Compartir vía

Configurar plantillas de certificado para los requisitos de PEAP y EAP

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Todos los certificados que se usan para la autenticación de acceso a la red con Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS), Protocolo de autenticación extensible protegido-Seguridad de la capa de transporte (PEAP-TLS) y PEAP-Microsoft Protocolo de autenticación por desafío mutuo versión 2 (MS-CHAP v2) deben cumplir los requisitos de los certificados X.509 y funcionan para las conexiones que usan la Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS). Los certificados de cliente y servidor tienen requisitos adicionales, que se detallan a continuación.

Importante

En este tema se proporcionan instrucciones para configurar plantillas de certificado. Para usar estas instrucciones, es necesario que haya implementado su propia infraestructura de clave pública (PKI) con Servicios de certificados de Active Directory (AD CS).

Requisitos mínimos para certificados de servidor

Con PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS como método de autenticación, NPS debe usar un certificado de servidor que cumpla los requisitos mínimos del certificado de servidor.

Los equipos cliente se pueden configurar para validar certificados de servidor mediante la opción Validar certificado de servidor en el equipo cliente o en la directiva de grupo.

El equipo cliente acepta el intento de autenticación del servidor cuando el certificado de servidor cumple los siguientes requisitos:

  • El nombre de sujeto contiene un valor. Si emite un certificado para el servidor que ejecuta el Servidor de directivas de redes (NPS) que tiene un nombre de sujeto en blanco, el certificado no está disponible para autenticar el servidor NPS. Para configurar la plantilla de certificado con un nombre de sujeto:

    1. Abra las plantillas de certificado.
    2. En el panel Detalles, haga clic con el botón derecho en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Nombre de sujeto y, a continuación, en Construido a partir de esta información de Active Directory.
    4. En Formato de nombre de sujeto, seleccione un valor que no sea Ninguno.

  • El certificado de equipo en el servidor:

    • cadenas a una entidad de certificación raíz (CA) de confianza,
    • incluye el propósito Server Authentication de las extensiones de EKU (el identificador de objeto (OID) para Server Authentication es 1.3.6.1.5.5.7.3.1)
    • y pasa:
      • las comprobaciones realizadas por CryptoAPI y
      • las comprobaciones que se especifican en la directiva de acceso remoto o en la directiva de red.

  • Configure el certificado de servidor con la configuración de criptografía necesaria:

    1. Abra las plantillas de certificado.
    2. En el panel Detalles, haga clic con el botón derecho en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Criptografía y asegúrese de configurar lo siguiente:
      • Categoría de proveedor: proveedor de almacenamiento de claves
      • Nombre del algoritmo: por ejemplo, RSA
      • Proveedores: por ejemplo, proveedor de almacenamiento de claves de software de Microsoft
      • Tamaño mínimo de clave: por ejemplo, 2048
      • Algoritmo hash: por ejemplo, SHA256
    4. Haga clic en Next.

  • Si se usa la extensión de nombre alternativo de sujeto (SubjectAltName), debe contener el nombre DNS del servidor. Para configurar la plantilla de certificado con el nombre del Sistema de nombres de dominio (DNS) del servidor inscrito:

    1. Abra las plantillas de certificado.
    2. En el panel Detalles, haga clic con el botón derecho en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Nombre de sujeto y, a continuación, en Construido a partir de esta información de Active Directory.
    4. En Incluir esta información en un nombre de sujeto alternativo, seleccione Nombre DNS.

Con PEAP y EAP-TLS, NPS muestra una lista de todos los certificados instalados en el almacén de certificados del equipo, con las siguientes excepciones:

  • No se muestran los certificados que no contienen el propósito Server Authentication en extensiones EKU.

  • No se muestran los certificados que no contienen un nombre de sujeto.

  • No se muestran los certificados de inicio de sesión de tarjeta inteligente y basados en el Registro.

Para obtener más información, consulte Implementación de certificados de servidor para las implementaciones cableadas e inalámbricas de 802.1X.

Requisitos mínimos para certificados de cliente

Con EAP-TLS o PEAP-TLS, el servidor acepta el intento de autenticación del cliente cuando el certificado cumple los siguientes requisitos:

  • El certificado de cliente lo emite una entidad de certificación empresarial o se asigna a una cuenta de usuario o de equipo en Active Directory Domain Services (AD DS).

  • El certificado de usuario o equipo en el cliente:

    • cadenas a una CA raíz de confianza,
    • incluye el propósito Client Authentication en las extensiones de EKU (el OID para Client Authentication es 1.3.6.1.5.5.7.3.2)
    • y pasa:
      • las comprobaciones realizadas por CryptoAPI,
      • las comprobaciones especificadas en la directiva de acceso remoto o en la directiva de red y
      • el identificador de objeto de certificado comprueba que se especifican en la directiva de red NPS.

  • El cliente 802.1X no usa certificados basados en el Registro que sean certificados de inicio de sesión de tarjeta inteligente o protegidos con contraseña.

  • Para los certificados de usuario, la extensión de nombre alternativo de sujeto (SubjectAltName) del certificado contiene el nombre principal del usuario (UPN). Para configurar el UPN en una plantilla de certificado:

    1. Abra las plantillas de certificado.
    2. En el panel Detalles, haga clic con el botón derecho en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Nombre de sujeto y, a continuación, en Construido a partir de esta información de Active Directory.
    4. En Incluir esta información en un nombre de sujeto alternativo, seleccione Nombre principal del usuario (UPN).

  • Para los certificados de equipo, la extensión de nombre alternativo del firmante (SubjectAltName) del certificado debe contener el nombre de dominio completo (FQDN) del cliente, que también se llama Nombre DNS. Para configurar este nombre en la plantilla de certificado:

    1. Abra las plantillas de certificado.
    2. En el panel Detalles, haga clic con el botón derecho en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Nombre de sujeto y, a continuación, en Construido a partir de esta información de Active Directory.
    4. En Incluir esta información en un nombre de sujeto alternativo, seleccione Nombre DNS.

Con PEAP-TLS y EAP-TLS, el cliente muestra una lista de todos los certificados instalados en el complemento Certificados, con las siguientes excepciones:

  • Los clientes inalámbricos no muestran certificados de inicio de sesión de tarjeta inteligente y basados en el Registro.

  • Los clientes inalámbricos y los clientes VPN no muestran certificados protegidos con contraseña.

  • No se muestran los certificados que no contienen el propósito Client Authentication en extensiones EKU.

Para más información sobre NPS, consulte Servidor de directivas de redes (NPS).

Para más información sobre EAP, consulte Protocolo de autenticación extensible (EAP) para el acceso a la red.

Para obtener más información sobre cómo solucionar problemas de certificados con NPS, consulte Requisitos de certificado al usar EAP-TLS o PEAP con EAP-TLS