Publicado el
April 15, 2026
Microsoft Active Directory Certificate Services sigue siendo importante. Microsoft define ADCS como una función de Windows Server para emitir y gestionar certificados PKI utilizados en comunicaciones seguras y autenticación, y esa es precisamente la razón por la que sigue profundamente integrado en la infraestructura empresarial.
Para muchas organizaciones, ADCS no es una nota histórica; es el ancla de confianza detrás de TLS interno, la autenticación de usuarios y dispositivos, Wi‑Fi, VPN y otros flujos de trabajo centrados en Microsoft establecidos. El error no es no mantener ADCS. El error es esperar que ADCS, por sí solo, resuelva un problema que ha superado la emisión de certificados.
Esa distinción importa porque el centro de gravedad en la PKI empresarial ha cambiado. La parte difícil ya no es solo emitir certificados. Es descubrirlos, gestionarlos, renovarlos a tiempo, demostrar el cumplimiento de políticas, entender la propiedad y ampliar las operaciones de confianza a través de Windows, Linux, cargas de trabajo en la nube, API, contenedores, dispositivos de red y puntos finales gestionados. En otras palabras, las empresas ya no necesitan solo una autoridad certificadora. Necesitan un modelo operativo de certificados. La guía de NCSC’s hace eso claro en la forma en que enmarca la PKI privada: alta disponibilidad, registro robusto, solicitudes autenticadas y autorizadas, vidas cortas de los certificados, renovación automatizada, monitoreo, revocación y planificación de nuevos algoritmos criptográficos se presentan como principios de diseño fundamentales, no como extras opcionales.
Por eso la pregunta más útil en 2026 no es “¿Deberíamos reemplazar ADCS?” Sino “¿Qué debe estar por encima de ADCS para que pueda soportar casos de uso modernos?” La respuesta, cada vez más, es un Gestor del Ciclo de Vida de Certificados: no como un complemento cosmético, sino como la capa operativa que convierte a una CA en un servicio de confianza gobernable. Eso es una inferencia de hacia dónde se han desplazado los requisitos de PKI: el motor de emisión sigue siendo importante, pero ahora más del riesgo se sitúa en las operaciones del ciclo de vida alrededor de él.
ADCS fue creado para la emisión. El PKI moderno se trata de operaciones.
La propia documentación de Microsoft’s revela aquí. ADCS trata sobre la emisión y gestión de certificados como un rol de Windows Server. NDES amplía eso actuando como una autoridad de registro, de modo que routers y otros dispositivos de red sin credenciales de dominio puedan obtener certificados mediante SCEP. Eso es útil, y muestra que Microsoft ha reconocido durante mucho tiempo la necesidad de ir más allá de los sistemas clásicos unidos al dominio. Pero también destaca el límite: estos servicios se centran principalmente en habilitar rutas de enrolamiento y emisión. No son, por sí mismos, una respuesta completa al descubrimiento a nivel de toda la infraestructura, la orquestación del ciclo de vida, la gobernanza multiplataforma o la visibilidad de la identidad de máquinas.
Ese límite solía ser más fácil de ignorar. En un entorno más lento y centralizado, el proceso humano podía compensar la falta de controles del ciclo de vida. Los equipos podían mantener hojas de cálculo locales, depender de unos pocos especialistas y tratar la renovación como un evento administrativo ocasional. Ese modelo ahora se está desmoronando. En la PKI pública de la Web, el Foro CA/Navegador ya está reduciendo la validez máxima del certificado de suscriptor a 200 días el 15 de marzo de 2026, 100 días el 15 de marzo de 2027 y 47 días el 15 de marzo de 2029. Incluso donde esas reglas específicas no gobiernan directamente la emisión interna, señalan la dirección del mercado’: ciclos de vida más cortos, renovaciones más frecuentes y menos tolerancia para operaciones manuales de certificados.
¿Listo para asegurar su infraestructura PKI?
Descubra cómo Evertrust puede ayudarle a gestionar sus certificados de manera eficiente y segura.
Al mismo tiempo, la planificación postcuántica está convirtiendo la gobernanza de certificados en un asunto estratégico más que en uno puramente operativo. NIST finalizó sus primeros estándares principales postcuánticos en agosto de 2024, y el NCSC del Reino Unido ahora dice que las organizaciones deberían, para 2028, definir objetivos de migración, llevar a cabo un descubrimiento completo de los servicios e infraestructuras que dependen de la criptografía, y elaborar un plan de migración inicial; para 2031, ejecutar trabajos de migración de alta prioridad temprana; y para 2035, completar la migración. Esa línea de tiempo es importante porque deja una cosa inevitablemente clara: si no puedes ver tus certificados y dependencias criptográficas, no puedes planificar de manera realista el cambio de algoritmo.
Lo que un Gestor del Ciclo de Vida de Certificados aporta sobre ADCS
Lo primero que añade una capa de ciclo de vida es la visibilidad. ADCS puede decirte lo que ha emitido. Eso no es lo mismo que saber qué está realmente implementado, aún confiado, aún usado, duplicado, olvidado, o fuera de la línea limpia de los registros de la CA. Un CLM amplía ADCS construyendo el inventario operativo que la CA por sí sola no proporciona: descubrimiento, mapeo de propiedad, visibilidad de expiración y la capacidad de ver la confianza tal como existe en el entorno, en lugar de solo en la consola emisora. La guía PQC de NCSC’s es una fuerte validación externa de esa necesidad, porque inicia el viaje de migración con descubrimiento en lugar de con algoritmos. Eso no es accidental. El descubrimiento es ahora un requisito previo para la gobernanza de la confianza.
Lo segundo que añade es la automatización. RFC 8555 define ACME como un protocolo que automatiza la verificación, la emisión de certificados y funciones relacionadas como la revocación. Los principios privados de PKI de NCSC’s llaman por separado a una renovación de certificados sin fricción y automatizada, sin afectar la seguridad. En conjunto, esas fuentes cuentan una historia coherente: las operaciones de certificados están pasando de una administración basada en tickets a una automatización basada en políticas. Un CLM amplía ADCS al proporcionar esa capa de orquestación a través de la renovación, alertas, aprobaciones y diversidad de protocolos, de modo que la gestión de certificados se convierta en un proceso repetible en lugar de un simulacro recurrente.
¿Quieres aprender más sobre la gestión de certificados?
Descubra nuestros recursos sobre mejores prácticas de PKI y estrategias de implementación.
La tercera cosa que añade es la gobernanza. NCSC enfatiza un registro robusto, solicitudes autenticadas y autorizadas a las autoridades de certificación, monitoreo central, revocación y una planificación de criptografía fuerte. CISA y NSA, mientras tanto, enumeraron explícitamente los Servicios de Certificado de Active Directory inseguros entre las principales configuraciones erróneas que sus equipos de evaluación encuentran regularmente. La lección no es que ADCS sea exclusivamente defectuoso. La lección es que la infraestructura de certificados se vuelve riesgosa cuando el registro, los permisos, la visibilidad y la política no se gestionan como una disciplina integrada. Un CLM amplía ADCS centralizando los controles alrededor de la CA: quién puede solicitar qué, bajo qué política, con qué ruta de aprobación, con qué monitoreo y con qué evidencia para auditoría o respuesta a incidentes.
La cuarta cosa que añade es espacio de maniobra arquitectónico. La mayoría de las empresas no quieren una elección binaria entre “dejar ADCS tal cual” y “eliminarlo.” Tampoco deberían. El modelo más pragmático es preservar ADCS donde aún aporta valor, especialmente en flujos de trabajo nativos de Microsoft, mientras se introduce una capa de ciclo de vida que abstrae las operaciones de certificados en entornos heterogéneos. Ese enfoque reconoce una verdad que muchos programas PKI pasan por alto: la CA puede no ser el cuello de botella inmediato. El cuello de botella suele ser todo lo que la rodea. Un CLM brinda a las organizaciones una forma de modernizar las operaciones de confianza sin forzar un reemplazo disruptivo del ancla de confianza desde el primer día. Eso es una inferencia, pero sigue directamente de la brecha entre lo que ADCS está diseñado para hacer y lo que los equipos PKI modernos ahora se espera que operen.
La conclusión estratégica
El futuro del PKI empresarial no se trata solo de mejores autoridades de certificación. Se trata de mejores operaciones de certificados.
Por eso la conversación sobre ADCS necesita madurar. ADCS sigue teniendo un papel legítimo como CA interno. Lo que ya no posee, por sí solo, es suficiente alcance operativo para gestionar la identidad de máquinas a escala empresarial moderna. Ciclos de vida más cortos, infraestructura más distribuida, diversidad de protocolos, mayores expectativas de resiliencia y la preparación post-cuántica están impulsando a las organizaciones hacia la misma conclusión: la emisión es necesaria, pero ya no es suficiente.
Así que la verdadera pregunta no es si ADCS debe quedarse o irse. La verdadera pregunta es qué debe situarse encima de él para que la confianza pueda gestionarse como una disciplina operativa moderna. Para muchas organizaciones, esa capa faltante es la gestión del ciclo de vida de los certificados: el plano de visibilidad, automatización y gobernanza que permite a ADCS continuar haciendo lo que hace bien, mientras lo extiende a las realidades de la infraestructura híbrida, el crecimiento de la identidad de máquinas y la cripto-agilidad. Esa es la historia de modernización más fuerte y creíble, porque parte de cómo las empresas realmente evolucionan su infraestructura de confianza, en lugar de cómo los proveedores desearían que lo hicieran.
