Puede usar estos procedimientos para instalar los Servicios de certificados de Active Directory® (AD CS) e inscribir un certificado de servidor en los servidores que ejecutan el Servidor de directivas de redes (NPS). Si implementa la autenticación basada en certificados, los servidores que ejecutan NPS deben tener un certificado de servidor. Durante el proceso de autenticación, estos servidores envían su certificado de servidor a los equipos cliente como prueba de identidad.
El proceso de configuración de la inscripción de certificado de servidor NPS se produce en tres etapas:
-
Instalar el rol del servidor de AD CS. Este paso es necesario únicamente si no ha implementado ya una entidad de certificación (CA) en su red.
-
Configurar una plantilla de certificado de servidor e inscripción automática. Dado que la CA emite certificados basados en una plantilla de certificado, debe configurar la plantilla para el certificado de servidor NPS para que la CA pueda emitir un certificado. Cuando se configura la inscripción automática, todos los servidores que ejecutan NPS en la red reciben automáticamente un certificado de servidor cuando se actualiza la directiva de grupo en el servidor que ejecuta NPS. Si agrega más servidores posteriormente, éstos también recibirán automáticamente un certificado de servidor.
-
Actualizar la directiva de grupo en los servidores que ejecutan NPS. Cuando se actualiza la directiva de grupo, los servidores que ejecutan NPS reciben dos certificados. Un certificado es el certificado de servidor basado en la plantilla configurada en el paso anterior. NPS usa este certificado para probar su identidad ante los equipos cliente que intentan conectarse a la red. El otro certificado es el certificado de la CA de emisión, que se instala automáticamente en los servidores que ejecutan NPS en el almacén de certificados de entidades de certificación raíz de confianza. NPS usa este certificado para determinar si puede confiar en los certificados que recibe de otros equipos. Por ejemplo, si implementa el Protocolo de autenticación extensible con Seguridad de la capa de transporte (EAP-TLS), los equipos cliente usan un certificado para probar sus identidades ante el servidor que ejecuta NPS. Cuando el servidor recibe un certificado de un equipo cliente, la confianza del certificado se establece porque el servidor que ejecuta NPS encuentra el certificado de la CA emisora en su propio almacén de certificados de entidades de certificación raíz de confianza.
En lugar de realizar la inscripción automática de un certificado de servidor NPS, es posible que desee inscribir el certificado mediante uno de los siguientes métodos:
-
Importar manualmente un certificado de servidor NPS desde un disquete o un disco compacto al almacén de certificados de NPS.
-
Usar la herramienta de inscripción en web de los servicios de Certificate Server para obtener el certificado de servidor NPS.
Debido a que el certificado de servidor NPS es un certificado de equipo, debe importar el certificado al almacén de certificados para el equipo local en lugar de para el usuario actual.
Precaución | |
Si el certificado de servidor NPS se instala de forma errónea en el almacén de certificados del usuario actual, NPS no puede usar el certificado para autenticación EAP o EAP protegido (PEAP) porque las claves privadas del certificado tienen una lista de control de acceso (ACL) con una configuración errónea, que impide el acceso a la clave por parte del sistema local. Puede comprobar la ubicación del certificado de servidor NPS mediante el complemento Microsoft Management Console (MMC) de Certificados. Si el certificado de servidor NPS está en una ubicación incorrecta, no intente arrastrar y colocar el certificado desde el almacén de certificados del usuario actual al del equipo local. Las claves privadas del certificado seguirán teniendo una ACL configurada incorrectamente. En lugar de esto, debe revocar el certificado mediante AD CS y emitir un nuevo certificado de servidor para el servidor que ejecuta NPS. |
Para implementar una CA y realizar la inscripción automática de certificados de servidor NPS, realice los siguientes procedimientos: