Creación de una nueva plantilla de Certificados

En el video tutorial adjunto hemos podido ver como crear una plantilla de certificados pero quedan pendientes varios puntos a desarrollar y comentados en dicho Videotutorial y en el que entraremos a explicar más profundamente.

Vamos a ver diferentes estrategias y puntos importantes a la hora de implementar una entidad certificadora:

MEJORES PRÁCTICAS = SEGURIDAD

Una de las grandes prioridades en las compañías es implementar una infraestructura lo suficientemente estructurada y robusta como para dar servicio constantemente a sus trabajadores minimizando por su puesto los riesgos de caída. Sin lugar a dudas este es un punto importante, pero lo es aún mas aún el protegerse ante posibles ataques o robos de información por lo que la seguridad entra a ser parte fundamental en toda compañía.

En el caso de las entidades certificadoras no iba a ser menos y las empresas se ha de blindar ante posibles ataques.

Una de las mejores prácticas y recomendadas por Microsoft es crear Entidades certificadoras Raíz de versión Standalone. ¿Por qué esta versión?: Muy sencillo Standalone nos permite generar un certificado raíz exportable a otros servidores Subordinados que serán los encargados de dar dicha autoridad a los usuarios finales. ¿Por qué es mas seguro?, simplemente porque en la versión Standalone podemos dejar nuestro servidor apagado de tal modo que si recibimos un ataque la última estación que pueda ser dañada sea la de los servidores subordinados, pero nunca nuestra Entidad raíz que contiene el certificado Root necesario en la ruta de firma de todos los certificados validados.

ENTREGA A USUARIO FINAL = FACILIDADES

Si bien la configuración de nuestros servidores para la entrega de certificados es el pilar de toda la infraestructura no menos importante es el cometido y para lo que se realiza dicha configuración. Dicho cometido no es otro que la entrega de los certificados a los usuarios finales para que puedan trabajar con ellos. En este caso toda facilidad es poca y si bien se puede intruir a un usuario para que realice un ENROLL del certificado que desea es aún mejor práctica entregarle automáticamente dicho certificado.

Disponemos de varias configuraciones pero nos centraremos en dos:

AUTOENROLLMENT

Es posible que haya certificados de los que sabemos de antemano que son destinados a personas, puestos o departamentos muy concretos, por lo que podemos diseñar una infraestructura de Políticas de seguridad para ahorrar a dichos usuarios solitar el certificado. De este modo ahorramos también tiempo puesto que si se incorpora un nuevo trabajador a dicho departamento simplemente habrá que añadirlo al grupo de seguridad configurado en nuestra GPO.

Para llevar a cabo este cometido deberemos hablitar dentro de nuestro editor de políticas la opción de Auto-Enrollment (ya sea para usuario o para Equipo ).

WEB ENROLLMENT

Si bien es el acceso de los certificados a través de una página de acceso a los usuarios es algo cómodo para estos últimos si es cierto que complicará al departamento de IT puesto que es mas complicado de configurar e implementar pero muy sencillo de manejar una vez está hecho.

La estructura en sí es sencilla , dotar de una página en donde cada usuario de la compañía accederá y una vez solicitados los permisos correspondiente para que sea emitido con su usuario un certificado pueda descargarlo. Para este objetivo Microsoft propone una característica llamada Certification Authority Web Enrollment :

De este modo los usuario podrán solicitar los certificados:

El resumen de dicha infraestructura sumada a los visto en el primer punto de este post (Seguridad) sería el siguiente:

Se puede observar una entidad certificadora Standalone (Seguridad) + y una infraestructura de solicitud de certificados sencilla de manejar por el usuario via Web (Facilidad).

ADMINISTRACION = ESTRATEGIA

Otro punto importante para completar nuestra fórmula es el diseño de trabajo una vez implementada toda la infraestructura.

Muchas compañías cometen el error de ejecutar antes que diseñar una estrategia que será clave en un futuro para la distribución correcta del trabajo y de la minimización de esfuerzos y por lo tanto garantizar éxitos.

Otro punto importante a tener en cuenta es la estrategia de recuperación ante posibles desastres o “borrados accidentales” por parte de los usuarios que como bien sabemos ocurren frecuentemente en todas las empresas.

Para ayudar en este cometido es una buena práctica asignar roles de ayuda de recuperación a una o varias personas dentro del departamento. Y es en este punto en donde entra el cometido de un Agente KRA.

Dicho agente será el encargado de realizar una recuperación de los certificados que hayan sufrido un borrado.

La configuración se hace en las propiedades de nuestra entidad certificadora, resumiremos brevemente en varios puntos básicos:

1.- Permisos en la plantilla destinada a este cometido:

2.- Verificación de entrega de dicho certificado por parte del agente KRA:

3.- Asignación de rol a uno o varios agentes :

4.- Ejecución de sus privilegios mediante recuperación de un certificado borrado:

CONCLUSIÓN FINAL

Obviamente en este post hemos visto una pequeña parte de todas las posibilidades y configuraciones de las que dispone una Entidad Certificadora, pero si hemos dejado claro tres puntos importantes y vitales a tener en cuenta y completan nuestra fórmula de éxito:

SEGURIDAD + FACILIDAD + ESTRATEGIA

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.