Todos los certificados que se usan para autenticación de acceso a la red con el Protocolo de autenticación extensible con Seguridad de la capa de transporte (EAP-TLS), Protocolo de autenticación extensible protegido con Seguridad de la capa de transporte (PEAP-TLS) y PEAP con Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2) deben cumplir los requisitos para los certificados X.509 y trabajar para conexiones que usen la Capa de sockets seguros o la Seguridad de la capa de transporte (SSL/TLS). Los certificados de cliente y de servidor tienen requisitos adicionales.

Requisitos mínimos para certificados de servidor

Con PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS como método de autenticación, el servidor NPS debe usar un certificado de servidor que cumpla los requisitos mínimos para certificado de servidor.

Los equipos cliente se pueden configurar para validar certificados de servidor usando la opción Validar un certificado de servidor en el equipo cliente o en la directiva de grupo.

El equipo cliente acepta el intento de autenticación del servidor cuando el certificado de servidor cumple los siguientes requisitos:

  • El nombre de sujeto contiene un valor. Si emite un certificado para el servidor que ejecuta el servidor de directivas de redes (NPS), que tiene un nombre de sujeto en blanco, el certificado no está disponible para autenticar el servidor NPS. Para configurar la plantilla de certificado con un nombre de sujeto:

    1. Abra Plantillas de certificado.

    2. En el panel de detalles, haga clic con el botón secundario en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.

    3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de esta información de Active Directory.

    4. En Formato de nombre de sujeto, seleccione un valor que no sea Ninguno.

  • El certificado de equipo del servidor se encadena a una entidad de certificación (CA) raíz de confianza y no genera ningún error en las comprobaciones que realiza CryptoAPI y que se especifican en la directiva de acceso remoto o la directiva de red.

  • El certificado del equipo para el servidor NPS o servidor VPN se configura con el propósito de autenticación del servidor en las extensiones de uso mejorado de claves (EKU). (El identificador de objeto para la autenticación de servidor es 1.3.6.1.5.5.7.3.1.)

  • El certificado de servidor se configura con el valor de algoritmo obligatorio RSA. Para establecer la configuración de criptografía requerida:

    1. Abra Plantillas de certificado.

    2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.

    3. Haga clic en la ficha Criptografía. En Nombre de algoritmo, haga clic en RSA. Asegúrese de que el Tamaño mínimo de clave está establecido en 2048.

  • Si se usa la extensión de nombre alternativo de sujeto (SubjectAltName), debe contener el nombre DNS del servidor. Para configurar la plantilla de certificado con el nombre Sistema de nombres de dominio (DNS) del servidor de inscripción:

    1. Abra Plantillas de certificado.

    2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.

    3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de esta información de Active Directory.

    4. En Incluir esta información en un nombre de sujeto alternativo, seleccione Nombre DNS.

Al usar PEAP y EAP-TLS, los servidores NPS muestran una lista de todos los certificados instalados en el almacén de certificados del equipo, con las siguientes excepciones:

  • No se muestran los certificados que no contienen el propósito de autenticación de servidor en extensiones EKU.

  • No se muestran los certificados que no contienen un nombre de sujeto.

  • No se muestran los certificados de inicio de sesión de tarjeta inteligente y basados en el Registro.

Requisitos mínimos para certificados de cliente

Con EAP-TLS o PEAP-TLS, el servidor acepta el intento de autenticación del cliente cuando el certificado cumple los siguientes requisitos:

  • El certificado de cliente lo emite una entidad de certificación empresarial o se asigna a una cuenta de usuario o de equipo en los Servicios de dominio de Active Directory® (AD DS).

  • El certificado de usuario o equipo del cliente se encadena a una entidad de certificación raíz de confianza, incluye el propósito de autenticación de cliente en extensiones EKU (el identificador de objeto para autenticación de cliente es 1.3.6.1.5.5.7.3.2) y no genera errores en las comprobaciones que realiza CryptoAPI y que se especifican en la directiva de acceso remoto o la directiva de red ni en las comprobaciones del identificador de objeto de certificado que se especifican en la directiva de acceso remoto de IAS o la directiva de red de NPS.

  • El cliente 802.1X no usa certificados basados en el Registro que sean certificados de inicio de sesión de tarjeta inteligente o protegidos con contraseña.

  • Para los certificados de usuario, la extensión de nombre alternativo de sujeto (SubjectAltName) del certificado contiene el nombre principal del usuario (UPN). Para configurar el UPN en una plantilla de certificado:

    1. Abra Plantillas de certificado.

    2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.

    3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de esta información de Active Directory.

    4. En Incluir esta información en un nombre de sujeto alternativo, seleccione Nombre principal del usuario (UPN).

  • Para los certificados de equipo, la extensión de nombre alternativo de sujeto (SubjectAltName) del certificado debe contener el nombre de dominio completo (FQDN) del cliente, que también se llama nombre DNS. Para configurar este nombre en la plantilla de certificado:

    1. Abra Plantillas de certificado.

    2. En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.

    3. Haga clic en la ficha Nombre de sujeto y, a continuación, en Construido a partir de esta información de Active Directory.

    4. En Incluir esta información en un nombre de sujeto alternativo, seleccione Nombre DNS.

Con PEAP-TLS y EAP-TLS, el cliente muestra una lista de todos los certificados instalados en el complemento Certificados, con las siguientes excepciones:

  • Los clientes inalámbricos no muestran certificados de inicio de sesión de tarjeta inteligente y basados en el Registro.

  • Los clientes inalámbricos y los clientes VPN no muestran certificados protegidos con contraseña.

  • No se muestran los certificados que no contienen el propósito de autenticación de cliente en extensiones EKU.

Tabla de contenido