo, haga clic en Agregar o quitar complemento.3. En Complementos disponibles, haga doble clic en Certificados.4. Seleccione Cuenta de servicio y, a continuacin, haga clic en Siguiente.5. Realice una de estas acciones: Para administrar certificados para servicios en el equipo local, haga clic en Equipo local y, despus, en Siguiente. Para administrar certificados para un servicio en un equipo remoto, haga clic en Otro equipo y, a continuacin, escriba el nombre del equipo, o haga clic en Examinar para seleccionar el nombre del equipo y, a continuacin, haga clic en Siguiente.6. Seleccione el servicio para el que administra los certificados.7. Haga clic en Finalizar y, despus, en Cerrar. 8. Si no tiene ms complementos que agregar a la consola, haga clic en Aceptar.9. Para guardar esta consola, en el men Archivo, haga clic en Guardar.Consideraciones adicionales Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo est unido a un dominio, los miembros del grupo Administradores de dominio podran llevar a cabo este procedimiento. Como prctica recomendada de seguridad, considere la posibilidad de usar la opcin Ejecutar como para llevar a cabo este procedimiento. Para administrar certificados de un servicio en otro equipo, puede crear otra instancia del complemento Certificados o hacer clic con el botn secundario en Certificados- Servicio (Nombre de servicio) en Nombre de equipo y, a continuacin, hacer clic en Conectarse a otro equipo.Administrar certificadosSe aplica a: Windows 7, Windows Server 2008 R2Los certificados los suele emitir un equipo, un usuario o un servicio concretos con un propsito especfico, con determinada duracin y, a menudo, para destinatarios concretos. Por consiguiente, en ocasiones puede que necesite obtener certificados adicionales, renovar los existentes, examinar o modificar las propiedades de un certificado o mover los certificados. Aunque muchas de estas tareas se pueden realizar para un solo usuario, equipo o servicio, se recomienda que el administrador realice algunas otras tareas automticamente desde un servidor. En las siguientes secciones se describen algunas tareas comunes de administracin de certificados y el procedimiento para completarlas. Obtener un certificado Renovar un certificado Ver certificados Modificar las propiedades de un certificado Eliminar un certificado Buscar certificados Mover certificados Automatizar la administracin de certificados Obtener un certificadoSe aplica a: Windows 7, Windows Server 2008 R2Para realizar una inscripcin de un certificado, la solicitud del certificado la debe hacer el usuario, el equipo o el servicio que obtiene acceso a la clave privada asociada a la clave pblica que formar parte del certificado. Segn las directivas de clave pblica establecidas por el administrador del sistema, los usuarios, los equipos y los servicios pueden realizar una inscripcin automtica de certificados sin la intervencin del usuario. Adems, los usuarios pueden obtener certificados mediante lo siguiente: Inicio de la inscripcin automtica desde el complemento Certificados. Solicitud de certificados con el Asistente para solicitud de certificados. Solicitud de un certificado a travs de web.Adems, los administradores pueden solicitar certificados de usuario con tarjeta inteligente y certificados de tarjeta inteligente para iniciar una sesin en el sistema en nombre de otros usuarios con su certificado de agente de inscripcin.En los siguientes temas se incluyen los procedimientos para la obtencin de certificados: Realizar una inscripcin automtica de un certificado desde el complemento Certificados Solicitar certificados mediante el Asistente para solicitud de certificados Solicitar un certificado a travs de web Realizar inscripciones de certificados en nombre de otros usuarios Solicitar certificados mediante el Asistente para solicitud de certificadosSe aplica a: Windows 7, Windows Server 2008 R2Cuando solicite certificados de una entidad de certificacin empresarial de Windows, podr usar el Asistente para solicitud de certificados que se encuentra en el complemento Certificados. Este asistente le gua en los siguientes pasos: Seleccionar la entidad de certificacin a la que enviar la solicitud. Seleccionar la plantilla de certificados apropiada que se usar para el nuevo certificado.

Las plantillas de certificados son configuraciones predefinidas que proporcionan valores comunes para la solicitud de certificados. Las plantillas de certificados describen el propsito para el que se va a usar el certificado solicitado. La lista de las plantillas de certificados disponible est determinada por los tipos de certificados para cuya emisin est configurada la CA y si el administrador del sistema le ha concedido los derechos de acceso a la plantilla de certificados. (Opcional) Usar Opciones avanzadas en el Asistente para solicitud de certificados para seleccionar el proveedor de servicios de cifrado (CSP) para el par de claves asociado a la solicitud de certificados. Para obtener instrucciones acerca de cmo abrir y usar el Asistente para solicitud de certificados, consulte Solicitar un certificado.Tambin puede usar el Asistente para solicitud de certificados con el fin de solicitar un certificado nuevo de una CA de empresa mediante un par de claves existente que ya este asociado a otro certificado. Referencias adicionales Solicitar un certificado Crear una solicitud de certificado personalizada Guardar una solicitud de certificado en un archivo Firmar solicitudes de certificado Obtener un certificado Solicitar un certificadoSe aplica a: Windows 7, Windows Server 2008 R2Puede usar el complemento Certificados para solicitar certificados. Puede solicitar cualquier tipo de certificado disponible y preconfigurado por el administrador de la entidad de certificacin (CA) que va a procesar la solicitud de certificado. Usuarios o Administradores locales son las pertenencias a grupos mnimas requeridas para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.Para solicitar un certificado 1. Abra el complemento Certificados para un usuario o un equipo.2. En el rbol de consola, haga clic en Certificados: usuario actual o en Certificados (equipo local). Seleccione el almacn de certificados Personal.3. En el men Accin, seleccione Todas las tareas y, a continuacin, haga clic en Solicitar un nuevo certificado para iniciar el asistente para inscripcin de certificados. Haga clic en Siguiente.4. Haga clic en los tipos de certificado que desee solicitar. 5. Puede hacer clic en Detalles para revisar informacin adicional acerca de cada certificado. Si aparece un smbolo de precaucin debajo del certificado, puede que necesite proporcionar informacin adicional antes de solicitar ese tipo de certificado. Haga clic en el mensaje Se necesita ms informacin para inscribir este certificado. Haga clic aqu para configurar el mensaje y proporcione la informacin solicitada (por ejemplo, un nombre de sujeto o la ubicacin de un certificado de firma vlido).6. Para terminar, haga clic en Inscribir.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio slo los puede administrar un administrador o un usuario que tenga los permisos correspondientes. Para abrir el complemento Certificados, consulte Agregar el complemento Certificados a MMC. Solamente puede usar este procedimiento para solicitar certificados de una CA empresarial. Para solicitar certificados de una CA autnoma, tiene que solicitar los certificados a travs de pginas web. La pgina web para una CA basada en Windows se encuentra en http://servername/certsrv, donde servername es el nombre del servidor que hospeda la CA. Si el tipo de certificado solicitado debe aprobarse antes de emitirse, tendr que recuperar el certificado completado a travs de pginas web. Para solicitar un certificado Estndar de firma digital (DSS) de una CA de empresa, debe seleccionar la plantilla de certificado Slo firma de usuario en el Asistente para solicitud de certificados. Nombres de sujeto Se aplica a: Windows 7, Windows Server 2008 R2 El titular de la clave privada asociada a un certificado se conoce como sujeto. Puede ser un usuario, un programa o prcticamente cualquier objeto, equipo o servicio. Como el nombre del sujeto puede variar en gran medida segn quin o qu sea, ser necesaria cierta flexibilidad a la hora de proporcionarle un nombre en la solicitud de certificado. Windows puede crear el nombre del sujeto automticamente a partir de la informacin del sujeto almacenada en los Servicios de dominio de Active Directory (AD DS) o lo puede suministrar manualmente el mismo sujeto (por ejemplo, mediante el uso de pginas web de inscripcin de certificados para crear y enviar una solicitud de certificado. Las entidades de certificacin (CA) incluyen el complemento Plantillas de certificado para configurar las plantillas de certificados. Use la ficha Nombre de sujeto en la hoja de propiedades de la plantilla del certificado para configurar las opciones de nombre del sujeto. Proporcionado por el solicitante Cuando se selecciona la opcin Proporcionado por el solicitante, la opcin Usar informacin de sujeto de certificados existentes para las solicitudes de renovacin de inscripcin automtica se encuentra disponible para simplificar la tarea de agregar el nombre del sujeto a la solicitud de renovacin del certificado y para permitir que los certificados generados por los equipos se puedan renovar automticamente. La informacin del sujeto a partir de certificados existentes no se usa para la renovacin automtica de certificados de usuario. La opcin Usar informacin de sujeto de certificados existentes para las solicitudes de renovacin de inscripcin automtica permite que el cliente de inscripcin de certificados lea la informacin sobre el nombre del sujeto y el nombre alternativo del sujeto a partir de un certificado existente generado por un equipo basado en la misma plantilla de certificado cuando se crean automticamente solicitudes de renovacin o se usa el complemento Certificados. Esta opcin se aplica a los certificados generados por equipos que han caducado, han sido revocados o se encuentran dentro del perodo de renovacin. Creacin a partir de AD DS Cuando se selecciona la opcin Construir a partir de esta informacin de Active Directory, se pueden configurar las siguientes opciones adicionales: Formato de nombre de sujetoValorDescripcin

Nombre comn La CA crea el nombre del sujeto a partir del nombre comn (CN) obtenido de AD DS. Este nombre debe ser nico en el dominio, aunque puede no ser nico en una empresa.

Nombre completo (DN) La CA crea el nombre del sujeto a partir del nombre completo obtenido de AD DS. De este modo se garantiza que el nombre sea nico en una empresa.

Incluir el nombre de correo electrnico en el nombre del sujeto. Si el campo del nombre del correo electrnico se rellena en el objeto de usuario de Active Directory, este nombre de correo electrnico se incluye con un nombre comn o con un nombre completo como parte del nombre del sujeto.

Ninguno No se necesita ningn valor de nombre para este certificado.

Incluir esta informacin en el nombre de sujeto alternativoValorDescripcin

Nombre de correo electrnico Si el campo de nombre de correo electrnico se rellena en el objeto de usuario de Active Directory, se usar dicho nombre de correo electrnico.

Nombre DNS Es el nombre de dominio completo (FQDN) del sujeto que solicit el certificado. Es el nombre usado con ms frecuencia en los certificados de equipo.

Nombre principal del usuario (UPN) El nombre principal del usuario forma parte del objeto de usuario de Active Directory y es el que se usa.

Nombre principal de servicio (SPN) El nombre principal de servicio forma parte del objeto de usuario de Active Directory y es el que se usa.

Extensiones de certificadoSe aplica a: Windows 7, Windows Server 2008 R2La ficha Extensiones permite al administrador definir directivas de aplicacin especficas, directivas de emisin, tipos de sujeto del certificado y atributos de uso de las claves para una plantilla de certificado.Directivas de aplicacinLas directivas de aplicacin son un conjunto de opciones que informan a un destino de que el sujeto tiene un certificado que se puede usar para ejecutar una determinada tarea. En un certificado se representan mediante un identificador de objeto que se define para una aplicacin determinada. Este identificador de objeto se incluye en el certificado emitido. Cuando un sujeto presenta su certificado, el destino puede examinarlo para comprobar la directiva de aplicacin y determinar si el sujeto puede ejecutar la accin solicitada. Directivas de emisinLas directivas de emisin, llamadas tambin directivas de certificado, definen las medidas usadas para identificar al sujeto del certificado y, por lo tanto, definen tambin el nivel de garanta para un certificado emitido. Por ejemplo, puede que la organizacin necesite organizar una reunin presencial antes de emitir el certificado para ofrecer un nivel de garanta superior para el certificado emitido.Tipo de sujeto del certificadoEl tipo de sujeto del certificado, llamado tambin informacin de la plantilla de certificado, define el propsito del certificado o la plantilla de certificado. La extensin del tipo de sujeto de certificado no se puede modificar. Si el administrador necesita aplicar un tipo de sujeto especfico al certificado, debe duplicar una plantilla de certificado que incluya el tipo de sujeto requerido. Uso de clavesLos certificados permiten a los sujetos realizar determinadas tareas. Con el fin de ayudar a controlar el uso de un certificado ms all de su finalidad pretendida, se aplican restricciones a los certificados automticamente. El uso de claves es un mtodo de restriccin que determina el uso de un certificado. De esta forma, el administrador puede emitir certificados que nicamente pueden usarse para tareas especficas o certificados que pueden utilizarse para una amplia gama de funciones. Si no se especifica ningn uso de claves, el certificado se puede usar para cualquier propsito.En el caso de las firmas, el uso de claves se puede limitar a uno o varios de los propsitos siguientes: Firma digital La firma es una prueba de origen (sin rechazo) Firma de certificados Firma de CRLPara el uso de claves cifrado, estn disponibles las siguientes opciones: Intercambio de claves sin cifrado de claves Intercambio de claves slo con cifrado de clavesAtributosAdems de la informacin requerida por la entidad emisora (CA) para crear el certificado solicitado, una solicitud de certificado tambin incluye atributos que describen cmo fue creada. Los atributos de la solicitud de certificado incluyen la versin del sistema operativo y aplicacin usados para crear la solicitud, el proveedor de servicios de cifrado usado para generar el par de claves, la plantilla de certificados en la que se basa la solicitud y otros detalles.Los atributos se agregan automticamente a las solicitudes de certificado que se crean mediante el complemento Certificados y que se almacenan en la base de datos de la CA con cada solicitud de certificado.Proveedores de servicios de cifradoSe aplica a: Windows 7, Windows Server 2008 R2Un proveedor de servicios de cifrado (CSP) es un programa que ofrece servicios de autenticacin, codificacin y cifrado para que las aplicaciones basadas en Windows obtengan acceso mediante la interfaz de programacin de aplicaciones criptogrficas de Microsoft (CryptoAPI). Cada proveedor ofrece una implementacin distinta de CryptoAPI. Algunos proporcionan algoritmos de cifrado ms seguros, mientras que otros usan componentes de hardware, como las tarjetas inteligentes.Si genera una solicitud de un certificado nuevo, la informacin de dicha solicitud se transfiere primero del programa solicitante a CryptoAPI. CryptoAPI pasa los datos correspondientes a un CSP instalado en el equipo o en un dispositivo al que puede obtener acceso el equipo. Si el CSP se basa en software, genera una clave pblica y una clave privada, a menudo denominadas par de claves, en el equipo. Si el CSP se basa en hardware, como un CSP de tarjeta inteligente, indicar a un componente de hardware que construya el par de claves.Despus de generar las claves, un CSP de software cifra y, a continuacin, asegura la clave privada. El CSP de tarjeta inteligente almacena la clave privada en una tarjeta inteligente. A continuacin, la tarjeta inteligente controla el acceso a la clave. La clave pblica se enva a la entidad de certificacin (CA), junto con la informacin del solicitante del certificado. Una vez que la CA comprueba que la solicitud de certificado cumple las directivas, usar su propia clave privada para crear una firma digital en el certificado y, a continuacin, lo emitir para el solicitante. La CA presenta el certificado al solicitante del certificado junto con la opcin para instalarlo en el almacn de certificados adecuado del equipo o del dispositivo de hardware.Crear una solicitud de certificado personalizadaSe aplica a: Windows 7, Windows Server 2008 R2Los administradores suelen configurar las plantillas de certificado por anticipado para que se puedan usar para solicitar o realizar inscripciones de certificados. Las solicitudes personalizadas se pueden usar para modificar una plantilla de certificado a fin de que satisfaga requisitos especiales o para crear un nuevo certificado no basado en una plantilla. Adems, se pueden usar para guardar una solicitud de certificado en un archivo para su procesamiento en otro momento o en otro equipo.Para completar este procedimiento, el requisito mnimo es la pertenencia al grupo Usuarios o Administradores locales. Revise los detalles de "Consideraciones adicionales" en este tema.Para crear una solicitud de certificado personalizada 1. Abra el complemento Certificados para un usuario, un equipo o un servicio.2. En el rbol de consola, haga doble clic en Personal y, a continuacin, haga clic en Certificados.3. En el men Accin, elija Todas las tareas y Operaciones avanzadas y, a continuacin, haga clic en Crear solicitud personalizada para iniciar el asistente para inscripcin de certificados. Haga clic en Siguiente.4. En la pgina Solicitud personalizada, en la lista Plantillas, realice una de las acciones siguientes: Si sabe qu tipo de certificado desea y va a aceptar las opciones de configuracin predeterminadas, seleccione la plantilla de certificado correspondiente. Si necesita un certificado totalmente personalizado, seleccione Clave CNG (sin plantilla) o Clave heredada (sin plantilla).Nota

Las claves CNG pueden no ser compatibles con todas la aplicaciones.

5. Cada plantilla de certificado incluida en un conjunto estndar de extensiones puede proporcionar informacin de identificacin del sujeto adicional o informacin de uso de la clave, lo que especifica las tareas (por ejemplo, la firma o el cifrado) para las que se puede usar la clave. Si desea usar solo las extensiones personalizadas especificadas, seleccione la casilla Suprimir las extensiones predeterminadas.6. Seleccione el formato de archivo que desee usar para la solicitud de certificado: PKCS #10 es un formato usado con frecuencia para las solicitudes de certificados. CMC se puede usar para preparar las solicitudes que se van a enviar a una entidad de certificacin que no es de Microsoft.7. Haga clic en Siguiente.8. Haga clic en Detalles para ver los detalles de la solicitud de certificado. Si desea personalizar an ms la solicitud, haga clic en Propiedades y rellene las opciones que desee. Cuando haya terminado, haga clic en Aceptar para cerrar Propiedades de certificado y, a continuacin, haga clic en Siguiente.9. Escriba el nombre del archivo y la ruta de acceso y haga clic en Finalizar.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio solo los puede administrar un administrador o un usuario que tenga los permisos correspondientes. Guardar una solicitud de certificado en un archivoSe aplica a: Windows 7, Windows Server 2008 R2Puede preparar una solicitud de certificado para su uso posterior o para conservar una copia de la solicitud incluso si se procesa al mismo tiempo que se guarda.Los usuarios o administradores locales son las pertenencias a grupos mnimas requeridas para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema. Para guardar una solicitud de certificado en un archivo PKCS#10 o CMC 1. Abra un explorador web. 2. Abra http://servername/certsrv, donde servername es el nombre del servidor web donde se hospedan las pginas de inscripcin en web de la entidad de certificacin (CA). 3. Haga clic en Solicitar un certificado y, en Solicitud de certificado avanzada, haga clic en Crear y enviar una solicitud a esta CA.4. Escriba la informacin de identificacin solicitada y cualquier otra opcin necesaria.5. En Opciones adicionales, seleccione el formato de archivo que desee usar.6. En Nombre de ruta completa, escriba una ruta de acceso y un nombre de archivo.7. Haga clic en Enviar. El archivo se guarda en el escritorio del equipo.8. Si ha terminado de usar las pginas de inscripcin en web, cierre el explorador web. Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio solo los puede administrar un administrador o un usuario que tenga los permisos correspondientes. El componente que habilita la inscripcin web en esta versin de Windows es distinto del componente que habilita la inscripcin web en Windows Server2003 y WindowsXP. Las pginas de inscripcin de CA de Windows Server2003 se deben actualizar para admitir equipos con los sistemas operativos WindowsVista o Windows7. Para obtener ms informacin, vea el sitio web Ayuda y soporte tcnico de Windows (http://go.microsoft.com/fwlink/?LinkId=85331 (puede estar en ingls)). Firmar solicitudes de certificado Se aplica a: Windows 7, Windows Server 2008 R2 En algunos casos, las solicitudes de certificado se deben firmar digitalmente mediante un certificado de agente de inscripcin o de firma vlido para que la entidad de certificacin (CA) pueda procesar la solicitud.Importante

Una vez que el usuario tiene el certificado de agente de inscripcin, puede realizar una inscripcin de un certificado y generar una tarjeta inteligente en nombre de cualquier usuario de la organizacin. La tarjeta inteligente resultante se puede usar para iniciar una sesin en la red y suplantar al usuario real. Dada la gran capacidad del certificado de agente de inscripcin, se recomienda que la organizacin mantenga unas directivas de seguridad de alto nivel para estos certificados.

Un escenario para minimizar el riesgo de uso incorrecto del certificado de agente de inscripcin es contar con una CA subordinada con controles administrativos muy estrictos en la organizacin que solo se use para emitir certificados de agente de inscripcin. Una vez emitidos los certificados de agente de inscripcin, el administrador de la CA puede deshabilitar la emisin de certificados de agente de inscripcin hasta que vuelva a ser necesaria. Al restringir los administradores que pueden usar el servicio de CA en la CA subordinada, el servicio se puede mantener en lnea para la generacin y distribucin de listas de revocacin de certificados (CRL) si es necesario. Otras CA de la jerarqua pueden seguir emitiendo certificados de agente de inscripcin si la configuracin de directiva cambia, aunque puede determinar si la emisin de certificados de agente de inscripcin es correcta mediante la comprobacin regular del registro de certificados emitidos para cada CA.Introduccin al Servicio web de directiva de inscripcin de certificadosSe aplica a: Windows Server 2008 R2El Servicio web de directiva de inscripcin de certificados es un servicio de rol de los Servicios de certificados de ActiveDirectory (ADCS) que permite que los usuarios y equipos obtengan informacin sobre directivas de inscripcin de certificados. Junto con el Servicio web de inscripcin de certificados, permite la inscripcin de certificados basada en directivas si el equipo cliente no es miembro de un dominio o si un miembro del dominio no est conectado al dominio.El Servicio web de directiva de inscripcin de certificados utiliza el protocolo HTTPS para comunicar la informacin sobre directivas de certificados a los equipos clientes de la red. El servicio web usa el protocolo LDAP para recuperar la directiva de certificados de los Servicios de dominio de ActiveDirectory (ADDS) y guarda en cach la informacin sobre directivas para atender las solicitudes de los clientes. En versiones anteriores de ADCS, solo los equipos cliente del dominio que usan el protocolo LDAP pueden obtener acceso a la informacin sobre directivas de certificados. Esto restringe la emisin de certificados basados en directivas a los lmites de confianza establecidos por los bosques de ADDS.La publicacin de la directiva de inscripcin a travs de HTTPS permite los nuevos escenarios de implementacin que se describen a continuacin: Inscripcin de certificados a travs de los lmites del bosque para reducir el nmero de entidades de certificacin (CA) en una empresa. Implementacin de extranet para emitir certificados para usuarios que trabajan a distancia y socios comerciales.Introduccin al Servicio web de inscripcin de certificadosSe aplica a: Windows Server 2008 R2El Servicio web de inscripcin de certificados es un servicio de rol de Servicios de certificados de Active Directory (ADCS) que permite a los usuarios y equipos realizar la inscripcin de certificados con el protocolo HTTPS. Junto con el Servicio web de directiva de inscripcin de certificados, permite la inscripcin de certificados basada en directivas si el equipo cliente no es miembro de un dominio o si un miembro del dominio no est conectado al dominio.El Servicio web de inscripcin de certificados usa el protocolo HTTPS para aceptar solicitudes de certificados de los equipos cliente de la red y devolver a stos los certificados emitidos. El Servicio web de inscripcin de certificados usa el protocolo DCOM para conectar a la entidad de certificacin (CA) y completar la inscripcin de certificados en nombre del solicitante. En versiones anteriores de ADCS, la inscripcin de certificados basada en directivas solo la pueden realizar los equipos cliente miembro que usan el protocolo DCOM. Esto limita la emisin de certificados a los lmites de confianza establecidos por los dominios y bosques de Active Directory.La inscripcin de certificados sobre HTTPS habilita los siguientes escenarios de implementacin nuevos: Inscripcin de certificados entre lmites de bosques para reducir el nmero de entidades de certificacin en una empresa Implementacin de extranet para emitir certificados a trabajadores mviles y socios empresarialesServidores de directivas de inscripcin de certificadosSe aplica a: Windows Server 2008 R2La directiva de inscripcin de certificados proporciona las ubicaciones de las entidades de certificacin (CA) y los tipos de certificados que se pueden solicitar. Las organizaciones que utilizan Servicios de dominio de Active Directory (AD DS) pueden usar la directiva de grupo para proporcionar una directiva de inscripcin de certificados a los miembros del dominio mediante la Consola de administracin de directivas de grupo para configurar los valores de directiva de inscripcin de certificados. El complemento Certificados se puede utilizar para configurar los valores de directiva de inscripcin de certificados para equipos cliente individuales a menos que la configuracin de la directiva de grupo est establecida para deshabilitar la directiva de inscripcin configurada por el usuario.Utilice los siguientes procedimientos para configurar los valores de directiva de inscripcin de certificados: Administrar la directiva de inscripcin de certificados mediante la directiva de grupo Administrar directiva de inscripcin de certificados mediante el complemento Certificados Administrar la directiva de inscripcin de certificados mediante la directiva de grupoSe aplica a: Windows Server 2008 R2Este tema describe los procedimientos y aplicaciones utilizados para establecer la configuracin de directivas de inscripcin de certificados.Establecer la configuracin de directivas de inscripcin de certificados mediante la directiva de grupoPara poder completar este procedimiento, debe pertenecer como mnimo al grupo Admins. del dominio.Para establecer la configuracin de directivas de inscripcin de certificados en la directiva de grupo 1. Haga clic en Inicio, escriba gpmc.msc en el cuadro Buscar programas y archivos y, a continuacin, presione ENTRAR.2. En el rbol de consola, expanda el bosque y el dominio que contienen la directiva que desea editar y haga clic en Objetos de directiva de grupo.3. Haga clic con el botn secundario en la directiva que desee modificar y, a continuacin, haga clic en Editar.4. En el rbol de consola, en Configuracin del equipo\Directivas\Configuracin de Windows\Configuracin de seguridad, haga clic en Directivas de clave pblica.5. Haga doble clic en Cliente de Servicios de servidor de certificados - Directiva de inscripcin de certificados. Para obtener ms informacin acerca de la configuracin de este cuadro de dilogo, vea la tabla "Cuadro de dilogo Cliente de Servicios de servidor de certificados - Propiedades de directivas de inscripcin de certificados" ms adelante en este tema.6. Haga clic en Agregar para abrir el cuadro de dilogo Servidor de directivas de inscripcin de certificados. Para obtener ms informacin acerca de la configuracin de este cuadro de dilogo, vea la tabla "Cuadro de dilogo Servidor de directivas de inscripcin de certificados" ms adelante en este tema.7. Realice una de estas acciones: Para agregar la directiva de inscripcin proporcionada por Servicios de dominio de Active Directory (ADDS), active la casilla Usar URI de controlador de dominio de Active Directory predeterminado. En el cuadro Especifique el URI del servidor de directivas de inscripcin, escriba un URI para el servidor de directivas de inscripcin de certificados.8. En la lista Tipo de autenticacin, seleccione el tipo de autenticacin requerido por el servidor de directivas de inscripcin.9. Haga clic en Validar y revise los mensajes del rea Propiedades del servidor de directivas de inscripcin de certificados. El botn Agregar solo est disponible cuando el URI del servidor de directivas de inscripcin y el tipo de autenticacin son vlidos.10. Haga clic en Agregar.Nota

Si el servidor de directivas de inscripcin admite una directiva de inscripcin que ya aparece en Lista de directivas de inscripcin de certificados, el servidor agregado no se mostrar por separado. Haga clic en Propiedades para comprobar que el servidor de directivas de inscripcin que se ha agregado aparece en la lista Servidores de directivas de inscripcin. Para obtener ms informacin acerca de la configuracin de este cuadro de dilogo, vea la tabla "Cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados" ms adelante en este tema.

Referencia de interfaz de usuarioLas tablas siguientes describen la configuracin disponible en los cuadros de dilogo Cliente de Servicios de servidor de certificados - Propiedades de directivas de inscripcin de certificados, Servidor de directivas de inscripcin de certificados y Propiedades del servidor de directivas de inscripcin de certificados.Cuadro de dilogo Cliente de Servicios de servidor de certificados - Propiedades de directiva de inscripcin de certificadosOpcinDescripcin

Modelo de configuracin Especifica si la configuracin de directiva est habilitada en la directiva de grupo.

Lista de directivas de inscripcin de certificados Muestra la lista de directivas de inscripcin incluidas en la configuracin de directiva. Una de las directivas mostradas debe aparecer como la directiva predeterminada mediante la activacin de la casilla Predeterminada.

Agregar Abre el cuadro de dilogo Servidor de directivas de inscripcin de certificados, que se usa para agregar un servidor de directivas de inscripcin.

Quitar Quita de la lista la directiva de inscripcin seleccionada y todos los servidores de directivas de inscripcin asociados.

Propiedades Abre el cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados, que muestra los detalles de la directiva y una lista de los servidores de directivas de inscripcin para la directiva de inscripcin seleccionada.

Deshabilitar directiva de inscripcin configurada por el usuario Deshabilita la directiva de inscripcin configurada por usuarios y aplicaciones. Solo se utilizar una directiva de inscripcin configurada en la directiva de grupo.

Cuadro de dilogo Servidor de directivas de inscripcin de certificadosOpcinDescripcin

Usar URI de controlador de dominio de Active Directory predeterminado Especifique el URI LDAP del servidor de directivas de inscripcin predeterminado y el tipo de autenticacin Integrada de Windows.

Configurar nombre descriptivo Este botn solo est disponible cuando se ha seleccionado Usar URI de controlador de dominio de Active Directory predeterminado.Esta opcin se usa para configurar un nombre para la directiva de inscripcin que se muestra en lugar del nombre de directiva o el identificador de directiva de inscripcin predeterminados. Los usuarios pueden ver el nombre especificado en el asistente para inscripcin de certificados y en otras aplicaciones.Nota

Si ms de un servidor de directivas de inscripcin admite la misma directiva de inscripcin, cada servidor debe configurarse para usar el mismo nombre descriptivo de directiva de inscripcin. En los servicios web de directivas de inscripcin, el valor de nombre descriptivo es una configuracin de la aplicacin que se establece mediante el Administrador del servidor. Si la configuracin de nombre descriptivo ya se ha establecido en cada servicio web de directivas de inscripcin, agregue los URI de servicios web de directivas de inscripcin antes de agregar el URI LDAP del controlador de dominio. De esta manera, se garantiza que los valores del nombre descriptivo sean los mismos.

Especifique el URI del servidor de directivas de inscripcin Especifica el URI del Servicio web de directiva de inscripcin de certificados. El URI debe usar HTTPS.

Tipo de autenticacin Especifica el tipo de autenticacin que se usa para conectar con el URI especificado. El tipo de autenticacin especificado debe coincidir con el tipo de autenticacin requerido por el Servicio web de directiva de inscripcin de certificados.Estn disponibles los siguientes tipos de autenticacin: Annima. No se proporcionan credenciales al conectar con el servidor de directivas de inscripcin de certificados. Integrada de Windows. La autenticacin integrada de Windows usa el protocolo Kerberos y es adecuada para miembros de dominios de ADDS. Nombre de usuario y contrasea. Durante la inscripcin de certificados, los usuarios debern especificar un nombre de usuario y una contrasea. Certificado X.509. Durante la inscripcin de certificados, los usuarios debern seleccionar un certificado para la autenticacin.

Validar Se conecta al URI especificado mediante el tipo de autenticacin que se haya seleccionado para verificar los detalles siguientes: Existe una conexin SSL al servidor de directivas de inscripcin. El servidor de directivas de inscripcin devuelve una directiva de inscripcin vlida. La directiva de inscripcin no se ha incluido previamente en la configuracin de la directiva de grupo.Antes de que se pueda agregar un URI del servidor de directivas de inscripcin, se requiere su validacin. Si el URI especificado y el tipo de autenticacin son vlidos, se mostrarn el identificador de directiva de inscripcin y el nombre descriptivo. Si hay algn problema con la validacin, aparecern mensajes de error o advertencia.

Agregar Agrega el URI del servidor de directivas de inscripcin y la directiva de inscripcin validada a la configuracin de la directiva de grupo. El botn Agregar solo est disponible despus de que el URI del servidor de directivas de inscripcin y el tipo de autenticacin se hayan validado.

Cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificadosOpcinDescripcin

Servidores de directivas de inscripcin Muestra la lista de servidores de directivas de inscripcin que admiten la directiva de inscripcin.

Quitar Quita el servidor de directivas de inscripcin seleccionado. Si se quitan todos los servidores de directivas de inscripcin, la directiva de inscripcin tambin se eliminar.

Habilitar para la inscripcin y la renovacin automticas Especifica que la directiva de inscripcin se usa para la inscripcin automtica cuando esta caracterstica est habilitada.En los equipos que ejecutan Windows7 y no son miembros de un dominio, la inscripcin automtica est habilitada de forma predeterminada. En los equipos que son miembros de un dominio, la inscripcin automtica debe ser habilitada en la directiva de grupo. Para conocer los procedimientos de configuracin de la inscripcin automtica, vea Administracin de la inscripcin de certificados (http://go.microsoft.com/fwlink/?LinkId=143282 (puede estar en ingls)).

Requerir validacin segura durante la inscripcin Especifica que los clientes de inscripcin requieren la validacin de la ruta de certificacin de la CA emisora durante

Administrar directiva de inscripcin de certificados mediante el complemento CertificadosSe aplica a: Windows Server 2008 R2En este tema se describen los procedimientos y las aplicaciones usados para agregar servidores de directivas de inscripcin y administrar directivas de inscripcin con el complemento Certificados. Estos procedimientos se pueden usar para configurar directivas de inscripcin que permitan a los usuarios solicitar certificados de las entidades de certificacin (CA) comerciales que ofrecen servicios de inscripcin en Internet o CA empresariales en una organizacin. Configuracin de directivas de inscripcin de certificadosEl cuadro de dilogo Servidor de directivas de inscripcin de certificados se usa para agregar servidores de directivas de inscripcin y se puede abrir con el cuadro de dilogo Administrar directivas de inscripcin o el asistente para inscripcin de certificados.Para configurar las directivas de inscripcin de certificados 1. Haga clic en Inicio, escriba certmgr.msc en el cuadro Buscar programas y archivos y presione ENTRAR.2. En el rbol de consola, haga clic en Personal.3. Realice una de estas acciones: En el men Accin, apunte a Todas las tareas, Operaciones avanzadas y, a continuacin, haga clic en Administrar directivas de inscripcin. En Lista de directivas de inscripcin de certificados, haga clic en Agregar. Para obtener ms informacin acerca de las opciones de este cuadro de dilogo, vea la tabla "Cuadro de dilogo Administrar directivas de inscripcin" posteriormente en este tema. En el men Accin, apunte a Todas las tareas y, a continuacin, haga clic en Solicitar un nuevo certificado para iniciar el asistente para inscripcin de certificados. Haga clic en Siguiente y, a continuacin, en la pgina Seleccionar directiva de inscripcin de certificados, haga clic en Agregar nueva. Para obtener ms informacin acerca de las opciones de este cuadro de dilogo, vea la tabla "Cuadro de dilogo Servidor de directivas de inscripcin de certificados" posteriormente en este tema.4. En el cuadro Especifique el URI del servidor de directivas de inscripcin, escriba un URI de servidor de directivas de inscripcin de certificado.5. En la lista Tipo de autenticacin, seleccione el tipo de autenticacin requerido por el servidor de directivas de inscripcin.6. Haga clic en Validar y, a continuacin, revise los mensajes del rea Propiedades del servidor de directivas de inscripcin de certificados. El botn Agregar solo est disponible despus de validar el URI del servidor de directivas de inscripcin y el tipo de autenticacin.7. Haga clic en Agregar.Nota

Si el servidor de directivas de inscripcin agregado admite una directiva de inscripcin que se muestra en Lista de directivas de inscripcin de certificados, el servidor agregado no aparecer por separado. Haga clic en Propiedades para comprobar que el servidor de directivas de inscripcin agregado aparece en la lista Servidores de directivas de inscripcin. Para obtener ms informacin acerca de las opciones de este cuadro de dilogo, vea la tabla "Cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados" posteriormente en este tema.

Referencia de interfaz de usuarioEn las tablas siguientes se describen las opciones disponibles en el cuadro de dilogo Administrar directivas de inscripcin, el cuadro de dilogo Servidor de directivas de inscripcin de certificados y el cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados.Cuadro de dilogo Administrar directivas de inscripcinOpcinDescripcin

Lista de directivas de inscripcin de certificados Muestra la lista de las directivas de inscripcin incluidas en la configuracin de directivas. Una de las directivas mostradas se debe especificar como la directiva predeterminada mediante la activacin de la casilla Predeterminada.

Agregar Abra el cuadro de dilogo Servidor de directivas de inscripcin de certificados, que se usa para agregar un servidor de directivas de inscripcin.

Quitar Quita la directiva de inscripcin seleccionada y todos los servidores de directivas de inscripcin asociados de la lista.

Propiedades Abra el cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificados, que muestra los detalles de la directiva y la lista de servidores de directivas de inscripcin para la directiva de inscripcin seleccionada.

Cuadro de dilogo Servidor de directivas de inscripcin de certificadosOpcinDescripcin

Especifique el URI del servidor de directivas de inscripcin Especifica el URI del Servicio web de directivas de inscripcin de certificados. El URI debe usar HTTPS.

Tipo de autenticacin Especifica el tipo de autenticacin usado para conectarse al URI especificado. El tipo de autenticacin especificado debe coincidir con el tipo de autenticacin requerido por el Servicio web de directivas de inscripcin de certificados.Los siguientes tipos de autenticacin estn disponibles: Annima. No se proporciona ninguna credencial al conectarse al servidor de directivas de inscripcin de certificados. Integrada en Windows. La autenticacin integrada en Windows usa el protocolo Kerberos y es adecuada para los miembros de dominio de AD DS. Nombre de usuario y contrasea. Durante la inscripcin de certificados, a los usuarios se les pedir que especifiquen un nombre de usuario y una contrasea. Certificado X.509. Durante la inscripcin de certificados, a los usuarios se les pedir que seleccionen un certificado para la autenticacin.

Validar Conecta con el URI especificado con el tipo de autenticacin especificado para comprobar los siguientes detalles: Se puede realizar una conexin SSL con el servidor de directivas de inscripcin. El servidor de directivas de inscripcin devuelve una directiva de inscripcin vlida. La directiva de inscripcin ya no est incluida en la configuracin de directiva de grupo.La validacin es necesaria para poder agregar un URI de servidor de directivas de inscripcin. Si el URI especificado y el tipo de autenticacin son vlidos, se muestran el identificador de directivas de inscripcin y el nombre descriptivo. Los mensajes de error o advertencia se muestran si hay un problema con la validacin.

Agregar Agrega el URI del servidor de directivas de inscripcin y la directiva de inscripcin validada a la configuracin de directiva de grupo. El botn Agregar solo est disponible despus de validar el URI del servidor de directivas de inscripcin y el tipo de autenticacin.

Cuadro de dilogo Propiedades del servidor de directivas de inscripcin de certificadosOpcinDescripcin

Lista Servidores de directivas de inscripcin Muestra la lista de servidores de directivas de inscripcin que admiten la directiva de inscripcin.

Quitar Quita el servidor de directivas de inscripcin seleccionado. Si se quitan todos los servidores de directivas de inscripcin, tambin se eliminar la directiva de inscripcin.

Habilitar para la inscripcin y la renovacin automticas Especifica que se usa la directiva de inscripcin para la inscripcin automtica cuando se habilita dicha inscripcin.En los equipos que ejecutan Windows7 y que no son miembros de un dominio, se habilita la inscripcin automtica de forma predeterminada. En equipos que son miembros de un dominio, se debe habilitar la inscripcin automtica en la directiva de grupo. Vea el tema acerca de la administracin de la inscripcin de certificados (http://go.microsoft.com/fwlink/?LinkID=143282) para obtener informacin acerca de los procedimientos de configuracin de inscripcin automtica.

Requerir validacin segura durante la inscripcin Especifica que los clientes de inscripcin requieren la validacin de la ruta de certificacin de CA de emisin

Solicitar un certificado a travs de webSe aplica a: Windows 7, Windows Server 2008 R2Es posible obtener acceso a las entidades de certificacin (CA) mediante pginas de inscripcin en web de CA, que se pueden usar para realizar una serie de tareas relativas a la solicitud de certificados. La ubicacin predeterminada de las pginas de inscripcin en web de CA es http://servername/certsrv, donde servername es el nombre del servidor que hospeda las pginas de inscripcin en web de CA. Referencias adicionales Enviar una solicitud de certificado de usuario a travs de Web Enviar una solicitud de certificado a travs de web Solicitar un certificado mediante un archivo PKCS #10 o PKCS #7 Comprobar una solicitud de certificado pendiente Obtener un certificado Enviar una solicitud de certificado de usuario a travs de WebSe aplica a: Windows 7, Windows Server 2008 R2Cuando solicite certificados de una entidad de certificacin (CA) independiente de Windows, use las pginas de inscripcin web de CA. Adems, se pueden usar las pginas de inscripcin web para solicitar certificados de las CA empresariales si desea establecer caractersticas de solicitud opcionales que no estn disponibles en el Asistente para solicitud de certificados, como marcar las claves como exportables, definir la longitud de la clave, elegir el algoritmo hash o guardar la solicitud en un archivo. Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Usuarios o Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.Para enviar una solicitud de certificado de usuario a travs de Web 1. Abra un explorador web. 2. Abra https://servername/certsrv, donde servername es el nombre del servidor que hospeda las pginas de inscripcin web de CA. 3. Haga clic en Solicitar un certificado. 4. En Solicitar un certificado, seleccione el tipo de certificado que desee:a. Si se trata de una CA de empresa, haga clic en Certificado de usuario.b. Si se trata de una CA independiente, seleccione Certificado de explorador web o Certificado de proteccin de correo electrnico.5. En la pgina Identificando informacin, escriba la informacin de identificacin para la solicitud de certificado si es necesario.6. (Opcional) Haga clic en Ms opciones para especificar el proveedor de servicios de cifrado (CSP) y si desea habilitar la proteccin segura de claves privadas. (Esto significa que, cada vez que se use la clave privada, recibir un aviso).7. Haga clic en Enviar.8. Realice una de estas acciones: . Si aparece la pgina web Certificado pendiente, vea Comprobar una solicitud de certificado pendiente para obtener informacin acerca del procedimiento para comprobar un certificado pendiente.. Si se muestra la pgina web Certificado emitido, haga clic en Instalar este certificado.Consideraciones adicionales Para que un usuario obtenga un certificado mediante la inscripcin web, el administrador debe configurar los premisos correspondientes en las plantillas de certificado en las que se basa el certificado solicitado. Enviar una solicitud de certificado a travs de webSe aplica a: Windows 7, Windows Server 2008 R2La directiva de una entidad de certificacin (CA) determina los tipos de certificados que el usuario puede solicitar y las opciones que puede configurar. Si se habilita, puede usar la pgina web Solicitud de certificado avanzada para configurar las siguientes opciones para cada certificado solicitado: Plantilla de certificado (de una CA de empresa) o Tipo de certificado necesario (de una CA independiente). Indica las aplicaciones para las que se puede usar la clave pblica en el certificado, como la autenticacin de clientes o el correo electrnico. Proveedor de servicios de cifrado (CSP). Los proveedores de servicios de cifrado se encargan de crear claves, destruirlas y usarlas para realizar una serie de operaciones de cifrado. Cada proveedor ofrece una implementacin distinta de CryptoAPI. Algunos proporcionan algoritmos de cifrado ms seguros, mientras que otros usan componentes de hardware, como las tarjetas inteligentes. Tamao de la clave. La longitud, en bits, de la clave pblica del certificado. En general, las claves largas resultan ms difciles de vulnerar para un usuario malintencionado que las claves cortas. Algoritmo hash. Un buen algoritmo hash hace que sea computacionalmente imposible crear dos entradas independientes que tengan el mismo valor hash. Entre los algoritmos hash tpicos se incluyen MD2, MD4, MD5 y SHA-1. Uso de la clave. Cmo se puede usar la clave privada. Intercambio quiere decir que la clave privada se puede usar para permitir el intercambio de informacin confidencial. Firma quiere decir que la clave privada slo se puede usar para crear una firma digital. Ambos quiere decir que la clave se puede usar para realizar funciones de intercambio y firma. Crear conjunto de claves nuevo o Usar el conjunto de claves establecido. Puede usar un par de clave privada y clave pblica almacenado en el equipo o crear un par para un certificado. Habilitar proteccin segura de clave privada. Si habilita la proteccin segura de clave privada, se le pedir la contrasea cada vez que sea necesario usar la clave privada. Marcar esta clave como exportable. Al marcar claves como exportables, puede guardar la clave privada y la clave pblica en un archivo PKCS#12. Resulta til si cambia de equipo y desea mover el par de claves o si desea quitar el par de claves y asegurarlas en otro lugar. Almacenar el certificado en el almacn de certificados del equipo local. Seleccione esta opcin si el equipo va a necesitar obtener acceso a la clave privada asociada al certificado cuando otros usuarios inicien una sesin. Seleccione esta opcin cuando intente enviar solicitudes de certificados a equipos (como servidores web) en vez de enviar certificados a usuarios. Formato de la solicitud. Esta seccin se puede usar para seleccionar los formatos PKCS #10 o CMC. Si desea enviar la solicitud ms tarde, tambin puede seleccionar Guardar solicitud en un archivo.Usuarios o Administradores locales son las pertenencias a grupos mnimas requeridas para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.Para enviar una solicitud de certificado avanzada a travs de web 1. Abra un explorador web. 2. Abra https://servername/certsrv, donde servername es el nombre del servidor web que hospeda las pginas de inscripcin en web de CA. 3. Haga clic en Solicitar un certificado. 4. Haga clic en Solicitud de certificado avanzada.5. Haga clic en Crear y enviar una solicitud a esta CA.6. Escriba la informacin de identificacin solicitada y cualquier otra opcin necesaria.7. Haga clic en Enviar.8. Realice una de estas acciones: Si aparece la pgina web Certificado pendiente, vea el tema acerca de la Comprobar una solicitud de certificado pendiente para obtener informacin acerca del procedimiento para comprobar un certificado pendiente. Si aparece la pgina web Certificado emitido, haga clic en Instalar este certificado.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio slo los puede administrar un administrador o un usuario que tenga los permisos correspondientes. Para que un usuario obtenga un certificado mediante la inscripcin en web, el administrador debe configurar los premisos adecuados en las plantillas de certificado en que se basa el certificado solicitado. Solicitar un certificado mediante un archivo PKCS #10 o PKCS #7Se aplica a: Windows 7, Windows Server 2008 R2No siempre es posible enviar una solicitud de certificado en lnea a una entidad de certificacin (CA). En estos casos, es posible que pueda enviar la solicitud de certificado como un archivo PKCS#7 o PKCS#10. En general, los archivos PKCS#10 se usan para enviar una solicitud de un certificado nuevo, mientras que los archivos PKCS#7 se usan para enviar una solicitud para renovar un certificado existente. Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Usuarios o Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema. Para solicitar un certificado mediante un archivo PKCS#10 o PKCS#7 1. Abra un explorador web. 2. Abra https://servername/certsrv, donde servername es el nombre del servidor web que hospeda las pginas de inscripcin web de CA.3. Haga clic en Solicitar un certificado y, a continuacin, en Solicitud de certificado avanzada.4. Haga clic en Enviar una solicitud de certificados con un archivo codificado en base64 CMC o PKCS#10o una solicitud de renovacin con un archivo codificado en base64 PKCS#7.5. En el Bloc de notas, haga clic en Archivo, haga clic en Abrir, seleccione el archivo PKCS#10 o PKCS#7 y, a continuacin, haga clic en Edicin, Seleccionar todo, Edicin y Copiar. En la pgina web, haga clic en el cuadro Guardar solicitud. Haga clic en Edicin y, a continuacin, en Pegar para pegar el contenido de la solicitud de certificado en el cuadro.6. Si se va a conectar a una CA empresarial, elija la plantilla de certificado que desee usar. 7. Si tiene atributos que agregar a la solicitud de certificado, especifquelos en Atributos adicionales.8. Haga clic en Enviar.9. Realice una de estas acciones: Si aparece la pgina web Certificado pendiente, vea Comprobar una solicitud de certificado pendiente. Si se muestra la pgina web Certificado emitido, haga clic en Descargar cadena de certificados. Guarde el archivo en el disco duro y, a continuacin, importe el certificado a su almacn de certificados. Para obtener informacin acerca del procedimiento para importar un certificado, vea Importar un certificado.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio solo los puede administrar un administrador o un usuario que tenga los permisos correspondientes. El servidor web para una CA debe estar configurado para usar autenticacin HTTPS. Si enva la solicitud e inmediatamente despus aparece un mensaje en el que se le pregunta si desea enviarla aunque no contenga una etiqueta "BEGIN" o "END", haga clic en Aceptar.Comprobar una solicitud de certificado pendienteSe aplica a: Windows 7, Windows Server 2008 R2Si enva una solicitud de certificado a una entidad de certificacin (CA) empresarial de Windows, se procesa de inmediato y se rechaza o se concede, a menos que la plantilla del certificado se haya configurado para que requiera la aprobacin de un administrador de certificados. Cuando enve una solicitud de certificado a una CA independiente de Windows, se procesar inmediatamente o, de forma predeterminada, se considerar pendiente hasta que el administrador de la CA apruebe o rechace la solicitud. En el caso de una solicitud pendiente, el solicitante del certificado tendr que usar las pginas de inscripcin web de CA para comprobar el estado de los certificados pendientes. Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Usuarios o Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema. Para comprobar una solicitud de certificado pendiente 1. Abra un explorador web. 2. Abra https://servername/certsrv, donde servername es el nombre del servidor web que hospeda las pginas de inscripcin web de CA. 3. Haga clic en Ver el estado de una solicitud de certificado pendiente. 4. Si no hay solicitudes de certificados pendientes, se mostrar un mensaje que lo indica. En caso contrario, seleccione la solicitud de certificado que desee comprobar y haga clic en Siguiente.5. Compruebe las solicitudes de certificados pendientes: En espera. Debe esperar a que el administrador de la CA emita el certificado. Para quitar la solicitud de certificado, haga clic en Quitar. Emitido. Para instalar el certificado, haga clic en Instalar este certificado. Denegado. Pngase en contacto con el administrador de la entidad de certificacin para obtener ms informacin. 6. Si ha terminado de usar las pginas de inscripcin web de CA, cierre el explorador web. Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio solo los puede administrar un administrador o un usuario que tenga los permisos correspondientes.Realizar inscripciones de certificados en nombre de otros usuariosSe aplica a: Windows 7, Windows Server 2008 R2Los usuarios no siempre pueden realizar una inscripcin de un certificado en su propio nombre. Puede ser el caso de un certificado de tarjeta inteligente de usuario. De forma predeterminada, solo los administradores de dominio tienen permiso para solicitar un certificado en nombre de otro usuario. No obstante, un usuario distinto del administrador de dominio puede tener obtener un permiso para ser agente de inscripcin. El usuario se convierte en un agente de inscripcin mediante la inscripcin de un certificado de agente de inscripcin.Importante

Una vez que el usuario tiene el certificado de agente de inscripcin, puede realizar una inscripcin de un certificado y generar una tarjeta inteligente en nombre de cualquier usuario de la organizacin. La tarjeta inteligente resultante se puede usar para iniciar una sesin en la red y suplantar al usuario real. Dada la gran capacidad del certificado de agente de inscripcin, se recomienda que la organizacin mantenga unas directivas de seguridad de alto nivel para estos certificados.

La pertenencia al grupo Usuarios y un certificado de agente de inscripcin son los requisitos mnimos para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.Para realizar la inscripcin de un certificado en nombre de otros usuarios 1. Abra el complemento Certificados para un usuario.2. En el rbol de consola, expanda el almacn Personal y, a continuacin, haga clic en Certificados.3. En el men Accin, apunte a Todas las tareas, Operaciones avanzadas y, a continuacin, haga clic en Inscribirse en nombre de para iniciar el asistente para inscripcin de certificados. Haga clic en Siguiente.4. Busque el certificado de agente de inscripcin que va a usar para firmar la solicitud de certificado que est procesando. Haga clic en Siguiente. 5. Seleccione el tipo de certificado para el que desee inscribirse. Cuando est preparado para solicitar un certificado, haga clic en Inscribir. 6. Despus de que el Asistente para renovacin de certificados haya finalizado correctamente, haga clic en Cerrar.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC. Autoridades de registro Se aplica a: Windows 7, Windows Server 2008 R2 Una autoridad de registro es un equipo configurado para que un administrador solicite y recupere los certificados emitidos en nombre de otros usuarios. No es necesario instalar la autoridad de registro en el mismo equipo que la entidad de certificacin para la que procesa las solicitudes de certificado.Renovar un certificadoSe aplica a: Windows 7, Windows Server 2008 R2Cada certificado tiene un perodo de validez. Despus del final de dicho perodo, el certificado ya no se considera una credencial aceptable ni utilizable. El complemento Certificados permite renovar un certificado emitido desde una entidad de certificacin (CA) de empresa de Windows antes o despus del final del perodo de validez mediante el Asistente para renovacin de certificados. Puede renovar el certificado con el mismo conjunto de claves que us antes o con un conjunto de claves nuevo. Esta decisin se puede basar en una serie de factores, entre los que se incluyen la duracin del certificado, la duracin de la clave existente o futura, el valor de los datos protegidos por el par de claves y la posibilidad de que un usuario malintencionado haya obtenido una clave privada.Antes de renovar un certificado, debe conocer: La CA que emite el certificado. (Opcional) Si desea un nuevo par de clave pblica y privada para el certificado, el proveedor de servicios de cifrado (CSP) que debe usarse para generar el par de claves.Windows proporciona una notificacin de expiracin para que sepa que los certificados de usuario o equipo especficos han expirado o estn a punto de expirar. En la mayora de los casos, la inscripcin automtica renueva estos certificados la prxima vez que se conecta a la red e inicia una sesin en el equipo.En los siguientes temas se incluyen los procedimientos para la renovacin de certificados: Renovar un certificado con una clave nueva Renovar un certificado con la misma clave Adems, si pega el contenido de un archivo PKCS#7, puede renovar los certificados emitidos tanto por entidades de certificacin empresariales de Windows como por CA independientes de Windows con las pginas de inscripcin en Web de CA. Para obtener ms informacin, consulte el siguiente tema: Solicitar un certificado mediante un archivo PKCS #10 o PKCS #7 Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio slo los puede administrar un administrador o un usuario que tenga los permisos correspondientes.Renovar un certificado con la misma claveSe aplica a: Windows 7, Windows Server 2008 R2La renovacin de un certificado con la misma clave proporciona un nivel de compatibilidad mximo con los usos anteriores del par de claves correspondiente, aunque no aumenta la seguridad del certificado y el par de claves. Los usuarios o administradores locales son las pertenencias a grupos mnimas requeridas para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" en este tema.Para renovar un certificado con la misma clave 1. Abra el complemento Certificados para un usuario, un equipo o un servicio.2. En el rbol de consola, expanda el almacn Personal y haga clic en Certificados.3. En el panel de detalles, haga clic en el certificado que est renovando.4. En el men Accin, seleccione Todas las tareas y Operaciones avanzadas y, a continuacin, haga clic en Renovar este certificado con la misma clave para iniciar el Asistente para renovacin de certificados.5. Si se incluye ms de un certificado en la ventana Solicitar certificados, seleccione el certificado que desee renovar. Realice una de estas acciones: Use los valores predeterminados para renovar el certificado. Haga clic en Detalles y, a continuacin, haga clic en Propiedades para proporcionar su propia configuracin de renovacin de certificados. Es necesario conocer la entidad de certificacin (CA) que emite el certificado.6. Haga clic en Inscribir. Despus de que el Asistente para renovacin de certificados haya finalizado correctamente, haga clic en Finalizar.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio solo los puede administrar un administrador o un usuario que tenga los permisos correspondientes. Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC. Una vez renovado, el certificado antiguo se archivar. Solamente puede usar este procedimiento para solicitar certificados de una CA empresarial. Para solicitar certificados de una CA independiente, tiene que solicitar los certificados a travs de pginas web. Las pginas web para una CA de Windows estn ubicadas en http://servername/certsrv, donde servername es el nombre del servidor donde se hospeda la CA.Renovar un certificado con una clave nuevaSe aplica a: Windows 7, Windows Server 2008 R2La renovacin de un certificado con una clave nueva permite seguir usando un certificado existente y los datos asociados, a la vez que se aumenta la seguridad de la clave asociada al certificado. Esto puede ser conveniente si el uso de un certificado nuevo provoca interrupciones y el certificado existente no se ha puesto en riesgo. Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Usuarios o Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.Para renovar un certificado con una clave nueva 1. Abra el complemento Certificados para un usuario, un equipo o un servicio.2. En el rbol de consola, expanda el almacn Personal y, a continuacin, haga clic en Certificados.3. En el panel de detalles, seleccione el certificado que va a renovar.4. En el men Accin, seleccione Todas las tareas y, a continuacin, haga clic en Renovar certificado con clave nueva para abrir el Asistente para renovacin de certificados.5. En el Asistente para renovacin de certificados, realice una de las siguientes acciones: Use los valores predeterminados para renovar el certificado. (Solo para usuarios avanzados) Haga clic en Detalles y, a continuacin, en Propiedades para proporcionar su propia configuracin de renovacin de certificados. Tiene que conocer el proveedor de servicios de cifrado (CSP) y la entidad emisora de certificados (CA) que emite el certificado.

Debe seleccionar la longitud de clave de la clave pblica (medida en bits) asociada al certificado.

Tambin puede optar por habilitar la proteccin de claves privadas seguras. Al habilitar la proteccin de claves privadas seguras, garantizar que se pida la contrasea cada vez que se use la clave privada. Esto es til si desea asegurarse de que la clave privada no se usa sin su conocimiento.6. Cuando est preparado para solicitar un certificado, haga clic en Inscribir. Despus de que el Asistente para renovacin de certificados haya finalizado correctamente, haga clic en Cerrar.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio solo los puede administrar un administrador o un usuario que tenga los permisos correspondientes. Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC. Una vez renovado, el certificado antiguo y el par de claves se archivarn. Solamente puede usar este procedimiento para solicitar certificados de una CA de empresa. Para solicitar certificados de una CA independiente, tiene que solicitar los certificados a travs de pginas web. Las pginas web para una CA de Windows se encuentran en http://servername/Certsrv, donde servername es el nombre del servidor que hospeda la CA.Ver certificadosSe aplica a: Windows 7, Windows Server 2008 R2Los certificados se pueden emitir y usar para muchos propsitos. Puede ser til examinar los almacenes de certificados, la informacin y las propiedades de los certificados y la informacin acerca de los certificados archivados y revocados. Mostrar almacenes de certificados Ver informacin de certificados Ver las propiedades del certificado Ver los certificados en un archivo PKCS #7 Mostrar certificados archivados Ver detalles de la lista de revocacin de certificados Mostrar almacenes de certificadosSe aplica a: Windows 7, Windows Server 2008 R2Mediante el complemento Certificados, puede mostrar el almacn de certificados de un usuario, un equipo o un servidor segn el propsito para el que se emiti el certificado o mediante sus categoras de almacenamiento lgico. Cuando se muestran los certificados segn sus categoras de almacenamiento, tambin se puede optar por mostrar los almacenes fsicos, incluida la jerarqua de almacenamiento del certificado. Se recomienda slo para usuarios con experiencia. Si tiene derechos de usuario para hacerlo, puede importar o exportar certificados de cualquier carpeta del almacn de certificados. Adems, si la clave privada asociada con un certificado est marcada como disponible para exportar, puede exportar ambos a un archivo PKCS#12. Windows tambin puede publicar certificados en Servicios de dominio de ActiveDirectory (ADDS). La publicacin de un certificado en ADDS permite a todos los usuarios o equipos que tengan los permisos adecuados recuperar el certificado cuando sea necesario. Almacenes de certificadosLos certificados se pueden mostrar por propsito o por almacenes lgicos, como se indica en la tabla siguiente. De forma predeterminada, el complemento Certificados muestra los certificados por almacenes lgicos.Nota

La lista de almacenes de certificados por propsito no incluye todos los posibles casos.

Mostrar por Nombre de carpeta Contenido

Almacn lgicoPersonalCertificados asociados a las claves privadas a las que tiene acceso. Son los certificados que se han emitido para usted o para el equipo o servicio cuyos certificados administra.

Entidades de certificacin raz de confianzaEntidades de certificacin de confianza (CA) de forma implcita. Incluye todos los certificados del almacn de otras entidades de certificacin raz, adems de los certificados raz de su organizacin y Microsoft.Si es un administrador y desea agregar certificados de una entidad de certificacin que no es de Microsoft a este almacn para todos los equipos de un dominio de Active Directory, puede utilizar la directiva de grupo para distribuir certificados raz de confianza en su organizacin.

Confianza empresarialUn contenedor para las listas de certificados de confianza. Una lista de certificados de confianza proporciona un mecanismo para confiar en los certificados raz firmados de otras organizaciones y limitar los propsitos para los que se confa en esos certificados.

Entidades de certificacin intermediasCertificados emitidos para entidades de certificacin subordinadas. Si es administrador, puede usar la directiva de grupo para distribuir certificados al almacn de entidades de certificacin intermedias.

Personas de confianzaCertificados emitidos a personas o entidades finales en las que se confa de forma explcita. Casi siempre, se trata de certificados firmados por el propio emisor o certificados que los que se confa de forma explcita en una aplicacin como Microsoft Outlook. Si es administrador, puede usar la directiva de grupo para distribuir certificados al almacn de personas de confianza.

Otras personasCertificados emitidos a personas o entidades finales en las que se confa de forma implcita. Estos certificados tienen que formar parte de una jerarqua de certificados de confianza. En la mayora de las ocasiones, se trata de certificados almacenados en la cach para servicios como el Sistema de cifrado de archivos (EFS), donde los certificados se usan para crear la autorizacin de descifrado de un archivo cifrado.

Editores de confianzaCertificados de entidades de certificacin en las que se confa mediante directivas de restriccin de software. Si es administrador de dominio, puede usar la directiva de grupo para distribuir certificados al almacn de editores de confianza.

Certificados no permitidosSon certificados en los que se ha decidido no confiar de forma explcita mediante la directiva de restriccin de software o cuando se le presenta la decisin en el correo o en un explorador web. Si es administrador de dominio, puede usar la directiva de grupo para distribuir certificados al almacn de certificados no permitidos.

Entidades de certificacin raz de terceroCertificados raz de confianza de entidades de certificacin distintas de Microsoft y su organizacin. No puede usar la directiva de grupo para distribuir certificados al almacn de entidades de certificacin raz de tercero.

Solicitudes de inscripcin de certificadoSolicitudes de certificado pendientes o rechazadas.

Objeto de usuario de Active DirectoryCertificados asociados a su objeto de usuario y publicados en ADDS.

PropsitoAutenticacin del servidorCertificados que los programas servidor usan para autenticarse ante los equipos cliente.

Autenticacin del clienteCertificados que los programas cliente usan para autenticarse ante los servidores.

Firma de cdigoCertificados asociados a pares de claves usados para firmar contenido activo.

Correo seguroCertificados asociados a pares de claves usados para firmar mensajes de correo electrnico.

Sistema de cifrado de archivosCertificados asociados a pares de claves que cifran y descifran la clave simtrica usada para cifrar y descifrar datos mediante el EFS.

Recuperacin de archivosCertificados asociados a pares de claves que cifran y descifran la clave simtrica usada para recuperar datos cifrados mediante el EFS.

Cuando consulte los certificados por almacenes lgicos, ocasionalmente ver lo que parecen ser dos copias del mismo certificado en el almacn. Esto se debe a que el mismo certificado se encuentra en almacenes fsicos independientes pertenecientes a un almacn lgico. Cuando el contenido de los almacenes de certificados fsicos se combina en una vista de almacn lgico, se muestran ambas instancias del mismo certificado.Puede comprobarlo al configurar las Opciones de vista de modo que se muestren los Almacenes fsicos de certificados y, a continuacin, observar si el certificado se almacena en almacenes fsicos independientes en el mismo almacn lgico. Puede comprobar que es el mismo certificado mediante la comparacin de los nmeros de serie.Referencias adicionales Ms informacin acerca de los almacenes de certificados Mostrar certificados por almacenes lgicos de certificados Mostrar certificados segn su propsito Mostrar certificados archivados Mover certificados Ms informacin acerca de los almacenes de certificadosSe aplica a: Windows 7, Windows Server 2008 R2Windows almacena un certificado localmente en el equipo o el dispositivo que lo ha solicitado o, en el caso de un usuario, en el equipo o el dispositivo que el usuario us para solicitarlo. La ubicacin de almacenamiento se llama almacn de certificados. Normalmente, un almacn de certificados tendr muchos certificados, posiblemente emitidos por diferentes entidades de certificacin.Puede ver los certificados segn su propsito (por ejemplo, Autenticacin del cliente y Firma de cdigo) o segn los roles lgicos (por ejemplo, Personal, Editoresde confianza o Entidades de certificacin raz de confianza). Adems, puede usar las opciones del almacn de certificados para ver los certificados archivados y la estructura de almacenamiento de los almacenes de certificados.Referencias adicionales Mostrar certificados por almacenes lgicos de certificados Mostrar certificados segn su propsito Mostrar certificados por almacenes lgicos de certificadosSe aplica a: Windows 7, Windows Server 2008 R2Los almacenes de certificados lgicos organizan certificados en categoras funcionales lgicas para usuarios, equipos y servicios. El uso de almacenes de certificados lgicos elimina la necesidad de almacenar duplicados de objetos de clave pblica comunes, como los certificados raz de confianza, las listas de certificados de confianza (CTL) y las listas de revocacin de certificados (CRL) para usuarios, equipos y servicios.Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Usuarios o Administradores local. Revise los detalles de "Consideraciones adicionales" en este tema.Para mostrar certificados por almacenes de certificados lgicos 1. Abra el complemento Certificados para un usuario, un equipo o un servicio.2. En el rbol de consola, haga clic en actual, Certificados (equipo local) o en Certificados: servicio.3. En el men Ver, haga clic en Opciones. 4. En Organizar el modo de visualizacin por, haga clic en Almacenes lgicos de certificados y, a continuacin, en Aceptar. El encabezado de la columna Nombre de almacn lgico aparecer en el panel de detalles.Consideraciones adicionales Un usuario o un administrador puede administrar los certificados de usuario. Los certificados emitidos para un equipo o un servicio solo los puede administrar un administrador o un usuario que tenga los permisos correspondientes. Para abrir el complemento Certificados, vea Agregar el complemento Certificados a MMC. Cuando vea certificados por almacn lgico, ver ocasionalmente lo que parecen ser dos copias del mismo certificado en el almacn. Esto se debe a que el mismo certificado se encuentra en almacenes fsicos independientes pertenecientes a un almacn lgico. Cuando el contenido de los almacenes de certificados fsicos se combina en una vista de almacn lgico, se muestran ambas instancias del mismo certificado.

Puede comprobarlo al configurar la opcin de vista de modo que se muestren los almace