A menudo, los clientes me han preguntado: «¿Cómo funciona la inscripción automática y bajo qué circunstancias se producen las renovaciones, reemplazos, revocaciones y actualizaciones?»
En primer lugar, la inscripción automática no ocurre de forma automática. Se debe configurar la política de grupo para permitir que los clientes se inscriban automáticamente y definir los tipos de inscripción automática permitidos. A continuación, esa política debe implementarse en todos los clientes del dominio. Por último, la autoridad de certificación registrada en ese dominio debe tener las plantillas emitidas para que los certificados se inscriban automáticamente. Estos incluyen certificados de máquina/equipo, controlador de dominio y usuario.
En un entorno normal, la inscripción automática comenzará a producirse en cuestión de minutos. La mayoría de los entornos no son normales. Debe producirse la replicación y la GPO debe actualizarse. Las máquinas cliente intentarán actualizarse periódicamente. El período es de aproximadamente cada 8 horas, a menos que se modifique por política.
Ahora viene la parte complicada. Una vez que las máquinas tienen certificados, estos deben ser actualizados, renovados, revocados o reemplazados.
Si se modifica una plantilla de inscripción automática, esto activará la obtención de un nuevo certificado de la CA. El certificado actual permanecerá en el almacén de la máquina hasta que se emita el nuevo certificado y luego se eliminará (esto está controlado por política y puede modificarse).
Si el certificado actual es revocado, el cliente intentará obtener un nuevo certificado en el siguiente período disponible una vez que se dé cuenta de que el certificado ha sido revocado.
El reemplazo es un poco más complicado. Si se implementa una nueva CA y se desea transferir la inscripción automática a esa CA, los certificados actuales no se volverán a inscribir automáticamente. Dado que el certificado actual sigue siendo válido, esperará al período de renovación para reemplazar el certificado. Como la antigua CA no será desmantelada y las CRL seguirán publicándose, esto podría ser un período prolongado.
Renovación. Esta es la parte más incomprendida del proceso de inscripción automática. Cada certificado emitido tiene un período de renovación como parte de la plantilla. Esto no significa necesariamente que el certificado se renovará exactamente al comienzo de ese período. Para la renovación de certificados de inscripción automática, existen dos plazos antes de que se realice la acción.
Primero, el certificado debe haber completado el 80% de su período de validez y estar dentro del período de renovación. Así, por ejemplo, un certificado válido por 1 año alcanza la marca del 80% alrededor de las 41.5 semanas y si el certificado tiene un período de renovación de 6 semanas, entonces la renovación ocurriría en la semana 46. POR LO TANTO, esto ocurriría durante el período de renovación.
Si el período de validez es de 6 meses, la marca del 80% sería la semana 21, pero el período de renovación comenzaría en la semana 20.
Todo parece bastante simple, pero muy confuso a veces.
