Certificados y NPS

Los certificados son documentos digitales emitidos por entidades de certificacin (CA), como los Servicios
de Certificate Server de Active Directory (AD CS) o la entidad de certificacin pblica Verisign. Los
certificados se pueden usar con diversos propsitos, como la firma de cdigo y la comunicacin segura
mediante correo electrnico; pero con el Servidor de directivas de redes (NPS), los certificados se usan para
la autenticacin del acceso a la red.
Los certificados se usan para la autenticacin del acceso a la red porque ofrecen un nivel elevado de
seguridad a la hora de autenticar usuarios y equipos y eliminan la necesidad de usar mtodos de
autenticacin basados en contraseas, que son menos seguros.
Existen dos mtodos de autenticacin que usan certificados cuando se configuran con tipos de autenticacin
basados en certificados: EAP y PEAP. Con EAP, puede configurar el tipo de autenticacin TLS (EAP-TLS)
y, con PEAP, puede configurar los tipos de autenticacin TLS (PEAP-TLS) y MS-CHAP v2 (PEAP-MSCHAP v2). Estos mtodos de autenticacin siempre usan certificados para la autenticacin del servidor.
Dependiendo del tipo de autenticacin configurado con el mtodo de autenticacin, los certificados tambin
pueden usarse para la autenticacin de usuario y de equipo cliente.
Nota
El uso de certificados para la autenticacin de conexiones VPN es la forma ms segura de autenticacin
disponible en Windows Server 2008. Debe usar la autenticacin basada en certificados para las
conexiones VPN basadas en el protocolo de tnel de capa dos en el protocolo de seguridad de Internet
(L2TP/IPSec). La conexiones PPTP (protocolo de puentes de punto a punto) no requieren certificados,
aunque se pueden configurar para usar certificados para la autenticacin de equipos cuando se use el mtodo
de autenticacin EAP-TLS. Para los clientes inalmbricos, se recomienda usar el mtodo de autenticacin
PEAP con EAP-TLS y tarjetas inteligentes o certificados.
Puede implementar certificados para usarlos con NPS mediante la instalacin y configuracin de la funcin
de servidor Servicios de Certificate Server de Active Directory. Para obtener ms informacin, consulte la
documentacin de AD CS.

Tipos de certificado
Cuando se usan mtodos de autenticacin basados en certificados, es importante entender los siguientes
tipos de certificados y cmo se usan.

Certificado de CA
Cuando est presente en equipos cliente y servidor, indica al cliente o al servidor que puede confiar
en otros certificados, como los certificados usados para la autenticacin del servidor, que son
emitidos por esta CA. Este certificado es necesario para todas las implementaciones de mtodos de
autenticacin basados en certificados.

Certificado de equipo cliente

Lo emite una CA a equipos cliente y se usa cuando el equipo cliente tiene que demostrar su identidad
a un servidor que ejecuta NPS durante el proceso de autenticacin.

Certificado de servidor
Lo emite una CA a servidores NPS y se usa cuando el servidor NPS tiene que demostrar su identidad
a un equipo cliente durante el proceso de autenticacin.

Certificado de usuario
Lo emite una CA a personas individuales y, normalmente, se distribuye como un certificado
integrado en una tarjeta inteligente. El certificado de la tarjeta inteligente se usa, junto con un lector
de tarjetas inteligentes que se instala en el equipo cliente, cuando los usuarios tienen que demostrar
su identidad a los servidores NPS durante el proceso de autenticacin.

Mtodos de autenticacin basados en certificados.

Cuando usa EAP con un tipo de EAP de alta seguridad (como TLS con certificados o tarjetas inteligentes),
tanto el cliente como el servidor usan certificados para comprobar sus identidades entre s. Este proceso se
denomina autenticacin mutua. Los certificados deben cumplir ciertos requisitos para permitir que el
servidor y el cliente los usen para autenticarse.
Uno de los requisitos es que el certificado se configure con uno o ms propsitos en las extensiones EKU
relacionados con el uso del certificado. Por ejemplo, un certificado que se usa para la autenticacin de un
cliente a un servidor debe configurarse con el propsito de autenticacin del cliente. Del mismo modo, un
certificado que se use para la autenticacin de un servidor debe configurarse con el propsito de
autenticacin del servidor. Cuando los certificados se usan para la autenticacin, el autenticador examina el
certificado de cliente en busca del identificador de objeto del propsito adecuado en las extensiones EKU.
Por ejemplo, el identificador de objeto del propsito de autenticacin del cliente es 1.3.6.1.5.5.7.3.2. Cuando
un certificado se usa para la autenticacin de un equipo cliente, el identificador de objeto debe estar presente
en las extensiones EKU del certificado o la autenticacin genera un error.
Las plantillas de certificado son un complemento de Microsoft Management Console (MMC) que se
suministra para poder personalizar los certificados emitidos por AD CS. Entre las caractersticas que se
pueden personalizar, se incluyen el modo de emisin de los certificados y su contenido, adems del
propsito. En Plantillas de certificado, puede usar una plantilla predeterminada, como la plantilla Equipo,
para definir la plantilla que la CA usar para asignar certificados a los equipos. Asimismo, puede crear una
plantilla de certificado y asignar propsitos de las extensiones EKU al certificado. De forma predeterminada,
la plantilla Equipo incluye el propsito de autenticacin del cliente y el propsito autenticacin del servidor
en las extensiones EKU.
La plantilla de certificado que cree puede incluir cualquier propsito para el que se vaya a usar el
certificado. Por ejemplo, si usa tarjetas inteligentes para la autenticacin, puede incluir el propsito de inicio
de sesin de tarjeta inteligente, adems del propsito de autenticacin del cliente. Puede configurar NPS
para comprobar propsitos de certificado antes de conceder autorizacin de red. NPS puede comprobar
extensiones EKU y propsitos de directiva de emisin adicionales (tambin conocidos como directivas de
certificado).
Nota
Algunos programas de entidades de certificacin que no son de Microsoft pueden incluir un propsito
llamado Todos, que representa todos los propsitos posibles. Esto se indica mediante una extensin EKU en
blanco (o nula). Aunque Todos significa "todos los propsitos posibles", no puede sustituir al propsito de
autenticacin del cliente, el propsito de autenticacin del servidor o cualquier otro propsito relacionado
con la autenticacin del acceso a la red.
2

Descripcin de la autenticacin con certificados

Cuando se suministra un certificado a un equipo cliente o servidor como prueba de identidad, el autenticador
debe examinar el certificado para determinar su validez, ver si se ha configurado con el propsito para el que
se est usando y determinar si el certificado fue emitido por una CA de confianza.
Suponiendo que un certificado se haya configurado correctamente y sea vlido, el aspecto ms importante
del proceso de autenticacin es que el autenticador se asegure de que la CA que emiti el certificado es de
confianza.
Si el autenticador confa en la CA y el certificado es vlido y se configur correctamente, segn los
requisitos mnimos de servidor y cliente para certificados, la autenticacin ser satisfactoria. Si el
autenticador no confa en la CA, la autenticacin genera un error.
Cmo se establece la confianza
Los equipos basados en Windows guardan los certificados en un almacn de certificados del equipo local.
Hay un almacn de certificados para el equipo local, el usuario local y servicios individuales, como las
conexiones de red, las actualizaciones automticas y el examinador de equipos. Cada almacn de
certificados incluye una carpeta llamada Entidades emisoras raz de confianza que contiene certificados de
las CA de confianza, que pueden ser pblicas o privadas.
Para determinar la confianza, el autenticador comprueba el almacn de certificados Entidades emisoras raz
de confianza para el usuario actual o el equipo local.
Si la CA que emiti el certificado de cliente, usuario o servidor que se est usando para la autenticacin tiene
un certificado en el almacn de certificados Entidades emisoras raz de confianza del equipo local, el
autenticador confiar en el certificado. Si la CA emisora no tiene un certificado de CA en el almacn de
certificados Entidades emisoras raz de confianza del equipo local, el autenticador no confiar en el
certificado.
Importante
El certificado de CA debe estar presente en el almacn de certificados Entidades emisoras raz de confianza
del equipo local, tanto si el equipo es un cliente como si es un servidor, para que otros certificados emitidos
por la CA sean de confianza.
Entidades de certificacin pblicas

Algunos de estos certificados de CA raz de confianza, que son emitidos por entidades de certificacin raz
de confianza pblicas, se incluyen de manera predeterminada en todas las instalaciones de Windows. Se
suministran en el CD de instalacin del producto o bien en los equipos vendidos por los fabricantes de
equipos originales (OEM) que distribuyen los equipos con Windows instalado.
Por ejemplo, en el almacn de certificados de los equipos que ejecutan Windows XP, en la carpeta Entidades
emisoras raz de confianza, se incluyen certificados de CA de Verisign Trust Network CA, Thawte Premium
Server CA y Microsoft Root Certification Authority. Si un equipo que ejecuta Windows XP se encuentra con
un certificado emitido por una de estas CA y el certificado es vlido y est correctamente configurado, el
equipo que ejecuta Windows XP confiar en el certificado.
Es posible adquirir certificados adicionales de numerosas compaas, como Verisign y Thawte, para usarlos
en su infraestructura de autenticacin. Por ejemplo, si implementa PEAP-MS-CHAP v2 y la opcin Validar
un certificado de servidor se ha configurado en el cliente, el equipo cliente autenticar el servidor NPS con
el certificado de servidor NPS. Si no desea implementar una CA propia y emitir certificados de servidor
3

propios a servidores NPS, puede comprar un certificado de servidor de una compaa cuya CA sea de
confianza para los equipos cliente.
Entidades de certificacin privadas

Cuando las organizaciones implementan su propia infraestructura de clave pblica (PKI) e instalan una CA
raz pblica, la CA enva automticamente su certificado a todos los equipos miembros de dominio de la
organizacin. Los equipos cliente y servidor que son miembros de dominio almacenan el certificado de CA
en el almacn de certificados Entidades emisoras raz de confianza. Una vez que esto sucede, los equipos
miembros de dominio confan en los certificados que son emitidos por la CA raz de confianza de la
organizacin.
Por ejemplo, si instala AD CS, la CA enva su certificado a los equipos miembros de dominio de su
organizacin y ellos almacenan el certificado de CA en el almacn de certificados Entidades emisoras raz
de confianza del equipo local. Si tambin configura e inscribe automticamente un certificado de servidor
para sus servidores NPS y, posteriormente, implementa PEAP-MS-CHAP v2 para las conexiones
inalmbricas, todos los equipos cliente inalmbricos que sean miembros de dominio podrn autenticar
satisfactoriamente sus servidores NPS con el certificado de servidor NPS porque confan en la CA que
emiti el certificado de servidor NPS.
Nota
Para los equipos que no son miembros de dominio, el certificado de CA se debe instalar manualmente en el
almacn de certificados Entidades emisoras raz de confianza para poder confiar en certificados, como los
certificados de servidor NPS, que son emitidos por una CA privada.
Certificados necesarios
En la tabla siguiente se identifican los certificados que son necesarios para implementar satisfactoriamente
cada uno de los mtodos de autenticacin basados en certificados.

Certificado

Es necesario para EAP-TLS y Es necesario para PEAPPEAP-TLS?

MS-CHAP v2?

Detalles

S. Este certificado se
El certificado de
S. El certificado de CA se inscribe inscribe automticamente
CA del almacn de
automticamente para los equipos para los equipos que son
certificados
miembros de dominio. Para los
miembros de dominio. Para
Entidades
equipos que no son miembros de los equipos que no son
emisoras raz de
dominio, el certificado debe
miembros de dominio, el
confianza para el
importarse manualmente al
certificado debe importarse
equipo local y el
almacn de certificados.
manualmente al almacn de
usuario actual.
certificados.

Para PEAP-MS-CHAP
v2, este certificado es
necesario para la
autenticacin mutua
entre cliente y servidor.

El certificado de
equipo cliente que
se encuentra en el
almacn de
certificados del
cliente.

Si implementa
certificados de usuario
en tarjetas inteligentes,
los equipos cliente no
necesitarn certificados
de cliente.

S. Los certificados de equipo

No. La autenticacin de
cliente son necesarios a menos que usuario se realiza con
se distribuyan certificados de
credenciales basadas en
usuario en tarjetas inteligentes.
contraseas, y no
Los certificados de cliente se
certificados.
inscriben automticamente para los
equipos que son miembros de

dominio. Para los equipos que no

son miembros de dominio, el
certificado debe importarse
manualmente u obtenerse mediante
la herramienta de inscripcin en
web.

El certificado de
servidor que se
encuentran en el
almacn de
certificados del
servidor NPS.

S. Puede configurar AD CS para

inscribir automticamente
certificados de servidor para el
grupo de servidores RAS e IAS de
Servicios de dominio de Active
Directory (AD DS).

No. Este certificado slo es

El certificado de necesario si decide implementar
usuario de una
tarjetas inteligentes en lugar de
tarjeta inteligente. inscribir automticamente los
certificados de equipo cliente.

S. Adems de usar AD CS
para los certificados de
servidor, puede adquirir
certificados de servidor de
entidades de certificacin
que sean de confianza para
los equipos.

El servidor NPS enva

el certificado de
servidor al equipo
cliente, que usa el
certificado para
autenticar el servidor
NPS.

No. La autenticacin de
usuario se realiza con
credenciales basadas en
contraseas, y no
certificados.

Para EAP-TLS y
PEAP-TLS, si no
inscribe
automticamente
certificados de equipo
cliente, se necesitan
certificados de tarjeta
inteligente.

Importante
La autenticacin IEEE 802.1X proporciona acceso autenticado a redes inalmbricas 802.11 y a redes
Ethernet por cable. 802.1X ofrece compatibilidad para los tipos EAP seguros, como TLS con tarjetas
inteligentes o certificados. Puede configurar 802.1X con EAP-TLS de diversas formas. Si la opcin Validar
un certificado de servidor est configurada en el cliente, ste autenticar el servidor con su certificado. La
autenticacin de equipo cliente y de usuario se puede llevar a cabo con certificados del almacn de
certificados de cliente o de una tarjeta inteligente, lo que permite la autenticacin mutua. Con los clientes
inalmbricos, se puede usar como mtodo de autenticacin PEAP-MS-CHAP v2. PEAP-MS-CHAP v2 es
un mtodo de autenticacin de usuario basado en contrasea que usa TLS con certificados de servidor.
Durante la autenticacin de PEAP-MS-CHAP v2, el servidor IAS o RADIUS facilita un certificado para
validar su identidad al cliente (si la opcin Validar un certificado de servidor est configurada en
Windows Vista y el cliente Windows XP Professional). La autenticacin de equipo cliente y de usuario se
lleva a cabo con contraseas, lo que elimina parte de la dificultad de implementar certificados en equipos
cliente inalmbricos.

Inscripcin de certificados en equipos que son miembros de dominio

y equipos que no lo son
La pertenencia a dominios de los equipos para los que desea inscribir certificados influye en el mtodo de
inscripcin de certificados que se puede usar. Los certificados para los equipos miembros de dominio se
pueden inscribir automticamente, mientras que para los equipos que no son miembros de dominio un
administrador debe inscribir los certificados por medio de la herramienta de inscripcin en web de AD CS
Web, un disquete o un CD.

Inscripcin de certificados para equipos miembros de dominio

5

Si un servidor VPN, servidor NPS o cliente que ejecuta Windows 2000, Windows XP o Windows Vista es
miembro de un dominio que ejecuta Windows Server 2008 o Windows Server 2003 y AD DS, puede
configurar la inscripcin automtica de certificados de equipo y de usuario. Una ve que haya configurado y
habilitado la inscripcin automtica, todos los equipos miembros de dominio recibirn certificados de
equipo la siguiente vez que se actualice la directiva de grupo, ya sea de forma manual mediante el comando
gpupdate o bien iniciando sesin en el dominio.
Si su equipo es miembro de un dominio donde no se ha instalado AD DS, puede instalar certificados de
equipo manualmente solicitndolos a travs del complemento MMC Certificados.
Nota
Los equipos que ejecutan Windows 2000 slo pueden inscribir automticamente certificados de equipo.

Inscripcin de certificados para equipos que no son miembros de dominio

La inscripcin de certificados para equipos que no son miembros de dominio no se puede efectuar si no es
automticamente. Cuando un equipo va unido a un dominio, se establece una relacin de confianza que
permite la inscripcin automtica sin intervencin del administrador. Cuando un equipo no va unido a un
dominio, no se establece la relacin de confianza y el certificado no se emite. La confianza se puede
establecer por medio de uno de los mtodos siguientes:

Un administrador (que es, por definicin, de confianza) debe solicitar un certificado de equipo o de
usuario con la herramienta de inscripcin en web de CA.

Un administrador debe guardar un certificado de equipo o de usuario en un disquete e instarlo en un

equipo que no sea miembro de dominio. O bien, si el administrador no tiene acceso al equipo (por
ejemplo, un equipo domstico que se conecta a la red de una organizacin mediante una conexin
L2TP/IPsec VPN), el certificado puede ser instalado por un usuario de dominio que sea de confianza
para el administrador.

Un administrador puede distribuir un certificado de usuario en una tarjeta inteligente (los certificados
de equipo no se distribuyen en tarjetas inteligentes).

Muchas infraestructuras de red contienen servidores VPN y NPS que no son miembros de dominio. As, por
ejemplo, puede que un servidor VPN de una red perimetral no sea miembros de dominio por razones de
seguridad. En ese caso, antes de poder negociar satisfactoriamente conexiones VPN basadas en L2TP/IPsec
con equipos cliente, es necesario instalar en las extensiones EKU del servidor VPN que no es miembro de
dominio un certificado de equipo que incluya el propsito de autenticacin del servidor. Si un servidor VPN
que no es miembro de dominio se usa como extremo de una conexin VPN con otro servidor VPN, las
extensiones EKU deben incluir los propsitos de autenticacin del servidor y autenticacin del cliente.
Si ejecuta una entidad de certificacin (CA) de empresa en un equipo con Windows Server 2008 o Windows
Server 2003, Standard Edition, puede usar la tabla siguiente para determinar el mtodo de inscripcin de
certificados que mejor se ajuste a sus necesidades:

Objeto y pertenencia a Plantilla de

dominio
certificado
Servidor VPN, IAS o

Equipo

Propsitos de
certificado
Autenticacin del

Mtodo preferente Mtodo alternativo de

de inscripcin de
inscripcin de
certificados
certificados
Inscripcin

Solicitar un certificado
6

NPS, miembro de
dominio

servidor

automtica

con el complemento
Certificados

Servidor VPN con

conexin de sitio a sitio,
miembro de dominio

Equipo

Autenticacin del
servidor y
autenticacin del
cliente

Inscripcin
automtica

Solicitar un certificado
con el complemento
Certificados

Windows Vista o cliente

Windows XP, miembro de Equipo
dominio

Autenticacin del
cliente

Inscripcin
automtica

Solicitar un certificado
con el complemento
Certificados

Servidor VPN, IAS o

NPS, no perteneciente a
un dominio

Equipo

Autenticacin del
servidor

Herramientas de
Instalar desde un
inscripcin en web
disquete
de CA

Equipo

Autenticacin del
servidor y
autenticacin del
cliente

Herramientas de
Instalar desde un
inscripcin en web
disquete
de CA

Windows Vista o cliente

Windows XP, no
Equipo
perteneciente a un
dominio

Autenticacin del
cliente

Herramientas de
Instalar desde un
inscripcin en web
disquete
de CA

Servidor VPN con

conexin de sitio a sitio,
no perteneciente a un
dominio

Usuario, usuario de
dominio

Usuario

Autenticacin del
cliente

Inscripcin
automtica

Usar una tarjeta

inteligente o la
herramienta de
inscripcin en web de
CA

Si su CA est instalada en un equipo que ejecuta uno de los siguientes sistemas operativos, los servidores
RAS e IAS y las plantillas de autenticacin de estacin de trabajo estarn disponibles para el uso:

Windows Server 2003, Enterprise Edition

Windows Server 2003, Datacenter Edition

Windows Server 2003, Enterprise Edition para sistemas basados en Itanium

Windows Server 2003, Datacenter Edition para sistemas basados en Itanium

Windows Server 2003, Enterprise x64 Edition

7

Windows Server 2003, Datacenter x64 Edition

Windows Server 2008

Use la tabla siguiente para determinar cundo usar estas plantillas.

Objeto y pertenencia a
dominio

Plantilla de
certificado

Propsito del
certificado

Mtodo preferente Mtodo alternativo

de inscripcin de
de inscripcin de
certificados
certificados

Autenticacin
del servidor

Inscripcin
automtica

Solicitar un certificado
con el complemento
Certificados

Windows Vista o cliente

Autenticacin de Autenticacin
Windows XP, miembro de
estacin de trabajo del cliente
dominio

Inscripcin
automtica

Solicitar un certificado
con el complemento
Certificados

Servidor VPN, IAS o NPS,

Servidor RAS e
no perteneciente a un
IAS
dominio

Autenticacin
del servidor

Herramientas de
inscripcin en web
de CA

Instalar desde un
disquete

Windows Vista o cliente

Autenticacin de Autenticacin
Windows XP, no
estacin de trabajo del cliente
perteneciente a un dominio

Herramientas de
inscripcin en web
de CA

Instalar desde un
disquete

Servidor VPN, IAS o NPS, Servidor RAS e

miembro de dominio
IAS

Importante
Si el servidor que ejecuta NPS no es un controlador de dominio, pero es miembro de un dominio con un
nivel funcional de Windows 2000 mixto, debe agregar el servidor a la lista de control de acceso (ACL) de la
plantilla de certificado de servidor RAS e IAS. Tambin debe configurar los permisos adecuados para la
inscripcin automtica. Existen diferentes procedimientos para agregar servidores individuales y grupos de
servidores a la ACL.
Para agregar un servidor individual a la ACL para la plantilla de certificado de servidor RAS e IAS
1. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, a continuacin, agregue el
servidor NPS a las propiedades de la plantilla Seguridad.
2. Despus de agregar el servidor NPS a la ACL, otorgue los permisos Lectura, Inscripcin e
Inscripcin automtica.
Para administrar un grupo de servidores, agregar los servidores a un nuevo grupo global o universal
y, a continuacin, agregar el grupo a la ACL de la plantilla de certificado
1. En Usuarios y equipos de Active Directory, cree un nuevo grupo global o universal para los
servidores NPS.
8

2. Agregue al grupo todos los equipos que son servidores NPS, que no son controladores de dominio y
que son miembros de un dominio con un nivel funcional de Windows 2000 mixto.
3. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, a continuacin, agregue el
servidor NPS a las propiedades de la plantilla Seguridad.
4. Conceda los permisos Lectura, Inscripcin e Inscripcin automtica.