A menudo los clientes me preguntan: "¿Cómo funciona la autoafiliación y en qué circunstancias se producen las renovaciones, sustituciones, revocaciones y actualizaciones?".
En primer lugar, la inscripción automática no se produce automáticamente. La política de grupo debe establecerse para permitir que los clientes se inscriban automáticamente y los tipos de inscripción automática permitidos. A continuación, esa política debe enviarse a todos los clientes del dominio. Por último, la autoridad de certificación registrada en ese dominio debe tener las plantillas emitidas para que los certificados se inscriban automáticamente. Esto incluye certificados de máquina/ordenador, controlador de dominio y usuario.
En un entorno normal, la autoinscripción comenzará en cuestión de minutos. La mayoría de los entornos no son normales. La replicación tiene que tener lugar y el GPO tiene que actualizarse. Los equipos cliente intentarán actualizarse periódicamente. El período es de alrededor de cada 8 horas a menos que se cambie por política.
Ahora viene la parte complicada. Una vez que las máquinas tienen certificados, hay que actualizarlos, renovarlos, revocarlos o sustituirlos.
Si se modifica una plantilla de inscripción automática, se obtendrá un nuevo certificado de la CA. El certificado actual permanecerá en el almacén de la máquina hasta que se emita el nuevo certificado y, a continuación, se eliminará (esto se controla mediante una política y puede modificarse).
Si el certificado actual está revocado, el cliente intentará obtener un nuevo certificado en el siguiente periodo disponible una vez que se dé cuenta de que el certificado ha sido revocado.
La sustitución es un poco más complicada. Si introduce una nueva CA y desea cambiar la inscripción automática a esa CA, los certificados actuales no se volverán a inscribir automáticamente. Dado que el certificado actual sigue siendo válido, se esperará al periodo de renovación para sustituir el certificado. Dado que la CA antigua no se dará de baja y se seguirán publicando CRL, este periodo podría ser largo.
Renovación. Esta es la parte más incomprendida del proceso de inscripción automática. Cada certificado emitido tiene un periodo de renovación como parte de la plantilla. Esto no significa necesariamente que el certificado se renovará al comienzo exacto de ese periodo. Para la renovación de certificados autoinscritos, existen dos plazos antes de que se lleve a cabo la acción.
En primer lugar, el certificado tiene que haber completado el 80% de su periodo de validez y estar dentro del periodo de renovación. Así, por ejemplo, un certificado válido durante un año alcanza el 80% en torno a las 41,5 semanas y, si el certificado tiene un periodo de renovación de 6 semanas, la renovación se produciría en el periodo de 46 semanas. Por tanto, esto ocurriría durante el periodo de renovación.
Si el periodo de validez es de 6 meses, la marca del 80% sería la semana 21, pero el periodo de renovación comenzaría la semana 20.
Todo parece muy sencillo, pero a veces resulta muy confuso.
