El modo de compatibilidad de CA de Microsoft de EJBCA permite actualizaciones de claves de CA en EJBCA para admitir entornos de Microsoft.

Debido a las diferencias en la gestión de la verificación de CRL y OCSP en Microsoft Windows, se puede habilitar el Modo de Compatibilidad de CA de Microsoft para que las CA modifiquen su comportamiento al renovar su clave. Generalmente, al renovar una clave de CA, se espera que todas las CRL y certificados de respuesta de OCSP futuros se firmen con el nuevo par de claves tras la renovación. En cambio, los entornos Microsoft esperan que cada generación de pares de claves de CA siga firmando las CRL de los certificados emitidos por ese par de claves en particular. Asimismo, se espera que las respuestas de OCSP se sigan firmando con un certificado de respuesta de OCSP firmado por el par de claves original.

Modo de compatibilidad de CA de Microsoft

Cuando se habilita el Modo de Compatibilidad de CA de Microsoft y se renueva la clave de la CA, se crea una nueva partición de CRL y se firma con la clave de firma de CRL más reciente de la CA. Cualquier generación posterior de CRL generará una nueva CRL para cada partición, firmada con su clave de firma de CRL correspondiente. Los certificados emitidos por la CA tendrán su Punto de Distribución de CRL, que apunta a la partición firmada con la misma clave que el certificado.

Las respuestas OCSP emitidas por una CA en el modo de compatibilidad de CA de Microsoft están firmadas por la misma clave que el certificado solicitado, o el respondedor OCSP está firmado por el par de claves correspondiente.

El modo de compatibilidad de CA de Microsoft permite lo siguiente para brindar soporte a los entornos de Microsoft:

La CA generará tantas CRL como generaciones de claves de CA existan. Cada CRL estará firmada con su clave original.
Las respuestas de OCSP tendrán diferentes claves de firma, dependiendo de qué generación de claves de CA firmó el certificado relevante.

Tenga en cuenta que el modo de compatibilidad de CA de Microsoft viene con las siguientes advertencias:

No es posible alternar entre ambos modos. Por lo tanto, el modo de compatibilidad con CA de Microsoft debe estar habilitado al crear la CA. Para obtener más información, consulte el campo de configuración de la entidad de certificación "Modo de compatibilidad con CA de Microsoft" en Campos de CA.
El modo de compatibilidad de Microsoft es mutuamente excluyente con el uso de CRL particionadas .

Configuración

Las siguientes tablas enumeran las configuraciones necesarias para la CA y el perfil del certificado respectivamente.

Configuración de CA

Para usar el modo de compatibilidad de CA de Microsoft, la CA debe configurarse según lo siguiente. Para obtener información sobre todos los campos de CA disponibles, consulte Campos de CA.

Configuración de CA	Requisitos
Datos específicos de CRL
Modo de compatibilidad de CA de Microsoft	Debe estar habilitado. Garantiza que las CRL y las respuestas de OCSP estén firmadas con la clave esperada por los clientes de Microsoft Windows después de la regeneración de claves de CA.
Identificación de clave de autoridad	Debe estar habilitado. Se necesita una extensión para que EJBCA determine qué clave de CA utilizar para la firma de CRL.
Punto de distribución de emisión en CRL	Debe estar habilitado . Se necesita una extensión para que el cliente pueda comprobar que una CRL pertenece a la partición correcta. Sin esta extensión (o si no es crítica y el cliente no la entiende), se podría enviar una CRL incorrecta a un cliente, que consideraría que todos los certificados no están revocados.
Datos de validación definidos por CA predeterminados
Punto de distribución de CRL predeterminado	Los certificados deben tener una URL de punto de distribución (PD) de CRL que apunte a la partición correcta. La URL de PD de CRL afecta el alcance de la CRL (véase RFC 5280, sección 5 ) y debe coincidir exactamente con el certificado y la CRL. *Los asteriscos "" se reemplazan por el número de partición** (excepto en la partición 0, donde se eliminan sin reemplazar). La URL debe contener al menos un asterisco. Si usa la URL "certdist" integrada, solo necesita agregar &param=* a la URL. Esto se realiza automáticamente si hace clic en "Generar" después de habilitar el modo de compatibilidad de CA de Microsoft .
Punto de distribución de CRL más reciente predeterminado	Si utiliza CRL Delta (también conocidas como la extensión "CRL más reciente"), especifique una URL con un asterisco para el número de partición, de la misma manera que en el campo Punto de distribución de CRL predeterminado .

Configuración del perfil del certificado

El perfil de certificado para los certificados emitidos debe configurarse de acuerdo con lo siguiente.

Para obtener información sobre todos los campos de perfil de certificado disponibles, consulte Campos de perfil de certificado .

Configuración del perfil del certificado	Requisitos
Puntos de distribución de CRL	Debe estar habilitado .
Utilice el punto de distribución CRL definido por CA (se muestra cuando los puntos de distribución CRL están habilitados).	Debe estar habilitado .

Los certificados que se emiten con perfiles de certificado no configurados como se indicó anteriormente, y cualquier certificado preexistente antes de activar el Modo de compatibilidad de CA de Microsoft , tendrán el número de partición 0.

Generación de CRL

Una vez que se ha configurado una CA con el modo de compatibilidad de CA de Microsoft , al solicitar la creación de una nueva CRL se generarán CRL para todas las particiones.

Esto se aplica al CRL Update Worker, CLI, WebService, AdminWeb, así como a todas las operaciones que activan indirectamente la generación de CRL, como la importación o renovación de CA.

Obteniendo particiones CRL

EJBCA permite obtener particiones CRL especificando un parámetro en la URL. De forma predeterminada, si no se especifica ningún parámetro, devolverá la partición CRL 0 (que contendrá los certificados existentes; consulte Configuración ).

Los siguientes servlets permiten recuperar particiones CRL. En las URL de ejemplo, el número de partición es 1.

Nombre del servlet	Nombre del parámetro	URL de ejemplo
certdist	dividir	http://ejbca.example.com:8080/ejbca/publicweb/webdist/certdist?cmd=crl&issuer=CN%3DExample&partition=1
búsqueda.cgi (RFC 4387)	dividir (no estándar)	http://ejbca.example.com:8080/crls/search.cgi?iHash=A0LJKitIFOPr%2BpXooZ7b3EWNyu0&partition=1
Administración Web obtenercrl	dividir	https://ejbca.example.com:8443/ejbca/adminweb/ca/getcrl/getcrl?cmd=crl&issuer=CN=Example&partition=1 Requiere certificado de cliente.

Las particiones inexistentes se gestionan de la misma manera que una CA inexistente. Por ejemplo, search.cgi generará la respuesta HTTP "204 Sin contenido".