Las autoridades certificadoras de Active Directory Certificate Services (ADCS) suelen desplegarse sin complicaciones, pero las preguntas sobre licenciamiento aparecen de inmediato: ¿necesito Client Access Licenses adicionales cuando comienzan a emitirse certificados por auto‑inscripción? La respuesta suele ser más simple de lo que parece —y en este artículo la desglosamos con detalle.
Por qué surge la duda sobre las CAL en ADCS
Al tratarse de un rol que “presta” un servicio a los equipos del dominio, es lógico preguntarse si ADCS impone un coste de licencia distinto al de otros servicios base. El razonamiento habitual es:
- El controlador de dominio ya requiere Windows Server CAL para los usuarios o dispositivos que se autentican.
- La CA intermedia —aun estando en el mismo bosque— presta un servicio añadido: la expedición de certificados.
- Si la CA está muy concurrida, ¿acaso Microsoft no exige licencias extra?
La respuesta corta es que ADCS no añade nuevas licencias; simplemente consume las mismas CAL que ya cubren el acceso al sistema operativo Windows Server. Aun así, es importante conocer los matices para evitar sorpresas en una auditoría.
Conceptos básicos de licenciamiento en Windows Server
La edición estándar (o Datacenter) de Windows Server se licencia por número de núcleos del hardware. Sobre esa base, Microsoft establece que cada usuario o dispositivo que acceda a cualquiera de sus servicios debe disponer de una Client Access License (CAL). Estos son los puntos críticos:
- CAL de usuario
Asocia la licencia a la persona. Resulta rentable cuando un mismo usuario inicia sesión en varios equipos (portátil, sobremesa, móvil con VPN, etc.). - CAL de dispositivo
Asocia la licencia al equipo. Suele elegirse en entornos con ordenadores compartidos o “kioscos”. - No se cuentan conexiones simultáneas
Cada CAL cubre al sujeto (usuario o dispositivo) sin importar el número de sesiones abiertas a la vez. - Se otorgan por versión
Una CAL para Windows Server 2022 permite acceder a 2022 y versiones previas, pero no necesariamente a futuras versiones mayores.
Qué rol juega ADCS en el licenciamiento
No se requieren CAL adicionales específicas
ADCS es un role service del propio sistema operativo. Cuando un equipo del dominio solicita un certificado mediante auto‑inscripción, el canal de comunicación se establece a través de los servicios web (IIS) o RPC ya presentes en Windows Server. Esa interacción está cubierta por la CAL que el equipo o el usuario ya posee para el resto de funcionalidades del servidor.
En otras palabras, si tu organización ya cumple con las Windows Server CAL para autenticar usuarios, esa misma licencia cubre el tráfico necesario para que certreq.exe o el agente de auto‑inscripción descarguen su certificado.
Cómo se cubre la auto‑inscripción
Auto‑inscripción aprovecha la política de grupo Certificate Services Client – Auto‑Enrollment. Los pasos simplificados son:
- El equipo actualiza la directiva (
gpupdate) y detecta una plantilla publicada. - Llama a la función
EnterprisesEnrollment(RPC) o al servicio de inscripción basada en web (IIS). - La CA verifica la identidad en Active Directory y firma el nuevo certificado.
- El cliente almacena la clave privada en su key store y publica la parte pública en AD si se requiere.
Aunque estos pasos parezcan “extra”, todos ellos transitan por canales ya cubiertos por las Windows Server CAL ordinarias, sin disparar licencias adicionales.
Diferencia entre CAL de usuario y CAL de dispositivo
Elegir mal el tipo de CAL es un error costoso. La tabla siguiente resume los criterios de selección:
| Escenario | CAL recomendada | Por qué |
|---|---|---|
| Empleados con portátil, sobremesa y móvil corporativo | Usuario | Una sola CAL cubre múltiples dispositivos de la misma persona. |
| Puesto de fábrica con turnos rotativos | Dispositivo | Varios operarios usan un mismo PC; pagas por el equipo, no por cada turno. |
| Laboratorio con VMs temporales | Usuario | Un desarrollador crea y destruye máquinas: más económico licenciar al individuo. |
| Aula de informática con 30 PCs idénticos | Dispositivo | Cada estación es fija; la CAL de dispositivo es la opción obvia. |
Escenarios comunes y mejores prácticas
Emisión a equipos del dominio
La situación habitual: una CA intermedia empresarial firma certificados de equipo, usuario y servidor. Basta con que todos los dispositivos o usuarios con cuenta en AD dispongan de su correspondiente Windows Server CAL.
Emisión a dispositivos no unidos
Si la CA firma certificados para entidades fuera del dominio (por ejemplo, IoT o móviles gestionados vía MDM), la External Connector License simplifica el licenciamiento: cubre conexiones ilimitadas desde terceros sin requerir CAL por usuario. Solo se necesita una por servidor expuesto públicamente.
Entornos híbridos
Cuando Azure AD emite certificados device en nombre de tu CA on‑premises, los usuarios siguen accediendo al controlador de dominio para autenticación Kerberos. El licenciamiento vuelve a descansar en las CAL on‑premises; el componente cloud se rige por tu suscripción de Microsoft Entra ID P1/P2.
Servicios que sí disparan CAL adicionales
No confundas ADCS con otros roles. Ejemplos que sí exigen licencias aparte:
- Remote Desktop Services (RDS) CAL
- Exchange Server CAL
- SharePoint Server CAL
- System Center Client Management License
ADCS, en cambio, permanece cubierto por la misma CAL genérica de Windows Server.
Preguntas frecuentes
¿Puedo cubrirme con licencias por conexión simultánea?
No. Microsoft licencia por “derecho de acceso”, no por recuento de sockets abiertos. Si un usuario puede iniciar sesión, debe estar cubierto, aunque hoy no lo haga.
¿Qué ocurre si clono máquinas virtuales para pruebas?
Cada clon es un nuevo dispositivo y, en teoría, necesitaría su CAL de dispositivo. En laboratorios efímeros, licenciar por usuario suele resultar más rentable.
¿La auto‑inscripción vía VPN cambia algo?
No. Mientras el servidor al que se conecta sea Windows Server, se aplican las mismas reglas de CAL.
Checklist de cumplimiento para una auditoría
- Inventario actualizado de usuarios y dispositivos que inician sesión en el dominio.
- Registro de versiones y ediciones de Windows Server instaladas.
Licenses.xlsxcon el desglose de CAL de usuario y de dispositivo.- Documentación de roles habilitados (ADCS, RDS, Exchange, etc.).
- Política de provisión y de baja de cuentas para evitar licencias “huérfanas”.
- Reserva de External Connector License si se publican servicios a terceros ajenos al dominio.
- Procedimientos para revisar la herramienta
Software Licensing Servicey los informesslmgr.vbs /dlv.
Conclusiones clave
Instalar una autoridad certificadora intermedia de ADCS no conlleva licencias distintas a las ya requeridas por tu entorno de Windows Server. La misma CAL que habilita a un usuario para iniciar sesión cubre la obtención automática de certificados. Solo tendrá impacto adicional el habilitar otros roles que Microsoft tarifique aparte, o la necesidad de emitir certificados a dispositivos externos, supuesto en el que la External Connector License simplifica la ecuación.
En definitiva, revisa tu inventario con ojo crítico, escoge sabiamente entre CAL de usuario y de dispositivo —y duerme tranquilo sabiendo que tu CA no hará saltar el contador de licencias.