Ubicación de los certificados en Windows 10
Tenga en cuenta que todos los almacenes de certificados de los usuarios actuales, excepto el de Usuario actual/Personal, heredan el contenido de los almacenes de certificados de la máquina local. Por ejemplo, si se añade un certificado al almacén de certificados de las Autoridades de certificación raíz de confianza del equipo local, todos los almacenes de certificados de las Autoridades de certificación raíz de confianza del usuario actual (con la advertencia anterior) también contienen el certificado.
La verificación de la firma del controlador durante la instalación Plug and Play (PnP) requiere que los certificados raíz y Authenticode, incluidos los certificados de prueba, se encuentren en un almacén de certificados de la máquina local.
Certificados para dummies
En un esquema típico de infraestructura de clave pública (PKI), el emisor de certificados es una autoridad de certificación (CA),[2] normalmente una empresa que cobra a los clientes por emitir certificados para ellos. En cambio, en un esquema de red de confianza, los individuos firman directamente las claves de los demás, en un formato que realiza una función similar a la de un certificado de clave pública.
El formato más común para los certificados de clave pública es el definido por X.509.[3] Dado que X.509 es muy general, el formato se ve restringido por perfiles definidos para determinados casos de uso, como la Infraestructura de Clave Pública (X.509) definida en el RFC 5280.
El protocolo de seguridad de la capa de transporte (TLS) -así como su antecesor, el protocolo de capa de sockets seguros (SSL)- garantizan la seguridad de la comunicación entre un ordenador cliente y un servidor. El protocolo requiere que el servidor presente un certificado digital que demuestre que es el destino previsto. El cliente que se conecta lleva a cabo la validación de la ruta de certificación, garantizando que:
El campo Asunto del certificado debe identificar el nombre de host principal del servidor como Nombre Común. Un certificado puede ser válido para varios nombres de host (por ejemplo, un dominio y sus subdominios). Estos certificados se denominan comúnmente certificados de nombre alternativo del sujeto (SAN) o certificados de comunicaciones unificadas (UCC). Estos certificados contienen el campo Nombre Alternativo del Sujeto, aunque muchas CAs también lo ponen en el campo Nombre Común del Sujeto por compatibilidad con versiones anteriores. Si algunos de los nombres de host contienen un asterisco (*), un certificado también puede denominarse certificado comodín.
Instalar el certificado
Tenía curiosidad por saber dónde se almacenan exactamente los certificados y sus correspondientes claves privadas en una máquina Windows. Hice un poco de investigación, y la imagen es algo clara, sin embargo hay un montón de información sobre el tema y algunos puntos no parecen corresponder a la situación real en mi máquina de Windows 8.
Empecemos por lo más básico, la consola MMC de Certificados, fácilmente lanzada por certmgr.msc. Nos da la primera pista de dónde se almacenan los certificados, al permitirnos ver los almacenes físicos de certificados:
Como puedes ver, hay varios almacenes: el Registro, el Equipo Local (disco duro), la Tarjeta Inteligente. También hay algunos que no se muestran en la imagen: el almacén de la empresa, el almacén de la política de grupo, el almacén de terceros. Cuando se utiliza una CA de AD, también hay algunos contenedores bajo la partición de Configuración, pero vamos a ignorarlos.
Si realmente vamos a MMC y añadimos el snap-in de certificados, tenemos algunas opciones más para la cuenta. Corresponden a una cuenta de usuario normal, una cuenta de servicio o la cuenta del ordenador. Así que todos esos almacenes listados arriba tienen su ubicación correspondiente para cada cuenta. Empecemos por el almacén del Registro:
Carpeta de certificados de Windows Server 2016
Este documento explica los pasos necesarios para distribuir los certificados digitales que se utilizan en la plataforma Windows. Mediante la configuración de la distribución de certificados, puede distribuir certificados como los certificados SSL (para navegadores web como Chrome), certificados raíz de CA de AD (para autenticar a los usuarios en su red WiFi) a los objetivos especificados.
Para eliminar un certificado específico, tendrá que especificar un nombre común (CN) y su número de serie. Busque el CN y el número de serie en el almacén de certificados del ordenador donde existe el certificado.
