Informacin general de NPS

Este tema an no ha recibido ninguna valoracin Valorar este tema

Se aplica a: Windows Server 2008

Informacin general de NPS

La informacin general de NPS incluye contenido que no es especfico de la forma de implementar NPS ni de las caractersticas elegidas para su uso. Por ejemplo, se puede configurar cuentas RADIUS tanto si implementa NPS como un servidor RADIUS, un proxy RADIUS o como un servidor de directivas NAP. Para obtener ms informacin, consulte las siguientes secciones:

Configuracin de NPS en un equipo de host mltiple Configuracin de NPS para usar la base de datos del Administrador de cuentas de seguridad Configuracin de la informacin del puerto UDP de NPS Directivas en NPS Protocolo y componentes RADIUS Registro del servidor NPS en los Servicios de dominio de Active Directory Mtodos de autenticacin de NPS Cuentas RADIUS Clientes RADIUS Proteccin de NPS

Certificados y NPS
Certificados y NPS
Los certificados son documentos digitales emitidos por entidades de certificacin (CA), como los Servicios de Certificate Server de Active Directory (AD CS) o la entidad de

certificacin pblica Verisign. Los certificados se pueden usar con diversos propsitos, como la firma de cdigo y la comunicacin segura mediante correo electrnico; pero con el Servidor de directivas de redes (NPS), los certificados se usan para la autenticacin del acceso a la red. Los certificados se usan para la autenticacin del acceso a la red porque ofrecen un nivel elevado de seguridad a la hora de autenticar usuarios y equipos y eliminan la necesidad de usar mtodos de autenticacin basados en contraseas, que son menos seguros. Existen dos mtodos de autenticacin que usan certificados cuando se configuran con tipos de autenticacin basados en certificados: EAP y PEAP. Con EAP, puede configurar el tipo de autenticacin TLS (EAP-TLS) y, con PEAP, puede configurar los tipos de autenticacin TLS (PEAP-TLS) y MS-CHAP v2 (PEAP-MS-CHAP v2). Estos mtodos de autenticacin siempre usan certificados para la autenticacin del servidor. Dependiendo del tipo de autenticacin configurado con el mtodo de autenticacin, los certificados tambin pueden usarse para la autenticacin de usuario y de equipo cliente.
Nota El uso de certificados para la autenticacin de conexiones VPN es la forma ms segura de autenticacin disponible en Windows Server 2008. Debe usar la autenticacin basada en certificados para las conexiones VPN basadas en el protocolo de tnel de capa dos en el protocolo de seguridad de Internet (L2TP/IPSec). La conexiones PPTP (protocolo de puentes de punto a punto) no requieren certificados, aunque se pueden configurar para usar certificados para la autenticacin de equipos cuando se use el mtodo de autenticacin EAP-TLS. Para los clientes inalmbricos, se recomienda usar el mtodo de autenticacin PEAP con EAP-TLS y tarjetas inteligentes o certificados.

Puede implementar certificados para usarlos con NPS mediante la instalacin y configuracin de la funcin de servidor Servicios de Certificate Server de Active Directory. Para obtener ms informacin, consulte la documentacin de AD CS.

Tipos de certificado
Cuando se usan mtodos de autenticacin basados en certificados, es importante entender los siguientes tipos de certificados y cmo se usan.

Certificado de CA Cuando est presente en equipos cliente y servidor, indica al cliente o al servidor que puede confiar en otros certificados, como los certificados usados para la autenticacin del servidor, que son emitidos por esta CA. Este certificado es necesario para todas las implementaciones de mtodos de autenticacin basados en certificados.

Certificado de equipo cliente Lo emite una CA a equipos cliente y se usa cuando el equipo cliente tiene que demostrar su identidad a un servidor que ejecuta NPS durante el proceso de autenticacin.

Certificado de servidor Lo emite una CA a servidores NPS y se usa cuando el servidor NPS tiene que demostrar su identidad a un equipo cliente durante el proceso de autenticacin.

Certificado de usuario Lo emite una CA a personas individuales y, normalmente, se distribuye como un certificado integrado en una tarjeta inteligente. El certificado de la tarjeta inteligente se usa, junto con un lector de tarjetas inteligentes que se instala en el equipo cliente, cuando los usuarios tienen que demostrar su identidad a los servidores NPS durante el proceso de autenticacin.

Mtodos de autenticacin basados en certificados.

Cuando usa EAP con un tipo de EAP de alta seguridad (como TLS con certificados o tarjetas inteligentes), tanto el cliente como el servidor usan certificados para comprobar sus identidades entre s. Este proceso se denomina autenticacin mutua. Los certificados deben cumplir ciertos requisitos para permitir que el servidor y el cliente los usen para autenticarse. Uno de los requisitos es que el certificado se configure con uno o ms propsitos en las extensiones EKU relacionados con el uso del certificado. Por ejemplo, un certificado que se usa para la autenticacin de un cliente a un servidor debe configurarse con el propsito de autenticacin del cliente. Del mismo modo, un certificado que se use para la autenticacin de un servidor debe configurarse con el propsito de autenticacin del servidor. Cuando los certificados se usan para la autenticacin, el autenticador examina el certificado de cliente en busca del identificador de objeto del propsito adecuado en las extensiones EKU. Por ejemplo, el identificador de objeto del propsito de autenticacin del cliente es 1.3.6.1.5.5.7.3.2. Cuando un certificado se usa para la autenticacin de un equipo cliente, el identificador de objeto debe estar presente en las extensiones EKU del certificado o la autenticacin genera un error. Las plantillas de certificado son un complemento de Microsoft Management Console (MMC) que se suministra para poder personalizar los certificados emitidos por AD CS. Entre las caractersticas que se pueden personalizar, se incluyen el modo de emisin de los certificados y su contenido, adems del propsito. En Plantillas de certificado, puede usar una plantilla predeterminada, como la plantilla Equipo, para definir la plantilla que la CA usar para asignar certificados a los equipos. Asimismo, puede crear una plantilla de certificado y asignar propsitos de las extensiones EKU al certificado. De forma predeterminada, la plantilla Equipo incluye el propsito de autenticacin del cliente y el propsito autenticacin del servidor en las extensiones EKU.

La plantilla de certificado que cree puede incluir cualquier propsito para el que se vaya a usar el certificado. Por ejemplo, si usa tarjetas inteligentes para la autenticacin, puede incluir el propsito de inicio de sesin de tarjeta inteligente, adems del propsito de autenticacin del cliente. Puede configurar NPS para comprobar propsitos de certificado antes de conceder autorizacin de red. NPS puede comprobar extensiones EKU y propsitos de directiva de emisin adicionales (tambin conocidos como directivas de certificado).
Nota Algunos programas de entidades de certificacin que no son de Microsoft pueden incluir un propsito llamado Todos, que representa todos los propsitos posibles. Esto se indica mediante una extensin EKU en blanco (o nula). Aunque Todos significa "todos los propsitos posibles", no puede sustituir al propsito de autenticacin del cliente, el propsito de autenticacin del servidor o cualquier otro propsito relacionado con la autenticacin del acceso a la red. Descripcin de la autenticacin con certificados

Cuando se suministra un certificado a un equipo cliente o servidor como prueba de identidad, el autenticador debe examinar el certificado para determinar su validez, ver si se ha configurado con el propsito para el que se est usando y determinar si el certificado fue emitido por una CA de confianza. Suponiendo que un certificado se haya configurado correctamente y sea vlido, el aspecto ms importante del proceso de autenticacin es que el autenticador se asegure de que la CA que emiti el certificado es de confianza. Si el autenticador confa en la CA y el certificado es vlido y se configur correctamente, segn los requisitos mnimos de servidor y cliente para certificados, la autenticacin ser satisfactoria. Si el autenticador no confa en la CA, la autenticacin genera un error.
Cmo se establece la confianza

Los equipos basados en Windows guardan los certificados en un almacn de certificados del equipo local. Hay un almacn de certificados para el equipo local, el usuario local y servicios individuales, como las conexiones de red, las actualizaciones automticas y el examinador de equipos. Cada almacn de certificados incluye una carpeta llamada Entidades emisoras raz de confianza que contiene certificados de las CA de confianza, que pueden ser pblicas o privadas. Para determinar la confianza, el autenticador comprueba el almacn de certificados Entidades emisoras raz de confianza para el usuario actual o el equipo local. Si la CA que emiti el certificado de cliente, usuario o servidor que se est usando para la autenticacin tiene un certificado en el almacn de certificados Entidades emisoras raz de

confianza del equipo local, el autenticador confiar en el certificado. Si la CA emisora no tiene un certificado de CA en el almacn de certificados Entidades emisoras raz de confianza del equipo local, el autenticador no confiar en el certificado.
Importante El certificado de CA debe estar presente en el almacn de certificados Entidades emisoras raz de confianza del equipo local, tanto si el equipo es un cliente como si es un servidor, para que otros certificados emitidos por la CA sean de confianza. Entidades de certificacin pblicas

Algunos de estos certificados de CA raz de confianza, que son emitidos por entidades de certificacin raz de confianza pblicas, se incluyen de manera predeterminada en todas las instalaciones de Windows. Se suministran en el CD de instalacin del producto o bien en los equipos vendidos por los fabricantes de equipos originales (OEM) que distribuyen los equipos con Windows instalado. Por ejemplo, en el almacn de certificados de los equipos que ejecutan Windows XP, en la carpeta Entidades emisoras raz de confianza, se incluyen certificados de CA de Verisign Trust Network CA, Thawte Premium Server CA y Microsoft Root Certification Authority. Si un equipo que ejecuta Windows XP se encuentra con un certificado emitido por una de estas CA y el certificado es vlido y est correctamente configurado, el equipo que ejecuta Windows XP confiar en el certificado. Es posible adquirir certificados adicionales de numerosas compaas, como Verisign y Thawte, para usarlos en su infraestructura de autenticacin. Por ejemplo, si implementa PEAP-MS-CHAP v2 y la opcin Validar un certificado de servidor se ha configurado en el cliente, el equipo cliente autenticar el servidor NPS con el certificado de servidor NPS. Si no desea implementar una CA propia y emitir certificados de servidor propios a servidores NPS, puede comprar un certificado de servidor de una compaa cuya CA sea de confianza para los equipos cliente.
Entidades de certificacin privadas

Cuando las organizaciones implementan su propia infraestructura de clave pblica (PKI) e instalan una CA raz pblica, la CA enva automticamente su certificado a todos los equipos miembros de dominio de la organizacin. Los equipos cliente y servidor que son miembros de dominio almacenan el certificado de CA en el almacn de certificados Entidades emisoras raz de confianza. Una vez que esto sucede, los equipos miembros de dominio confan en los certificados que son emitidos por la CA raz de confianza de la organizacin. Por ejemplo, si instala AD CS, la CA enva su certificado a los equipos miembros de dominio de su organizacin y ellos almacenan el certificado de CA en el almacn de

certificados Entidades emisoras raz de confianza del equipo local. Si tambin configura e inscribe automticamente un certificado de servidor para sus servidores NPS y, posteriormente, implementa PEAP-MS-CHAP v2 para las conexiones inalmbricas, todos los equipos cliente inalmbricos que sean miembros de dominio podrn autenticar satisfactoriamente sus servidores NPS con el certificado de servidor NPS porque confan en la CA que emiti el certificado de servidor NPS.
Nota Para los equipos que no son miembros de dominio, el certificado de CA se debe instalar manualmente en el almacn de certificados Entidades emisoras raz de confianza para poder confiar en certificados, como los certificados de servidor NPS, que son emitidos por una CA privada. Certificados necesarios

En la tabla siguiente se identifican los certificados que son necesarios para implementar satisfactoriamente cada uno de los mtodos de autenticacin basados en certificados.

Certificado

Es necesario para EAP-TLS y Es necesario para PEAPPEAP-TLS? MS-CHAP v2?

Detalles

El certificado de CA del almacn de certificados Entidades emisoras raz de confianza para el equipo local y el usuario actual.

S. El certificado de CA se inscribe automticamente para los equipos miembros de dominio. Para los equipos que no son miembros de dominio, el certificado debe importarse manualmente al almacn de certificados.

S. Este certificado se inscribe automticamente para los equipos que son miembros de dominio. Para los equipos que no son miembros de dominio, el certificado debe importarse manualmente al almacn de certificados.

Para PEAP-MSCHAP v2, este certificado es necesario para la autenticacin mutua entre cliente y servidor.

S. Los certificados de equipo cliente son El certificado necesarios a menos que se de equipo distribuyan certificados de cliente que se usuario en tarjetas encuentra en el inteligentes. Los almacn de certificados de cliente se certificados del inscriben automticamente cliente. para los equipos que son miembros de dominio. Para

Si implementa certificados de No. La autenticacin de usuario en tarjetas usuario se realiza con inteligentes, los credenciales basadas en equipos cliente no contraseas, y no necesitarn certificados. certificados de cliente.

los equipos que no son miembros de dominio, el certificado debe importarse manualmente u obtenerse mediante la herramienta de inscripcin en web. El certificado de servidor que se encuentran en el almacn de certificados del servidor NPS. S. Adems de usar S. Puede configurar AD CS AD CS para los para inscribir certificados de servidor, automticamente puede adquirir certificados de servidor para certificados de servidor el grupo de servidores RAS de entidades de e IAS de Servicios de certificacin que sean dominio de Active de confianza para los Directory (AD DS). equipos. No. Este certificado slo es necesario si decide implementar tarjetas inteligentes en lugar de inscribir automticamente los certificados de equipo cliente. El servidor NPS enva el certificado de servidor al equipo cliente, que usa el certificado para autenticar el servidor NPS.

El certificado de usuario de una tarjeta inteligente.

Para EAP-TLS y PEAP-TLS, si no No. La autenticacin de inscribe usuario se realiza con automticamente credenciales basadas en certificados de contraseas, y no equipo cliente, se certificados. necesitan certificados de tarjeta inteligente.

Importante La autenticacin IEEE 802.1X proporciona acceso autenticado a redes inalmbricas 802.11 y a redes Ethernet por cable. 802.1X ofrece compatibilidad para los tipos EAP seguros, como TLS con tarjetas inteligentes o certificados. Puede configurar 802.1X con EAP-TLS de diversas formas. Si la opcin Validar un certificado de servidor est configurada en el cliente, ste autenticar el servidor con su certificado. La autenticacin de equipo cliente y de usuario se puede llevar a cabo con certificados del almacn de certificados de cliente o de una tarjeta inteligente, lo que permite la autenticacin mutua. Con los clientes inalmbricos, se puede usar como mtodo de autenticacin PEAP-MS-CHAP v2. PEAP-MS-CHAP v2 es un mtodo de autenticacin de usuario basado en contrasea que usa TLS con certificados de servidor. Durante la autenticacin de PEAPMS-CHAP v2, el servidor IAS o RADIUS facilita un certificado para validar su identidad al cliente (si la opcin Validar un certificado de servidor est configurada en Windows Vista y el cliente Windows XP Professional). La autenticacin de equipo cliente y de usuario se lleva a cabo con contraseas, lo que elimina parte de la dificultad de implementar certificados en equipos cliente inalmbricos.

Inscripcin de certificados en equipos que son miembros de dominio y equipos que no lo son
La pertenencia a dominios de los equipos para los que desea inscribir certificados influye en el mtodo de inscripcin de certificados que se puede usar. Los certificados para los equipos miembros de dominio se pueden inscribir automticamente, mientras que para los equipos que no son miembros de dominio un administrador debe inscribir los certificados por medio de la herramienta de inscripcin en web de AD CS Web, un disquete o un CD.
Inscripcin de certificados para equipos miembros de dominio

Si un servidor VPN, servidor NPS o cliente que ejecuta Windows 2000, Windows XP o Windows Vista es miembro de un dominio que ejecuta Windows Server 2008 o Windows Server 2003 y AD DS, puede configurar la inscripcin automtica de certificados de equipo y de usuario. Una ve que haya configurado y habilitado la inscripcin automtica, todos los equipos miembros de dominio recibirn certificados de equipo la siguiente vez que se actualice la directiva de grupo, ya sea de forma manual mediante el comando gpupdate o bien iniciando sesin en el dominio. Si su equipo es miembro de un dominio donde no se ha instalado AD DS, puede instalar certificados de equipo manualmente solicitndolos a travs del complemento MMC Certificados.
Nota Los equipos que ejecutan Windows 2000 slo pueden inscribir automticamente certificados de equipo. Inscripcin de certificados para equipos que no son miembros de dominio

La inscripcin de certificados para equipos que no son miembros de dominio no se puede efectuar si no es automticamente. Cuando un equipo va unido a un dominio, se establece una relacin de confianza que permite la inscripcin automtica sin intervencin del administrador. Cuando un equipo no va unido a un dominio, no se establece la relacin de confianza y el certificado no se emite. La confianza se puede establecer por medio de uno de los mtodos siguientes:

Un administrador (que es, por definicin, de confianza) debe solicitar un certificado de equipo o de usuario con la herramienta de inscripcin en web de CA. Un administrador debe guardar un certificado de equipo o de usuario en un disquete e instarlo en un equipo que no sea miembro de dominio. O bien, si el administrador no tiene acceso al equipo (por ejemplo, un equipo domstico que se conecta a la red de una organizacin mediante una conexin L2TP/IPsec VPN), el certificado puede ser instalado por un usuario de dominio que sea de confianza para el administrador.

Un administrador puede distribuir un certificado de usuario en una tarjeta inteligente (los certificados de equipo no se distribuyen en tarjetas inteligentes).

Muchas infraestructuras de red contienen servidores VPN y NPS que no son miembros de dominio. As, por ejemplo, puede que un servidor VPN de una red perimetral no sea miembros de dominio por razones de seguridad. En ese caso, antes de poder negociar satisfactoriamente conexiones VPN basadas en L2TP/IPsec con equipos cliente, es necesario instalar en las extensiones EKU del servidor VPN que no es miembro de dominio un certificado de equipo que incluya el propsito de autenticacin del servidor. Si un servidor VPN que no es miembro de dominio se usa como extremo de una conexin VPN con otro servidor VPN, las extensiones EKU deben incluir los propsitos de autenticacin del servidor y autenticacin del cliente. Si ejecuta una entidad de certificacin (CA) de empresa en un equipo con Windows Server 2008 o Windows Server 2003, Standard Edition, puede usar la tabla siguiente para determinar el mtodo de inscripcin de certificados que mejor se ajuste a sus necesidades:

Objeto y pertenencia a Plantilla de dominio certificado

Propsitos de certificado

Mtodo preferente de inscripcin de certificados

Mtodo alternativo de inscripcin de certificados

Servidor VPN, IAS o NPS, miembro de Equipo dominio Servidor VPN con conexin de sitio a sitio, miembro de dominio

Autenticacin del Inscripcin servidor automtica Autenticacin del servidor y Inscripcin autenticacin del automtica cliente Autenticacin del Inscripcin cliente automtica

Equipo

Windows Vista o cliente Windows XP, Equipo miembro de dominio Servidor VPN, IAS o NPS, no Equipo perteneciente a un dominio Servidor VPN con conexin de sitio a Equipo sitio, no perteneciente a un dominio Windows Vista o Equipo cliente Windows XP,

Solicitar un certificado con el complemento Certificados Solicitar un certificado con el complemento Certificados Solicitar un certificado con el complemento Certificados

Herramientas de Autenticacin del Instalar desde un inscripcin en servidor disquete web de CA Autenticacin del servidor y autenticacin del cliente Autenticacin del cliente Herramientas de Instalar desde un inscripcin en disquete web de CA Herramientas de Instalar desde un inscripcin en disquete

no perteneciente a un dominio Usuario, usuario de dominio

web de CA Usar una tarjeta inteligente o la herramienta de inscripcin en web de CA

Usuario

Autenticacin del Inscripcin cliente automtica

Si su CA est instalada en un equipo que ejecuta uno de los siguientes sistemas operativos, los servidores RAS e IAS y las plantillas de autenticacin de estacin de trabajo estarn disponibles para el uso:

Windows Server 2003, Enterprise Edition Windows Server 2003, Datacenter Edition Windows Server 2003, Enterprise Edition para sistemas basados en Itanium Windows Server 2003, Datacenter Edition para sistemas basados en Itanium Windows Server 2003, Enterprise x64 Edition Windows Server 2003, Datacenter x64 Edition Windows Server 2008

Use la tabla siguiente para determinar cundo usar estas plantillas.

Objeto y pertenencia a dominio

Plantilla de certificado

Propsito del certificado

Mtodo preferente de inscripcin de certificados

Mtodo alternativo de inscripcin de certificados

Servidor VPN, IAS o Servidor RAS e Autenticacin Inscripcin NPS, miembro de IAS del servidor automtica dominio Windows Vista o Autenticacin cliente Windows XP, de estacin de miembro de dominio trabajo Autenticacin Inscripcin del cliente automtica

Solicitar un certificado con el complemento Certificados Solicitar un certificado con el complemento Certificados

Servidor VPN, IAS o Herramientas de NPS, no Servidor RAS e Autenticacin Instalar desde un inscripcin en perteneciente a un IAS del servidor disquete web de CA dominio

Windows Vista o Autenticacin cliente Windows XP, de estacin de no perteneciente a un trabajo dominio
Importante

Herramientas de Autenticacin Instalar desde un inscripcin en del cliente disquete web de CA

Si el servidor que ejecuta NPS no es un controlador de dominio, pero es miembro de un dominio con un nivel funcional de Windows 2000 mixto, debe agregar el servidor a la lista de control de acceso (ACL) de la plantilla de certificado de servidor RAS e IAS. Tambin debe configurar los permisos adecuados para la inscripcin automtica. Existen diferentes procedimientos para agregar servidores individuales y grupos de servidores a la ACL. Para agregar un servidor individual a la ACL para la plantilla de certificado de servidor RAS e IAS

1. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, a continuacin, agregue el servidor NPS a las propiedades de la plantilla Seguridad. 2. Despus de agregar el servidor NPS a la ACL, otorgue los permisos Lectura, Inscripcin e Inscripcin automtica.
Para administrar un grupo de servidores, agregar los servidores a un nuevo grupo global o universal y, a continuacin, agregar el grupo a la ACL de la plantilla de certificado

1. En Usuarios y equipos de Active Directory, cree un nuevo grupo global o universal para los servidores NPS. 2. Agregue al grupo todos los equipos que son servidores NPS, que no son controladores de dominio y que son miembros de un dominio con un nivel funcional de Windows 2000 mixto. 3. En Plantillas de certificado, seleccione la plantilla Servidor RAS e IAS y, a continuacin, agregue el servidor NPS a las propiedades de la plantilla Seguridad. 4. Conceda los permisos Lectura, Inscripcin e Inscripcin automtica.

Consulte tambin
Conceptos Implementaciones de certificados y replicacin de Active Directory Requisitos de certificados para PEAP y EAP Introduccin a EAP Introduccin a PEAP Comprobaciones de CRL de NPS

Implementaciones de certificados y replicacin de Active Directory

Este tema an no ha recibido ninguna valoracin Valorar este tema

Se aplica a: Windows Server 2008

Implementaciones de certificados y replicacin de Active Directory

Algunos mtodos de autenticacin, como PEAP y EAP cuando se configuran con tipos de autenticacin basada en certificados, pueden usar certificados para la autenticacin de equipos y usuarios. La latencia en la replicacin de Active Directory puede afectar temporalmente a la capacidad de un cliente o servidor para obtener un certificado de una entidad de certificacin (CA). Si un equipo configurado para usar certificados para autenticacin no puede inscribir un certificado, se produce un error en la autenticacin. Esta latencia en la replicacin de Active Directory puede afectar a la infraestructura de autenticacin de acceso a la red porque los certificados usados para la autenticacin de clientes y servidores los emiten las CA para los equipos miembros del dominio. En los momentos posteriores a la unin de un equipo cliente o servidor al dominio, es posible que el nico servidor de catlogo global de Active Directory que tenga un registro de la pertenencia a dominios del equipo cliente o servidor sea el controlador de dominio que control la solicitud de unin. Una vez que un equipo se ha unido al dominio, debe reiniciar el equipo. Despus de que el equipo se inicie y el usuario inicie sesin en el dominio, se aplica la directiva de grupo. Si previamente ha configurado la inscripcin automtica de certificados de equipo cliente o, para los servidores NPS, los certificados de servidor, ste es el momento en que el nuevo equipo miembro del dominio solicita un certificado de una CA.
Nota Para actualizar manualmente la directiva de grupo, inicie sesin en el dominio o ejecute el comando gpupdate.

A su vez, la CA consulta con los Servicios de dominio de Active Directory (AD DS) para determinar si debe emitir un certificado al cliente o servidor que lo ha solicitado. Si la cuenta de equipo se ha replicado en el dominio, la CA puede determinar si el cliente o servidor tiene los permisos de seguridad necesarios para inscribir un certificado. Sin embargo, si la cuenta de equipo no se ha replicado en el dominio, es posible que la CA no pueda comprobar que el cliente o servidor tiene los permisos de seguridad para inscribir un certificado.

Si ocurre esto, la CA no inscribe un certificado en el equipo cliente o servidor.

Si un equipo cliente miembro del dominio no puede inscribir un certificado de equipo cliente, el equipo cliente no puede autenticarse correctamente en los servidores NPS al intentar conectarse a la red mediante los servidores de acceso a la red que estn configurados como clientes RADIUS en NPS, en los que el mtodo de autenticacin requerido es EAP-TLS o PEAP-TLS. Por ejemplo, si ha implementado clientes RADIUS que son puntos de acceso inalmbrico 802.1X y usa PEAP-TLS como mtodo de autenticacin, los equipos cliente que no tengan un certificado de equipo cliente no pueden autenticarse correctamente y no pueden usar los recursos de red mediante una conexin inalmbrica. Si un equipo servidor NPS miembro del dominio no puede inscribir un certificado de servidor, el servidor NPS no se puede autenticar correctamente en los equipos cliente cuando intentan conectarse a la red mediante los servidores de acceso a la red configurados como clientes RADIUS en NPS, donde el mtodo de autenticacin es EAP-TLS, PEAP-TLS o PEAP-MS-CHAP v2, y donde los clientes estn configurados con la opcin Validar un certificado de servidor habilitada. Estos mtodos de autenticacin proporcionan autenticacin mutua y el servidor NPS debe tener un certificado de servidor para autenticarse correctamente en los equipos cliente. Si el servidor NPS no tiene un certificado de servidor, se produce un error en todas las solicitudes de conexin en las que se requieren estos mtodos de autenticacin porque los equipos cliente no pueden autenticar el servidor NPS.

Por este motivo, al implementar mtodos de autenticacin basada en certificados, se recomienda disear los tiempos de replicacin de Active Directory y la implementacin de CA subordinadas para reducir las posibilidades de que la lentitud de replicacin afecte negativamente a la infraestructura de autenticacin del acceso a la red.

Requisitos de certificados para PEAP y EAP

Este tema an no ha recibido ninguna valoracin Valorar este tema

Se aplica a: Windows Server 2008 Todos los certificados que se usan para autenticacin de acceso a la red con el Protocolo de autenticacin extensible con Seguridad de la capa de transporte (EAP-TLS), Protocolo de autenticacin extensible protegido con Seguridad de la capa de transporte (PEAP-TLS) y PEAP con Protocolo de autenticacin por desafo mutuo de Microsoft versin 2 (MSCHAP v2) deben cumplir los requisitos para los certificados X.509 y trabajar para conexiones que usen la Capa de sockets seguros o la Seguridad de la capa de transporte (SSL/TLS). Los certificados de cliente y de servidor tienen requisitos adicionales.

Requisitos mnimos para certificados de servidor

Con PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS como mtodo de autenticacin, el servidor NPS debe usar un certificado de servidor que cumpla los requisitos mnimos para certificado de servidor. Los equipos cliente se pueden configurar para validar certificados de servidor usando la opcin Validar un certificado de servidor en el equipo cliente o en la directiva de grupo. El equipo cliente acepta el intento de autenticacin del servidor cuando el certificado de servidor cumple los siguientes requisitos:

El nombre de sujeto contiene un valor. Si emite un certificado para el servidor que ejecuta el servidor de directivas de redes (NPS), que tiene un nombre de sujeto en blanco, el certificado no est disponible para autenticar el servidor NPS. Para configurar la plantilla de certificado con un nombre de sujeto: 1. Abra Plantillas de certificado. 2. En el panel de detalles, haga clic con el botn secundario en la plantilla de certificado que desea cambiar y, a continuacin, haga clic en Propiedades. 3. Haga clic en la ficha Nombre de sujeto y, a continuacin, en Construido a partir de esta informacin de Active Directory. 4. En Formato de nombre de sujeto, seleccione un valor que no sea Ninguno.

El certificado de equipo del servidor se encadena a una entidad de certificacin (CA) raz de confianza y no genera ningn error en las comprobaciones que realiza CryptoAPI y que se especifican en la directiva de acceso remoto o la directiva de red. El certificado del equipo para el servidor NPS o servidor VPN se configura con el propsito de autenticacin del servidor en las extensiones de uso mejorado de claves (EKU). (El identificador de objeto para la autenticacin de servidor es 1.3.6.1.5.5.7.3.1.) El certificado de servidor se configura con el valor de algoritmo obligatorio RSA. Para establecer la configuracin de criptografa requerida: 1. Abra Plantillas de certificado. 2. En el panel Detalles, haga clic con el botn secundario en la plantilla de certificado que desea cambiar y, a continuacin, haga clic en Propiedades. 3. Haga clic en la ficha Criptografa. En Nombre de algoritmo, haga clic en RSA. Asegrese de que el Tamao mnimo de clave est establecido en 2048.

Si se usa la extensin de nombre alternativo de sujeto (SubjectAltName), debe contener el nombre DNS del servidor. Para configurar la plantilla de certificado con el nombre Sistema de nombres de dominio (DNS) del servidor de inscripcin:

1. Abra Plantillas de certificado. 2. En el panel Detalles, haga clic con el botn secundario en la plantilla de certificado que desea cambiar y, a continuacin, haga clic en Propiedades. 3. Haga clic en la ficha Nombre de sujeto y, a continuacin, en Construido a partir de esta informacin de Active Directory. 4. En Incluir esta informacin en un nombre de sujeto alternativo, seleccione Nombre DNS.

Al usar PEAP y EAP-TLS, los servidores NPS muestran una lista de todos los certificados instalados en el almacn de certificados del equipo, con las siguientes excepciones:

No se muestran los certificados que no contienen el propsito de autenticacin de servidor en extensiones EKU. No se muestran los certificados que no contienen un nombre de sujeto. No se muestran los certificados de inicio de sesin de tarjeta inteligente y basados en el Registro.

Requisitos mnimos para certificados de cliente

Con EAP-TLS o PEAP-TLS, el servidor acepta el intento de autenticacin del cliente cuando el certificado cumple los siguientes requisitos:

El certificado de cliente lo emite una entidad de certificacin empresarial o se asigna a una cuenta de usuario o de equipo en los Servicios de dominio de Active Directory (AD DS). El certificado de usuario o equipo del cliente se encadena a una entidad de certificacin raz de confianza, incluye el propsito de autenticacin de cliente en extensiones EKU (el identificador de objeto para autenticacin de cliente es 1.3.6.1.5.5.7.3.2) y no genera errores en las comprobaciones que realiza CryptoAPI y que se especifican en la directiva de acceso remoto o la directiva de red ni en las comprobaciones del identificador de objeto de certificado que se especifican en la directiva de acceso remoto de IAS o la directiva de red de NPS. El cliente 802.1X no usa certificados basados en el Registro que sean certificados de inicio de sesin de tarjeta inteligente o protegidos con contrasea. Para los certificados de usuario, la extensin de nombre alternativo de sujeto (SubjectAltName) del certificado contiene el nombre principal del usuario (UPN). Para configurar el UPN en una plantilla de certificado: 1. Abra Plantillas de certificado. 2. En el panel Detalles, haga clic con el botn secundario en la plantilla de certificado que desea cambiar y, a continuacin, haga clic en Propiedades.

3. Haga clic en la ficha Nombre de sujeto y, a continuacin, en Construido a partir de esta informacin de Active Directory. 4. En Incluir esta informacin en un nombre de sujeto alternativo, seleccione Nombre principal del usuario (UPN).

Para los certificados de equipo, la extensin de nombre alternativo de sujeto (SubjectAltName) del certificado debe contener el nombre de dominio completo (FQDN) del cliente, que tambin se llama nombre DNS. Para configurar este nombre en la plantilla de certificado: 1. Abra Plantillas de certificado. 2. En el panel Detalles, haga clic con el botn secundario en la plantilla de certificado que desea cambiar y, a continuacin, haga clic en Propiedades. 3. Haga clic en la ficha Nombre de sujeto y, a continuacin, en Construido a partir de esta informacin de Active Directory. 4. En Incluir esta informacin en un nombre de sujeto alternativo, seleccione Nombre DNS.

Con PEAP-TLS y EAP-TLS, el cliente muestra una lista de todos los certificados instalados en el complemento Certificados, con las siguientes excepciones:

Los clientes inalmbricos no muestran certificados de inicio de sesin de tarjeta inteligente y basados en el Registro. Los clientes inalmbricos y los clientes VPN no muestran certificados protegidos con contrasea. No se muestran los certificados que no contienen el propsito de autenticacin de cliente en extensiones EKU.

Introduccin a EAP
Este tema an no ha recibido ninguna valoracin Valorar este tema

Se aplica a: Windows Server 2008 El protocolo de autenticacin extensible (EAP) extiende el protocolo punto a punto (PPP) permitiendo mtodos de autenticacin arbitrarios que usan intercambios de credenciales y de informacin de longitudes arbitrarias. EAP ofrece mtodos de autenticacin que usan dispositivos de seguridad, como tarjetas inteligentes, tarjetas de smbolo (token) y calculadoras de cifrado. EAP ofrece una arquitectura estndar de la industria para admitir ms mtodos de autenticacin dentro de PPP.

EAP y NPS
Mediante EAP, puede admitir otros esquemas de autenticacin denominados tipos de EAP. Estos esquemas incluyen tarjetas de smbolo (token), contraseas de un solo uso, autenticacin de claves pblicas mediante el uso de tarjetas inteligentes y certificados. EAP, junto con tipos de EAP seguros, es un componente tecnolgico esencial para las conexiones de redes privadas virtuales (VPN), las conexiones cableadas 802.1X y las conexiones inalmbricas 802.1X seguras. El cliente de acceso a redes y el autenticador, como el servidor que ejecuta el servidor de directivas de redes (NPS), deben admitir el mismo tipo de EAP para que la autenticacin se lleve a cabo correctamente.
Importante Los tipos de EAP seguros, como aquellos basados en certificados, ofrecen una mayor seguridad frente a los ataques por "fuerza bruta" o de diccionario y la averiguacin de contraseas que los protocolos de autenticacin basados en contraseas, tales como el Protocolo de autenticacin por desafo mutuo (CHAP) o el Protocolo de autenticacin por desafo mutuo versin 2 de Microsoft (MS-CHAP).

Con EAP, un mecanismo de autenticacin arbitrario autentica una conexin de acceso remoto. El esquema de autenticacin que se va a usar se negocia entre el cliente de acceso remoto y el autenticador (el servidor de acceso a la red o bien el servidor del Servicio de autenticacin remota telefnica de usuario [RADIUS]). El Enrutamiento y acceso remoto incluye la compatibilidad con el Protocolo de autenticacin extensible con Seguridad de la capa de transporte (EAP-TLS) y PEAP-MS-CHAP v2 de forma predeterminada. Puede conectar otros mdulos EAP al servidor que ejecuta Enrutamiento y acceso remoto para proporcionar otros mtodos EAP. EAP permite conversaciones abiertas entre el cliente de acceso remoto y el autenticador. La conversacin se compone de solicitudes de informacin de autenticacin por parte del autenticador y de respuestas del cliente de acceso remoto. Por ejemplo, si se utiliza EAP con tarjetas de token de seguridad, el autenticador puede consultar al cliente de acceso remoto el nombre, el PIN y el valor de token de la tarjeta por separado. Con cada consulta realizada y respondida, el cliente de acceso remoto pasa por otro nivel de autenticacin. Una vez que se ha respondido correctamente a todas las preguntas, se autentica el cliente de acceso remoto. Windows Server 2008 incluye la infraestructura EAP, dos tipos de EAP y la capacidad de pasar mensajes EAP a un servidor RADIUS (EAP-RADIUS).

Infraestructura EAP
EAP es un conjunto de componentes internos que presta apoyo arquitectnico para cualquier tipo de EAP en forma de un mdulo de complemento. Para que la autenticacin

se realice de manera correcta, el cliente de acceso remoto y el autenticador deben tener instalado el mismo mdulo de autenticacin EAP. Tambin puede instalar otros tipos de EAP. Los componentes de un tipo de EAP deben estar instalados en cada cliente de acceso a la red y en cada autenticador.
Nota Los sistemas operativos Windows Server 2003 proporcionan dos tipos de EAP: Desafo-MD5 y EAPTLS. Desafo-MD5 no se admite en Windows Server 2008.

EAP-TLS
EAP-TLS es un tipo de EAP que se usa en entornos de seguridad basados en certificados. Si usa tarjetas inteligentes para la autenticacin de acceso remoto, debe usar el mtodo de autenticacin EAP-TLS. El intercambio de mensajes EAP-TLS permite la autenticacin mutua, la negociacin del mtodo de cifrado y la determinacin de claves cifradas entre el cliente de acceso remoto y el autenticador. EAP-TLS proporciona el mtodo de determinacin de claves y autenticacin ms seguro.
Nota Durante el proceso de autenticacin EAP-TLS se generan claves de cifrado secretas compartidas para el Cifrado punto a punto de Microsoft (MPPE).

EAP-TLS slo se admite en servidores que ejecutan Enrutamiento y acceso remoto, se han configurado para usar Autenticacin de Windows o RADIUS (Servicio de autenticacin remota telefnica de usuario) y son miembros de un dominio. Los servidores de acceso a la red que ejecutan un servidor independiente o un miembro de un grupo de trabajo no admiten EAP-TLS.

Uso de RADIUS como transporte para EAP

El uso de RADIUS como transporte para EAP consiste en pasar los mensajes EAP de cualquier tipo de EAP por parte de un cliente RADIUS a un servidor RADIUS para la autenticacin. Por ejemplo, si se configura un servidor de acceso a la red para la autenticacin RADIUS, los mensajes EAP enviados entre el cliente y el servidor de acceso a la red se encapsulan y formatean como mensajes RADIUS entre el servidor de acceso a la red y el servidor RADIUS. El uso de EAP a travs de RADIUS de denomina EAPRADIUS. EAP-RADIUS se usa en entornos en los que RADIUS se usa como proveedor de autenticacin. La ventaja de usar EAP-RADIUS es que no es necesario instalar los tipos de EAP en todos los servidores de acceso a la red, sino slo en el servidor RADIUS. En el caso de un servidor NPS, slo debe instalar tipos de EAP en el servidor NPS.

Por lo general, al usar EAP-RADIUS, el servidor que ejecuta Enrutamiento y acceso remoto se configura para usar EAP y un servidor NPS para la autenticacin. Cuando se establece una conexin, el cliente de acceso remoto negocia el uso de EAP con el servidor de acceso a la red. Si el cliente enva un mensaje EAP al servidor de acceso a la red, ste encapsula el mensaje EAP como un mensaje RADIUS y lo enva al servidor NPS configurado. El servidor NPS procesa el mensaje EAP y devuelve un mensaje EAP encapsulado como RADIUS al servidor de acceso a la red. A continuacin, el servidor de acceso remoto reenva el mensaje EAP al cliente de acceso a la red. En esta configuracin, el servidor de acceso a la red slo funciona como dispositivo de paso a travs. Todo el procesamiento de los mensajes EAP se lleva a cabo en el cliente de acceso remoto y en el servidor NPS. Enrutamiento y acceso remoto puede configurarse para autenticar localmente o en un servidor RADIUS. Si Enrutamiento y acceso remoto se configura para autenticar localmente, todos los mtodos EAP se autenticarn localmente. Si Enrutamiento y acceso remoto se configura para autenticar en un servidor RADIUS, todos los mensajes EAP se reenviarn al servidor RADIUS con EAP-RADIUS.
Para habilitar la autenticacin de EAP

1. Habilite EAP como protocolo de autenticacin en el servidor de acceso a la red. Para obtener ms informacin, consulte la documentacin del servidor de acceso a la red. 2. Habilite EAP y, si es necesario, configure el tipo de EAP en las restricciones de la directiva de red adecuada. 3. Habilite y configure EAP en el cliente de acceso remoto. Para obtener ms informacin, consulte la documentacin del cliente de acceso.

Introduccin a PEAP
Este tema an no ha recibido ninguna valoracin Valorar este tema

Se aplica a: Windows Server 2008 El protocolo de autenticacin extensible protegido (PEAP) forma parte de los protocolos de autenticacin extensibles (EAP). PEAP usa Seguridad de la capa de transporte (TLS) para crear un canal cifrado entre un cliente de autenticacin PEAP, como un equipo inalmbrico, y un autenticador PEAP, como un servidor que ejecuta NPS (Servidor de directivas de redes) o un servidor RADIUS (Servicio de autenticacin remota telefnica de usuario).

PEAP y NPS
PEAP no especifica ningn mtodo de autenticacin, sino que proporciona seguridad adicional para otros protocolos de autenticacin EAP, como el Protocolo de autenticacin extensible con Protocolo de autenticacin por desafo mutuo de Microsoft versin 2 (EAPMS-CHAP v2), que pueden operar a travs del canal cifrado TLS que proporciona PEAP. PEAP se usa como un mtodo de autenticacin para clientes de acceso que tratan de conectarse a la red de la organizacin a travs de los siguientes tipos de servidores de acceso a la red:

Puntos de acceso inalmbrico 802.1X Conmutadores de autenticacin 802.1X Servidores de red privada virtual (VPN) que ejecutan Windows Server 2008 o Windows Server 2008 R2 y el Servicio de enrutamiento y acceso remoto Equipos que ejecutan Windows Server 2008 y Puerta de enlace de Terminal Services (puerta de enlace de TS) o Windows Server 2008 R2 y Puerta de enlace de Escritorio remoto

Para mejorar los protocolos EAP y la seguridad de red, PEAP proporciona:

Un canal TLS que proporciona proteccin para la negociacin del mtodo EAP que se produce entre el cliente y el servidor. Este canal TLS ayuda a impedir que un atacante inserte paquetes entre el cliente y el servidor de acceso a la red para dar lugar a la negociacin de un tipo de EAP menos seguro. El canal TLS cifrado tambin ayuda a evitar ataques por denegacin de servicio contra el servidor NPS. Compatibilidad con la fragmentacin y reensamblado de mensajes, lo que permite el uso de tipos de EAP que no proporcionan esta funcionalidad. Clientes con la capacidad de autenticar el servidor NPS u otro servidor RADIUS. Como el servidor tambin autentica el cliente, se produce una autenticacin mutua. Proteccin frente a la implementacin de un punto de acceso inalmbrico no autorizado en el momento en que el cliente EAP autentica el certificado proporcionado por el servidor NPS. Adems, el secreto principal de TLS creado por el cliente y el autenticador PEAP no se comparte con el punto de acceso. Como consecuencia, el punto de acceso no puede descifrar los mensajes protegidos con PEAP. Reconexin rpida de PEAP, que reduce el retardo entre la solicitud de autenticacin de un cliente y la respuesta del servidor NPS u otro servidor RADIUS. La reconexin rpida de PEAP tambin permite a los clientes inalmbricos moverse entre puntos de acceso configurados como clientes RADIUS en el mismo servidor RADIUS sin repetir las solicitudes de autenticacin. De esta forma, se reducen los requisitos de recursos del cliente y el servidor, y se minimiza el nmero de veces que se solicitan las credenciales a los usuarios.

La siguiente tabla enumera los puntos fuertes de PEAP-MS-CHAP v2 y los compara con MS-CHAP v2.

Caracterstica/funcin

MS-CHAP v2

PEAP-MSCHAP v2

Proporciona autenticacin de clientes mediante contraseas. Garantiza que el servidor tenga acceso a las credenciales. Autentica el servidor. Impide la suplantacin de puntos de acceso inalmbricos. Impide que un servidor no autorizado negocie el mtodo de autenticacin menos seguro. Usa claves TLS generadas con una clave pblica. Proporciona cifrado de un extremo a otro. Impide ataques de diccionario o de fuerza bruta. Impide ataques de reproduccin. Permite el encadenamiento de mtodos de autenticacin. Requiere la confianza del cliente en certificados proporcionados por el servidor.

S S S No No No No No No No No

S S S S S S S S S S S

Proceso de autenticacin de PEAP

Existen dos fases en el proceso de autenticacin de PEAP entre el cliente PEAP y el autenticador. La primera fase establece un canal seguro entre el cliente PEAP y el servidor de autenticacin. La segunda fase proporciona autenticacin EAP entre el cliente PEAP y el autenticador.
Canal cifrado TLS

En la primera fase de la autenticacin PEAP, se crea el canal TLS entre el cliente PEAP y el servidor NPS. Los siguientes pasos muestran la creacin de este canal TLS para clientes PEAP inalmbricos.
1. El cliente PEAP se asocia con un punto de acceso inalmbrico que est configurado como un cliente RADIUS de un servidor que ejecuta NPS. Una asociacin basada en IEEE 802.11 proporciona una autenticacin de sistema abierto o de claves compartidas antes de crear una asociacin segura entre el cliente PEAP y el punto de acceso. 2. Despus de establecer correctamente una asociacin basada en IEEE 802.11 entre el cliente y el punto de acceso, se negocia la sesin de TLS con el punto de acceso. 3. Despus de que se complete correctamente una autenticacin a nivel de equipo entre el cliente PEAP inalmbrico y el servidor NPS, se negocia la sesin TLS entre ellos. La clave

que se deriva durante esta negociacin se usar para cifrar toda la comunicacin posterior, incluida la autenticacin de acceso a la red que permite al usuario conectarse a la red de la organizacin. Comunicacin autenticada mediante EAP

Toda la comunicacin EAP, incluida la negociacin EAP, se produce a travs del canal TLS y es la segunda fase de la autenticacin PEAP. Los siguientes pasos amplan el ejemplo anterior e ilustran el modo en que los clientes inalmbricos completan la autenticacin con el servidor NPS mediante PEAP. Despus de que se haya creado el canal TLS entre el servidor NPS y el cliente PEAP, el cliente pasa las credenciales (nombre de usuario y contrasea o un certificado de usuario o de equipo) al servidor NPS a travs del canal cifrado. El punto de acceso slo reenva mensajes entre el cliente inalmbrico y el servidor RADIUS; el punto de acceso (o una persona que lo supervise) no puede descifrar estos mensajes porque no es el extremo TLS. El servidor NPS autentica el usuario y el equipo cliente con el tipo de autenticacin que se ha seleccionado para su uso con PEAP. El tipo de autenticacin puede ser EAP-TLS (tarjeta inteligente u otro certificado) o EAP-MS-CHAP v2 (contrasea segura).
Nota Puede configurar PEAP como el mtodo de autenticacin en la directiva de red de NPS.

Tipos de EAP
Se puede elegir entre dos tipos de EAP, tambin denominados tipos de autenticacin, para su uso con PEAP: EAP-MS-CHAP v2 o EAP-TLS. EAP-MS-CHAP v2 usa credenciales basadas en contrasea (nombre de usuario y contrasea) para la autenticacin de usuarios y un certificado en el almacn de certificados del equipo servidor para la autenticacin de servidores. EAP-TLS usa certificados instalados en el almacn de certificados del equipo cliente o una tarjeta inteligente para la autenticacin de usuarios y de equipos cliente, y un certificado en el almacn de certificados del equipo servidor para la autenticacin de servidores.

PEAP con EAP-MS-CHAP v2

PEAP con EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) es ms fcil de implementar que EAP-TLS ya que la autenticacin de usuarios se realiza usando credenciales basadas en contraseas (nombre de usuario y contrasea) en lugar de certificados o tarjetas inteligentes. Slo el servidor NPS u otro servidor RADIUS debe disponer de un certificado.

El servidor NPS usa el certificado del servidor NPS durante el proceso de autenticacin para demostrar su identidad a los clientes PEAP. Una autenticacin PEAP-MS-CHAP v2 correcta requiere que el cliente confe en el servidor NPS despus de examinar el certificado del servidor. Para que el cliente confe en el servidor NPS, la entidad de certificacin (CA) que emiti el certificado del servidor debe disponer de su certificado propio y distinto en el almacn de certificados de las entidades de certificacin raz de confianza de los equipos cliente. El certificado de servidor que usa NPS puede estar emitido por la entidad de certificacin raz de confianza de su organizacin o una entidad de certificacin pblica, como Verisign o Thawte, en la que ya confe el equipo cliente.
Nota PEAP-MS-CHAP v2 ofrece una seguridad considerablemente mayor que MS-CHAP v2 al proporcionar generacin de claves con TLS y por el uso de la autenticacin mutua, que impide que un servidor no autorizado pueda negociar el mtodo de autenticacin menos seguro con el cliente PEAP.

PEAP con EAP-TLS

Cuando se implementa una infraestructura de clave pblica (PKI) con Servicios de certificados de Active Directory (AD CS), se puede usar PEAP con EAP-TLS (PEAPTLS). Los certificados ofrecen un mtodo de autenticacin mucho ms seguro que los mtodos que usan credencias basadas en contraseas. PEAP-TLS usa certificados para la autenticacin de servidores y tarjetas inteligentes, que contienen un certificado incrustado, o certificados inscritos en los equipos cliente, almacenados en el almacn de certificados del equipo local, para la autenticacin de usuarios y equipos cliente. Para usar PEAP-TLS, debe implementar una PKI.

Reconexin rpida de PEAP

La reconexin rpida de PEAP permite a los clientes inalmbricos moverse entre puntos de acceso inalmbricos de la misma red sin tener que volver a autenticarse cada vez que se asocian a un nuevo punto de acceso. Los puntos de acceso inalmbricos estn configurados como clientes RADIUS a servidores RADIUS. Si un cliente inalmbrico se desplaza entre puntos de acceso que estn configurados como clientes del mismo servidor RADIUS, no ser necesario que el cliente se autentique en cada nueva asociacin. Cuando un cliente se mueve a un punto de acceso que est configurado como un cliente RADIUS de un servidor RADIUS distinto, si bien el cliente debe volver a autenticarse, este proceso se realiza de un modo ms rpido y eficaz.

La reconexin rpida de PEAP reduce el tiempo de respuesta para la autenticacin entre cliente y autenticador porque la solicitud de autenticacin se reenva desde el nuevo punto de acceso al servidor NPS que originalmente realiz la autenticacin y autorizacin para la solicitud de conexin del cliente. Como tanto el cliente PEAP como el servidor NPS usan las propiedades de la conexin TLS previamente almacenadas en la memoria cach (la coleccin de dichas propiedades se denomina identificador de TLS), el servidor NPS puede determinar rpidamente que la conexin del cliente es una reconexin. El cliente puede almacenar en la memoria cach identificadores TLS para varios autenticadores PEAP. Si el servidor NPS original no est disponible, deber realizarse una autenticacin completa entre el cliente y el nuevo autenticador. El identificador de TLS para el nuevo autenticador de PEAP se almacena en la memoria cach por el cliente. Para la autenticacin mediante tarjetas inteligentes o PEAP-MS-CHAP v2, se solicita al usuario que proporcione el PIN o las credenciales, respectivamente.
Con autenticacin PEAP-MS-CHAP v2:

Cuando el nuevo punto de acceso es un cliente del mismo servidor RADIUS

Cuando el nuevo punto de acceso es un cliente de un nuevo servidor RADIUS

No se solicitan al usuario credenciales cada vez que el equipo cliente se asocia a un nuevo punto de acceso.

Se solicitan las credenciales al usuario en esta asociacin inicial. La siguiente vez que el equipo cliente se asocie a un punto de acceso que sea cliente de este servidor, no se requerirn credenciales de usuario. El servidor RADIUS proporciona un certificado en esta asociacin inicial de forma que el cliente inalmbrico pueda No es necesario que el autenticarse ante el servidor RADIUS. La siguiente vez que el servidor RADIUS equipo cliente se asocie a un punto de acceso que sea cliente proporcione un certificado. de este servidor, no se requerir que el servidor vuelva a autenticarse.
Con autenticacin PEAP-TLS:

Cuando el nuevo punto de acceso es un cliente del mismo servidor RADIUS

Cuando el nuevo punto de acceso es un cliente de un nuevo servidor RADIUS

El cliente y el servidor intercambian certificados en esta asociacin inicial. La siguiente vez que el No se requiere que el cliente y el equipo cliente se asocie a un punto de acceso que servidor intercambien certificados. sea cliente de este servidor, no se intercambiarn certificados. No se solicita al usuario un nmero de Se solicita el PIN de tarjeta inteligente al usuario identificacin personal (PIN) de tarjeta en esta asociacin inicial. La siguiente vez que el

inteligente cada vez que el equipo cliente se asocia a un nuevo punto de acceso.

equipo cliente se asocie a un punto de acceso que sea cliente de este servidor, no se solicitar el PIN al cliente.

Para habilitar la reconexin rpida de PEAP:

Tanto el cliente PEAP (cliente inalmbrico 802.11) como el autenticador PEAP (servidor RADIUS) deben tener habilitada la reconexin rpida. Todos los puntos de acceso a los que se desplace el cliente PEAP deben estar configurados como clientes RADIUS de un servidor RADIUS (el autenticador PEAP) que tienen configurado PEAP como mtodo de autenticacin para las conexiones inalmbricas. Todos los puntos de acceso a los que se asocia el cliente PEAP deben estar configurados para preferir el mismo servidor RADIUS (autenticador PEAP) y, de esta manera, evitar que soliciten las credenciales desde todos los servidores RADIUS. Si no se puede configurar el punto de acceso para que prefiera un servidor RADIUS, puede configurar un proxy RADIUS NPS con un servidor RADIUS preferido.

Informacin adicional

PEAP no admite la autenticacin de invitados. Cuando implemente tanto PEAP como EAP sin proteccin PEAP, no use el mismo tipo de autenticacin EAP con y sin PEAP. Por ejemplo, si implementa PEAP-TLS, no implemente tambin EAP-TLS sin PEAP. La implementacin de mtodos de autenticacin del mismo tipo crea una vulnerabilidad de seguridad.

Comprobaciones de CRL de NPS

Este tema an no ha recibido ninguna valoracin Valorar este tema

Se aplica a: Windows Server 2008

Comprobaciones de CRL de NPS

De manera predeterminada, el servidor que ejecuta el Servidor de directivas de redes (NPS) comprueba la revocacin de todos los certificados incluidos en la cadena de certificados que enva el equipo cliente durante el proceso de autenticacin EAP-TLS y PEAP-TLS. Si la revocacin del certificado genera un error para cualquiera de los certificados de la cadena, el intento de conexin no se autentica y es denegado. El comportamiento de la comprobacin de revocacin de certificados para NPS puede modificarse con la configuracin del Registro. Para obtener ms informacin, consulte Configuracin del registro de comprobacin de CRL de NPS.

La comprobacin de la revocacin de certificados puede impedir el acceso del cliente debido a la falta de disponibilidad o la expiracin de las listas de revocacin de certificados (CRL) de cada certificado de la cadena de certificados, por lo que debe disear una infraestructura de clave pblica (PKI) que proporcione una alta disponibilidad de CRL. Por ejemplo, configure varios puntos de distribucin CRL para cada entidad de certificacin (CA) en la jerarqua de certificados y configure programaciones de publicaciones que garanticen que siempre est disponible la CRL ms reciente. La comprobacin de la revocacin de certificados slo es tan precisa como la ltima CRL publicada. Por ejemplo, si se revoca un certificado, la nueva CRL que contiene el certificado recientemente revocado no se publica automticamente de manera predeterminada. Las CRL normalmente se publican atendiendo a una programacin que puede configurarse. Esto significa que el certificado revocado puede seguir usndose para la autenticacin porque la CRL publicada no es la ms reciente; no contiene el certificado revocado y, por tanto, puede seguir usndose para crear conexiones inalmbricas. Para impedir que esto se produzca, el administrador de la red debe publicar manualmente la nueva CRL con el certificado recientemente revocado. El servidor NPS usa de manera predeterminada los puntos de distribucin CRL en los certificados. Sin embargo, tambin es posible almacenar una copia local de la CRL en el servidor NPS. En este caso, la CRL local se usa durante la comprobacin de la revocacin de certificados. Si se publica manualmente una nueva CRL en los Servicios de dominio de Active Directory (AD DS), no se actualiza la CRL local del servidor NPS. La CRL local se actualiza cuando expira. Esto puede crear una situacin en la que se revoca un certificado y se publica manualmente la CRL, pero el servidor NPS sigue permitiendo la conexin porque la CRL local todava no se ha actualizado.
Importante Cuando use certificados para la autenticacin del acceso de red de nivel de equipo o usuario, asegrese de que las CRL se publiquen en una ubicacin principal y, al menos, en una ubicacin secundaria para que todos los equipos, especialmente todos los servidores NPS y otros servidores RADIUS, puedan tener acceso a las mismas. Si los servidores NPS-RADIUS intentan realizar la validacin de la CRL del certificado de usuario o equipo, pero no pueden encontrar las CRL, los servidores NPS RADIUS rechazan todos los intentos de conexin basados en certificados y la autenticacin genera un error.

La comprobacin de la revocacin de certificados puede generar un error por los motivos que se exponen a continuacin.

El certificado se ha revocado. La CRL del certificado no puede encontrarse o no est disponible. Las entidades de certificacin mantienen las CRL y las publican en puntos de distribucin

CRL. Los puntos de distribucin CRL se incluyen en la propiedad Puntos de distribucin CRL del certificado. Si no se puede establecer el contacto con los puntos de distribucin CRL para comprobar la revocacin del certificado, la comprobacin de revocacin del certificado genera un error. Adems, si no existen puntos de distribucin CRL en el certificado, el servidor NPS no puede comprobar que el certificado no ha sido revocado y la comprobacin de revocacin del certificado genera un error.

El editor de la CRL no emiti el certificado. Dentro de la CRL se incluye la entidad de certificacin de publicacin. Si la entidad de certificacin de publicacin de la CRL no coincide con la entidad de certificacin de emisin para la revocacin del certificado que se est comprobando, la comprobacin de revocacin del certificado genera un error.

La CRL no es la ms reciente. Cada CRL publicada dispone de un intervalo de fechas vlidas. Si se ha superado la siguiente fecha de actualizacin de la CRL, la CRL se considera no vlida y la comprobacin de revocacin de certificados genera un error. Deben publicarse nuevas CRL antes de la fecha de expiracin de la ltima CRL publicada.