Post on 18-Jul-2015
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 1/27
Información general de NPS
Este tema aún no ha recibido ninguna valoración Valorar este tema
Se aplica a: Windows Server 2008
Información general de NPS
La información general de NPS incluye contenido que no es específico de la forma de
implementar NPS ni de las características elegidas para su uso. Por ejemplo, se puede
configurar cuentas RADIUS tanto si implementa NPS como un servidor RADIUS, un
proxy RADIUS o como un servidor de directivas NAP.
Para obtener más información, consulte las siguientes secciones:
Configuración de NPS en un equipo de host múltiple
Configuración de NPS para usar la base de datos del Administrador de cuentas de
seguridad
Configuración de la información del puerto UDP de NPS
Directivas en NPS
Protocolo y componentes RADIUS
Registro del servidor NPS en los Servicios de dominio de Active Directory
Métodos de autenticación de NPS
Cuentas RADIUS
Clientes RADIUS
Protección de NPS
Certificados y NPS
Certificados y NPS
Los certificados son documentos digitales emitidos por entidades de certificación (CA),como los Servicios de Certificate Server de Active Directory® (AD CS) o la entidad de
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 2/27
certificación pública Verisign. Los certificados se pueden usar con diversos propósitos,
como la firma de código y la comunicación segura mediante correo electrónico; pero con el
Servidor de directivas de redes (NPS), los certificados se usan para la autenticación delacceso a la red.
Los certificados se usan para la autenticación del acceso a la red porque ofrecen un nivelelevado de seguridad a la hora de autenticar usuarios y equipos y eliminan la necesidad de
usar métodos de autenticación basados en contraseñas, que son menos seguros.
Existen dos métodos de autenticación que usan certificados cuando se configuran con tipos
de autenticación basados en certificados: EAP y PEAP. Con EAP, puede configurar el tipode autenticación TLS (EAP-TLS) y, con PEAP, puede configurar los tipos de autenticación
TLS (PEAP-TLS) y MS-CHAP v2 (PEAP-MS-CHAP v2). Estos métodos de autenticación
siempre usan certificados para la autenticación del servidor. Dependiendo del tipo de
autenticación configurado con el método de autenticación, los certificados también puedenusarse para la autenticación de usuario y de equipo cliente.
Nota
El uso de certificados para la autenticación de conexiones VPN es la forma más segura de
autenticación disponible en Windows Server® 2008. Debe usar la autenticación basada en
certificados para las conexiones VPN basadas en el protocolo de túnel de capa dos en el protocolo
de seguridad de Internet (L2TP/IPSec). La conexiones PPTP (protocolo de puentes de punto a
punto) no requieren certificados, aunque se pueden configurar para usar certificados para la
autenticación de equipos cuando se use el método de autenticación EAP-TLS. Para los clientes
inalámbricos, se recomienda usar el método de autenticación PEAP con EAP-TLS y tarjetas
inteligentes o certificados.
Puede implementar certificados para usarlos con NPS mediante la instalación yconfiguración de la función de servidor Servicios de Certificate Server de Active Directory.
Para obtener más información, consulte la documentación de AD CS.
Tipos de certificado
Cuando se usan métodos de autenticación basados en certificados, es importante entender
los siguientes tipos de certificados y cómo se usan.
Certificado de CA
Cuando está presente en equipos cliente y servidor, indica al cliente o al servidor que
puede confiar en otros certificados, como los certificados usados para la autenticación del
servidor, que son emitidos por esta CA. Este certificado es necesario para todas las
implementaciones de métodos de autenticación basados en certificados.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 3/27
Certificado de equipo cliente
Lo emite una CA a equipos cliente y se usa cuando el equipo cliente tiene que demostrar
su identidad a un servidor que ejecuta NPS durante el proceso de autenticación.
Certificado de servidor
Lo emite una CA a servidores NPS y se usa cuando el servidor NPS tiene que demostrar su
identidad a un equipo cliente durante el proceso de autenticación.
Certificado de usuario
Lo emite una CA a personas individuales y, normalmente, se distribuye como un
certificado integrado en una tarjeta inteligente. El certificado de la tarjeta inteligente se
usa, junto con un lector de tarjetas inteligentes que se instala en el equipo cliente, cuando
los usuarios tienen que demostrar su identidad a los servidores NPS durante el proceso de
autenticación.
Métodos de autenticación basados en certificados.
Cuando usa EAP con un tipo de EAP de alta seguridad (como TLS con certificados o
tarjetas inteligentes), tanto el cliente como el servidor usan certificados para comprobar susidentidades entre sí. Este proceso se denomina autenticación mutua. Los certificados deben
cumplir ciertos requisitos para permitir que el servidor y el cliente los usen para
autenticarse.
Uno de los requisitos es que el certificado se configure con uno o más propósitos en las
extensiones EKU relacionados con el uso del certificado. Por ejemplo, un certificado que se
usa para la autenticación de un cliente a un servidor debe configurarse con el propósito deautenticación del cliente. Del mismo modo, un certificado que se use para la autenticación
de un servidor debe configurarse con el propósito de autenticación del servidor. Cuando los
certificados se usan para la autenticación, el autenticador examina el certificado de clienteen busca del identificador de objeto del propósito adecuado en las extensiones EKU. Por
ejemplo, el identificador de objeto del propósito de autenticación del cliente es
1.3.6.1.5.5.7.3.2. Cuando un certificado se usa para la autenticación de un equipo cliente, elidentificador de objeto debe estar presente en las extensiones EKU del certificado o la
autenticación genera un error.
Las plantillas de certificado son un complemento de Microsoft Management Console
(MMC) que se suministra para poder personalizar los certificados emitidos por AD CS.Entre las características que se pueden personalizar, se incluyen el modo de emisión de los
certificados y su contenido, además del propósito. En Plantillas de certificado, puede usaruna plantilla predeterminada, como la plantilla Equipo, para definir la plantilla que la CA
usará para asignar certificados a los equipos. Asimismo, puede crear una plantilla de
certificado y asignar propósitos de las extensiones EKU al certificado. De formapredeterminada, la plantilla Equipo incluye el propósito de autenticación del cliente y el
propósito autenticación del servidor en las extensiones EKU.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 4/27
La plantilla de certificado que cree puede incluir cualquier propósito para el que se vaya a
usar el certificado. Por ejemplo, si usa tarjetas inteligentes para la autenticación, puede
incluir el propósito de inicio de sesión de tarjeta inteligente, además del propósito deautenticación del cliente. Puede configurar NPS para comprobar propósitos de certificado
antes de conceder autorización de red. NPS puede comprobar extensiones EKU y
propósitos de directiva de emisión adicionales (también conocidos como directivas decertificado).
Nota
Algunos programas de entidades de certificación que no son de Microsoft pueden incluir un
propósito llamado Todos, que representa todos los propósitos posibles. Esto se indica mediante
una extensión EKU en blanco (o nula). Aunque Todos significa "todos los propósitos posibles", no
puede sustituir al propósito de autenticación del cliente, el propósito de autenticación del servidor
o cualquier otro propósito relacionado con la autenticación del acceso a la red.
Descripción de la autenticación con certificados
Cuando se suministra un certificado a un equipo cliente o servidor como prueba de
identidad, el autenticador debe examinar el certificado para determinar su validez, ver si se
ha configurado con el propósito para el que se está usando y determinar si el certificado fueemitido por una CA de confianza.
Suponiendo que un certificado se haya configurado correctamente y sea válido, el aspecto
más importante del proceso de autenticación es que el autenticador se asegure de que la CAque emitió el certificado es de confianza.
Si el autenticador confía en la CA y el certificado es válido y se configuró correctamente,
según los requisitos mínimos de servidor y cliente para certificados, la autenticación será
satisfactoria. Si el autenticador no confía en la CA, la autenticación genera un error.
Cómo se establece la confianza
Los equipos basados en Windows guardan los certificados en un almacén de certificados
del equipo local. Hay un almacén de certificados para el equipo local, el usuario local y
servicios individuales, como las conexiones de red, las actualizaciones automáticas y el
examinador de equipos. Cada almacén de certificados incluye una carpeta llamada
Entidades emisoras raíz de confianza que contiene certificados de las CA de confianza, quepueden ser públicas o privadas.
Para determinar la confianza, el autenticador comprueba el almacén de certificados
Entidades emisoras raíz de confianza para el usuario actual o el equipo local.
Si la CA que emitió el certificado de cliente, usuario o servidor que se está usando para la
autenticación tiene un certificado en el almacén de certificados Entidades emisoras raíz de
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 5/27
confianza del equipo local, el autenticador confiará en el certificado. Si la CA emisora no
tiene un certificado de CA en el almacén de certificados Entidades emisoras raíz de
confianza del equipo local, el autenticador no confiará en el certificado.
Importante
El certificado de CA debe estar presente en el almacén de certificados Entidades emisoras raíz de
confianza del equipo local, tanto si el equipo es un cliente como si es un servidor, para que otros
certificados emitidos por la CA sean de confianza.
Entidades de certificación públicas
Algunos de estos certificados de CA raíz de confianza, que son emitidos por entidades de
certificación raíz de confianza públicas, se incluyen de manera predeterminada en todas las
instalaciones de Windows. Se suministran en el CD de instalación del producto o bien en
los equipos vendidos por los fabricantes de equipos originales (OEM) que distribuyen losequipos con Windows instalado.
Por ejemplo, en el almacén de certificados de los equipos que ejecutan Windows XP, en la
carpeta Entidades emisoras raíz de confianza, se incluyen certificados de CA de Verisign
Trust Network CA, Thawte Premium Server CA y Microsoft Root Certification Authority.Si un equipo que ejecuta Windows XP se encuentra con un certificado emitido por una de
estas CA y el certificado es válido y está correctamente configurado, el equipo que ejecuta
Windows XP confiará en el certificado.
Es posible adquirir certificados adicionales de numerosas compañías, como Verisign y
Thawte, para usarlos en su infraestructura de autenticación. Por ejemplo, si implementaPEAP-MS-CHAP v2 y la opción Validar un certificado de servidor se ha configurado enel cliente, el equipo cliente autenticará el servidor NPS con el certificado de servidor NPS.
Si no desea implementar una CA propia y emitir certificados de servidor propios a
servidores NPS, puede comprar un certificado de servidor de una compañía cuya CA sea deconfianza para los equipos cliente.
Entidades de certificación privadas
Cuando las organizaciones implementan su propia infraestructura de clave pública (PKI) e
instalan una CA raíz pública, la CA envía automáticamente su certificado a todos los
equipos miembros de dominio de la organización. Los equipos cliente y servidor que sonmiembros de dominio almacenan el certificado de CA en el almacén de certificados
Entidades emisoras raíz de confianza. Una vez que esto sucede, los equipos miembros dedominio confían en los certificados que son emitidos por la CA raíz de confianza de la
organización.
Por ejemplo, si instala AD CS, la CA envía su certificado a los equipos miembros de
dominio de su organización y ellos almacenan el certificado de CA en el almacén de
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 6/27
certificados Entidades emisoras raíz de confianza del equipo local. Si también configura e
inscribe automáticamente un certificado de servidor para sus servidores NPS y,
posteriormente, implementa PEAP-MS-CHAP v2 para las conexiones inalámbricas, todoslos equipos cliente inalámbricos que sean miembros de dominio podrán autenticar
satisfactoriamente sus servidores NPS con el certificado de servidor NPS porque confían en
la CA que emitió el certificado de servidor NPS.
Nota
Para los equipos que no son miembros de dominio, el certificado de CA se debe instalar
manualmente en el almacén de certificados Entidades emisoras raíz de confianza para poder
confiar en certificados, como los certificados de servidor NPS, que son emitidos por una CA
privada.
Certificados necesarios
En la tabla siguiente se identifican los certificados que son necesarios para implementarsatisfactoriamente cada uno de los métodos de autenticación basados en certificados.
Certificado¿Es necesario para EAP-TLS y
PEAP-TLS?
¿Es necesario para PEAP-
MS-CHAP v2?Detalles
El certificado
de CA del
almacén decertificados
Entidades
emisoras raízde confianza
para el equipo
local y el
usuario actual.
Sí. El certificado de CA seinscribe automáticamente
para los equipos miembros
de dominio. Para losequipos que no son
miembros de dominio, el
certificado debe importarsemanualmente al almacén de
certificados.
Sí. Este certificado se
inscribeautomáticamente para
los equipos que son
miembros de dominio.Para los equipos que no
son miembros de
dominio, el certificadodebe importarse
manualmente al
almacén de certificados.
Para PEAP-MS-
CHAP v2, este
certificado esnecesario para la
autenticación mutua
entre cliente yservidor.
El certificado
de equipocliente que se
encuentra en el
almacén decertificados del
cliente.
Sí. Los certificados de
equipo cliente son
necesarios a menos que sedistribuyan certificados de
usuario en tarjetasinteligentes. Los
certificados de cliente se
inscriben automáticamentepara los equipos que son
miembros de dominio. Para
No. La autenticación deusuario se realiza con
credenciales basadas en
contraseñas, y nocertificados.
Si implementa
certificados deusuario en tarjetas
inteligentes, losequipos cliente no
necesitarán
certificados decliente.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 7/27
los equipos que no son
miembros de dominio, el
certificado debe importarse
manualmente u obtenersemediante la herramienta de
inscripción en web.
El certificadode servidor que
se encuentran
en el almacénde certificados
del servidor
NPS.
Sí. Puede configurar AD CS
para inscribir
automáticamentecertificados de servidor para
el grupo de servidores RAS
e IAS de Servicios de
dominio de ActiveDirectory (AD DS).
Sí. Además de usar
AD CS para loscertificados de servidor,
puede adquirir
certificados de servidorde entidades de
certificación que sean
de confianza para los
equipos.
El servidor NPSenvía el certificado
de servidor al equipo
cliente, que usa elcertificado para
autenticar el servidor
NPS.
El certificado
de usuario de
una tarjetainteligente.
No. Este certificado sólo esnecesario si decide
implementar tarjetasinteligentes en lugar de
inscribir automáticamente
los certificados de equipocliente.
No. La autenticación de
usuario se realiza concredenciales basadas en
contraseñas, y no
certificados.
Para EAP-TLS y
PEAP-TLS, si noinscribe
automáticamentecertificados de
equipo cliente, se
necesitancertificados de
tarjeta inteligente.
Importante
La autenticación IEEE 802.1X proporciona acceso autenticado a redes inalámbricas 802.11 y a
redes Ethernet por cable. 802.1X ofrece compatibilidad para los tipos EAP seguros, como TLS con
tarjetas inteligentes o certificados. Puede configurar 802.1X con EAP-TLS de diversas formas. Si la
opción Validar un certificado de servidor está configurada en el cliente, éste autenticará el
servidor con su certificado. La autenticación de equipo cliente y de usuario se puede llevar a cabo
con certificados del almacén de certificados de cliente o de una tarjeta inteligente, lo que permite
la autenticación mutua. Con los clientes inalámbricos, se puede usar como método de
autenticación PEAP-MS-CHAP v2. PEAP-MS-CHAP v2 es un método de autenticación de usuario
basado en contraseña que usa TLS con certificados de servidor. Durante la autenticación de PEAP-
MS-CHAP v2, el servidor IAS o RADIUS facilita un certificado para validar su identidad al cliente (si
la opción Validar un certificado de servidor está configurada en Windows Vista® y el cliente
Windows XP Professional). La autenticación de equipo cliente y de usuario se lleva a cabo con
contraseñas, lo que elimina parte de la dificultad de implementar certificados en equipos cliente
inalámbricos.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 8/27
Inscripción de certificados en equipos que son miembros de dominio y
equipos que no lo son
La pertenencia a dominios de los equipos para los que desea inscribir certificados influyeen el método de inscripción de certificados que se puede usar. Los certificados para los
equipos miembros de dominio se pueden inscribir automáticamente, mientras que para losequipos que no son miembros de dominio un administrador debe inscribir los certificados
por medio de la herramienta de inscripción en web de AD CS Web, un disquete o un CD.
Inscripción de certificados para equipos miembros de dominio
Si un servidor VPN, servidor NPS o cliente que ejecuta Windows 2000, Windows XP o
Windows Vista es miembro de un dominio que ejecuta Windows Server 2008 o Windows
Server 2003 y AD DS, puede configurar la inscripción automática de certificados de equipoy de usuario. Una ve que haya configurado y habilitado la inscripción automática, todos los
equipos miembros de dominio recibirán certificados de equipo la siguiente vez que se
actualice la directiva de grupo, ya sea de forma manual mediante el comando gpupdate obien iniciando sesión en el dominio.
Si su equipo es miembro de un dominio donde no se ha instalado AD DS, puede instalarcertificados de equipo manualmente solicitándolos a través del complemento MMC
Certificados.
Nota
Los equipos que ejecutan Windows 2000 sólo pueden inscribir automáticamente certificados de
equipo.
Inscripción de certificados para equipos que no son miembros de dominio
La inscripción de certificados para equipos que no son miembros de dominio no se puedeefectuar si no es automáticamente. Cuando un equipo va unido a un dominio, se establece
una relación de confianza que permite la inscripción automática sin intervención del
administrador. Cuando un equipo no va unido a un dominio, no se establece la relación de
confianza y el certificado no se emite. La confianza se puede establecer por medio de unode los métodos siguientes:
Un administrador (que es, por definición, de confianza) debe solicitar un certificado de
equipo o de usuario con la herramienta de inscripción en web de CA.
Un administrador debe guardar un certificado de equipo o de usuario en un disquete e
instarlo en un equipo que no sea miembro de dominio. O bien, si el administrador no tiene
acceso al equipo (por ejemplo, un equipo doméstico que se conecta a la red de una
organización mediante una conexión L2TP/IPsec VPN), el certificado puede ser instalado
por un usuario de dominio que sea de confianza para el administrador.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 9/27
Un administrador puede distribuir un certificado de usuario en una tarjeta inteligente (los
certificados de equipo no se distribuyen en tarjetas inteligentes).
Muchas infraestructuras de red contienen servidores VPN y NPS que no son miembros dedominio. Así, por ejemplo, puede que un servidor VPN de una red perimetral no sea
miembros de dominio por razones de seguridad. En ese caso, antes de poder negociarsatisfactoriamente conexiones VPN basadas en L2TP/IPsec con equipos cliente, esnecesario instalar en las extensiones EKU del servidor VPN que no es miembro de dominio
un certificado de equipo que incluya el propósito de autenticación del servidor. Si un
servidor VPN que no es miembro de dominio se usa como extremo de una conexión VPN
con otro servidor VPN, las extensiones EKU deben incluir los propósitos de autenticacióndel servidor y autenticación del cliente.
Si ejecuta una entidad de certificación (CA) de empresa en un equipo con WindowsServer 2008 o Windows Server 2003, Standard Edition, puede usar la tabla siguiente para
determinar el método de inscripción de certificados que mejor se ajuste a sus necesidades:
Objeto y pertenencia a
dominio
Plantilla de
certificado
Propósitos de
certificado
Método
preferente de
inscripción de
certificados
Método alternativo
de inscripción de
certificados
Servidor VPN, IAS o
NPS, miembro de
dominio
EquipoAutenticación delservidor
Inscripciónautomática
Solicitar un
certificado con elcomplemento
Certificados
Servidor VPN con
conexión de sitio asitio, miembro de
dominio
Equipo
Autenticación del
servidor yautenticación del
cliente
Inscripciónautomática
Solicitar un
certificado con elcomplemento
Certificados
Windows Vista o
cliente Windows XP,miembro de dominio
EquipoAutenticación del
cliente
Inscripción
automática
Solicitar uncertificado con el
complemento
Certificados
Servidor VPN, IAS o
NPS, no
perteneciente a undominio
EquipoAutenticación del
servidor
Herramientas de
inscripción en
web de CA
Instalar desde un
disquete
Servidor VPN conconexión de sitio a
sitio, no perteneciente
a un dominio
Equipo
Autenticación delservidor y
autenticación del
cliente
Herramientas de
inscripción enweb de CA
Instalar desde un
disquete
Windows Vista ocliente Windows XP,
EquipoAutenticación delcliente
Herramientas deinscripción en
Instalar desde undisquete
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 10/27
no perteneciente a un
dominio
web de CA
Usuario, usuario de
dominioUsuario
Autenticación del
cliente
Inscripción
automática
Usar una tarjeta
inteligente o la
herramienta de
inscripción en webde CA
Si su CA está instalada en un equipo que ejecuta uno de los siguientes sistemas operativos,los servidores RAS e IAS y las plantillas de autenticación de estación de trabajo estarándisponibles para el uso:
Windows Server 2003, Enterprise Edition
Windows Server 2003, Datacenter Edition
Windows Server 2003, Enterprise Edition para sistemas basados en Itanium
Windows Server 2003, Datacenter Edition para sistemas basados en Itanium
Windows Server 2003, Enterprise x64 Edition
Windows Server 2003, Datacenter x64 Edition
Windows Server 2008
Use la tabla siguiente para determinar cuándo usar estas plantillas.
Objeto y pertenencia a
dominio
Plantilla de
certificado
Propósito del
certificado
Método
preferente de
inscripción de
certificados
Método
alternativo de
inscripción de
certificados
Servidor VPN, IAS o
NPS, miembro de
dominio
Servidor RAS eIAS
Autenticacióndel servidor
Inscripciónautomática
Solicitar un
certificado con elcomplemento
Certificados
Windows Vista ocliente Windows XP,
miembro de dominio
Autenticaciónde estación de
trabajo
Autenticación
del cliente
Inscripción
automática
Solicitar uncertificado con el
complementoCertificados
Servidor VPN, IAS o
NPS, noperteneciente a un
dominio
Servidor RAS eIAS
Autenticacióndel servidor
Herramientas de
inscripción en
web de CA
Instalar desde undisquete
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 11/27
Windows Vista o
cliente Windows XP,
no perteneciente a un
dominio
Autenticación
de estación detrabajo
Autenticación
del cliente
Herramientas de
inscripción enweb de CA
Instalar desde un
disquete
Importante
Si el servidor que ejecuta NPS no es un controlador de dominio, pero es miembro de un dominio
con un nivel funcional de Windows 2000 mixto, debe agregar el servidor a la lista de control de
acceso (ACL) de la plantilla de certificado de servidor RAS e IAS. También debe configurar los
permisos adecuados para la inscripción automática. Existen diferentes procedimientos para
agregar servidores individuales y grupos de servidores a la ACL.
Para agregar un servidor individual a la ACL para la plantilla de certificado de servidor
RAS e IAS
1. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, a
continuación, agregue el servidor NPS a las propiedades de la plantilla Seguridad.2. Después de agregar el servidor NPS a la ACL, otorgue los permisos Lectura,
Inscripción e Inscripción automática.
Para administrar un grupo de servidores, agregar los servidores a un nuevo grupo global
o universal y, a continuación, agregar el grupo a la ACL de la plantilla de certificado
1. En Usuarios y equipos de Active Directory, cree un nuevo grupo global o universal
para los servidores NPS.
2.
Agregue al grupo todos los equipos que son servidores NPS, que no soncontroladores de dominio y que son miembros de un dominio con un nivel funcional
de Windows 2000 mixto.
3. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, acontinuación, agregue el servidor NPS a las propiedades de la plantilla Seguridad.
4. Conceda los permisos Lectura, Inscripción e Inscripción automática.
Consulte también
Conceptos
Implementaciones de certificados y replicación de Active Directory
Requisitos de certificados para PEAP y EAP Introducción a EAP
Introducción a PEAP
Comprobaciones de CRL de NPS
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 12/27
Implementaciones de certificados y
replicación de Active Directory
Este tema aún no ha recibido ninguna valoración Valorar este tema
Se aplica a: Windows Server 2008
Implementaciones de certificados y replicación de Active Directory
Algunos métodos de autenticación, como PEAP y EAP cuando se configuran con tipos de
autenticación basada en certificados, pueden usar certificados para la autenticación deequipos y usuarios. La latencia en la replicación de Active Directory® puede afectar
temporalmente a la capacidad de un cliente o servidor para obtener un certificado de una
entidad de certificación (CA). Si un equipo configurado para usar certificados para
autenticación no puede inscribir un certificado, se produce un error en la autenticación.
Esta latencia en la replicación de Active Directory puede afectar a la infraestructura deautenticación de acceso a la red porque los certificados usados para la autenticación de
clientes y servidores los emiten las CA para los equipos miembros del dominio. En los
momentos posteriores a la unión de un equipo cliente o servidor al dominio, es posible que
el único servidor de catálogo global de Active Directory que tenga un registro de lapertenencia a dominios del equipo cliente o servidor sea el controlador de dominio que
controló la solicitud de unión.
Una vez que un equipo se ha unido al dominio, debe reiniciar el equipo. Después de que el
equipo se inicie y el usuario inicie sesión en el dominio, se aplica la directiva de grupo. Sipreviamente ha configurado la inscripción automática de certificados de equipo cliente o,para los servidores NPS, los certificados de servidor, éste es el momento en que el nuevo
equipo miembro del dominio solicita un certificado de una CA.
Nota
Para actualizar manualmente la directiva de grupo, inicie sesión en el dominio o ejecute el
comando gpupdate.
A su vez, la CA consulta con los Servicios de dominio de Active Directory (AD DS) paradeterminar si debe emitir un certificado al cliente o servidor que lo ha solicitado. Si lacuenta de equipo se ha replicado en el dominio, la CA puede determinar si el cliente o
servidor tiene los permisos de seguridad necesarios para inscribir un certificado. Sin
embargo, si la cuenta de equipo no se ha replicado en el dominio, es posible que la CA nopueda comprobar que el cliente o servidor tiene los permisos de seguridad para inscribir un
certificado.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 13/27
Si ocurre esto, la CA no inscribe un certificado en el equipo cliente o servidor.
Si un equipo cliente miembro del dominio no puede inscribir un certificado de equipo
cliente, el equipo cliente no puede autenticarse correctamente en los servidores NPS al
intentar conectarse a la red mediante los servidores de acceso a la red que están
configurados como clientes RADIUS en NPS, en los que el método de autenticación
requerido es EAP-TLS o PEAP-TLS. Por ejemplo, si ha implementado clientes RADIUS que
son puntos de acceso inalámbrico 802.1X y usa PEAP-TLS como método de autenticación,
los equipos cliente que no tengan un certificado de equipo cliente no pueden autenticarse
correctamente y no pueden usar los recursos de red mediante una conexión inalámbrica.
Si un equipo servidor NPS miembro del dominio no puede inscribir un certificado de
servidor, el servidor NPS no se puede autenticar correctamente en los equipos cliente
cuando intentan conectarse a la red mediante los servidores de acceso a la red
configurados como clientes RADIUS en NPS, donde el método de autenticación es EAP-TLS,
PEAP-TLS o PEAP-MS-CHAP v2, y donde los clientes están configurados con la opción
Validar un certificado de servidor habilitada. Estos métodos de autenticación
proporcionan autenticación mutua y el servidor NPS debe tener un certificado de servidorpara autenticarse correctamente en los equipos cliente. Si el servidor NPS no tiene un
certificado de servidor, se produce un error en todas las solicitudes de conexión en las que
se requieren estos métodos de autenticación porque los equipos cliente no pueden
autenticar el servidor NPS.
Por este motivo, al implementar métodos de autenticación basada en certificados, se
recomienda diseñar los tiempos de replicación de Active Directory y la implementación de
CA subordinadas para reducir las posibilidades de que la lentitud de replicación afecte
negativamente a la infraestructura de autenticación del acceso a la red.
Requisitos de certificados para PEAP yEAP
Este tema aún no ha recibido ninguna valoración Valorar este tema
Se aplica a: Windows Server 2008
Todos los certificados que se usan para autenticación de acceso a la red con el Protocolo de
autenticación extensible con Seguridad de la capa de transporte (EAP-TLS), Protocolo de
autenticación extensible protegido con Seguridad de la capa de transporte (PEAP-TLS) yPEAP con Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-
CHAP v2) deben cumplir los requisitos para los certificados X.509 y trabajar para
conexiones que usen la Capa de sockets seguros o la Seguridad de la capa de transporte(SSL/TLS). Los certificados de cliente y de servidor tienen requisitos adicionales.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 14/27
Requisitos mínimos para certificados de servidor
Con PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS como método de autenticación, el
servidor NPS debe usar un certificado de servidor que cumpla los requisitos mínimos para
certificado de servidor.
Los equipos cliente se pueden configurar para validar certificados de servidor usando la
opción Validar un certificado de servidor en el equipo cliente o en la directiva de grupo.
El equipo cliente acepta el intento de autenticación del servidor cuando el certificado deservidor cumple los siguientes requisitos:
El nombre de sujeto contiene un valor. Si emite un certificado para el servidor que ejecuta
el servidor de directivas de redes (NPS), que tiene un nombre de sujeto en blanco, el
certificado no está disponible para autenticar el servidor NPS. Para configurar la plantilla
de certificado con un nombre de sujeto:
1. Abra Plantillas de certificado.
2. En el panel de detalles, haga clic con el botón secundario en la plantilla de
certificado que desea cambiar y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de
esta información de Active Directory.
4. En Formato de nombre de sujeto, seleccione un valor que no sea Ninguno.
El certificado de equipo del servidor se encadena a una entidad de certificación (CA) raíz
de confianza y no genera ningún error en las comprobaciones que realiza CryptoAPI y quese especifican en la directiva de acceso remoto o la directiva de red.
El certificado del equipo para el servidor NPS o servidor VPN se configura con el propósito
de autenticación del servidor en las extensiones de uso mejorado de claves (EKU). (El
identificador de objeto para la autenticación de servidor es 1.3.6.1.5.5.7.3.1.)
El certificado de servidor se configura con el valor de algoritmo obligatorio RSA. Para
establecer la configuración de criptografía requerida:
1. Abra Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificadoque desea cambiar y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Criptografía. En Nombre de algoritmo, haga clic en RSA.
Asegúrese de que el Tamaño mínimo de clave está establecido en 2048.
Si se usa la extensión de nombre alternativo de sujeto (SubjectAltName), debe contener el
nombre DNS del servidor. Para configurar la plantilla de certificado con el nombre Sistema
de nombres de dominio (DNS) del servidor de inscripción:
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 15/27
1. Abra Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado
que desea cambiar y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de
esta información de Active Directory.
4. En Incluir esta información en un nombre de sujeto alternativo, seleccione
Nombre DNS.
Al usar PEAP y EAP-TLS, los servidores NPS muestran una lista de todos los certificadosinstalados en el almacén de certificados del equipo, con las siguientes excepciones:
No se muestran los certificados que no contienen el propósito de autenticación de
servidor en extensiones EKU.
No se muestran los certificados que no contienen un nombre de sujeto.
No se muestran los certificados de inicio de sesión de tarjeta inteligente y basados en el
Registro.
Requisitos mínimos para certificados de cliente
Con EAP-TLS o PEAP-TLS, el servidor acepta el intento de autenticación del cliente
cuando el certificado cumple los siguientes requisitos:
El certificado de cliente lo emite una entidad de certificación empresarial o se asigna a una
cuenta de usuario o de equipo en los Servicios de dominio de Active Directory® (AD DS).
El certificado de usuario o equipo del cliente se encadena a una entidad de certificación
raíz de confianza, incluye el propósito de autenticación de cliente en extensiones EKU (el
identificador de objeto para autenticación de cliente es 1.3.6.1.5.5.7.3.2) y no genera
errores en las comprobaciones que realiza CryptoAPI y que se especifican en la directiva
de acceso remoto o la directiva de red ni en las comprobaciones del identificador de
objeto de certificado que se especifican en la directiva de acceso remoto de IAS o la
directiva de red de NPS.
El cliente 802.1X no usa certificados basados en el Registro que sean certificados de inicio
de sesión de tarjeta inteligente o protegidos con contraseña.
Para los certificados de usuario, la extensión de nombre alternativo de sujeto
(SubjectAltName) del certificado contiene el nombre principal del usuario (UPN). Para
configurar el UPN en una plantilla de certificado:
1. Abra Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado
que desea cambiar y, a continuación, haga clic en Propiedades.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 16/27
3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de
esta información de Active Directory.
4. En Incluir esta información en un nombre de sujeto alternativo, seleccione
Nombre principal del usuario (UPN).
Para los certificados de equipo, la extensión de nombre alternativo de sujeto(SubjectAltName) del certificado debe contener el nombre de dominio completo (FQDN)
del cliente, que también se llama nombre DNS. Para configurar este nombre en la plantilla
de certificado:
1. Abra Plantillas de certificado.
2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado
que desea cambiar y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de
esta información de Active Directory.
4. En Incluir esta información en un nombre de sujeto alternativo, seleccione
Nombre DNS.
Con PEAP-TLS y EAP-TLS, el cliente muestra una lista de todos los certificados
instalados en el complemento Certificados, con las siguientes excepciones:
Los clientes inalámbricos no muestran certificados de inicio de sesión de tarjeta
inteligente y basados en el Registro.
Los clientes inalámbricos y los clientes VPN no muestran certificados protegidos con
contraseña.
No se muestran los certificados que no contienen el propósito de autenticación de cliente
en extensiones EKU.
Introducción a EAP
Este tema aún no ha recibido ninguna valoración Valorar este tema
Se aplica a: Windows Server 2008
El protocolo de autenticación extensible (EAP) extiende el protocolo punto a punto (PPP)
permitiendo métodos de autenticación arbitrarios que usan intercambios de credenciales yde información de longitudes arbitrarias. EAP ofrece métodos de autenticación que usan
dispositivos de seguridad, como tarjetas inteligentes, tarjetas de símbolo (token) y
calculadoras de cifrado. EAP ofrece una arquitectura estándar de la industria para admitirmás métodos de autenticación dentro de PPP.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 17/27
EAP y NPS
Mediante EAP, puede admitir otros esquemas de autenticación denominados tipos de EAP.Estos esquemas incluyen tarjetas de símbolo (token), contraseñas de un solo uso,
autenticación de claves públicas mediante el uso de tarjetas inteligentes y certificados.
EAP, junto con tipos de EAP seguros, es un componente tecnológico esencial para lasconexiones de redes privadas virtuales (VPN), las conexiones cableadas 802.1X y las
conexiones inalámbricas 802.1X seguras. El cliente de acceso a redes y el autenticador,
como el servidor que ejecuta el servidor de directivas de redes (NPS), deben admitir el
mismo tipo de EAP para que la autenticación se lleve a cabo correctamente.
Importante
Los tipos de EAP seguros, como aquellos basados en certificados, ofrecen una mayor seguridad
frente a los ataques por "fuerza bruta" o de diccionario y la averiguación de contraseñas que los
protocolos de autenticación basados en contraseñas, tales como el Protocolo de autenticación por
desafío mutuo (CHAP) o el Protocolo de autenticación por desafío mutuo versión 2 de Microsoft
(MS-CHAP).
Con EAP, un mecanismo de autenticación arbitrario autentica una conexión de accesoremoto. El esquema de autenticación que se va a usar se negocia entre el cliente de acceso
remoto y el autenticador (el servidor de acceso a la red o bien el servidor del Servicio de
autenticación remota telefónica de usuario [RADIUS]). El Enrutamiento y acceso remoto
incluye la compatibilidad con el Protocolo de autenticación extensible con Seguridad de lacapa de transporte (EAP-TLS) y PEAP-MS-CHAP v2 de forma predeterminada. Puede
conectar otros módulos EAP al servidor que ejecuta Enrutamiento y acceso remoto paraproporcionar otros métodos EAP.
EAP permite conversaciones abiertas entre el cliente de acceso remoto y el autenticador. La
conversación se compone de solicitudes de información de autenticación por parte delautenticador y de respuestas del cliente de acceso remoto. Por ejemplo, si se utiliza EAP
con tarjetas de token de seguridad, el autenticador puede consultar al cliente de acceso
remoto el nombre, el PIN y el valor de token de la tarjeta por separado. Con cada consultarealizada y respondida, el cliente de acceso remoto pasa por otro nivel de autenticación.
Una vez que se ha respondido correctamente a todas las preguntas, se autentica el cliente de
acceso remoto.
Windows Server® 2008 incluye la infraestructura EAP, dos tipos de EAP y la capacidad de
pasar mensajes EAP a un servidor RADIUS (EAP-RADIUS).
Infraestructura EAP
EAP es un conjunto de componentes internos que presta apoyo arquitectónico paracualquier tipo de EAP en forma de un módulo de complemento. Para que la autenticación
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 18/27
se realice de manera correcta, el cliente de acceso remoto y el autenticador deben tener
instalado el mismo módulo de autenticación EAP. También puede instalar otros tipos de
EAP. Los componentes de un tipo de EAP deben estar instalados en cada cliente de accesoa la red y en cada autenticador.
Nota
Los sistemas operativos Windows Server 2003 proporcionan dos tipos de EAP: Desafío-MD5 y EAP-
TLS. Desafío-MD5 no se admite en Windows Server 2008.
EAP-TLS
EAP-TLS es un tipo de EAP que se usa en entornos de seguridad basados en certificados.Si usa tarjetas inteligentes para la autenticación de acceso remoto, debe usar el método de
autenticación EAP-TLS. El intercambio de mensajes EAP-TLS permite la autenticación
mutua, la negociación del método de cifrado y la determinación de claves cifradas entre elcliente de acceso remoto y el autenticador. EAP-TLS proporciona el método de
determinación de claves y autenticación más seguro.
Nota
Durante el proceso de autenticación EAP-TLS se generan claves de cifrado secretas compartidas
para el Cifrado punto a punto de Microsoft (MPPE).
EAP-TLS sólo se admite en servidores que ejecutan Enrutamiento y acceso remoto, se han
configurado para usar Autenticación de Windows o RADIUS (Servicio de autenticaciónremota telefónica de usuario) y son miembros de un dominio. Los servidores de acceso a la
red que ejecutan un servidor independiente o un miembro de un grupo de trabajo noadmiten EAP-TLS.
Uso de RADIUS como transporte para EAP
El uso de RADIUS como transporte para EAP consiste en pasar los mensajes EAP de
cualquier tipo de EAP por parte de un cliente RADIUS a un servidor RADIUS para la
autenticación. Por ejemplo, si se configura un servidor de acceso a la red para la
autenticación RADIUS, los mensajes EAP enviados entre el cliente y el servidor de accesoa la red se encapsulan y formatean como mensajes RADIUS entre el servidor de acceso a la
red y el servidor RADIUS. El uso de EAP a través de RADIUS de denomina EAP-
RADIUS.
EAP-RADIUS se usa en entornos en los que RADIUS se usa como proveedor deautenticación. La ventaja de usar EAP-RADIUS es que no es necesario instalar los tipos de
EAP en todos los servidores de acceso a la red, sino sólo en el servidor RADIUS. En el
caso de un servidor NPS, sólo debe instalar tipos de EAP en el servidor NPS.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 19/27
Por lo general, al usar EAP-RADIUS, el servidor que ejecuta Enrutamiento y acceso
remoto se configura para usar EAP y un servidor NPS para la autenticación. Cuando se
establece una conexión, el cliente de acceso remoto negocia el uso de EAP con el servidorde acceso a la red. Si el cliente envía un mensaje EAP al servidor de acceso a la red, éste
encapsula el mensaje EAP como un mensaje RADIUS y lo envía al servidor NPS
configurado. El servidor NPS procesa el mensaje EAP y devuelve un mensaje EAPencapsulado como RADIUS al servidor de acceso a la red. A continuación, el servidor de
acceso remoto reenvía el mensaje EAP al cliente de acceso a la red. En esta configuración,
el servidor de acceso a la red sólo funciona como dispositivo de paso a través. Todo elprocesamiento de los mensajes EAP se lleva a cabo en el cliente de acceso remoto y en el
servidor NPS.
Enrutamiento y acceso remoto puede configurarse para autenticar localmente o en un
servidor RADIUS. Si Enrutamiento y acceso remoto se configura para autenticar
localmente, todos los métodos EAP se autenticarán localmente. Si Enrutamiento y acceso
remoto se configura para autenticar en un servidor RADIUS, todos los mensajes EAP se
reenviarán al servidor RADIUS con EAP-RADIUS.
Para habilitar la autenticación de EAP
1. Habilite EAP como protocolo de autenticación en el servidor de acceso a la red.Para obtener más información, consulte la documentación del servidor de acceso a
la red.
2. Habilite EAP y, si es necesario, configure el tipo de EAP en las restricciones de ladirectiva de red adecuada.
3. Habilite y configure EAP en el cliente de acceso remoto. Para obtener más
información, consulte la documentación del cliente de acceso.
Introducción a PEAP
Este tema aún no ha recibido ninguna valoración Valorar este tema
Se aplica a: Windows Server 2008
El protocolo de autenticación extensible protegido (PEAP) forma parte de los protocolos de
autenticación extensibles (EAP).
PEAP usa Seguridad de la capa de transporte (TLS) para crear un canal cifrado entre uncliente de autenticación PEAP, como un equipo inalámbrico, y un autenticador PEAP,como un servidor que ejecuta NPS (Servidor de directivas de redes) o un servidor RADIUS
(Servicio de autenticación remota telefónica de usuario).
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 20/27
PEAP y NPS
PEAP no especifica ningún método de autenticación, sino que proporciona seguridadadicional para otros protocolos de autenticación EAP, como el Protocolo de autenticación
extensible con Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (EAP-
MS-CHAP v2), que pueden operar a través del canal cifrado TLS que proporciona PEAP.PEAP se usa como un método de autenticación para clientes de acceso que tratan de
conectarse a la red de la organización a través de los siguientes tipos de servidores de
acceso a la red:
Puntos de acceso inalámbrico 802.1X
Conmutadores de autenticación 802.1X
Servidores de red privada virtual (VPN) que ejecutan Windows Server® 2008 o Windows
Server® 2008 R2 y el Servicio de enrutamiento y acceso remoto
Equipos que ejecutan Windows Server 2008 y Puerta de enlace de Terminal Services
(puerta de enlace de TS) o Windows Server® 2008 R2 y Puerta de enlace de Escritorio
remoto
Para mejorar los protocolos EAP y la seguridad de red, PEAP proporciona:
Un canal TLS que proporciona protección para la negociación del método EAP que se
produce entre el cliente y el servidor. Este canal TLS ayuda a impedir que un atacante
inserte paquetes entre el cliente y el servidor de acceso a la red para dar lugar a la
negociación de un tipo de EAP menos seguro. El canal TLS cifrado también ayuda a evitar
ataques por denegación de servicio contra el servidor NPS.
Compatibilidad con la fragmentación y reensamblado de mensajes, lo que permite el uso
de tipos de EAP que no proporcionan esta funcionalidad.
Clientes con la capacidad de autenticar el servidor NPS u otro servidor RADIUS. Como el
servidor también autentica el cliente, se produce una autenticación mutua.
Protección frente a la implementación de un punto de acceso inalámbrico no autorizado
en el momento en que el cliente EAP autentica el certificado proporcionado por el
servidor NPS. Además, el secreto principal de TLS creado por el cliente y el autenticador
PEAP no se comparte con el punto de acceso. Como consecuencia, el punto de acceso no
puede descifrar los mensajes protegidos con PEAP.
Reconexión rápida de PEAP, que reduce el retardo entre la solicitud de autenticación de
un cliente y la respuesta del servidor NPS u otro servidor RADIUS. La reconexión rápida de
PEAP también permite a los clientes inalámbricos moverse entre puntos de acceso
configurados como clientes RADIUS en el mismo servidor RADIUS sin repetir las solicitudes
de autenticación. De esta forma, se reducen los requisitos de recursos del cliente y el
servidor, y se minimiza el número de veces que se solicitan las credenciales a los usuarios.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 21/27
La siguiente tabla enumera los puntos fuertes de PEAP-MS-CHAP v2 y los compara conMS-CHAP v2.
Característica/funciónMS-CHAP
v2
PEAP-MS-
CHAP v2
Proporciona autenticación de clientes mediante contraseñas. Sí Sí
Garantiza que el servidor tenga acceso a las credenciales. Sí Sí
Autentica el servidor. Sí Sí
Impide la suplantación de puntos de acceso inalámbricos. No Sí
Impide que un servidor no autorizado negocie el método de
autenticación menos seguro.No Sí
Usa claves TLS generadas con una clave pública. No Sí
Proporciona cifrado de un extremo a otro. No Sí
Impide ataques de diccionario o de fuerza bruta. No Sí
Impide ataques de reproducción. No Sí
Permite el encadenamiento de métodos de autenticación. No Sí
Requiere la confianza del cliente en certificados proporcionados
por el servidor.No Sí
Proceso de autenticación de PEAP
Existen dos fases en el proceso de autenticación de PEAP entre el cliente PEAP y el
autenticador. La primera fase establece un canal seguro entre el cliente PEAP y el servidor
de autenticación. La segunda fase proporciona autenticación EAP entre el cliente PEAP y elautenticador.
Canal cifrado TLS
En la primera fase de la autenticación PEAP, se crea el canal TLS entre el cliente PEAP y
el servidor NPS. Los siguientes pasos muestran la creación de este canal TLS para clientesPEAP inalámbricos.
1. El cliente PEAP se asocia con un punto de acceso inalámbrico que está configurado como
un cliente RADIUS de un servidor que ejecuta NPS. Una asociación basada en IEEE 802.11
proporciona una autenticación de sistema abierto o de claves compartidas antes de crear
una asociación segura entre el cliente PEAP y el punto de acceso.
2. Después de establecer correctamente una asociación basada en IEEE 802.11 entre el
cliente y el punto de acceso, se negocia la sesión de TLS con el punto de acceso.
3. Después de que se complete correctamente una autenticación a nivel de equipo entre el
cliente PEAP inalámbrico y el servidor NPS, se negocia la sesión TLS entre ellos. La clave
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 22/27
que se deriva durante esta negociación se usará para cifrar toda la comunicación
posterior, incluida la autenticación de acceso a la red que permite al usuario conectarse a
la red de la organización.
Comunicación autenticada mediante EAP
Toda la comunicación EAP, incluida la negociación EAP, se produce a través del canalTLS y es la segunda fase de la autenticación PEAP. Los siguientes pasos amplían elejemplo anterior e ilustran el modo en que los clientes inalámbricos completan la
autenticación con el servidor NPS mediante PEAP.
Después de que se haya creado el canal TLS entre el servidor NPS y el cliente PEAP, el
cliente pasa las credenciales (nombre de usuario y contraseña o un certificado de usuario o
de equipo) al servidor NPS a través del canal cifrado.
El punto de acceso sólo reenvía mensajes entre el cliente inalámbrico y el servidor
RADIUS; el punto de acceso (o una persona que lo supervise) no puede descifrar estosmensajes porque no es el extremo TLS.
El servidor NPS autentica el usuario y el equipo cliente con el tipo de autenticación que seha seleccionado para su uso con PEAP. El tipo de autenticación puede ser EAP-TLS
(tarjeta inteligente u otro certificado) o EAP-MS-CHAP v2 (contraseña segura).
Nota
Puede configurar PEAP como el método de autenticación en la directiva de red de NPS.
Tipos de EAP
Se puede elegir entre dos tipos de EAP, también denominados tipos de autenticación, parasu uso con PEAP: EAP-MS-CHAP v2 o EAP-TLS. EAP-MS-CHAP v2 usa credencialesbasadas en contraseña (nombre de usuario y contraseña) para la autenticación de usuarios y
un certificado en el almacén de certificados del equipo servidor para la autenticación de
servidores. EAP-TLS usa certificados instalados en el almacén de certificados del equipo
cliente o una tarjeta inteligente para la autenticación de usuarios y de equipos cliente, y uncertificado en el almacén de certificados del equipo servidor para la autenticación de
servidores.
PEAP con EAP-MS-CHAP v2
PEAP con EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) es más fácil de implementar que
EAP-TLS ya que la autenticación de usuarios se realiza usando credenciales basadas encontraseñas (nombre de usuario y contraseña) en lugar de certificados o tarjetas
inteligentes. Sólo el servidor NPS u otro servidor RADIUS debe disponer de un certificado.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 23/27
El servidor NPS usa el certificado del servidor NPS durante el proceso de autenticación
para demostrar su identidad a los clientes PEAP.
Una autenticación PEAP-MS-CHAP v2 correcta requiere que el cliente confíe en el
servidor NPS después de examinar el certificado del servidor. Para que el cliente confíe en
el servidor NPS, la entidad de certificación (CA) que emitió el certificado del servidor debedisponer de su certificado propio y distinto en el almacén de certificados de las entidades de
certificación raíz de confianza de los equipos cliente.
El certificado de servidor que usa NPS puede estar emitido por la entidad de certificación
raíz de confianza de su organización o una entidad de certificación pública, como Verisigno Thawte, en la que ya confíe el equipo cliente.
Nota
PEAP-MS-CHAP v2 ofrece una seguridad considerablemente mayor que MS-CHAP v2 al
proporcionar generación de claves con TLS y por el uso de la autenticación mutua, que impide queun servidor no autorizado pueda negociar el método de autenticación menos seguro con el cliente
PEAP.
PEAP con EAP-TLS
Cuando se implementa una infraestructura de clave pública (PKI) con Servicios de
certificados de Active Directory (AD CS), se puede usar PEAP con EAP-TLS (PEAP-TLS). Los certificados ofrecen un método de autenticación mucho más seguro que los
métodos que usan credencias basadas en contraseñas. PEAP-TLS usa certificados para la
autenticación de servidores y tarjetas inteligentes, que contienen un certificado incrustado,o certificados inscritos en los equipos cliente, almacenados en el almacén de certificados
del equipo local, para la autenticación de usuarios y equipos cliente. Para usar PEAP-TLS,
debe implementar una PKI.
Reconexión rápida de PEAP
La reconexión rápida de PEAP permite a los clientes inalámbricos moverse entre puntos deacceso inalámbricos de la misma red sin tener que volver a autenticarse cada vez que se
asocian a un nuevo punto de acceso.
Los puntos de acceso inalámbricos están configurados como clientes RADIUS a servidores
RADIUS. Si un cliente inalámbrico se desplaza entre puntos de acceso que están
configurados como clientes del mismo servidor RADIUS, no será necesario que el cliente
se autentique en cada nueva asociación. Cuando un cliente se mueve a un punto de accesoque está configurado como un cliente RADIUS de un servidor RADIUS distinto, si bien el
cliente debe volver a autenticarse, este proceso se realiza de un modo más rápido y eficaz.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 24/27
La reconexión rápida de PEAP reduce el tiempo de respuesta para la autenticación entre
cliente y autenticador porque la solicitud de autenticación se reenvía desde el nuevo punto
de acceso al servidor NPS que originalmente realizó la autenticación y autorización para lasolicitud de conexión del cliente. Como tanto el cliente PEAP como el servidor NPS usan
las propiedades de la conexión TLS previamente almacenadas en la memoria caché (la
colección de dichas propiedades se denomina identificador de TLS), el servidor NPS puededeterminar rápidamente que la conexión del cliente es una reconexión.
El cliente puede almacenar en la memoria caché identificadores TLS para varios
autenticadores PEAP. Si el servidor NPS original no está disponible, deberá realizarse una
autenticación completa entre el cliente y el nuevo autenticador. El identificador de TLS
para el nuevo autenticador de PEAP se almacena en la memoria caché por el cliente. Para laautenticación mediante tarjetas inteligentes o PEAP-MS-CHAP v2, se solicita al usuario
que proporcione el PIN o las credenciales, respectivamente.
Con autenticación PEAP-MS-CHAP v2:
Cuando el nuevo punto de
acceso es un cliente del
mismo servidor RADIUS
Cuando el nuevo punto de acceso es un cliente de un nuevo
servidor RADIUS
No se solicitan al usuariocredenciales cada vez que el
equipo cliente se asocia a
un nuevo punto de acceso.
Se solicitan las credenciales al usuario en esta asociacióninicial. La siguiente vez que el equipo cliente se asocie a un
punto de acceso que sea cliente de este servidor, no se
requerirán credenciales de usuario.
No es necesario que el
servidor RADIUSproporcione un certificado.
El servidor RADIUS proporciona un certificado en esta
asociación inicial de forma que el cliente inalámbrico puedaautenticarse ante el servidor RADIUS. La siguiente vez que el
equipo cliente se asocie a un punto de acceso que sea cliente
de este servidor, no se requerirá que el servidor vuelva aautenticarse.
Con autenticación PEAP-TLS:
Cuando el nuevo punto de acceso es un
cliente del mismo servidor RADIUS
Cuando el nuevo punto de acceso es un cliente de un
nuevo servidor RADIUS
No se requiere que el cliente y elservidor intercambien certificados.
El cliente y el servidor intercambian certificadosen esta asociación inicial. La siguiente vez que el
equipo cliente se asocie a un punto de acceso que
sea cliente de este servidor, no se intercambiaráncertificados.
No se solicita al usuario un número de
identificación personal (PIN) de tarjeta
Se solicita el PIN de tarjeta inteligente al usuario
en esta asociación inicial. La siguiente vez que el
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 25/27
inteligente cada vez que el equipo
cliente se asocia a un nuevo punto de
acceso.
equipo cliente se asocie a un punto de acceso que
sea cliente de este servidor, no se solicitará el PIN
al cliente.
Para habilitar la reconexión rápida de PEAP:
Tanto el cliente PEAP (cliente inalámbrico 802.11) como el autenticador PEAP (servidor
RADIUS) deben tener habilitada la reconexión rápida.
Todos los puntos de acceso a los que se desplace el cliente PEAP deben estar configurados
como clientes RADIUS de un servidor RADIUS (el autenticador PEAP) que tienen
configurado PEAP como método de autenticación para las conexiones inalámbricas.
Todos los puntos de acceso a los que se asocia el cliente PEAP deben estar configurados
para preferir el mismo servidor RADIUS (autenticador PEAP) y, de esta manera, evitar que
soliciten las credenciales desde todos los servidores RADIUS. Si no se puede configurar el
punto de acceso para que prefiera un servidor RADIUS, puede configurar un proxy RADIUS
NPS con un servidor RADIUS preferido.
Información adicional
PEAP no admite la autenticación de invitados.
Cuando implemente tanto PEAP como EAP sin protección PEAP, no use el mismo tipo de
autenticación EAP con y sin PEAP. Por ejemplo, si implementa PEAP-TLS, no implemente
también EAP-TLS sin PEAP. La implementación de métodos de autenticación del mismo
tipo crea una vulnerabilidad de seguridad.
Comprobaciones de CRL de NPS
Este tema aún no ha recibido ninguna valoración Valorar este tema
Se aplica a: Windows Server 2008
Comprobaciones de CRL de NPS
De manera predeterminada, el servidor que ejecuta el Servidor de directivas de redes (NPS)
comprueba la revocación de todos los certificados incluidos en la cadena de certificados
que envía el equipo cliente durante el proceso de autenticación EAP-TLS y PEAP-TLS. Sila revocación del certificado genera un error para cualquiera de los certificados de la
cadena, el intento de conexión no se autentica y es denegado.
El comportamiento de la comprobación de revocación de certificados para NPS puede
modificarse con la configuración del Registro. Para obtener más información, consulte
Configuración del registro de comprobación de CRL de NPS.
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 26/27
La comprobación de la revocación de certificados puede impedir el acceso del cliente
debido a la falta de disponibilidad o la expiración de las listas de revocación de certificados
(CRL) de cada certificado de la cadena de certificados, por lo que debe diseñar unainfraestructura de clave pública (PKI) que proporcione una alta disponibilidad de CRL. Por
ejemplo, configure varios puntos de distribución CRL para cada entidad de certificación
(CA) en la jerarquía de certificados y configure programaciones de publicaciones quegaranticen que siempre esté disponible la CRL más reciente.
La comprobación de la revocación de certificados sólo es tan precisa como la última CRL
publicada. Por ejemplo, si se revoca un certificado, la nueva CRL que contiene el
certificado recientemente revocado no se publica automáticamente de manera
predeterminada. Las CRL normalmente se publican atendiendo a una programación quepuede configurarse. Esto significa que el certificado revocado puede seguir usándose para
la autenticación porque la CRL publicada no es la más reciente; no contiene el certificado
revocado y, por tanto, puede seguir usándose para crear conexiones inalámbricas. Para
impedir que esto se produzca, el administrador de la red debe publicar manualmente la
nueva CRL con el certificado recientemente revocado.
El servidor NPS usa de manera predeterminada los puntos de distribución CRL en los
certificados. Sin embargo, también es posible almacenar una copia local de la CRL en el
servidor NPS. En este caso, la CRL local se usa durante la comprobación de la revocaciónde certificados. Si se publica manualmente una nueva CRL en los Servicios de dominio de
Active Directory® (AD DS), no se actualiza la CRL local del servidor NPS. La CRL local
se actualiza cuando expira. Esto puede crear una situación en la que se revoca un
certificado y se publica manualmente la CRL, pero el servidor NPS sigue permitiendo laconexión porque la CRL local todavía no se ha actualizado.
Importante
Cuando use certificados para la autenticación del acceso de red de nivel de equipo o usuario,
asegúrese de que las CRL se publiquen en una ubicación principal y, al menos, en una ubicación
secundaria para que todos los equipos, especialmente todos los servidores NPS y otros servidores
RADIUS, puedan tener acceso a las mismas. Si los servidores NPS-RADIUS intentan realizar la
validación de la CRL del certificado de usuario o equipo, pero no pueden encontrar las CRL, los
servidores NPS RADIUS rechazan todos los intentos de conexión basados en certificados y la
autenticación genera un error.
La comprobación de la revocación de certificados puede generar un error por los motivosque se exponen a continuación.
El certificado se ha revocado.
La CRL del certificado no puede encontrarse o no está disponible.
Las entidades de certificación mantienen las CRL y las publican en puntos de distribución
5/16/2018 Certificados y NPS - slidepdf.com
http://slidepdf.com/reader/full/certificados-y-nps 27/27
CRL. Los puntos de distribución CRL se incluyen en la propiedad Puntos de distribución CRL
del certificado. Si no se puede establecer el contacto con los puntos de distribución CRL
para comprobar la revocación del certificado, la comprobación de revocación del
certificado genera un error.
Además, si no existen puntos de distribución CRL en el certificado, el servidor NPS no
puede comprobar que el certificado no ha sido revocado y la comprobación de revocación
del certificado genera un error.
El editor de la CRL no emitió el certificado.
Dentro de la CRL se incluye la entidad de certificación de publicación. Si la entidad de
certificación de publicación de la CRL no coincide con la entidad de certificación de
emisión para la revocación del certificado que se está comprobando, la comprobación de
revocación del certificado genera un error.
La CRL no es la más reciente.
Cada CRL publicada dispone de un intervalo de fechas válidas. Si se ha superado la
siguiente fecha de actualización de la CRL, la CRL se considera no válida y la comprobación
de revocación de certificados genera un error. Deben publicarse nuevas CRL antes de la
fecha de expiración de la última CRL publicada.