Professional Documents
Culture Documents
Los certificados son documentos digitales emitidos por entidades de certificacin (CA), como los Servicios
de Certificate Server de Active Directory (AD CS) o la entidad de certificacin pblica Verisign. Los
certificados se pueden usar con diversos propsitos, como la firma de cdigo y la comunicacin segura
mediante correo electrnico; pero con el Servidor de directivas de redes (NPS), los certificados se usan para
la autenticacin del acceso a la red.
Los certificados se usan para la autenticacin del acceso a la red porque ofrecen un nivel elevado de
seguridad a la hora de autenticar usuarios y equipos y eliminan la necesidad de usar mtodos de
autenticacin basados en contraseas, que son menos seguros.
Existen dos mtodos de autenticacin que usan certificados cuando se configuran con tipos de autenticacin
basados en certificados: EAP y PEAP. Con EAP, puede configurar el tipo de autenticacin TLS (EAP-TLS)
y, con PEAP, puede configurar los tipos de autenticacin TLS (PEAP-TLS) y MS-CHAP v2 (PEAP-MSCHAP v2). Estos mtodos de autenticacin siempre usan certificados para la autenticacin del servidor.
Dependiendo del tipo de autenticacin configurado con el mtodo de autenticacin, los certificados tambin
pueden usarse para la autenticacin de usuario y de equipo cliente.
Nota
El uso de certificados para la autenticacin de conexiones VPN es la forma ms segura de autenticacin
disponible en Windows Server 2008. Debe usar la autenticacin basada en certificados para las
conexiones VPN basadas en el protocolo de tnel de capa dos en el protocolo de seguridad de Internet
(L2TP/IPSec). La conexiones PPTP (protocolo de puentes de punto a punto) no requieren certificados,
aunque se pueden configurar para usar certificados para la autenticacin de equipos cuando se use el mtodo
de autenticacin EAP-TLS. Para los clientes inalmbricos, se recomienda usar el mtodo de autenticacin
PEAP con EAP-TLS y tarjetas inteligentes o certificados.
Puede implementar certificados para usarlos con NPS mediante la instalacin y configuracin de la funcin
de servidor Servicios de Certificate Server de Active Directory. Para obtener ms informacin, consulte la
documentacin de AD CS.
Tipos de certificado
Cuando se usan mtodos de autenticacin basados en certificados, es importante entender los siguientes
tipos de certificados y cmo se usan.
Certificado de CA
Cuando est presente en equipos cliente y servidor, indica al cliente o al servidor que puede confiar
en otros certificados, como los certificados usados para la autenticacin del servidor, que son
emitidos por esta CA. Este certificado es necesario para todas las implementaciones de mtodos de
autenticacin basados en certificados.
Certificado de servidor
Lo emite una CA a servidores NPS y se usa cuando el servidor NPS tiene que demostrar su identidad
a un equipo cliente durante el proceso de autenticacin.
Certificado de usuario
Lo emite una CA a personas individuales y, normalmente, se distribuye como un certificado
integrado en una tarjeta inteligente. El certificado de la tarjeta inteligente se usa, junto con un lector
de tarjetas inteligentes que se instala en el equipo cliente, cuando los usuarios tienen que demostrar
su identidad a los servidores NPS durante el proceso de autenticacin.
Algunos de estos certificados de CA raz de confianza, que son emitidos por entidades de certificacin raz
de confianza pblicas, se incluyen de manera predeterminada en todas las instalaciones de Windows. Se
suministran en el CD de instalacin del producto o bien en los equipos vendidos por los fabricantes de
equipos originales (OEM) que distribuyen los equipos con Windows instalado.
Por ejemplo, en el almacn de certificados de los equipos que ejecutan Windows XP, en la carpeta Entidades
emisoras raz de confianza, se incluyen certificados de CA de Verisign Trust Network CA, Thawte Premium
Server CA y Microsoft Root Certification Authority. Si un equipo que ejecuta Windows XP se encuentra con
un certificado emitido por una de estas CA y el certificado es vlido y est correctamente configurado, el
equipo que ejecuta Windows XP confiar en el certificado.
Es posible adquirir certificados adicionales de numerosas compaas, como Verisign y Thawte, para usarlos
en su infraestructura de autenticacin. Por ejemplo, si implementa PEAP-MS-CHAP v2 y la opcin Validar
un certificado de servidor se ha configurado en el cliente, el equipo cliente autenticar el servidor NPS con
el certificado de servidor NPS. Si no desea implementar una CA propia y emitir certificados de servidor
3
propios a servidores NPS, puede comprar un certificado de servidor de una compaa cuya CA sea de
confianza para los equipos cliente.
Entidades de certificacin privadas
Cuando las organizaciones implementan su propia infraestructura de clave pblica (PKI) e instalan una CA
raz pblica, la CA enva automticamente su certificado a todos los equipos miembros de dominio de la
organizacin. Los equipos cliente y servidor que son miembros de dominio almacenan el certificado de CA
en el almacn de certificados Entidades emisoras raz de confianza. Una vez que esto sucede, los equipos
miembros de dominio confan en los certificados que son emitidos por la CA raz de confianza de la
organizacin.
Por ejemplo, si instala AD CS, la CA enva su certificado a los equipos miembros de dominio de su
organizacin y ellos almacenan el certificado de CA en el almacn de certificados Entidades emisoras raz
de confianza del equipo local. Si tambin configura e inscribe automticamente un certificado de servidor
para sus servidores NPS y, posteriormente, implementa PEAP-MS-CHAP v2 para las conexiones
inalmbricas, todos los equipos cliente inalmbricos que sean miembros de dominio podrn autenticar
satisfactoriamente sus servidores NPS con el certificado de servidor NPS porque confan en la CA que
emiti el certificado de servidor NPS.
Nota
Para los equipos que no son miembros de dominio, el certificado de CA se debe instalar manualmente en el
almacn de certificados Entidades emisoras raz de confianza para poder confiar en certificados, como los
certificados de servidor NPS, que son emitidos por una CA privada.
Certificados necesarios
En la tabla siguiente se identifican los certificados que son necesarios para implementar satisfactoriamente
cada uno de los mtodos de autenticacin basados en certificados.
Certificado
Detalles
S. Este certificado se
El certificado de
S. El certificado de CA se inscribe inscribe automticamente
CA del almacn de
automticamente para los equipos para los equipos que son
certificados
miembros de dominio. Para los
miembros de dominio. Para
Entidades
equipos que no son miembros de los equipos que no son
emisoras raz de
dominio, el certificado debe
miembros de dominio, el
confianza para el
importarse manualmente al
certificado debe importarse
equipo local y el
almacn de certificados.
manualmente al almacn de
usuario actual.
certificados.
Para PEAP-MS-CHAP
v2, este certificado es
necesario para la
autenticacin mutua
entre cliente y servidor.
El certificado de
equipo cliente que
se encuentra en el
almacn de
certificados del
cliente.
Si implementa
certificados de usuario
en tarjetas inteligentes,
los equipos cliente no
necesitarn certificados
de cliente.
El certificado de
servidor que se
encuentran en el
almacn de
certificados del
servidor NPS.
S. Adems de usar AD CS
para los certificados de
servidor, puede adquirir
certificados de servidor de
entidades de certificacin
que sean de confianza para
los equipos.
No. La autenticacin de
usuario se realiza con
credenciales basadas en
contraseas, y no
certificados.
Para EAP-TLS y
PEAP-TLS, si no
inscribe
automticamente
certificados de equipo
cliente, se necesitan
certificados de tarjeta
inteligente.
Importante
La autenticacin IEEE 802.1X proporciona acceso autenticado a redes inalmbricas 802.11 y a redes
Ethernet por cable. 802.1X ofrece compatibilidad para los tipos EAP seguros, como TLS con tarjetas
inteligentes o certificados. Puede configurar 802.1X con EAP-TLS de diversas formas. Si la opcin Validar
un certificado de servidor est configurada en el cliente, ste autenticar el servidor con su certificado. La
autenticacin de equipo cliente y de usuario se puede llevar a cabo con certificados del almacn de
certificados de cliente o de una tarjeta inteligente, lo que permite la autenticacin mutua. Con los clientes
inalmbricos, se puede usar como mtodo de autenticacin PEAP-MS-CHAP v2. PEAP-MS-CHAP v2 es
un mtodo de autenticacin de usuario basado en contrasea que usa TLS con certificados de servidor.
Durante la autenticacin de PEAP-MS-CHAP v2, el servidor IAS o RADIUS facilita un certificado para
validar su identidad al cliente (si la opcin Validar un certificado de servidor est configurada en
Windows Vista y el cliente Windows XP Professional). La autenticacin de equipo cliente y de usuario se
lleva a cabo con contraseas, lo que elimina parte de la dificultad de implementar certificados en equipos
cliente inalmbricos.
Si un servidor VPN, servidor NPS o cliente que ejecuta Windows 2000, Windows XP o Windows Vista es
miembro de un dominio que ejecuta Windows Server 2008 o Windows Server 2003 y AD DS, puede
configurar la inscripcin automtica de certificados de equipo y de usuario. Una ve que haya configurado y
habilitado la inscripcin automtica, todos los equipos miembros de dominio recibirn certificados de
equipo la siguiente vez que se actualice la directiva de grupo, ya sea de forma manual mediante el comando
gpupdate o bien iniciando sesin en el dominio.
Si su equipo es miembro de un dominio donde no se ha instalado AD DS, puede instalar certificados de
equipo manualmente solicitndolos a travs del complemento MMC Certificados.
Nota
Los equipos que ejecutan Windows 2000 slo pueden inscribir automticamente certificados de equipo.
Un administrador (que es, por definicin, de confianza) debe solicitar un certificado de equipo o de
usuario con la herramienta de inscripcin en web de CA.
Un administrador puede distribuir un certificado de usuario en una tarjeta inteligente (los certificados
de equipo no se distribuyen en tarjetas inteligentes).
Muchas infraestructuras de red contienen servidores VPN y NPS que no son miembros de dominio. As, por
ejemplo, puede que un servidor VPN de una red perimetral no sea miembros de dominio por razones de
seguridad. En ese caso, antes de poder negociar satisfactoriamente conexiones VPN basadas en L2TP/IPsec
con equipos cliente, es necesario instalar en las extensiones EKU del servidor VPN que no es miembro de
dominio un certificado de equipo que incluya el propsito de autenticacin del servidor. Si un servidor VPN
que no es miembro de dominio se usa como extremo de una conexin VPN con otro servidor VPN, las
extensiones EKU deben incluir los propsitos de autenticacin del servidor y autenticacin del cliente.
Si ejecuta una entidad de certificacin (CA) de empresa en un equipo con Windows Server 2008 o Windows
Server 2003, Standard Edition, puede usar la tabla siguiente para determinar el mtodo de inscripcin de
certificados que mejor se ajuste a sus necesidades:
Equipo
Propsitos de
certificado
Autenticacin del
Solicitar un certificado
6
NPS, miembro de
dominio
servidor
automtica
con el complemento
Certificados
Equipo
Autenticacin del
servidor y
autenticacin del
cliente
Inscripcin
automtica
Solicitar un certificado
con el complemento
Certificados
Autenticacin del
cliente
Inscripcin
automtica
Solicitar un certificado
con el complemento
Certificados
Equipo
Autenticacin del
servidor
Herramientas de
Instalar desde un
inscripcin en web
disquete
de CA
Equipo
Autenticacin del
servidor y
autenticacin del
cliente
Herramientas de
Instalar desde un
inscripcin en web
disquete
de CA
Autenticacin del
cliente
Herramientas de
Instalar desde un
inscripcin en web
disquete
de CA
Usuario, usuario de
dominio
Usuario
Autenticacin del
cliente
Inscripcin
automtica
Si su CA est instalada en un equipo que ejecuta uno de los siguientes sistemas operativos, los servidores
RAS e IAS y las plantillas de autenticacin de estacin de trabajo estarn disponibles para el uso:
Objeto y pertenencia a
dominio
Plantilla de
certificado
Propsito del
certificado
Autenticacin
del servidor
Inscripcin
automtica
Solicitar un certificado
con el complemento
Certificados
Inscripcin
automtica
Solicitar un certificado
con el complemento
Certificados
Autenticacin
del servidor
Herramientas de
inscripcin en web
de CA
Instalar desde un
disquete
Herramientas de
inscripcin en web
de CA
Instalar desde un
disquete
Importante
Si el servidor que ejecuta NPS no es un controlador de dominio, pero es miembro de un dominio con un
nivel funcional de Windows 2000 mixto, debe agregar el servidor a la lista de control de acceso (ACL) de la
plantilla de certificado de servidor RAS e IAS. Tambin debe configurar los permisos adecuados para la
inscripcin automtica. Existen diferentes procedimientos para agregar servidores individuales y grupos de
servidores a la ACL.
Para agregar un servidor individual a la ACL para la plantilla de certificado de servidor RAS e IAS
1. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, a continuacin, agregue el
servidor NPS a las propiedades de la plantilla Seguridad.
2. Despus de agregar el servidor NPS a la ACL, otorgue los permisos Lectura, Inscripcin e
Inscripcin automtica.
Para administrar un grupo de servidores, agregar los servidores a un nuevo grupo global o universal
y, a continuacin, agregar el grupo a la ACL de la plantilla de certificado
1. En Usuarios y equipos de Active Directory, cree un nuevo grupo global o universal para los
servidores NPS.
8
2. Agregue al grupo todos los equipos que son servidores NPS, que no son controladores de dominio y
que son miembros de un dominio con un nivel funcional de Windows 2000 mixto.
3. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, a continuacin, agregue el
servidor NPS a las propiedades de la plantilla Seguridad.
4. Conceda los permisos Lectura, Inscripcin e Inscripcin automtica.