Cómo eliminar correctamente una Entidad de certificación

Proteger las comunicaciones a través de certificados digitales es uno de los procesos más seguros que utilizan las organizaciones en la actualidad. El uso de criptografía de clave pública hace que los certificados sean imposibles de descifrar y se pueden usar para proteger innumerables operaciones de red.

Por supuesto, cualquier red que no está progresando se está quedando atrás, y en algún momento debe actualizarse. Puede haber un caso en el que la necesidad de reemplazar o eliminar una Autoridad de Certificación (CA) antigua se convierta en una prioridad, por lo que exploraremos la importancia y el proceso de desmantelar una CA obsoleta.

Importancia de la organización de CA

Al igual que con la mayoría de las cosas de la vida, mantener organizados los componentes de red (en este caso, CA) es una excelente estrategia para la longevidad y el alto rendimiento. Con el tiempo, esto puede incluir reemplazar su CA porque desea actualizar a un nuevo proveedor, ya no necesita un sistema más antiguo o una infinidad de otras razones que pueda tener. Es vital eliminar por completo una CA antigua debido a la confusión que puede causar dentro de su red si no se toca.

Uno de los problemas más inmediatos con los que se encontrarán los usuarios de red si una CA se elimina incorrectamente es la dificultad con la autenticación. La CA firma certificados y durante el proceso de autenticación, y esa firma se comprueba para garantizar que el certificado proviene de una fuente de CA de confianza. Si esa firma de CA ya no es válida, los usuarios no podrán autenticarse y se confundirán porque no cambiaron nada sobre su proceso y no pueden conectarse.

Es especialmente importante eliminar correctamente una CA raíz de la red. La CA raíz firma certificados distribuidos a los usuarios finales para la autenticación y esos certificados se pueden configurar para que duren años. Si la CA raíz no se elimina correctamente y los certificados no se revocan, podría terminar en una situación en la que una CA raíz antigua siga técnicamente activa y los usuarios que tengan un certificado firmado por ella puedan acceder a la red cuando se les deba denegar. Esto puede provocar graves interrupciones en el servicio o una posible brecha de seguridad.

Un paso clave para limpiar una CA antigua es eliminar el objeto de inscripción de CA para que los usuarios ya no puedan intentar inscribirse en un certificado de esa CA. Si una CA antigua todavía permite a los usuarios intentar inscribirse para un certificado, causará grandes ralentizaciones durante la transición a una CA nueva. Esto es especialmente importante para los clientes de Active Directory (AD), ya que el AD intentará inscribirlos automáticamente para un certificado si el objeto de inscripción sigue activo.

Limpiar y eliminar una CA obsoleta

El proceso de eliminar una CA antigua y limpiar su red no es un proceso demasiado complejo, pero requiere precisión. Si no se toman ciertos pasos y se pierden detalles, se generarán muchos usuarios confusos y se dejarán abiertas vulnerabilidades de seguridad.

A continuación, detallamos los pasos generales para eliminar correctamente una CA de su red.

• Revocar todos los certificados vinculados a la CA
  • No puede haber certificados persistentes en manos de servidores, usuarios, dispositivos, etc.
• Agregar todos los certificados a una Lista de Revocación de certificados (CRL)
  • Asegúrese de que la lista esté publicada y probada
• Cancelar cualquier solicitud de certificado pendiente
  • No se pueden emitir certificados nuevos firmados por esta CA
• Eliminar servicios de certificados relacionados con la CA
  • Esto incluye operaciones como la eliminación de la clave privada y la eliminación de plantillas de certificado asociadas a la CA

El proceso puede no ser rápido, pero la minuciosidad refleja resultados positivos. Si elimina por completo todo lo asociado con la CA, no tendrá problemas para reemplazarla. Si bien las complejidades del proceso pueden variar entre los diferentes proveedores de CA, los pasos generales para completar la eliminación siguen siendo los mismos. A continuación se enlaza un vistazo detallado al proceso de eliminación de CA para aquellos que tienen una CA basada en Windows.

Servicios de certificados de primera línea con SecureW2

Si está buscando eliminar una CA antigua y reemplazarla con algo nuevo, los servicios de PKI de SecureW2 son insuperables en cuanto a experiencia de usuario y seguridad. Nuestra PKI lista para usar puede crear rápidamente una CA para su autenticación o integrarse fácilmente con la infraestructura de red de cualquier proveedor importante, incluido AD CS. Por lo tanto, si está buscando un reemplazo para los servicios de certificados de AD, no busque más: SecureW2.

El portal de administración de SecureW2 permite a los administradores ver y administrar fácilmente todos los certificados en la red. La revocación es un proceso rápido, o puede ver todos los eventos de autenticación e inscripción y solucionar de forma remota cualquier problema con el que se puedan encontrar los usuarios.

Uno de los principales problemas que encuentran las organizaciones con los certificados es cómo distribuirlos de manera eficiente a los usuarios finales. La solución de incorporación JoinNow permite a los usuarios configurar automáticamente cualquier dispositivo en cuestión de minutos y estar listos para la autenticación de inmediato. Ayuda enormemente a hacer que todos los servicios de PKI sean extremadamente escalables. Puede ser utilizado fácilmente por una organización de cualquier tamaño y crece con usted con el tiempo.

SecureW2 ofrece una amplia gama de servicios de certificados, desde autenticación RADIUS y mucho más. Si necesita avanzar desde una CA obsoleta, SecureW2 le ofrece una variedad de opciones y funciones de certificado. Consulte nuestra página de precios para ver si nuestra PKI se ajusta a las necesidades de su red.