Administrar los certificados que se usan con NPS

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Si implementa un método de autenticación basado en certificados, como Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS), Protocolo de autenticación extensible protegido-Seguridad de la capa de transporte (PEAP-TLS) y PEAP-Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2), debe inscribir un certificado de servidor en todos los NPS. El certificado de servidor debe:

  • Cumplir los requisitos mínimos de certificado de servidor tal y como se describe en Configuración de plantillas de certificado para los requisitos de PEAP y EAP.

  • Ser emitido por una autoridad de certificación (CA) en la que confíen los equipos cliente. Una CA es de confianza cuando su certificado existe en el almacén de certificados de entidades de certificación raíz de confianza para el usuario actual y el equipo local.

Las instrucciones siguientes ayudan a administrar certificados NPS en implementaciones en las que la CA raíz de confianza es una CA de terceros, como Verisign, o es una CA que ha implementado para la infraestructura de clave pública (PKI) mediante Servicios de certificados de Active Directory (AD CS).

Cambio de la expiración del identificador TLS almacenado en caché

Durante los procesos de autenticación iniciales para EAP-TLS, PEAP-TLS y PEAP-MS-CHAP v2, NPS almacena en caché una parte de las propiedades de conexión TLS del cliente de conexión. El cliente también almacena en caché una parte de las propiedades de conexión TLS de NPS.

Cada colección individual de estas propiedades de conexión TLS se denomina identificador TLS.

Los equipos cliente pueden almacenar en caché los identificadores TLS de varios autenticadores, mientras que los NPS puede almacenar en caché los identificadores TLS de muchos equipos cliente.

Los identificadores TLS almacenados en caché en el cliente y el servidor permiten que el proceso de reautenticación se realice más rápidamente. Por ejemplo, cuando un equipo inalámbrico vuelve a autenticarse con un NPS, NPS puede examinar el identificador TLS para el cliente inalámbrico y puede determinar rápidamente que la conexión del cliente es una reconexión. NPS autoriza la conexión sin realizar la autenticación completa.

Por consiguiente, el cliente examina el identificador TLS de NPS, determina que es una reconexión y no necesita realizar la autenticación del servidor.

En los equipos que ejecutan Windows 10 y Windows Server 2016, la expiración predeterminada del identificador TLS es de 10 horas.

En algunas circunstancias, es posible que quiera aumentar o disminuir el tiempo de expiración del identificador TLS.

Por ejemplo, puede que quiera reducir el tiempo de expiración del identificador TLS en circunstancias en las que un administrador revoque el certificado de un usuario y el certificado haya expirado. En este escenario, el usuario todavía puede conectarse a la red si un NPS tiene un identificador TLS almacenado en caché que no ha expirado. Reducir la expiración del identificador TLS puede ayudar a evitar que dichos usuarios con certificados revocados se vuelvan a conectar.

Nota

La mejor solución para este escenario es deshabilitar la cuenta de usuario en Active Directory o quitar la cuenta de usuario del grupo de Active Directory al que se concede permiso para conectarse a la red en la directiva de red. No obstante, la propagación de estos cambios en todos los controladores de dominio también se puede retrasar debido a la latencia de replicación.

Configuración del tiempo de expiración del identificador TLS en equipos cliente

Puede usar este procedimiento para cambiar la cantidad de tiempo que los equipos cliente almacenan en caché el identificador TLS de un NPS. Después de autenticar correctamente un NPS, los equipos cliente almacenan en caché las propiedades de conexión TLS del NPS como identificador TLS. El identificador TLS tiene una duración predeterminada de 10 horas (36 000 000 milisegundos). Puede aumentar o disminuir el tiempo de expiración del identificador TLS mediante el procedimiento siguiente.

La afiliación a Administradores, o equivalente, es el mínimo exigido para completar este procedimiento.

Importante

Este procedimiento debe realizarse en un NPS, no en un equipo cliente.

Para configurar el tiempo de expiración del identificador TLS en equipos cliente

  1. En un NPS, abra el Editor del Registro.

  2. Vaya a la clave del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. En el menú Edición, haga clic en Nuevo y, después, en Clave.

  4. Escriba ClientCacheTime y después presione ENTRAR.

  5. Haga clic con el botón derecho en ClientCacheTime, haga clic en Nuevo y, después, haga clic en Valor de DWORD (32 bits).

  6. Escriba la cantidad de tiempo, en milisegundos, que desea que los equipos cliente almacenen en caché el identificador TLS de un NPS después del primer intento de autenticación correcto por parte del NPS.

Configuración del tiempo de expiración del identificador TLS en NPS

Use este procedimiento para cambiar la cantidad de tiempo que los NPS almacenan en caché el identificador TLS de los equipos cliente. Después de autenticar correctamente un cliente de acceso, los NPS almacenan en caché las propiedades de conexión TLS del equipo cliente como un identificador TLS. El identificador TLS tiene una duración predeterminada de 10 horas (36 000 000 milisegundos). Puede aumentar o disminuir el tiempo de expiración del identificador TLS mediante el procedimiento siguiente.

La afiliación a Administradores, o equivalente, es el mínimo exigido para completar este procedimiento.

Importante

Este procedimiento debe realizarse en un NPS, no en un equipo cliente.

Para configurar el tiempo de caducidad del identificador TLS en NPS

  1. En un NPS, abra el Editor del Registro.

  2. Vaya a la clave del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. En el menú Edición, haga clic en Nuevo y, después, en Clave.

  4. Escriba ServerCacheTime y presione ENTRAR.

  5. Haga clic con el botón derecho en ServerCacheTime, haga clic en Nuevo y, después, haga clic en Valor de DWORD (32 bits).

  6. Escriba la cantidad de tiempo, en milisegundos, que desea que los NPS almacenen en caché el identificador TLS de un equipo cliente después del primer intento de autenticación correcto por parte del cliente.

Obtención del hash SHA-1 de un certificado de CA raíz de confianza

Use este procedimiento para obtener el hash del algoritmo hash seguro (SHA-1) de una entidad de certificación raíz (CA) de confianza a partir de un certificado instalado en el equipo local. En algunas ocasiones, como al implementar una directiva de grupo, es necesario designar un certificado mediante el hash SHA-1 del certificado.

Al usar la directiva de grupo, puede designar uno o varios certificados de CA raíz de confianza que los clientes deben usar para autenticar el NPS durante el proceso de autenticación mutua con EAP o PEAP. Para designar un certificado de CA raíz de confianza que los clientes deben usar para validar el certificado de servidor, puede escribir el hash SHA-1 del certificado.

En este procedimiento se muestra cómo obtener el hash SHA-1 de un certificado de CA raíz de confianza mediante el complemento Microsoft Management Console (MMC) Certificados.

Para completar este procedimiento, debe ser miembro del grupo local Usuarios en el equipo local.

Para obtener el hash SHA-1 de un certificado de CA raíz de confianza

  1. Abra el cuadro de diálogo Ejecutar o Windows PowerShell, escriba mmcy presione ENTRAR. Se abrirá Microsoft Management Console (MMC). En MMC, haga clic en Archivo y después en Agregar o quitar complemento. Se abre el cuadro de diálogo Agregar o quitar complementos.

  2. En Agregar o quitar complementos, en Complementos disponibles, haga doble clic en Certificados. Se abre la página del asistente Complemento Certificados. Haga clic en Cuenta de equipo y, a continuación, en Siguiente.

  3. En Seleccionar equipo, asegúrese de que está seleccionado Equipo local (el equipo donde se ejecuta esta consola), haga clic en Finalizar y, después, haga clic en Aceptar.

  4. En el panel izquierdo, haga doble clic en Certificados (equipo local) y, después, haga doble clic en la carpeta Entidades de certificación raíz de confianza.

  5. La carpeta Certificados es una subcarpeta de la carpeta Entidades de certificación raíz de confianza. Haga clic en la carpeta Certificados.

  6. En el panel de detalles, vaya al certificado de la CA raíz de confianza. Haga doble clic en el certificado. Se abre el cuadro de diálogo Certificado.

  7. En el cuadro de diálogo Certificado, haga clic en la pestaña Detalles.

  8. En la lista de campos, vaya a Huella digital y selecciónela.

  9. En el panel inferior, se muestra la cadena hexadecimal que es el hash SHA-1 de su certificado. Seleccione el hash SHA-1 y, después, utilice el método abreviado de teclado de Windows del comando Copiar (CTRL+C) para copiar el hash en el portapapeles de Windows.

  10. Abra la ubicación en la que desea pegar el hash SHA-1, busque correctamente el cursor y, a continuación, presione el método abreviado de teclado de Windows para el comando Pegar (CTRL+V).

Para más información sobre los certificados y NPS, vea Configuración de plantillas de certificado para los requisitos de PEAP y EAP.

Para más información sobre NPS, consulte Servidor de directivas de redes (NPS).