Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
La infraestructura de clave pública es más que solo certificados. Es un ecosistema completo de hardware, software, políticas y procedimientos que trabajan juntos para crear, distribuir y verificar identidades digitales a gran escala.
Cuando la gente oye "PKI", a menudo piensa solo en los certificados. Pero un certificado digital es simplemente el resultado más visible de un sistema mucho más grande. La Infraestructura de Clave Pública (PKI) es el conjunto completo de roles, políticas, hardware, software y procedimientos que hacen posible crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales.
Piense en ello de esta manera: si un certificado es una licencia' de conductor, entonces PKI es todo el sistema detrás de él: la agencia gubernamental que emite licencias, la base de datos que almacena registros, las normas sobre quién califica, el proceso para revocar una licencia después de una infracción, y el equipo utilizado para verificar la licencia en una parada de tráfico. Ninguna pieza funciona de forma aislada.
Comprender cómo funciona PKI es esencial para cualquier persona responsable de asegurar las comunicaciones, gestionar identidades de máquinas o diseñar la confianza dentro de una organización. Este capítulo recorre cada componente principal, desde las Autoridades de Certificación y las Autoridades de Registro hasta las jerarquías de confianza, los protocolos de inscripción y las prácticas operativas que mantienen todo el sistema confiable.
Un entorno PKI funcional depende de varios componentes interconectados. Cada uno desempeña un papel distinto en el ciclo de vida de la confianza.
La Autoridad de Certificación es la entidad de confianza que emite y firma certificados. Garantiza la vinculación entre una clave pública y una identidad. Las AC pueden ser públicas (confiables por los navegadores globalmente) o privadas (confiables solo dentro de una organización).
El RA actúa como guardián. Recibe solicitudes de certificados, verifica la identidad del solicitante y envía las solicitudes aprobadas a la CA para su firma. En muchas implementaciones, la función de RA está integrada en la CA, pero las grandes organizaciones a menudo las separan por seguridad y escalabilidad.
Un directorio o base de datos donde se almacenan y ponen a disposición los certificados emitidos y sus metadatos. A menudo es un directorio LDAP o una base de datos interna que permite a los clientes y administradores buscar certificados cuando sea necesario.
Cuando un certificado debe ser invalidado antes de que expire, la CA publica esta información a través de Listas de Revocación de Certificados (CRL) o el Protocolo de Estado de Certificado en Línea (OCSP). Los clientes verifican esto para confirmar que un certificado sigue siendo válido. Obtenga más información en el revocación de certificados capítulo.
Estos son los usuarios, servidores, dispositivos o aplicaciones que poseen certificados. Una entidad final genera una pareja de claves, solicita un certificado y lo usa para autenticarse, cifrar o firmar datos.
Todo PKI serio está regido por un Política de Certificado (CP) y una Declaración de Prácticas de Certificación (CPS). Estos documentos definen las reglas: quién puede obtener un certificado, cómo se verifica la identidad, cómo se almacenan las claves y qué ocurre durante una vulneración.
Los entornos PKI se organizan en niveles jerárquicos. La estructura que elijas tiene implicaciones directas para la seguridad, la flexibilidad y la complejidad operativa. Aquí están los tres modelos estándar:
La arquitectura más simple: una CA que es tanto la raíz de confianza como la emisora del certificado. Es fácil de configurar, pero arriesgada: si la clave privada de la CA raíz se ve comprometida, todo el PKI colapsa. Este modelo solo es apropiado para entornos pequeños y de bajo riesgo, como redes de laboratorio o configuraciones de desarrollo.
El modelo más común en entornos empresariales. La CA raíz se mantiene offline (aislada y almacenada en una caja fuerte), y una o más CAs emisoras subordinadas gestionan la emisión diaria de certificados. Si una CA emisora se ve comprometida, revocas su certificado y creas una nueva. La raíz permanece intacta. Esta es la arquitectura con la que la mayoría de las organizaciones deberían comenzar.
Utilizado por grandes organizaciones, gobiernos e industrias reguladas. Un CA de política se sitúa entre la raíz y los CA emisores, aplicando reglas específicas para diferentes partes de la organización. Por ejemplo, un banco podría tener un CA de política para su TI interno y otro para los servicios de cara al cliente, cada uno con diferentes requisitos de validación. Esto añade complejidad operativa pero brinda un control granular y una fuerte aislación.
Independientemente del modelo de niveles, el principio fundamental es el mismo: la clave privada de la CA's raíz debe protegerse a toda costa. Si se pierde la confianza en la raíz, cada certificado en la jerarquía se vuelve no confiable. Por eso las CAs raíz casi siempre se mantienen fuera de línea, y sus claves se almacenan en Módulos de Seguridad de Hardware (HSM) dentro de instalaciones físicamente seguras.
La inscripción de certificados es el proceso mediante el cual una entidad final obtiene un certificado de una CA. Mientras el protocolo específico varía (ACME, SCEP, EST, CMP, o un portal web), el flujo lógico es consistente:
La entidad final genera un asimétrico par de claves, una clave pública y una clave privada. La clave privada nunca abandona el control de la entidad's. El algoritmo y el tamaño de clave (p. ej., RSA 2048, ECDSA P-256) dependen de la política organizacional.
La entidad empaqueta la clave pública junto con la información de identificación (nombre del sujeto, organización, nombres de dominio) en una CSR. La CSR está firmada con la clave privada de la entidad, demostrando la posesión del par de claves correspondiente.
La autoridad de registro recibe la CSR y verifica la identidad del solicitante. Para un certificado TLS público, esto podría ser una verificación automatizada del control de dominio. Para un certificado interno de empleado, podría implicar la comprobación contra un directorio de recursos humanos o requerir la aprobación del gerente.
Después de la aprobación, la CA construye el certificado X.509 (incorporando la clave pública, la información del sujeto, el período de validez, extensiones y número de serie) y luego la firma con la propia clave privada de la CA's. Esta firma es la prueba de confianza.
El certificado firmado se devuelve a la entidad final y se instala en el sistema objetivo (un servidor web, una laptop, un dispositivo IoT). A partir de este punto, el certificado se utiliza para los intercambios TLS, la firma de correos electrónicos, la firma de código o la autenticación mutua, según su tipo y las extensiones de uso de clave.
A punto de anclaje de confianza es un certificado raíz de CA que un sistema acepta como inherentemente confiable, sin necesidad de que nadie más lo respalde. Los puntos de anclaje de confianza son el punto de partida de toda validación de certificados. Si su sistema confía en una CA raíz, confiará en cada certificado emitido bajo esa raíz (siempre que la cadena de confianza sea válida).
Los anclajes de confianza se almacenan en almacenes de confianza, colecciones curadas de certificados raíz de CA mantenidos por sistemas operativos, navegadores y aplicaciones. Apple, Microsoft, Mozilla y Google mantienen cada uno sus propios programas de almacenes de confianza con requisitos estrictos para la inclusión. Una CA raíz debe someterse a auditorías rigurosas (WebTrust, ETSI) y cumplir con los Requisitos Base del Foro CA/Navegador para ser incluida.
Para PKI privado (el tipo que la mayoría de las empresas operan), los anclajes de confianza se distribuyen internamente. El certificado raíz de CA de su organizaci'n se envía a los portátiles de los empleados, servidores y dispositivos de red mediante políticas de grupo, herramientas de gestión de configuración o perfiles MDM. Cualquier certificado emitido por su CA privada será confiado solo por los sistemas que tengan su raíz en su almacén de confianza.
Esta distinción entre confianza pública y privada es fundamental. La confianza pública significa que su certificado es reconocido por miles de millones de dispositivos en todo el mundo. La confianza privada significa que solo se reconoce dentro de su entorno controlado. Ambas son válidas; sirven a diferentes propósitos.
Ejecutar una PKI no es solo cuestión de software. Involucra seguridad física, procedimientos criptográficos y supervisión continua. Aquí están los fundamentos operacionales que mantienen una PKI confiable:
Una ceremonia de claves es un procedimiento formal y auditado para generar o usar la clave privada de una CA's. Las ceremonias de claves de la CA raíz son particularmente rigurosas: se llevan a cabo en salas físicamente seguras, con múltiples testigos, grabación de video y guiones estrictos. Cada paso se documenta para fines de auditoría. El objetivo es garantizar que el material criptográfico más sensible se maneje con absoluta responsabilidad.
Un HSM es un dispositivo de hardware resistente a manipulaciones que genera, almacena y gestiona claves criptográficas. En PKI, los HSM protegen las claves privadas de la CA's; las claves nunca salen del HSM en texto plano. Si alguien manipula físicamente el dispositivo, destruye las claves. Los HSM son el estándar de la industria para cualquier CA de producción, y su uso suele ser requerido por marcos de auditoría como WebTrust y ETSI.
Cada acción en una PKI bien gestionada se registra: emisión de certificados, revocación, generación de claves, cambios de política, acceso de administrador. Estos registros son esenciales para la respuesta a incidentes, el cumplimiento normativo y la preparación de auditorías. Marcos como eIDAS, NIS2 y DORA exigen cada vez más que las organizaciones demuestren control sobre su infraestructura criptográfica.
Una interrupción de CA significa que no se pueden emitir nuevos certificados y no se pueden procesar revocaciones. Los entornos PKI de producción requieren planes de recuperación ante desastres probados, incluyendo copias de seguridad de claves HSM (a menudo usando división de claves con controles M-de-N), infraestructura redundante y procedimientos de recuperación documentados.
Ejecute su propio PKI: Evertrust PKI ofrece una plataforma de Autoridad de Certificación completa y lista para producción. Despliegue CAs raíz y subordinados con integración HSM incorporada, aplicación de políticas y protocolos de inscripción (ACME, SCEP, EST, CMP), sin tener que construir la infraestructura desde cero.
Visibilidad completa del ciclo de vida: Evertrust CLM le brinda una vista única de todos los CA, públicos y privados, para que siempre sepa qué certificados existen, dónde están desplegados y cuándo expiran.
Listo para auditoría desde el primer día: Cada operación de certificado se registra y es rastreable. Los informes integrados le ayudan a cumplir con los requisitos de cumplimiento de eIDAS, NIS2, DORA y los marcos de auditoría interna sin recopilar evidencia manualmente
Soporte flexible de jerarquía: Ya sea que necesite una PKI de dos niveles simple o una arquitectura de varios niveles compleja con CAs de política y certificación cruzada, Evertrust PKI soporta toda la gama de modelos de despliegue
