Certificados y NPS

5/16/2018 Certificados y NPS - slidepdf.com

http://slidepdf.com/reader/full/certificados-y-nps 1/27

Información general de NPS

Este tema aún no ha recibido ninguna valoración Valorar este tema

Se aplica a: Windows Server 2008

Información general de NPS

La información general de NPS incluye contenido que no es específico de la forma de

implementar NPS ni de las características elegidas para su uso. Por ejemplo, se puede

configurar cuentas RADIUS tanto si implementa NPS como un servidor RADIUS, un

proxy RADIUS o como un servidor de directivas NAP.

Para obtener más información, consulte las siguientes secciones:

Configuración de NPS en un equipo de host múltiple

Configuración de NPS para usar la base de datos del Administrador de cuentas de

seguridad

Configuración de la información del puerto UDP de NPS

Directivas en NPS

Protocolo y componentes RADIUS

Registro del servidor NPS en los Servicios de dominio de Active Directory

Métodos de autenticación de NPS

Cuentas RADIUS

Clientes RADIUS

Protección de NPS

Certificados y NPS

Certificados y NPS

Los certificados son documentos digitales emitidos por entidades de certificación (CA),como los Servicios de Certificate Server de Active Directory® (AD CS) o la entidad de

http://technet.microsoft.com/es-es/library/cc754411(v=ws.10).aspx#feedback



http://technet.microsoft.com/es-es/library/cc771405(v=ws.10).aspx





































certificación pública Verisign. Los certificados se pueden usar con diversos propósitos,

como la firma de código y la comunicación segura mediante correo electrónico; pero con el

Servidor de directivas de redes (NPS), los certificados se usan para la autenticación delacceso a la red.

Los certificados se usan para la autenticación del acceso a la red porque ofrecen un nivelelevado de seguridad a la hora de autenticar usuarios y equipos y eliminan la necesidad de

usar métodos de autenticación basados en contraseñas, que son menos seguros.

Existen dos métodos de autenticación que usan certificados cuando se configuran con tipos

de autenticación basados en certificados: EAP y PEAP. Con EAP, puede configurar el tipode autenticación TLS (EAP-TLS) y, con PEAP, puede configurar los tipos de autenticación

TLS (PEAP-TLS) y MS-CHAP v2 (PEAP-MS-CHAP v2). Estos métodos de autenticación

siempre usan certificados para la autenticación del servidor. Dependiendo del tipo de

autenticación configurado con el método de autenticación, los certificados también puedenusarse para la autenticación de usuario y de equipo cliente.

Nota

El uso de certificados para la autenticación de conexiones VPN es la forma más segura de

autenticación disponible en Windows Server® 2008. Debe usar la autenticación basada en

certificados para las conexiones VPN basadas en el protocolo de túnel de capa dos en el protocolo

de seguridad de Internet (L2TP/IPSec). La conexiones PPTP (protocolo de puentes de punto a

punto) no requieren certificados, aunque se pueden configurar para usar certificados para la

autenticación de equipos cuando se use el método de autenticación EAP-TLS. Para los clientes

inalámbricos, se recomienda usar el método de autenticación PEAP con EAP-TLS y tarjetas

inteligentes o certificados.

Puede implementar certificados para usarlos con NPS mediante la instalación yconfiguración de la función de servidor Servicios de Certificate Server de Active Directory.

Para obtener más información, consulte la documentación de AD CS.

Tipos de certificado

Cuando se usan métodos de autenticación basados en certificados, es importante entender

los siguientes tipos de certificados y cómo se usan.

Certificado de CA

Cuando está presente en equipos cliente y servidor, indica al cliente o al servidor que

puede confiar en otros certificados, como los certificados usados para la autenticación del

servidor, que son emitidos por esta CA. Este certificado es necesario para todas las

implementaciones de métodos de autenticación basados en certificados.



Certificado de equipo cliente

Lo emite una CA a equipos cliente y se usa cuando el equipo cliente tiene que demostrar

su identidad a un servidor que ejecuta NPS durante el proceso de autenticación.

Certificado de servidor

Lo emite una CA a servidores NPS y se usa cuando el servidor NPS tiene que demostrar su

identidad a un equipo cliente durante el proceso de autenticación.

Certificado de usuario

Lo emite una CA a personas individuales y, normalmente, se distribuye como un

certificado integrado en una tarjeta inteligente. El certificado de la tarjeta inteligente se

usa, junto con un lector de tarjetas inteligentes que se instala en el equipo cliente, cuando

los usuarios tienen que demostrar su identidad a los servidores NPS durante el proceso de

autenticación.

Métodos de autenticación basados en certificados.

Cuando usa EAP con un tipo de EAP de alta seguridad (como TLS con certificados o

tarjetas inteligentes), tanto el cliente como el servidor usan certificados para comprobar susidentidades entre sí. Este proceso se denomina autenticación mutua. Los certificados deben

cumplir ciertos requisitos para permitir que el servidor y el cliente los usen para

autenticarse.

Uno de los requisitos es que el certificado se configure con uno o más propósitos en las

extensiones EKU relacionados con el uso del certificado. Por ejemplo, un certificado que se

usa para la autenticación de un cliente a un servidor debe configurarse con el propósito deautenticación del cliente. Del mismo modo, un certificado que se use para la autenticación

de un servidor debe configurarse con el propósito de autenticación del servidor. Cuando los

certificados se usan para la autenticación, el autenticador examina el certificado de clienteen busca del identificador de objeto del propósito adecuado en las extensiones EKU. Por

ejemplo, el identificador de objeto del propósito de autenticación del cliente es

1.3.6.1.5.5.7.3.2. Cuando un certificado se usa para la autenticación de un equipo cliente, elidentificador de objeto debe estar presente en las extensiones EKU del certificado o la

autenticación genera un error.

Las plantillas de certificado son un complemento de Microsoft Management Console

(MMC) que se suministra para poder personalizar los certificados emitidos por AD CS.Entre las características que se pueden personalizar, se incluyen el modo de emisión de los

certificados y su contenido, además del propósito. En Plantillas de certificado, puede usaruna plantilla predeterminada, como la plantilla Equipo, para definir la plantilla que la CA

usará para asignar certificados a los equipos. Asimismo, puede crear una plantilla de

certificado y asignar propósitos de las extensiones EKU al certificado. De formapredeterminada, la plantilla Equipo incluye el propósito de autenticación del cliente y el

propósito autenticación del servidor en las extensiones EKU.



La plantilla de certificado que cree puede incluir cualquier propósito para el que se vaya a

usar el certificado. Por ejemplo, si usa tarjetas inteligentes para la autenticación, puede

incluir el propósito de inicio de sesión de tarjeta inteligente, además del propósito deautenticación del cliente. Puede configurar NPS para comprobar propósitos de certificado

antes de conceder autorización de red. NPS puede comprobar extensiones EKU y

propósitos de directiva de emisión adicionales (también conocidos como directivas decertificado).

Nota

Algunos programas de entidades de certificación que no son de Microsoft pueden incluir un

propósito llamado Todos, que representa todos los propósitos posibles. Esto se indica mediante

una extensión EKU en blanco (o nula). Aunque Todos significa "todos los propósitos posibles", no

puede sustituir al propósito de autenticación del cliente, el propósito de autenticación del servidor

o cualquier otro propósito relacionado con la autenticación del acceso a la red.

Descripción de la autenticación con certificados

Cuando se suministra un certificado a un equipo cliente o servidor como prueba de

identidad, el autenticador debe examinar el certificado para determinar su validez, ver si se

ha configurado con el propósito para el que se está usando y determinar si el certificado fueemitido por una CA de confianza.

Suponiendo que un certificado se haya configurado correctamente y sea válido, el aspecto

más importante del proceso de autenticación es que el autenticador se asegure de que la CAque emitió el certificado es de confianza.

Si el autenticador confía en la CA y el certificado es válido y se configuró correctamente,

según los requisitos mínimos de servidor y cliente para certificados, la autenticación será

satisfactoria. Si el autenticador no confía en la CA, la autenticación genera un error.

Cómo se establece la confianza

Los equipos basados en Windows guardan los certificados en un almacén de certificados

del equipo local. Hay un almacén de certificados para el equipo local, el usuario local y

servicios individuales, como las conexiones de red, las actualizaciones automáticas y el

examinador de equipos. Cada almacén de certificados incluye una carpeta llamada

Entidades emisoras raíz de confianza que contiene certificados de las CA de confianza, quepueden ser públicas o privadas.

Para determinar la confianza, el autenticador comprueba el almacén de certificados

Entidades emisoras raíz de confianza para el usuario actual o el equipo local.

Si la CA que emitió el certificado de cliente, usuario o servidor que se está usando para la

autenticación tiene un certificado en el almacén de certificados Entidades emisoras raíz de



confianza del equipo local, el autenticador confiará en el certificado. Si la CA emisora no

tiene un certificado de CA en el almacén de certificados Entidades emisoras raíz de

confianza del equipo local, el autenticador no confiará en el certificado.

Importante

El certificado de CA debe estar presente en el almacén de certificados Entidades emisoras raíz de

confianza del equipo local, tanto si el equipo es un cliente como si es un servidor, para que otros

certificados emitidos por la CA sean de confianza.

Entidades de certificación públicas

Algunos de estos certificados de CA raíz de confianza, que son emitidos por entidades de

certificación raíz de confianza públicas, se incluyen de manera predeterminada en todas las

instalaciones de Windows. Se suministran en el CD de instalación del producto o bien en

los equipos vendidos por los fabricantes de equipos originales (OEM) que distribuyen losequipos con Windows instalado.

Por ejemplo, en el almacén de certificados de los equipos que ejecutan Windows XP, en la

carpeta Entidades emisoras raíz de confianza, se incluyen certificados de CA de Verisign

Trust Network CA, Thawte Premium Server CA y Microsoft Root Certification Authority.Si un equipo que ejecuta Windows XP se encuentra con un certificado emitido por una de

estas CA y el certificado es válido y está correctamente configurado, el equipo que ejecuta

Windows XP confiará en el certificado.

Es posible adquirir certificados adicionales de numerosas compañías, como Verisign y

Thawte, para usarlos en su infraestructura de autenticación. Por ejemplo, si implementaPEAP-MS-CHAP v2 y la opción Validar un certificado de servidor se ha configurado enel cliente, el equipo cliente autenticará el servidor NPS con el certificado de servidor NPS.

Si no desea implementar una CA propia y emitir certificados de servidor propios a

servidores NPS, puede comprar un certificado de servidor de una compañía cuya CA sea deconfianza para los equipos cliente.

Entidades de certificación privadas

Cuando las organizaciones implementan su propia infraestructura de clave pública (PKI) e

instalan una CA raíz pública, la CA envía automáticamente su certificado a todos los

equipos miembros de dominio de la organización. Los equipos cliente y servidor que sonmiembros de dominio almacenan el certificado de CA en el almacén de certificados

Entidades emisoras raíz de confianza. Una vez que esto sucede, los equipos miembros dedominio confían en los certificados que son emitidos por la CA raíz de confianza de la

organización.

Por ejemplo, si instala AD CS, la CA envía su certificado a los equipos miembros de

dominio de su organización y ellos almacenan el certificado de CA en el almacén de



certificados Entidades emisoras raíz de confianza del equipo local. Si también configura e

inscribe automáticamente un certificado de servidor para sus servidores NPS y,

posteriormente, implementa PEAP-MS-CHAP v2 para las conexiones inalámbricas, todoslos equipos cliente inalámbricos que sean miembros de dominio podrán autenticar

satisfactoriamente sus servidores NPS con el certificado de servidor NPS porque confían en

la CA que emitió el certificado de servidor NPS.

Nota

Para los equipos que no son miembros de dominio, el certificado de CA se debe instalar

manualmente en el almacén de certificados Entidades emisoras raíz de confianza para poder

confiar en certificados, como los certificados de servidor NPS, que son emitidos por una CA

privada.

Certificados necesarios

En la tabla siguiente se identifican los certificados que son necesarios para implementarsatisfactoriamente cada uno de los métodos de autenticación basados en certificados.

Certificado¿Es necesario para EAP-TLS y

PEAP-TLS?

¿Es necesario para PEAP-

MS-CHAP v2?Detalles

El certificado

de CA del

almacén decertificados

Entidades

emisoras raízde confianza

para el equipo

local y el

usuario actual.

Sí. El certificado de CA seinscribe automáticamente

para los equipos miembros

de dominio. Para losequipos que no son

miembros de dominio, el

certificado debe importarsemanualmente al almacén de

certificados.

Sí. Este certificado se

inscribeautomáticamente para

los equipos que son

miembros de dominio.Para los equipos que no

son miembros de

dominio, el certificadodebe importarse

manualmente al

almacén de certificados.

Para PEAP-MS-

CHAP v2, este

certificado esnecesario para la

autenticación mutua

entre cliente yservidor.

El certificado

de equipocliente que se

encuentra en el

almacén decertificados del

cliente.

Sí. Los certificados de

equipo cliente son

necesarios a menos que sedistribuyan certificados de

usuario en tarjetasinteligentes. Los

certificados de cliente se

inscriben automáticamentepara los equipos que son

miembros de dominio. Para

No. La autenticación deusuario se realiza con

credenciales basadas en

contraseñas, y nocertificados.

Si implementa

certificados deusuario en tarjetas

inteligentes, losequipos cliente no

necesitarán

certificados decliente.



los equipos que no son

miembros de dominio, el

certificado debe importarse

manualmente u obtenersemediante la herramienta de

inscripción en web.

El certificadode servidor que

se encuentran

en el almacénde certificados

del servidor

NPS.

Sí. Puede configurar AD CS

para inscribir

automáticamentecertificados de servidor para

el grupo de servidores RAS

e IAS de Servicios de

dominio de ActiveDirectory (AD DS).

Sí. Además de usar

AD CS para loscertificados de servidor,

puede adquirir

certificados de servidorde entidades de

certificación que sean

de confianza para los

equipos.

El servidor NPSenvía el certificado

de servidor al equipo

cliente, que usa elcertificado para

autenticar el servidor

NPS.

El certificado

de usuario de

una tarjetainteligente.

No. Este certificado sólo esnecesario si decide

implementar tarjetasinteligentes en lugar de

inscribir automáticamente

los certificados de equipocliente.

No. La autenticación de

usuario se realiza concredenciales basadas en

contraseñas, y no

certificados.

Para EAP-TLS y

PEAP-TLS, si noinscribe

automáticamentecertificados de

equipo cliente, se

necesitancertificados de

tarjeta inteligente.

Importante

La autenticación IEEE 802.1X proporciona acceso autenticado a redes inalámbricas 802.11 y a

redes Ethernet por cable. 802.1X ofrece compatibilidad para los tipos EAP seguros, como TLS con

tarjetas inteligentes o certificados. Puede configurar 802.1X con EAP-TLS de diversas formas. Si la

opción Validar un certificado de servidor está configurada en el cliente, éste autenticará el

servidor con su certificado. La autenticación de equipo cliente y de usuario se puede llevar a cabo

con certificados del almacén de certificados de cliente o de una tarjeta inteligente, lo que permite

la autenticación mutua. Con los clientes inalámbricos, se puede usar como método de

autenticación PEAP-MS-CHAP v2. PEAP-MS-CHAP v2 es un método de autenticación de usuario

basado en contraseña que usa TLS con certificados de servidor. Durante la autenticación de PEAP-

MS-CHAP v2, el servidor IAS o RADIUS facilita un certificado para validar su identidad al cliente (si

la opción Validar un certificado de servidor está configurada en Windows Vista® y el cliente

Windows XP Professional). La autenticación de equipo cliente y de usuario se lleva a cabo con

contraseñas, lo que elimina parte de la dificultad de implementar certificados en equipos cliente

inalámbricos.



Inscripción de certificados en equipos que son miembros de dominio y

equipos que no lo son

La pertenencia a dominios de los equipos para los que desea inscribir certificados influyeen el método de inscripción de certificados que se puede usar. Los certificados para los

equipos miembros de dominio se pueden inscribir automáticamente, mientras que para losequipos que no son miembros de dominio un administrador debe inscribir los certificados

por medio de la herramienta de inscripción en web de AD CS Web, un disquete o un CD.

Inscripción de certificados para equipos miembros de dominio

Si un servidor VPN, servidor NPS o cliente que ejecuta Windows 2000, Windows XP o

Windows Vista es miembro de un dominio que ejecuta Windows Server 2008 o Windows

Server 2003 y AD DS, puede configurar la inscripción automática de certificados de equipoy de usuario. Una ve que haya configurado y habilitado la inscripción automática, todos los

equipos miembros de dominio recibirán certificados de equipo la siguiente vez que se

actualice la directiva de grupo, ya sea de forma manual mediante el comando gpupdate obien iniciando sesión en el dominio.

Si su equipo es miembro de un dominio donde no se ha instalado AD DS, puede instalarcertificados de equipo manualmente solicitándolos a través del complemento MMC

Certificados.

Nota

Los equipos que ejecutan Windows 2000 sólo pueden inscribir automáticamente certificados de

equipo.

Inscripción de certificados para equipos que no son miembros de dominio

La inscripción de certificados para equipos que no son miembros de dominio no se puedeefectuar si no es automáticamente. Cuando un equipo va unido a un dominio, se establece

una relación de confianza que permite la inscripción automática sin intervención del

administrador. Cuando un equipo no va unido a un dominio, no se establece la relación de

confianza y el certificado no se emite. La confianza se puede establecer por medio de unode los métodos siguientes:

Un administrador (que es, por definición, de confianza) debe solicitar un certificado de

equipo o de usuario con la herramienta de inscripción en web de CA.

Un administrador debe guardar un certificado de equipo o de usuario en un disquete e

instarlo en un equipo que no sea miembro de dominio. O bien, si el administrador no tiene

acceso al equipo (por ejemplo, un equipo doméstico que se conecta a la red de una

organización mediante una conexión L2TP/IPsec VPN), el certificado puede ser instalado

por un usuario de dominio que sea de confianza para el administrador.



Un administrador puede distribuir un certificado de usuario en una tarjeta inteligente (los

certificados de equipo no se distribuyen en tarjetas inteligentes).

Muchas infraestructuras de red contienen servidores VPN y NPS que no son miembros dedominio. Así, por ejemplo, puede que un servidor VPN de una red perimetral no sea

miembros de dominio por razones de seguridad. En ese caso, antes de poder negociarsatisfactoriamente conexiones VPN basadas en L2TP/IPsec con equipos cliente, esnecesario instalar en las extensiones EKU del servidor VPN que no es miembro de dominio

un certificado de equipo que incluya el propósito de autenticación del servidor. Si un

servidor VPN que no es miembro de dominio se usa como extremo de una conexión VPN

con otro servidor VPN, las extensiones EKU deben incluir los propósitos de autenticacióndel servidor y autenticación del cliente.

Si ejecuta una entidad de certificación (CA) de empresa en un equipo con WindowsServer 2008 o Windows Server 2003, Standard Edition, puede usar la tabla siguiente para

determinar el método de inscripción de certificados que mejor se ajuste a sus necesidades:

Objeto y pertenencia a

dominio

Plantilla de

certificado

Propósitos de

certificado

Método

preferente de

inscripción de

certificados

Método alternativo

de inscripción de

certificados

Servidor VPN, IAS o

NPS, miembro de

dominio

EquipoAutenticación delservidor

Inscripciónautomática

Solicitar un

certificado con elcomplemento

Certificados

Servidor VPN con

conexión de sitio asitio, miembro de

dominio

Equipo

Autenticación del

servidor yautenticación del

cliente


Solicitar un


Certificados

Windows Vista o

cliente Windows XP,miembro de dominio

EquipoAutenticación del

cliente

Inscripción

automática

Solicitar uncertificado con el

complemento

Certificados

Servidor VPN, IAS o

NPS, no

perteneciente a undominio

EquipoAutenticación del

servidor

Herramientas de

inscripción en

web de CA

Instalar desde un

disquete

Servidor VPN conconexión de sitio a

sitio, no perteneciente

a un dominio

Equipo

Autenticación delservidor y

autenticación del

cliente

Herramientas de

inscripción enweb de CA

Instalar desde un

disquete

Windows Vista ocliente Windows XP,

EquipoAutenticación delcliente

Herramientas deinscripción en

Instalar desde undisquete



no perteneciente a un

dominio

web de CA

Usuario, usuario de

dominioUsuario

Autenticación del

cliente

Inscripción

automática

Usar una tarjeta

inteligente o la

herramienta de

inscripción en webde CA

Si su CA está instalada en un equipo que ejecuta uno de los siguientes sistemas operativos,los servidores RAS e IAS y las plantillas de autenticación de estación de trabajo estarándisponibles para el uso:

Windows Server 2003, Enterprise Edition

Windows Server 2003, Datacenter Edition

Windows Server 2003, Enterprise Edition para sistemas basados en Itanium

Windows Server 2003, Datacenter Edition para sistemas basados en Itanium

Windows Server 2003, Enterprise x64 Edition

Windows Server 2003, Datacenter x64 Edition

Windows Server 2008

Use la tabla siguiente para determinar cuándo usar estas plantillas.

Objeto y pertenencia a

dominio

Plantilla de

certificado

Propósito del

certificado

Método

preferente de

inscripción de

certificados

Método

alternativo de

inscripción de

certificados

Servidor VPN, IAS o

NPS, miembro de

dominio

Servidor RAS eIAS

Autenticacióndel servidor


Solicitar un


Certificados

Windows Vista ocliente Windows XP,

miembro de dominio

Autenticaciónde estación de

trabajo

Autenticación

del cliente

Inscripción

automática

Solicitar uncertificado con el

complementoCertificados

Servidor VPN, IAS o

NPS, noperteneciente a un

dominio

Servidor RAS eIAS

Autenticacióndel servidor

Herramientas de

inscripción en

web de CA

Instalar desde undisquete



Windows Vista o

cliente Windows XP,

no perteneciente a un

dominio

Autenticación

de estación detrabajo

Autenticación

del cliente

Herramientas de

inscripción enweb de CA

Instalar desde un

disquete

Importante

Si el servidor que ejecuta NPS no es un controlador de dominio, pero es miembro de un dominio

con un nivel funcional de Windows 2000 mixto, debe agregar el servidor a la lista de control de

acceso (ACL) de la plantilla de certificado de servidor RAS e IAS. También debe configurar los

permisos adecuados para la inscripción automática. Existen diferentes procedimientos para

agregar servidores individuales y grupos de servidores a la ACL.

Para agregar un servidor individual a la ACL para la plantilla de certificado de servidor

RAS e IAS

1. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, a

continuación, agregue el servidor NPS a las propiedades de la plantilla Seguridad.2. Después de agregar el servidor NPS a la ACL, otorgue los permisos Lectura,

Inscripción e Inscripción automática.

Para administrar un grupo de servidores, agregar los servidores a un nuevo grupo global

o universal y, a continuación, agregar el grupo a la ACL de la plantilla de certificado

1. En Usuarios y equipos de Active Directory, cree un nuevo grupo global o universal

para los servidores NPS.

2.

Agregue al grupo todos los equipos que son servidores NPS, que no soncontroladores de dominio y que son miembros de un dominio con un nivel funcional

de Windows 2000 mixto.

3. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, acontinuación, agregue el servidor NPS a las propiedades de la plantilla Seguridad.

4. Conceda los permisos Lectura, Inscripción e Inscripción automática.

Consulte también

Conceptos

Implementaciones de certificados y replicación de Active Directory

Requisitos de certificados para PEAP y EAP Introducción a EAP

Introducción a PEAP

Comprobaciones de CRL de NPS


















Implementaciones de certificados y

replicación de Active Directory



Implementaciones de certificados y replicación de Active Directory

Algunos métodos de autenticación, como PEAP y EAP cuando se configuran con tipos de

autenticación basada en certificados, pueden usar certificados para la autenticación deequipos y usuarios. La latencia en la replicación de Active Directory® puede afectar

temporalmente a la capacidad de un cliente o servidor para obtener un certificado de una

entidad de certificación (CA). Si un equipo configurado para usar certificados para

autenticación no puede inscribir un certificado, se produce un error en la autenticación.

Esta latencia en la replicación de Active Directory puede afectar a la infraestructura deautenticación de acceso a la red porque los certificados usados para la autenticación de

clientes y servidores los emiten las CA para los equipos miembros del dominio. En los

momentos posteriores a la unión de un equipo cliente o servidor al dominio, es posible que

el único servidor de catálogo global de Active Directory que tenga un registro de lapertenencia a dominios del equipo cliente o servidor sea el controlador de dominio que

controló la solicitud de unión.

Una vez que un equipo se ha unido al dominio, debe reiniciar el equipo. Después de que el

equipo se inicie y el usuario inicie sesión en el dominio, se aplica la directiva de grupo. Sipreviamente ha configurado la inscripción automática de certificados de equipo cliente o,para los servidores NPS, los certificados de servidor, éste es el momento en que el nuevo

equipo miembro del dominio solicita un certificado de una CA.

Nota

Para actualizar manualmente la directiva de grupo, inicie sesión en el dominio o ejecute el

comando gpupdate.

A su vez, la CA consulta con los Servicios de dominio de Active Directory (AD DS) paradeterminar si debe emitir un certificado al cliente o servidor que lo ha solicitado. Si lacuenta de equipo se ha replicado en el dominio, la CA puede determinar si el cliente o

servidor tiene los permisos de seguridad necesarios para inscribir un certificado. Sin

embargo, si la cuenta de equipo no se ha replicado en el dominio, es posible que la CA nopueda comprobar que el cliente o servidor tiene los permisos de seguridad para inscribir un

certificado.







Si ocurre esto, la CA no inscribe un certificado en el equipo cliente o servidor.

Si un equipo cliente miembro del dominio no puede inscribir un certificado de equipo

cliente, el equipo cliente no puede autenticarse correctamente en los servidores NPS al

intentar conectarse a la red mediante los servidores de acceso a la red que están

configurados como clientes RADIUS en NPS, en los que el método de autenticación

requerido es EAP-TLS o PEAP-TLS. Por ejemplo, si ha implementado clientes RADIUS que

son puntos de acceso inalámbrico 802.1X y usa PEAP-TLS como método de autenticación,

los equipos cliente que no tengan un certificado de equipo cliente no pueden autenticarse

correctamente y no pueden usar los recursos de red mediante una conexión inalámbrica.

Si un equipo servidor NPS miembro del dominio no puede inscribir un certificado de

servidor, el servidor NPS no se puede autenticar correctamente en los equipos cliente

cuando intentan conectarse a la red mediante los servidores de acceso a la red

configurados como clientes RADIUS en NPS, donde el método de autenticación es EAP-TLS,

PEAP-TLS o PEAP-MS-CHAP v2, y donde los clientes están configurados con la opción

Validar un certificado de servidor habilitada. Estos métodos de autenticación

proporcionan autenticación mutua y el servidor NPS debe tener un certificado de servidorpara autenticarse correctamente en los equipos cliente. Si el servidor NPS no tiene un

certificado de servidor, se produce un error en todas las solicitudes de conexión en las que

se requieren estos métodos de autenticación porque los equipos cliente no pueden

autenticar el servidor NPS.

Por este motivo, al implementar métodos de autenticación basada en certificados, se

recomienda diseñar los tiempos de replicación de Active Directory y la implementación de

CA subordinadas para reducir las posibilidades de que la lentitud de replicación afecte

negativamente a la infraestructura de autenticación del acceso a la red.

Requisitos de certificados para PEAP yEAP



Todos los certificados que se usan para autenticación de acceso a la red con el Protocolo de

autenticación extensible con Seguridad de la capa de transporte (EAP-TLS), Protocolo de

autenticación extensible protegido con Seguridad de la capa de transporte (PEAP-TLS) yPEAP con Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-

CHAP v2) deben cumplir los requisitos para los certificados X.509 y trabajar para

conexiones que usen la Capa de sockets seguros o la Seguridad de la capa de transporte(SSL/TLS). Los certificados de cliente y de servidor tienen requisitos adicionales.







Requisitos mínimos para certificados de servidor

Con PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS como método de autenticación, el

servidor NPS debe usar un certificado de servidor que cumpla los requisitos mínimos para

certificado de servidor.

Los equipos cliente se pueden configurar para validar certificados de servidor usando la

opción Validar un certificado de servidor en el equipo cliente o en la directiva de grupo.

El equipo cliente acepta el intento de autenticación del servidor cuando el certificado deservidor cumple los siguientes requisitos:

El nombre de sujeto contiene un valor. Si emite un certificado para el servidor que ejecuta

el servidor de directivas de redes (NPS), que tiene un nombre de sujeto en blanco, el

certificado no está disponible para autenticar el servidor NPS. Para configurar la plantilla

de certificado con un nombre de sujeto:

1. Abra Plantillas de certificado.

2. En el panel de detalles, haga clic con el botón secundario en la plantilla de

certificado que desea cambiar y, a continuación, haga clic en Propiedades.

3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de

esta información de Active Directory.

4. En Formato de nombre de sujeto, seleccione un valor que no sea Ninguno.

El certificado de equipo del servidor se encadena a una entidad de certificación (CA) raíz

de confianza y no genera ningún error en las comprobaciones que realiza CryptoAPI y quese especifican en la directiva de acceso remoto o la directiva de red.

El certificado del equipo para el servidor NPS o servidor VPN se configura con el propósito

de autenticación del servidor en las extensiones de uso mejorado de claves (EKU). (El

identificador de objeto para la autenticación de servidor es 1.3.6.1.5.5.7.3.1.)

El certificado de servidor se configura con el valor de algoritmo obligatorio RSA. Para

establecer la configuración de criptografía requerida:


2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificadoque desea cambiar y, a continuación, haga clic en Propiedades.

3. Haga clic en la ficha Criptografía. En Nombre de algoritmo, haga clic en RSA.

Asegúrese de que el Tamaño mínimo de clave está establecido en 2048.

Si se usa la extensión de nombre alternativo de sujeto (SubjectAltName), debe contener el

nombre DNS del servidor. Para configurar la plantilla de certificado con el nombre Sistema

de nombres de dominio (DNS) del servidor de inscripción:




2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado

que desea cambiar y, a continuación, haga clic en Propiedades.



4. En Incluir esta información en un nombre de sujeto alternativo, seleccione

Nombre DNS.

Al usar PEAP y EAP-TLS, los servidores NPS muestran una lista de todos los certificadosinstalados en el almacén de certificados del equipo, con las siguientes excepciones:

No se muestran los certificados que no contienen el propósito de autenticación de

servidor en extensiones EKU.

No se muestran los certificados que no contienen un nombre de sujeto.

No se muestran los certificados de inicio de sesión de tarjeta inteligente y basados en el

Registro.

Requisitos mínimos para certificados de cliente

Con EAP-TLS o PEAP-TLS, el servidor acepta el intento de autenticación del cliente

cuando el certificado cumple los siguientes requisitos:

El certificado de cliente lo emite una entidad de certificación empresarial o se asigna a una

cuenta de usuario o de equipo en los Servicios de dominio de Active Directory® (AD DS).

El certificado de usuario o equipo del cliente se encadena a una entidad de certificación

raíz de confianza, incluye el propósito de autenticación de cliente en extensiones EKU (el

identificador de objeto para autenticación de cliente es 1.3.6.1.5.5.7.3.2) y no genera

errores en las comprobaciones que realiza CryptoAPI y que se especifican en la directiva

de acceso remoto o la directiva de red ni en las comprobaciones del identificador de

objeto de certificado que se especifican en la directiva de acceso remoto de IAS o la

directiva de red de NPS.

El cliente 802.1X no usa certificados basados en el Registro que sean certificados de inicio

de sesión de tarjeta inteligente o protegidos con contraseña.

Para los certificados de usuario, la extensión de nombre alternativo de sujeto

(SubjectAltName) del certificado contiene el nombre principal del usuario (UPN). Para

configurar el UPN en una plantilla de certificado:









Nombre principal del usuario (UPN).

Para los certificados de equipo, la extensión de nombre alternativo de sujeto(SubjectAltName) del certificado debe contener el nombre de dominio completo (FQDN)

del cliente, que también se llama nombre DNS. Para configurar este nombre en la plantilla

de certificado:







Nombre DNS.

Con PEAP-TLS y EAP-TLS, el cliente muestra una lista de todos los certificados

instalados en el complemento Certificados, con las siguientes excepciones:

Los clientes inalámbricos no muestran certificados de inicio de sesión de tarjeta

inteligente y basados en el Registro.

Los clientes inalámbricos y los clientes VPN no muestran certificados protegidos con

contraseña.

No se muestran los certificados que no contienen el propósito de autenticación de cliente

en extensiones EKU.

Introducción a EAP



El protocolo de autenticación extensible (EAP) extiende el protocolo punto a punto (PPP)

permitiendo métodos de autenticación arbitrarios que usan intercambios de credenciales yde información de longitudes arbitrarias. EAP ofrece métodos de autenticación que usan

dispositivos de seguridad, como tarjetas inteligentes, tarjetas de símbolo (token) y

calculadoras de cifrado. EAP ofrece una arquitectura estándar de la industria para admitirmás métodos de autenticación dentro de PPP.







EAP y NPS

Mediante EAP, puede admitir otros esquemas de autenticación denominados tipos de EAP.Estos esquemas incluyen tarjetas de símbolo (token), contraseñas de un solo uso,

autenticación de claves públicas mediante el uso de tarjetas inteligentes y certificados.

EAP, junto con tipos de EAP seguros, es un componente tecnológico esencial para lasconexiones de redes privadas virtuales (VPN), las conexiones cableadas 802.1X y las

conexiones inalámbricas 802.1X seguras. El cliente de acceso a redes y el autenticador,

como el servidor que ejecuta el servidor de directivas de redes (NPS), deben admitir el

mismo tipo de EAP para que la autenticación se lleve a cabo correctamente.

Importante

Los tipos de EAP seguros, como aquellos basados en certificados, ofrecen una mayor seguridad

frente a los ataques por "fuerza bruta" o de diccionario y la averiguación de contraseñas que los

protocolos de autenticación basados en contraseñas, tales como el Protocolo de autenticación por

desafío mutuo (CHAP) o el Protocolo de autenticación por desafío mutuo versión 2 de Microsoft

(MS-CHAP).

Con EAP, un mecanismo de autenticación arbitrario autentica una conexión de accesoremoto. El esquema de autenticación que se va a usar se negocia entre el cliente de acceso

remoto y el autenticador (el servidor de acceso a la red o bien el servidor del Servicio de

autenticación remota telefónica de usuario [RADIUS]). El Enrutamiento y acceso remoto

incluye la compatibilidad con el Protocolo de autenticación extensible con Seguridad de lacapa de transporte (EAP-TLS) y PEAP-MS-CHAP v2 de forma predeterminada. Puede

conectar otros módulos EAP al servidor que ejecuta Enrutamiento y acceso remoto paraproporcionar otros métodos EAP.

EAP permite conversaciones abiertas entre el cliente de acceso remoto y el autenticador. La

conversación se compone de solicitudes de información de autenticación por parte delautenticador y de respuestas del cliente de acceso remoto. Por ejemplo, si se utiliza EAP

con tarjetas de token de seguridad, el autenticador puede consultar al cliente de acceso

remoto el nombre, el PIN y el valor de token de la tarjeta por separado. Con cada consultarealizada y respondida, el cliente de acceso remoto pasa por otro nivel de autenticación.

Una vez que se ha respondido correctamente a todas las preguntas, se autentica el cliente de

acceso remoto.

Windows Server® 2008 incluye la infraestructura EAP, dos tipos de EAP y la capacidad de

pasar mensajes EAP a un servidor RADIUS (EAP-RADIUS).

Infraestructura EAP

EAP es un conjunto de componentes internos que presta apoyo arquitectónico paracualquier tipo de EAP en forma de un módulo de complemento. Para que la autenticación



se realice de manera correcta, el cliente de acceso remoto y el autenticador deben tener

instalado el mismo módulo de autenticación EAP. También puede instalar otros tipos de

EAP. Los componentes de un tipo de EAP deben estar instalados en cada cliente de accesoa la red y en cada autenticador.

Nota

Los sistemas operativos Windows Server 2003 proporcionan dos tipos de EAP: Desafío-MD5 y EAP-

TLS. Desafío-MD5 no se admite en Windows Server 2008.

EAP-TLS

EAP-TLS es un tipo de EAP que se usa en entornos de seguridad basados en certificados.Si usa tarjetas inteligentes para la autenticación de acceso remoto, debe usar el método de

autenticación EAP-TLS. El intercambio de mensajes EAP-TLS permite la autenticación

mutua, la negociación del método de cifrado y la determinación de claves cifradas entre elcliente de acceso remoto y el autenticador. EAP-TLS proporciona el método de

determinación de claves y autenticación más seguro.

Nota

Durante el proceso de autenticación EAP-TLS se generan claves de cifrado secretas compartidas

para el Cifrado punto a punto de Microsoft (MPPE).

EAP-TLS sólo se admite en servidores que ejecutan Enrutamiento y acceso remoto, se han

configurado para usar Autenticación de Windows o RADIUS (Servicio de autenticaciónremota telefónica de usuario) y son miembros de un dominio. Los servidores de acceso a la

red que ejecutan un servidor independiente o un miembro de un grupo de trabajo noadmiten EAP-TLS.

Uso de RADIUS como transporte para EAP

El uso de RADIUS como transporte para EAP consiste en pasar los mensajes EAP de

cualquier tipo de EAP por parte de un cliente RADIUS a un servidor RADIUS para la

autenticación. Por ejemplo, si se configura un servidor de acceso a la red para la

autenticación RADIUS, los mensajes EAP enviados entre el cliente y el servidor de accesoa la red se encapsulan y formatean como mensajes RADIUS entre el servidor de acceso a la

red y el servidor RADIUS. El uso de EAP a través de RADIUS de denomina EAP-

RADIUS.

EAP-RADIUS se usa en entornos en los que RADIUS se usa como proveedor deautenticación. La ventaja de usar EAP-RADIUS es que no es necesario instalar los tipos de

EAP en todos los servidores de acceso a la red, sino sólo en el servidor RADIUS. En el

caso de un servidor NPS, sólo debe instalar tipos de EAP en el servidor NPS.



Por lo general, al usar EAP-RADIUS, el servidor que ejecuta Enrutamiento y acceso

remoto se configura para usar EAP y un servidor NPS para la autenticación. Cuando se

establece una conexión, el cliente de acceso remoto negocia el uso de EAP con el servidorde acceso a la red. Si el cliente envía un mensaje EAP al servidor de acceso a la red, éste

encapsula el mensaje EAP como un mensaje RADIUS y lo envía al servidor NPS

configurado. El servidor NPS procesa el mensaje EAP y devuelve un mensaje EAPencapsulado como RADIUS al servidor de acceso a la red. A continuación, el servidor de

acceso remoto reenvía el mensaje EAP al cliente de acceso a la red. En esta configuración,

el servidor de acceso a la red sólo funciona como dispositivo de paso a través. Todo elprocesamiento de los mensajes EAP se lleva a cabo en el cliente de acceso remoto y en el

servidor NPS.

Enrutamiento y acceso remoto puede configurarse para autenticar localmente o en un

servidor RADIUS. Si Enrutamiento y acceso remoto se configura para autenticar

localmente, todos los métodos EAP se autenticarán localmente. Si Enrutamiento y acceso

remoto se configura para autenticar en un servidor RADIUS, todos los mensajes EAP se

reenviarán al servidor RADIUS con EAP-RADIUS.

Para habilitar la autenticación de EAP

1. Habilite EAP como protocolo de autenticación en el servidor de acceso a la red.Para obtener más información, consulte la documentación del servidor de acceso a

la red.

2. Habilite EAP y, si es necesario, configure el tipo de EAP en las restricciones de ladirectiva de red adecuada.

3. Habilite y configure EAP en el cliente de acceso remoto. Para obtener más

información, consulte la documentación del cliente de acceso.

Introducción a PEAP



El protocolo de autenticación extensible protegido (PEAP) forma parte de los protocolos de

autenticación extensibles (EAP).

PEAP usa Seguridad de la capa de transporte (TLS) para crear un canal cifrado entre uncliente de autenticación PEAP, como un equipo inalámbrico, y un autenticador PEAP,como un servidor que ejecuta NPS (Servidor de directivas de redes) o un servidor RADIUS

(Servicio de autenticación remota telefónica de usuario).







PEAP y NPS

PEAP no especifica ningún método de autenticación, sino que proporciona seguridadadicional para otros protocolos de autenticación EAP, como el Protocolo de autenticación

extensible con Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (EAP-

MS-CHAP v2), que pueden operar a través del canal cifrado TLS que proporciona PEAP.PEAP se usa como un método de autenticación para clientes de acceso que tratan de

conectarse a la red de la organización a través de los siguientes tipos de servidores de

acceso a la red:

Puntos de acceso inalámbrico 802.1X

Conmutadores de autenticación 802.1X

Servidores de red privada virtual (VPN) que ejecutan Windows Server® 2008 o Windows

Server® 2008 R2 y el Servicio de enrutamiento y acceso remoto

Equipos que ejecutan Windows Server 2008 y Puerta de enlace de Terminal Services

(puerta de enlace de TS) o Windows Server® 2008 R2 y Puerta de enlace de Escritorio

remoto

Para mejorar los protocolos EAP y la seguridad de red, PEAP proporciona:

Un canal TLS que proporciona protección para la negociación del método EAP que se

produce entre el cliente y el servidor. Este canal TLS ayuda a impedir que un atacante

inserte paquetes entre el cliente y el servidor de acceso a la red para dar lugar a la

negociación de un tipo de EAP menos seguro. El canal TLS cifrado también ayuda a evitar

ataques por denegación de servicio contra el servidor NPS.

Compatibilidad con la fragmentación y reensamblado de mensajes, lo que permite el uso

de tipos de EAP que no proporcionan esta funcionalidad.

Clientes con la capacidad de autenticar el servidor NPS u otro servidor RADIUS. Como el

servidor también autentica el cliente, se produce una autenticación mutua.

Protección frente a la implementación de un punto de acceso inalámbrico no autorizado

en el momento en que el cliente EAP autentica el certificado proporcionado por el

servidor NPS. Además, el secreto principal de TLS creado por el cliente y el autenticador

PEAP no se comparte con el punto de acceso. Como consecuencia, el punto de acceso no

puede descifrar los mensajes protegidos con PEAP.

Reconexión rápida de PEAP, que reduce el retardo entre la solicitud de autenticación de

un cliente y la respuesta del servidor NPS u otro servidor RADIUS. La reconexión rápida de

PEAP también permite a los clientes inalámbricos moverse entre puntos de acceso

configurados como clientes RADIUS en el mismo servidor RADIUS sin repetir las solicitudes

de autenticación. De esta forma, se reducen los requisitos de recursos del cliente y el

servidor, y se minimiza el número de veces que se solicitan las credenciales a los usuarios.



La siguiente tabla enumera los puntos fuertes de PEAP-MS-CHAP v2 y los compara conMS-CHAP v2.

Característica/funciónMS-CHAP

v2

PEAP-MS-

CHAP v2

Proporciona autenticación de clientes mediante contraseñas. Sí Sí

Garantiza que el servidor tenga acceso a las credenciales. Sí Sí

Autentica el servidor. Sí Sí

Impide la suplantación de puntos de acceso inalámbricos. No Sí

Impide que un servidor no autorizado negocie el método de

autenticación menos seguro.No Sí

Usa claves TLS generadas con una clave pública. No Sí

Proporciona cifrado de un extremo a otro. No Sí

Impide ataques de diccionario o de fuerza bruta. No Sí

Impide ataques de reproducción. No Sí

Permite el encadenamiento de métodos de autenticación. No Sí

Requiere la confianza del cliente en certificados proporcionados

por el servidor.No Sí

Proceso de autenticación de PEAP

Existen dos fases en el proceso de autenticación de PEAP entre el cliente PEAP y el

autenticador. La primera fase establece un canal seguro entre el cliente PEAP y el servidor

de autenticación. La segunda fase proporciona autenticación EAP entre el cliente PEAP y elautenticador.

Canal cifrado TLS

En la primera fase de la autenticación PEAP, se crea el canal TLS entre el cliente PEAP y

el servidor NPS. Los siguientes pasos muestran la creación de este canal TLS para clientesPEAP inalámbricos.

1. El cliente PEAP se asocia con un punto de acceso inalámbrico que está configurado como

un cliente RADIUS de un servidor que ejecuta NPS. Una asociación basada en IEEE 802.11

proporciona una autenticación de sistema abierto o de claves compartidas antes de crear

una asociación segura entre el cliente PEAP y el punto de acceso.

2. Después de establecer correctamente una asociación basada en IEEE 802.11 entre el

cliente y el punto de acceso, se negocia la sesión de TLS con el punto de acceso.

3. Después de que se complete correctamente una autenticación a nivel de equipo entre el

cliente PEAP inalámbrico y el servidor NPS, se negocia la sesión TLS entre ellos. La clave



que se deriva durante esta negociación se usará para cifrar toda la comunicación

posterior, incluida la autenticación de acceso a la red que permite al usuario conectarse a

la red de la organización.

Comunicación autenticada mediante EAP

Toda la comunicación EAP, incluida la negociación EAP, se produce a través del canalTLS y es la segunda fase de la autenticación PEAP. Los siguientes pasos amplían elejemplo anterior e ilustran el modo en que los clientes inalámbricos completan la

autenticación con el servidor NPS mediante PEAP.

Después de que se haya creado el canal TLS entre el servidor NPS y el cliente PEAP, el

cliente pasa las credenciales (nombre de usuario y contraseña o un certificado de usuario o

de equipo) al servidor NPS a través del canal cifrado.

El punto de acceso sólo reenvía mensajes entre el cliente inalámbrico y el servidor

RADIUS; el punto de acceso (o una persona que lo supervise) no puede descifrar estosmensajes porque no es el extremo TLS.

El servidor NPS autentica el usuario y el equipo cliente con el tipo de autenticación que seha seleccionado para su uso con PEAP. El tipo de autenticación puede ser EAP-TLS

(tarjeta inteligente u otro certificado) o EAP-MS-CHAP v2 (contraseña segura).

Nota

Puede configurar PEAP como el método de autenticación en la directiva de red de NPS.

Tipos de EAP

Se puede elegir entre dos tipos de EAP, también denominados tipos de autenticación, parasu uso con PEAP: EAP-MS-CHAP v2 o EAP-TLS. EAP-MS-CHAP v2 usa credencialesbasadas en contraseña (nombre de usuario y contraseña) para la autenticación de usuarios y

un certificado en el almacén de certificados del equipo servidor para la autenticación de

servidores. EAP-TLS usa certificados instalados en el almacén de certificados del equipo

cliente o una tarjeta inteligente para la autenticación de usuarios y de equipos cliente, y uncertificado en el almacén de certificados del equipo servidor para la autenticación de

servidores.

PEAP con EAP-MS-CHAP v2

PEAP con EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) es más fácil de implementar que

EAP-TLS ya que la autenticación de usuarios se realiza usando credenciales basadas encontraseñas (nombre de usuario y contraseña) en lugar de certificados o tarjetas

inteligentes. Sólo el servidor NPS u otro servidor RADIUS debe disponer de un certificado.



El servidor NPS usa el certificado del servidor NPS durante el proceso de autenticación

para demostrar su identidad a los clientes PEAP.

Una autenticación PEAP-MS-CHAP v2 correcta requiere que el cliente confíe en el

servidor NPS después de examinar el certificado del servidor. Para que el cliente confíe en

el servidor NPS, la entidad de certificación (CA) que emitió el certificado del servidor debedisponer de su certificado propio y distinto en el almacén de certificados de las entidades de

certificación raíz de confianza de los equipos cliente.

El certificado de servidor que usa NPS puede estar emitido por la entidad de certificación

raíz de confianza de su organización o una entidad de certificación pública, como Verisigno Thawte, en la que ya confíe el equipo cliente.

Nota

PEAP-MS-CHAP v2 ofrece una seguridad considerablemente mayor que MS-CHAP v2 al

proporcionar generación de claves con TLS y por el uso de la autenticación mutua, que impide queun servidor no autorizado pueda negociar el método de autenticación menos seguro con el cliente

PEAP.

PEAP con EAP-TLS

Cuando se implementa una infraestructura de clave pública (PKI) con Servicios de

certificados de Active Directory (AD CS), se puede usar PEAP con EAP-TLS (PEAP-TLS). Los certificados ofrecen un método de autenticación mucho más seguro que los

métodos que usan credencias basadas en contraseñas. PEAP-TLS usa certificados para la

autenticación de servidores y tarjetas inteligentes, que contienen un certificado incrustado,o certificados inscritos en los equipos cliente, almacenados en el almacén de certificados

del equipo local, para la autenticación de usuarios y equipos cliente. Para usar PEAP-TLS,

debe implementar una PKI.

Reconexión rápida de PEAP

La reconexión rápida de PEAP permite a los clientes inalámbricos moverse entre puntos deacceso inalámbricos de la misma red sin tener que volver a autenticarse cada vez que se

asocian a un nuevo punto de acceso.

Los puntos de acceso inalámbricos están configurados como clientes RADIUS a servidores

RADIUS. Si un cliente inalámbrico se desplaza entre puntos de acceso que están

configurados como clientes del mismo servidor RADIUS, no será necesario que el cliente

se autentique en cada nueva asociación. Cuando un cliente se mueve a un punto de accesoque está configurado como un cliente RADIUS de un servidor RADIUS distinto, si bien el

cliente debe volver a autenticarse, este proceso se realiza de un modo más rápido y eficaz.



La reconexión rápida de PEAP reduce el tiempo de respuesta para la autenticación entre

cliente y autenticador porque la solicitud de autenticación se reenvía desde el nuevo punto

de acceso al servidor NPS que originalmente realizó la autenticación y autorización para lasolicitud de conexión del cliente. Como tanto el cliente PEAP como el servidor NPS usan

las propiedades de la conexión TLS previamente almacenadas en la memoria caché (la

colección de dichas propiedades se denomina identificador de TLS), el servidor NPS puededeterminar rápidamente que la conexión del cliente es una reconexión.

El cliente puede almacenar en la memoria caché identificadores TLS para varios

autenticadores PEAP. Si el servidor NPS original no está disponible, deberá realizarse una

autenticación completa entre el cliente y el nuevo autenticador. El identificador de TLS

para el nuevo autenticador de PEAP se almacena en la memoria caché por el cliente. Para laautenticación mediante tarjetas inteligentes o PEAP-MS-CHAP v2, se solicita al usuario

que proporcione el PIN o las credenciales, respectivamente.

Con autenticación PEAP-MS-CHAP v2:

Cuando el nuevo punto de

acceso es un cliente del

mismo servidor RADIUS

Cuando el nuevo punto de acceso es un cliente de un nuevo

servidor RADIUS

No se solicitan al usuariocredenciales cada vez que el

equipo cliente se asocia a

un nuevo punto de acceso.

Se solicitan las credenciales al usuario en esta asociacióninicial. La siguiente vez que el equipo cliente se asocie a un

punto de acceso que sea cliente de este servidor, no se

requerirán credenciales de usuario.

No es necesario que el

servidor RADIUSproporcione un certificado.

El servidor RADIUS proporciona un certificado en esta

asociación inicial de forma que el cliente inalámbrico puedaautenticarse ante el servidor RADIUS. La siguiente vez que el

equipo cliente se asocie a un punto de acceso que sea cliente

de este servidor, no se requerirá que el servidor vuelva aautenticarse.

Con autenticación PEAP-TLS:

Cuando el nuevo punto de acceso es un

cliente del mismo servidor RADIUS

Cuando el nuevo punto de acceso es un cliente de un

nuevo servidor RADIUS

No se requiere que el cliente y elservidor intercambien certificados.

El cliente y el servidor intercambian certificadosen esta asociación inicial. La siguiente vez que el

equipo cliente se asocie a un punto de acceso que

sea cliente de este servidor, no se intercambiaráncertificados.

No se solicita al usuario un número de

identificación personal (PIN) de tarjeta

Se solicita el PIN de tarjeta inteligente al usuario

en esta asociación inicial. La siguiente vez que el



inteligente cada vez que el equipo

cliente se asocia a un nuevo punto de

acceso.

equipo cliente se asocie a un punto de acceso que

sea cliente de este servidor, no se solicitará el PIN

al cliente.

Para habilitar la reconexión rápida de PEAP:

Tanto el cliente PEAP (cliente inalámbrico 802.11) como el autenticador PEAP (servidor

RADIUS) deben tener habilitada la reconexión rápida.

Todos los puntos de acceso a los que se desplace el cliente PEAP deben estar configurados

como clientes RADIUS de un servidor RADIUS (el autenticador PEAP) que tienen

configurado PEAP como método de autenticación para las conexiones inalámbricas.

Todos los puntos de acceso a los que se asocia el cliente PEAP deben estar configurados

para preferir el mismo servidor RADIUS (autenticador PEAP) y, de esta manera, evitar que

soliciten las credenciales desde todos los servidores RADIUS. Si no se puede configurar el

punto de acceso para que prefiera un servidor RADIUS, puede configurar un proxy RADIUS

NPS con un servidor RADIUS preferido.

Información adicional

PEAP no admite la autenticación de invitados.

Cuando implemente tanto PEAP como EAP sin protección PEAP, no use el mismo tipo de

autenticación EAP con y sin PEAP. Por ejemplo, si implementa PEAP-TLS, no implemente

también EAP-TLS sin PEAP. La implementación de métodos de autenticación del mismo

tipo crea una vulnerabilidad de seguridad.





De manera predeterminada, el servidor que ejecuta el Servidor de directivas de redes (NPS)

comprueba la revocación de todos los certificados incluidos en la cadena de certificados

que envía el equipo cliente durante el proceso de autenticación EAP-TLS y PEAP-TLS. Sila revocación del certificado genera un error para cualquiera de los certificados de la

cadena, el intento de conexión no se autentica y es denegado.

El comportamiento de la comprobación de revocación de certificados para NPS puede

modificarse con la configuración del Registro. Para obtener más información, consulte

Configuración del registro de comprobación de CRL de NPS.










La comprobación de la revocación de certificados puede impedir el acceso del cliente

debido a la falta de disponibilidad o la expiración de las listas de revocación de certificados

(CRL) de cada certificado de la cadena de certificados, por lo que debe diseñar unainfraestructura de clave pública (PKI) que proporcione una alta disponibilidad de CRL. Por

ejemplo, configure varios puntos de distribución CRL para cada entidad de certificación

(CA) en la jerarquía de certificados y configure programaciones de publicaciones quegaranticen que siempre esté disponible la CRL más reciente.

La comprobación de la revocación de certificados sólo es tan precisa como la última CRL

publicada. Por ejemplo, si se revoca un certificado, la nueva CRL que contiene el

certificado recientemente revocado no se publica automáticamente de manera

predeterminada. Las CRL normalmente se publican atendiendo a una programación quepuede configurarse. Esto significa que el certificado revocado puede seguir usándose para

la autenticación porque la CRL publicada no es la más reciente; no contiene el certificado

revocado y, por tanto, puede seguir usándose para crear conexiones inalámbricas. Para

impedir que esto se produzca, el administrador de la red debe publicar manualmente la

nueva CRL con el certificado recientemente revocado.

El servidor NPS usa de manera predeterminada los puntos de distribución CRL en los

certificados. Sin embargo, también es posible almacenar una copia local de la CRL en el

servidor NPS. En este caso, la CRL local se usa durante la comprobación de la revocaciónde certificados. Si se publica manualmente una nueva CRL en los Servicios de dominio de

Active Directory® (AD DS), no se actualiza la CRL local del servidor NPS. La CRL local

se actualiza cuando expira. Esto puede crear una situación en la que se revoca un

certificado y se publica manualmente la CRL, pero el servidor NPS sigue permitiendo laconexión porque la CRL local todavía no se ha actualizado.

Importante

Cuando use certificados para la autenticación del acceso de red de nivel de equipo o usuario,

asegúrese de que las CRL se publiquen en una ubicación principal y, al menos, en una ubicación

secundaria para que todos los equipos, especialmente todos los servidores NPS y otros servidores

RADIUS, puedan tener acceso a las mismas. Si los servidores NPS-RADIUS intentan realizar la

validación de la CRL del certificado de usuario o equipo, pero no pueden encontrar las CRL, los

servidores NPS RADIUS rechazan todos los intentos de conexión basados en certificados y la

autenticación genera un error.

La comprobación de la revocación de certificados puede generar un error por los motivosque se exponen a continuación.

El certificado se ha revocado.

La CRL del certificado no puede encontrarse o no está disponible.

Las entidades de certificación mantienen las CRL y las publican en puntos de distribución



CRL. Los puntos de distribución CRL se incluyen en la propiedad Puntos de distribución CRL

del certificado. Si no se puede establecer el contacto con los puntos de distribución CRL

para comprobar la revocación del certificado, la comprobación de revocación del

certificado genera un error.

Además, si no existen puntos de distribución CRL en el certificado, el servidor NPS no

puede comprobar que el certificado no ha sido revocado y la comprobación de revocación

del certificado genera un error.

El editor de la CRL no emitió el certificado.

Dentro de la CRL se incluye la entidad de certificación de publicación. Si la entidad de

certificación de publicación de la CRL no coincide con la entidad de certificación de

emisión para la revocación del certificado que se está comprobando, la comprobación de

revocación del certificado genera un error.

La CRL no es la más reciente.

Cada CRL publicada dispone de un intervalo de fechas válidas. Si se ha superado la

siguiente fecha de actualización de la CRL, la CRL se considera no válida y la comprobación

de revocación de certificados genera un error. Deben publicarse nuevas CRL antes de la

fecha de expiración de la última CRL publicada.

Certificados y NPS

Documents

Transcript of Certificados y NPS