En cualquier organización que trabaje con Windows, los certificados digitales, las firmas de controladores y los dispositivos criptográficos se han vuelto el pan de cada día. Da igual que solo gestiones unos cuantos PCs o todo un dominio: si quieres seguridad, autenticación fuerte y control sobre el software que se instala, tienes que entender bien cómo funciona este ecosistema.
Además de los certificados típicos para Hacienda o la Seguridad Social, en entornos profesionales es clave saber cómo administrar certificados de usuario, certificados de controlador, autoridades de certificación internas y herramientas como Adobe, navegadores o tokens. Suena a lío, pero si desgranamos paso a paso verás que es bastante manejable, siempre que tengas claros los conceptos y sigas ciertas buenas prácticas.
Qué es un certificado digital y por qué es tan importante en Windows
Un certificado digital es básicamente un documento electrónico que actúa como tu DNI en Internet. Lo emite una Autoridad de Certificación (CA) reconocida. Sirve para identificar de forma inequívoca a una persona, una empresa o incluso a un servidor o una web.
Este certificado incluye datos identificativos del titular (nombre, NIF o CIF, organización, etc.) que la CA ha verificado previamente. Gracias a esto, podemos usarlo para firmar documentos, autenticarnos ante la Administración o validar que una web o un controlador se consideran de confianza.
En el mundo Windows, estos certificados permiten firmar electrónicamente documentos, programas, controladores y establecer conexiones seguras. Por eso es tan importante gestionarlos bien: instalarlos donde toca, renovarlos antes de que caduquen, exportar copias de seguridad, revocarlos si hay problemas y no borrarlos a lo loco.
Hay certificados para casi todo: personales, de empresa, de sede electrónica, de controladores, certificados raíz, intermedios, de cliente, de servidor y un largo etcétera. Windows los almacena en diferentes “almacenes” (stores) a los que acceden aplicaciones como Edge, Chrome, Adobe Reader, AutoFirma o herramientas de administración.
Tipos de certificados digitales que te encontrarás
Dentro del ecosistema Windows, te vas a cruzar con distintos tipos de certificados según el uso y el titular. Son estos:
- Certificados personales, emitidos a nombre de una persona física. Los usamos para identificarnos en trámites online, firmar documentos PDF, acceder a la AEAT, DGT, Seguridad Social, etc.
- Certificados de entidad. Asociados a una empresa, asociación u organización. Aquí quien firma o se identifica es la entidad, aunque el uso lo haga un representante autorizado. Se utilizan para presentar impuestos de la empresa, firmar documentos societarios o relacionarse con la Administración en nombre de la organización.
- Certificados de sede electrónica. Identifican una página web o portal oficial como perteneciente a una Administración o entidad pública, garantizando que ese sitio es legítimo y que la comunicación está protegida.
En el almacén de Windows verás además categorías como Entidades emisoras raíz de confianza, entidades intermedias, otros usuarios, autenticación de cliente o “certificados no eliminables”. Son piezas de la cadena de confianza que permiten validar los certificados finales.
Certificados de firma de código y firma de controladores en Windows
Cuando hablamos de drivers y software en Windows, entran en juego los certificados de firma de código. Su función es garantizar que un programa o un controlador ha sido emitido por un editor concreto y no ha sido modificado desde que se firmó.
En el caso concreto de los controladores de modo kernel, Windows es especialmente estricto. A partir de Windows 7 (parcheado para SHA-256) y Windows 8, y más aún desde Windows 10, los drivers deben estar firmados con algoritmos seguros (como SHA-256) y, en muchos casos, con certificados de firma de código de validación extendida (EV).
Para firmar controladores se usa habitualmente la herramienta SignTool, que forma parte del SDK de Windows. Con ella se pueden especificar opciones como el certificado, la contraseña del PFX, el algoritmo de hash, certificados adicionales (por ejemplo, el certificado cruzado de Microsoft) y el servidor de sellado de tiempo.
Parámetros clave de SignTool son /f para indicar el archivo PFX, /p para la contraseña, /fd para el algoritmo de hash (por ejemplo /fd sha256), /ac para añadir el certificado cruzado, /tr para configurar un servidor de sello de tiempo RFC 3161 y /n para escoger un certificado concreto del almacén por su nombre común.
Una vez firmados los binarios del controlador (normalmente el .sys y el .cat), se puede verificar la firma con signtool verify -v -kp, que valida según los criterios específicos de drivers de modo kernel. Consulta la guía de sigcheck para herramientas complementarias de verificación. Si todo está correcto, Windows instalará el controlador mostrando el editor como “conocido y de confianza”.
Requisitos previos: programa de desarrollador de hardware y certificados EV
Si vas a publicar controladores a través del ecosistema de Microsoft, como administrador del Centro de asociados (Partner Center) para hardware, tendrás que ocuparte de incorporar, actualizar y retirar certificados de firma de código asociados a tu organización.
Lo primero es registrarte en el Programa de desarrolladores de hardware de Microsoft. Si la cuenta de tu empresa todavía no existe, tendrás que completar el alta siguiendo el proceso de registro y vinculando la organización.
Para poder subir y firmar drivers necesitas un certificado de firma de código, preferiblemente EV, emitido por un proveedor de confianza. Si la empresa ya dispone de uno vigente, puedes reutilizarlo. Si no, tendrás que adquirirlo a través de una CA reconocida. La entidad verificará la identidad de la compañía (documentación, contacto, teléfono, etc.) y, una vez aprobado, te proporcionará instrucciones para descargar el certificado.
En entornos modernos, es indispensable trabajar con certificados y marcas de tiempo basados en SHA-2 (SHA-256). El soporte para SHA-1 está retirado en la práctica para nuevos usos, tanto en certificados de firma de código como en servidores de sellado de tiempo.
Cómo agregar, renovar o revocar certificados de firma de código en el Centro de asociados
Con el certificado EV o estándar ya emitido, el siguiente paso es agregarlo al panel de hardware en el Centro de asociados, para que Microsoft lo reconozca a la hora de firmar y validar tus controladores. Estos son los pasos:
- Inicia sesión en el portal con credenciales de administrador de la cuenta de hardware. Desde ahí, accede al icono de engranaje de la esquina superior derecha y entra en la sección de configuración de cuenta o configuración de desarrollador.
- Haz clic en la opción “Administrar certificados” (en el menú lateral).
- Selecciona “Agregar un nuevo certificado” y avanza con el asistente. El portal te permitirá descargar un archivo binario (normalmente Signablefile.bin) que tendrás que firmar localmente usando SignTool con tu certificado de firma de código y el algoritmo SHA-256, junto con un sello de tiempo SHA-2 válido.
- Finalmente sube el certificado de vuelta al Centro de asociados. Microsoft validará que la firma coincide con un certificado emitido a tu organización y, si todo está correcto, añadirá ese certificado a la lista de certificados de firma de código aceptados para tu cuenta.
Cómo ver y gestionar los certificados instalados en Windows
Todos los certificados que instalas, tanto personales como de sistema, se almacenan en el administrador de certificados de Windows. Desde ahí, las aplicaciones consultan qué certificados hay disponibles para autenticación, firma o cifrado.
Para revisar los certificados de equipo (nivel máquina), utilizados por el sistema y por muchos servicios, puedes usar el comando certlm.msc desde la barra de búsqueda o la ventana Ejecutar (Win + R). Se abrirá la consola de certificados de equipo local con distintas carpetas clasificadas por propósito.
En cambio, para ver tus certificados personales de usuario, la herramienta es certmgr.msc. Aquí encontrarás los certificados ligados solo a tu perfil de Windows: los que usas para trámites administrativos, certificados de trabajo, los que instalan ciertas aplicaciones o navegadores, etc.
Para usuarios más avanzados, también es posible comprobar la presencia de certificados en el Registro de Windows. Por ejemplo, los certificados del usuario actual se almacenan en rutas como HKEY_CURRENT_USER/Software/Microsoft/SystemCertificates/CA/Certificates, mientras que los certificados asociados a directivas de grupo (GPO) se ven en ramas bajo HKCU/Software/Policies/Microsoft/SystemCertificates.
En muchos casos no es necesario tocar nada en el Registro, pero viene bien conocerlo si tienes que diagnosticar problemas de carga de certificados, duplicados o políticas aplicadas por dominio.
Exportar, hacer copia de seguridad y borrar certificados en Windows
Si trabajas con frecuencia con certificados, es fundamental que tengas una estrategia de copia de seguridad. Perder un certificado sin respaldo puede implicar tener que repetir todo el proceso de solicitud y acreditación presencial.
Windows permite exportar certificados desde el administrador de certificados. Basta con localizar el certificado en la carpeta correspondiente, pulsar con el botón derecho, ir a “Todas las tareas” y elegir “Exportar”. Se abrirá un asistente que te preguntará si quieres incluir la clave privada y qué formato de exportación deseas.
Para mover un certificado personal a otro equipo o guardarlo en un USB, lo normal es generar un archivo PFX/P12 protegido con contraseña. De esta forma, al hacer doble clic en otro ordenador y proporcionar la clave, podrás instalar el certificado con su clave privada asociada.
En cuanto al borrado, hay que tener especial cuidado. En el mismo administrador, seleccionando un certificado y eligiendo la opción de eliminar, lo sacas del almacén y deja de estar disponible para Windows y cualquier aplicación. Si te equivocas, puedes romper autenticaciones, impedir el uso de programas o incluso afectar a la estabilidad del sistema.
Por eso se recomienda no borrar certificados del sistema al azar y hacer siempre una copia de seguridad antes, sobre todo si no tienes muy claro para qué se usa cada uno. Lo mismo se aplica a certificados de usuario que aún están vigentes y que podrías necesitar más adelante.
Smartcards, tokens criptográficos y Bit4id PKI Manager
En muchas empresas y organismos públicos, los certificados no se almacenan en el disco del equipo, sino en tarjetas inteligentes (smartcards) o tokens USB criptográficos. Esto añade una capa extra de seguridad, ya que la clave privada nunca abandona el dispositivo físico.
Una de las herramientas habituales para gestionar estos dispositivos es Bit4id PKI Manager, que se comunica con los tokens y tarjetas para desbloquear, cambiar PIN/PUK, importar certificados, exportar claves públicas y mucho más. Por defecto se ejecuta en modo usuario, pero puedes habilitar opciones avanzadas con la combinación de teclas Ctrl + A.
Desde el panel de dispositivo puedes ver información del lector, de la tarjeta, del estado del PIN y PUK y la lista de certificados de usuario y de CA almacenados. Si el PIN está bloqueado o no lo recuerdas, puedes usar la función de desbloqueo con el PUK, siempre que no se haya agotado el número máximo de intentos.
Además, el PKI Manager permite cambiar el PIN cuando sospechas que alguien más lo conoce, cambiar el PUK, iniciar y cerrar sesión en el dispositivo, actualizar el contenido para que aparezcan nuevos certificados y renombrar el dispositivo para identificarlo mejor.
La importación de certificados en la tarjeta se hace normalmente con archivos .p12 o .pfx que incluyan la clave privada. Debes indicar el PIN del dispositivo, la contraseña del archivo PFX y, opcionalmente, un identificador CKA_ID útil para ciertas aplicaciones PKCS#11.
Para exportar, solo se saca la clave pública en formato .cer, nunca la privada. Esto sirve para compartir el certificado con terceros o instalar la parte pública donde sea necesaria para verificar firmas o autenticaciones. (Consulta riesgos de conectar USB desconocidos).
Configuración avanzada y comprobaciones de carga de certificados
En la barra de herramientas de Bit4id PKI Manager también encontrarás un acceso directo al almacén de certificados de Windows, donde podrás ver cómo los certificados de la tarjeta se copian en la carpeta “Personal” del usuario, si está activada esa integración.
El panel de configuración del middleware permite ajustar parámetros como la importación automática de certificados de CA desde P12/PFX, la generación de logs, el borrado de la caché del middleware y la integración con la CryptoAPI/CSP de Microsoft. Esta última opción es clave si quieres que aplicaciones Windows (incluidos Edge o Chrome) vean los certificados del token directamente.
Si tienes problemas, conviene hacer varias comprobaciones:
- Verificar que los certificados aparecen en certmgr.msc (usuario).
- Asegurarse que se cargan en Firefox (en su almacén interno), o bien que Edge o Chrome los ven desde su sección de certificados.
- Comprobar que Adobe Reader detecta los IDs digitales de Windows.
En Adobe, por ejemplo, puedes listar los “IDs digitales de Windows” para confirmar que el certificado de la tarjeta se ve correctamente. Si no aparece, el problema puede estar en el middleware, en el lector, en el PIN o en alguna configuración de integración con el sistema.
Programas auxiliares y gestores profesionales de certificados
Los certificados por sí solos no hacen magia. Para sacarles partido necesitas aplicaciones que los usen para autenticación, firma de documentos, cifrado o conexión a servicios públicos. En el ámbito español, hay varios programas casi obligatorios.
Por un lado está el Configurador FNMT-RCM, que facilita la generación de claves y la obtención de certificados FNMT. También es muy conocido AutoFirma, desarrollado por el Ministerio de Hacienda, que se integra con los navegadores y páginas de la Administración para firmar electrónicamente formularios y documentos.
Muchas de estas aplicaciones dependen de Java Runtime Environment (JRE). No vale cualquier versión: en ocasiones hay rangos concretos recomendados (por ejemplo, desde la versión 8 Update 45 hasta ciertas versiones posteriores). Siempre es buena idea revisar los requisitos de cada portal.
Existen también utilidades como la Gestión de Certificados CERES, módulos criptográficos PKCS#11 y drivers específicos para trabajar con tarjetas criptográficas, que añaden compatibilidad con Firefox y otros entornos, o facilitan cambios de PIN, desbloqueos y visualización de certificados.
En el terreno profesional, donde se manejan decenas o cientos de certificados (asesorías, gestorías, despachos…), se recurre a software especializado como DigiCert Certificate Utility for Windows o ADMCert. Estos programas permiten inventariar certificados, aplicar políticas de uso, controlar quién los usa, desde dónde y para qué, y detectar problemas de configuración o caducidades próximas.
Con herramientas de este tipo puedes configurar reglas basadas en usuarios o grupos de directorio activo, horarios, IPs de origen o aplicaciones que llaman al certificado. Esencial para mantener orden y seguridad cuando los certificados ya no son solo cosa de un usuario aislado.
Active Directory Certificate Services y autoridad de certificación interna
En entornos Windows corporativos, es muy habitual desplegar una Autoridad de Certificación interna con Active Directory Certificate Services (AD CS). Esto permite emitir certificados para usuarios, equipos, servidores, VPN, Wi-Fi corporativa, firma de código interna, etc., sin depender siempre de una CA externa.
La instalación se realiza desde el Administrador del servidor, agregando el rol de Servicios de certificados de Active Directory. El asistente te irá pidiendo que selecciones el servidor, marques el rol de Entidad de certificación y, opcionalmente, el rol de Inscripción web de entidad de certificación (CA Web Enrollment), que requerirá agregar también características como IIS.
Tras instalar el rol, debes ejecutar el asistente de configuración de AD CS. Ahí eliges los roles a configurar (CA y CA Web Enrollment), el tipo de CA (normalmente empresarial) y el tipo de entidad (a menudo CA raíz si es la primera). Tendrás que decidir si creas una nueva clave privada, el algoritmo criptográfico (recomendable SHA-256) y el tamaño de clave, así como el nombre de la CA y el periodo de validez del certificado raíz.
La configuración también incluye las rutas donde se guardarán la base de datos de certificados y los logs. Conviene conservar estas rutas bien documentadas, porque las vas a necesitar para copias de seguridad, restauraciones y migraciones futuras.
Una vez configurada la CA, podrás emitir plantillas de certificados, automatizar la inscripción a través de GPO, publicar certificados de equipo y usuario en Active Directory y crear un ecosistema completo de certificados internos integrados con tus dominios.
Con todo este panorama, administrar certificados y firmas de controladores en Windows pasa por tener claros los conceptos básicos. No hay que olvidar aplicar siempre buenas prácticas: no compartir claves, hacer copias de seguridad, vigilar caducidades, revocar si hay sospechas y evitar borrar nada sin saber qué es. Con esa base, moverse por este mundillo deja de ser un quebradero de cabeza y se convierte en una parte más de la administración diaria del entorno.
