Como práctica recomendada de la infraestructura de clave pública (PKI), las políticas de certificación se asocian a una PKI reservando e incorporando identificadores de objeto (OID) únicos en toda la PKI o en partes de ella. Los OID se utilizan para asignar una o varias políticas de certificación a una CA determinada.
Existen tres métodos básicos que pueden utilizarse para crear los OID de las políticas:
- Utilice los OID preasignados, integrados en Active Directory Certificate Services (AD CS), para seguridad baja, media y alta.
- Utilice la función de "asignación aleatoria" de la CA de Windows 2008/2012.
- Registrar un arco OID público y definir las políticas bajo ese arco en lugar de utilizar un OID privado (método preferido).
Las dos primeras opciones están disponibles para uso de organizaciones privadas. Implementar un OID privado significa que está estableciendo un límite organizativo para su PKI. La tercera opción es utilizar un OID público para que su PKI pueda trabajar con otras organizaciones.
Este post profundizará en la segunda opción; utilizando la función de "asignación aleatoria" de la CA de Windows 2008/2012.
AD CS genera automáticamente un OID privado y exclusivo del bosque cuando se instala la primera función de CA unida a un dominio. En algunos casos, conocer este OID antes de instalar la CA puede ser útil a la hora de crear su conjunto de documentos de Política de Certificación y Declaración de Prácticas de Certificación (CP/CPS), o archivos de configuración de políticas de CA (CAPolicy.inf, Policy.inf).
Para utilizar un OID privado para el archivo CAPolicy.inf, deberá capturar el valor después de la primera parte de la instalación del rol AD CS, antes de iniciar la segunda parte de la configuración de la CA.
Los pasos para obtener el OID privado exclusivo del bosque son los siguientes:
- Añada el rol AD CS, pero no proceda a configurar la CA hasta que tenga su OID. Es decir, antes de hacer clic en el enlace "Configurar los servicios de certificación de Active Directory en el servidor de destino" de la ventana Resultados, o en el indicador de notificaciones "Configuración posterior a la implementación" del Administrador de servidores.
- Ejecute certtmpl.msc para añadir la Consola de Plantillas de Certificados.
- Utilice la consola de plantillas de certificados para generar una nueva política de emisión. Puede utilizar el OID completo proporcionado por la consola o cambiar los dos últimos campos para adaptarlos a sus necesidades.
- Guarde el OID en su archivo %windir%\CAPolicy.inf.
- Reanude la instalación de la CA. Haga clic en el enlace "Configurar los servicios de certificación de Active Directory en el servidor de destino" de la ventana Resultados de la instalación de AD CS o utilice el indicador de notificaciones "Configuración posterior a la instalación" en el Administrador de servidores para iniciar la configuración de la CA y completar la instalación de la CA según lo previsto.
