Use los procedimientos siguientes en las entidades de certificación (CA) de Protección de acceso a redes (NAP) para comprobar que estos servidores están configurados correctamente para su uso con la Autoridad de registro de mantenimiento (HRA) y el método de cumplimiento NAP para el protocolo de seguridad de Internet (IPsec). Las CA de NAP son servidores que tienen instalados y ejecutan Servicios de certificados de Active Directory® (AD CS) y que pueden emitir certificados de mantenimiento NAP. Para obtener más información acerca de AD CS, vea https://go.microsoft.com/fwlink/?LinkId=127816 (puede estar en inglés).

El requisito mínimo para completar este procedimiento es la pertenencia al grupo Domain Admins o un grupo equivalente. Revise los detalles acerca del uso de las cuentas y pertenencias a grupos correspondientes en https://go.microsoft.com/fwlink/?LinkId=83477 (puede estar en inglés).

Selección de una CA de NAP

HRA debe asociarse a una CA como mínimo para poder obtener y emitir certificados de mantenimiento NAP a equipos cliente NAP compatibles. Para seleccionar una CA durante la instalación de HRA, puede elegir instalar la CA localmente o seleccionar una CA remota existente. También puede agregar CA NAP más tarde mediante el complemento HRA o una línea de comandos. Debe usar el complemento HRA o una línea de comandos para asociar más de una CA a HRA. Puede configurar HRA para que use una CA de empresa o una CA independiente. Los requisitos de configuración de una CA NAP difieren según el tipo de CA que elija. Debe establecer la configuración de seguridad de CA y los requisitos de emisión de certificados si selecciona una CA independiente o empresarial. En su configuración recomendada, HRA está asociada a una CA subordinada independiente dedicada. Para obtener más información acerca de la configuración de HRA para usar una CA NAP, vea Configuración de la entidad de certificación NAP.

Selección de una CA independiente

Una CA independiente no usa plantillas de certificado. Por lo tanto, no es necesario que configure una plantilla de certificado de mantenimiento cuando use una CA NAP independiente. Si elige una CA independiente, debe establecer la configuración de seguridad de CA y los requisitos de emisión de certificados para que HRA pueda solicitar y emitir automáticamente certificados de mantenimiento para equipos cliente.

Selección de una CA empresarial

Una CA de empresa emite certificados basados en plantillas de certificado. El módulo de directivas se usa para ofrecer una lista de extensiones de certificado a los certificados emitidos, por ejemplo, autenticación de mantenimiento del sistema para NAP. Si la CA de empresa ejecuta Windows Server® 2008, la plantilla de certificado Autenticación de mantenimiento del sistema estará disponible de manera predeterminada con extensiones de directiva de aplicación válidas para la autenticación de mantenimiento y de dominio. Si su CA de empresa ejecuta Windows Server® 2003, debe crear y publicar una plantilla que contenga estas extensiones de directiva de aplicación. Puede usar los procedimientos siguientes para comprobar que las CA de empresa están configuradas para emitir automáticamente certificados de mantenimiento con las extensiones de directiva de aplicación correctas.

Comprobación de la disponibilidad de la plantilla

Si su servidor de CA empresarial ejecuta Windows Server 2008, habrá disponible de forma automática una plantilla de certificado para clientes NAP autenticados en el dominio con el nombre para mostrar Autenticación de mantenimiento del sistema. Si la CA empresarial ejecuta Windows Server 2003, debe crear esta plantilla. Use el procedimiento siguiente para comprobar que hay disponible una plantilla de certificado de mantenimiento NAP con las extensiones de directiva de aplicación correctas o cree esta plantilla si no está disponible. Este procedimiento no es aplicable si usa una CA independiente.

Para comprobar la disponibilidad de la plantilla
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba certtmpl.msc y, a continuación, presione Entrar.

  2. En el panel de detalles, en Nombre para mostrar plantilla, revise la lista de plantillas. Haga doble clic en el nombre de la plantilla de certificado de mantenimiento NAP. Si esta plantilla no aparece, siga los pasos siguientes:

    1. Haga clic con el botón secundario en Autenticación de estación de trabajo y, a continuación, haga clic en Plantilla duplicada.

    2. En Nombre para mostrar plantilla, escriba Autenticación de mantenimiento del sistema y, a continuación, haga clic en la ficha Extensiones.

    3. En Extensiones incluidas en esta plantilla, haga clic en Directivas de aplicación y, a continuación, haga clic en Editar.

    4. Haga clic en Agregar y después en Nueva.

    5. En Nueva directiva de aplicación, en Nombre, escriba Autenticación de mantenimiento del sistema.

    6. En Identificador de objetos, escriba1.3.6.1.4.1.311.47.1.1 y haga clic en Aceptar cuatro veces.

    7. Confirme que la nueva plantilla se haya creado correctamente.

    8. Para comprobar la nueva plantilla, haga doble clic en su nombre y complete los pasos restantes de este procedimiento.

  3. Haga clic en la ficha Extensiones.

  4. En Extensiones incluidas en esta plantilla, haga clic en Directivas de aplicación.

  5. En Descripción de Directivas de aplicación, compruebe que aparecen en la lista las opciones Autenticación de mantenimiento del sistema y Autenticación del cliente y, a continuación, haga clic en Editar.

  6. Haga clic en Autenticación de mantenimiento del sistema y, a continuación, en Editar.

  7. En Modificar directiva de aplicación, bajo Identificador de objetos, compruebe que el valor es 1.3.6.1.4.1.311.47.1.1. Si el valor del identificador de objeto de directiva de aplicación es diferente, use los pasos anteriores de este procedimiento para crear una plantilla de autenticación de mantenimiento del sistema nueva. También deberá corregir los nombres de directiva de aplicación de forma que el identificador de objeto asociado a Autenticación de mantenimiento del sistema sea 1.3.6.1.4.1.311.47.1.1.

  8. Haga clic en Cancelar tres veces y cierre la consola Plantillas de certificado.

Nota

Si esta plantilla de certificado se usa para emitir certificados de mantenimiento anónimos, no incluya la directiva de aplicación Autenticación del cliente. Los certificados que contienen la directiva de aplicación de autenticación del cliente se emiten para los clientes que se autentican con credenciales de dominio.

Comprobación de la disponibilidad del certificado

En una CA de empresa, los certificados deben estar disponibles antes de que puedan emitirse para equipos cliente. Use el procedimiento siguiente para asegurar que el certificado de mantenimiento NAP está disponible para su emisión. Este procedimiento no es aplicable si usa una CA independiente.

Para comprobar la disponibilidad del certificado
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba certsvr.msc y, a continuación, presione Entrar.

  2. En el árbol de consola, haga clic en Plantillas de certificado.

  3. En el panel de detalles, en Nombre, compruebe que aparece el certificado de mantenimiento NAP. Si su servidor de CA de empresa ejecuta Windows Server 2008, la plantilla de certificado de mantenimiento predeterminada para clientes NAP autenticados en el dominio tiene el nombre para mostrar Autenticación de mantenimiento del sistema.

  4. Si la plantilla de certificado de mantenimiento se ha creado pero no aparece en la lista, siga los pasos siguientes para emitir la plantilla:

    1. Haga clic con el botón secundario en Plantillas de certificado, apunte a Nueva y, a continuación, haga clic en Plantilla de certificado que se va a emitir.

    2. En Habilitar plantillas de certificados, en Nombre, haga clic en el nombre de la plantilla de mantenimiento NAP y, a continuación, haga clic en Aceptar. Si la plantilla no aparece, significa que ya se ha habilitado o que debe crearse antes de realizar este procedimiento.

    3. Compruebe que la plantilla de certificado de mantenimiento NAP se ha agregado a la lista de plantillas.

  5. Cierre la consola Entidad de certificación.

Comprobación de permisos de inscripción de certificado para HRA

Para que HRA obtenga certificados de una CA de empresa y los emita a los clientes, debe tener permiso para realizar la inscripción del certificado de mantenimiento. Si habilita el permiso de inscripción automática, HRA podrá agregar este certificado a su almacén de certificados local. Si solo cuenta con el permiso de inscripción, debe aprovisionar manualmente un certificado de mantenimiento en el servidor HRA. Use el procedimiento siguiente para comprobar que HRA tiene concedidos estos permisos. Este procedimiento no es aplicable si usa una CA independiente.

Para comprobar permisos de inscripción de certificado para HRA
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba certtmpl.msc y, a continuación, presione Entrar.

  2. En el panel de detalles, en Nombre para mostrar plantilla, haga doble clic en el nombre del certificado de mantenimiento NAP. Si el servidor de CA empresarial ejecuta Windows Server 2008, la plantilla de certificado de mantenimiento predeterminada para clientes NAP autenticados en el dominio tiene el nombre para mostrar Autenticación de mantenimiento del sistema.

  3. Haga clic en la ficha Seguridad.

  4. Compruebe que los permisos Inscribir e Inscripción automática se han concedido al nombre DNS del servidor HRA o a un grupo del cual forma parte el servidor HRA. Si estos permisos no están concedidos, siga los pasos siguientes:

    1. Haga clic en Agregar, haga clic en Tipos de objeto, active la casilla Equipos y, a continuación, haga clic en Aceptar.

    2. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre DNS del servidor HRA y haga clic en Aceptar. También puede escribir el nombre de un grupo del cual forme parte el servidor HRA.

    3. Haga clic en el nombre o grupo que ha agregado, seleccione la opción de Permitir permisos de Inscribir e Inscripción automática y, a continuación, haga clic en Aceptar.

  5. Cierre la consola Plantillas de certificado.

Comprobación de la configuración de seguridad de CA

La configuración de seguridad de CA determina si HRA tiene permisos suficientes para emitir certificados de mantenimiento. Use el procedimiento siguiente para comprobar estos permisos en las CA de NAP. Este procedimiento se aplica a servidores de CA de empresa e independientes.

Para comprobar la configuración de seguridad del certificado
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba certsrv.msc y, a continuación, presione Entrar.

  2. Haga clic con el botón secundario en el nombre común de la CA y, a continuación, haga clic en Propiedades.

  3. Haga clic en la ficha Seguridad.

  4. Si la HRA y la CA de NAP se ejecutan en el mismo equipo, compruebe que aparece Servicio de red en Nombres de grupos o usuarios.

  5. Si su HRA y la CA de NAP se ejecutan en equipos diferentes, compruebe que el nombre del equipo del servidor HRA se encuentra en Nombres de grupos o usuarios.

  6. Haga clic en el nombre del servidor HRA, o haga clic en Servicio de red, y compruebe que están concedidos los permisos para Emitir y administrar certificados, Administrar CA y Solicitar certificados.

  7. Haga clic en Aceptar y, a continuación, cierre la consola Entidad de certificación.

Comprobación de los requisitos de emisión de certificados

Para que los equipos cliente NAP adquieran certificados de mantenimiento inmediatamente cuando cumplen los requisitos de mantenimiento de red, las CA NAP deben configurarse para emitir certificados de mantenimiento de forma automática. Use el procedimiento siguiente para comprobar que los certificados se emiten automáticamente. Este procedimiento se aplica a servidores de CA de empresa e independientes.

Para comprobar los requisitos de emisión de certificados
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba certsrv.msc y, a continuación, presione Entrar.

  2. Haga clic con el botón secundario en el nombre común de la CA y, a continuación, haga clic en Propiedades.

  3. Haga clic en la ficha Módulo de directivas y, a continuación, haga clic en Propiedades.

  4. Compruebe que esta seleccionada la opción Seguir la configuración de la plantilla de certificados.

  5. Haga clic en Aceptar dos veces y, a continuación, cierre la consola Entidad de certificación.

Referencias adicionales