Puede crear e implementar una lista de confianza de certificados como se detallaaquí, pero estoy tratando de comprender las ventajas de esto en comparación con la implementación normal de certificados raíz e intermedios con una política de grupo. ¿Por qué querría\necesitar hacer esto?
Respuesta1
Una lista de confianza de certificados empresariales (CTL) le brinda más granularidad y control sobre exactamente qué tipos de certificados y para qué fines se puede confiar en esos certificados. La simple distribución de certificados a través de la Política de grupo no le brinda mucho control sobre exactamente cómo y bajo qué circunstancias sus clientes confían en esos certificados.
Una lista de confianza de certificados (CTL) le permite controlar la confianza en el propósito y el período de validez de los certificados emitidos por autoridades de certificación (CA) externas.
Normalmente, una autoridad de certificación puede emitir certificados para una amplia variedad de propósitos, como correo electrónico seguro o autenticación de clientes. Pero puede haber situaciones en las que desee limitar la confianza de los certificados emitidos por una autoridad de certificación en particular, especialmente si la CA está fuera de su organización. En estas situaciones, puede resultar útil crear una CTL y utilizarla a través de la Política de grupo.
Supongamos, por ejemplo, que una autoridad de certificación llamada "Mi CA" es capaz de emitir certificados para autenticación de servidor, autenticación de cliente, firma de código y correo electrónico seguro. Sin embargo, solo desea confiar en los certificados emitidos por My CA con el fin de autenticar al cliente. Puede crear una CTL y limitar el propósito para el cual confía en los certificados emitidos por My CA para que solo sean válidos para la autenticación del cliente. Cualquier certificado emitido para otro propósito por My CA no se acepta para su uso por parte de ninguna computadora o usuario en el alcance del objeto de política de grupo (GPO) al que se aplica la CTL.
Puede haber varias CTL en una organización. Debido a que los usos y las confianzas de los certificados para dominios o unidades organizativas particulares pueden ser diferentes, puede crear CTL independientes para reflejar estos usos y asignar CTL particulares a GPO específicos.
Mediante el uso de la política de grupo en su organización, tiene la opción de designar confianza en las CA mediante la política de autoridad de certificación raíz de confianza o la política de confianza empresarial (CTL). Utilice las siguientes pautas para determinar qué política usar: • Si su organización tiene sus propias CA raíz y usa Active Directory, no necesita usar el mecanismo de Política de grupo para distribuir esos certificados raíz.
• Si su organización tiene sus propias CA raíz que no están instaladas en los servidores, debe utilizar la política de autoridad de certificación raíz confiable para distribuir los certificados raíz de su organización. Para obtener más información, consulte Política de autoridad de certificación raíz de confianza.
• Si su organización no tiene sus propias CA, utilice la política de confianza empresarial para crear CTL para establecer la confianza de su organización en las CA raíz externas. Para obtener más información, consulte Uso de la política de confianza empresarial.