Saltar al contenido principal

PKI - Infraestructura de clave pública explicada

Lectura de 2 min aprox.

PKI (Public Key Infrastructure, infraestructura de clave pública) es el término general para el conjunto de mecanismos utilizados para emitir, administrar y verificar certificados digitales. Una autoridad de certificación (CA) verifica al propietario de una clave pública y emite un certificado, funcionando como la base de confianza para la comunicación TLS y las firmas digitales. A partir de 2025, se está acelerando la tendencia a acortar el periodo de validez de los certificados (a 90 días), lo que aumenta aún más la importancia de la automatización.

Casos de uso reales

«Construimos una PKI interna y emitimos certificados de cliente a todos los empleados. Al exigir autenticación basada en certificados además de contraseñas para las conexiones VPN, hemos establecido un sistema que previene el acceso no autorizado incluso si las credenciales se filtran mediante phishing.»

Diagrama de arquitectura de PKI

CA raíz (sin conexión)
CA intermedia A
CA intermedia B
Certificado de servidor
Certificado de cliente
Certificado de firma de código

Componentes de la PKI

La PKI se compone de una CA raíz (la autoridad de certificación de nivel superior), CA intermedias (autoridades de certificación delegadas por la CA raíz), certificados de entidad final (certificados emitidos a servidores y usuarios) y CRL/OCSP (medios para comprobar los certificados revocados). Un navegador puede confiar en un sitio HTTPS porque puede seguir la cadena de confianza desde el certificado del servidor pasando por la CA intermedia hasta la CA raíz, llegando a una CA raíz preinstalada en el navegador.libros de introducción a la PKI (Amazon) permiten aprender de forma sistemática.

Escenarios de uso práctico

En la PKI empresarial se construye una CA interna para emitir certificados de empleados, que se utilizan para conexiones VPN y cifrado de correo electrónico. En entornos de IoT, los certificados de dispositivo se usan para controlar que solo los dispositivos legítimos puedan conectarse a la red. En entornos en la nube, AWS Certificate Manager y Let's Encrypt automatizan la emisión y renovación de certificados, reduciendo considerablemente la carga operativa. Aprender sobre PKI después de comprender los fundamentos del cifrado facilita captar el panorama general.

Consideraciones operativas

El mayor riesgo en la PKI es la filtración de la clave privada de una CA. Si se filtra la clave privada de una CA raíz, se desmorona la confianza en todos los certificados emitidos por esa CA. La regla inquebrantable es proteger la clave privada de la CA con un HSM y operar la CA raíz sin conexión. Protege la consola de administración de la CA con una contraseña aleatoria fuerte y automatiza la gestión de las fechas de caducidad de los certificados.libros sobre gestión de certificados (Amazon) también son referencias útiles.

Términos relacionados

¿Te resultó útil este artículo?

XHatena