Use este procedimiento para configurar un perfil Protocolo de autenticación extensible con Seguridad de la capa de transporte (EAP-TLS) para autenticación usando tarjetas inteligentes u otros certificados.
El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o un grupo equivalente.
 | Para configurar un perfil inalámbrico EAP-TLS para equipos que ejecutan Windows Vista |
Abra el cuadro de diálogo de propiedades de nuevas directivas de redes inalámbricas (IEEE 802.11).
En la ficha General, en Nombre de directiva, escriba un nuevo nombre para la directiva o deje el predeterminado.
En Descripción, escriba una descripción de la directiva.
Seleccione Use Windows para configurar los parámetros de clientes de red inalámbrica para especificar que se use Configuración automática de WLAN para configurar los ajustes del adaptador de red inalámbrico.
En la ficha General, realice una de las acciones siguientes:
Para agregar y configurar un nuevo perfil, haga clic en Agregar y, a continuación, seleccione Infraestructura.
Para editar un perfil existente, seleccione el perfil que desea modificar y, a continuación, haga clic en Editar.
En la ficha Conexión, en Nombre del perfil, si está agregando un nuevo perfil, escriba un nombre para el perfil. Si está editando un perfil ya agregado, use el nombre de perfil existente o modifique el nombre según sea necesario.
En Nombre(s) de red (SSID), escriba el identificador de red (SSID) para sus AP inalámbricos y, a continuación, haga clic en Agregar.
Si la implementación usa varios SSID y cada AP inalámbrico usa la misma configuración de seguridad inalámbrica, repita este paso para agregar el SSID para cada AP inalámbrico al que desea aplicar este perfil.
Si la implementación usa varios SSID y la configuración de seguridad para cada SSID no coincide, configure un perfil independiente para cada grupo de SSID que use la misma configuración de seguridad. Por ejemplo, si tiene un grupo de AP inalámbricos configurados para usar WPA2-Enterprise y AES, y otro grupo de AP inalámbricos para usar WPA-Enterprise y TKIP, configure un perfil para cada grupo de AP inalámbricos.
Para especificar que los clientes inalámbricos se conecten automáticamente a AP inalámbricos para los que el SSID está especificado en Nombre(s) de red (SSID), seleccione Conectar automáticamente cuando esta red esté en el alcance.
Para especificar que los clientes inalámbricos se conecten a redes en orden de preferencia, seleccione Conectarse a una red preferida, si está disponible.
Si ha implementado puntos de acceso inalámbrico configurados para suprimir la difusión de señales, seleccione Conectarse aunque la red no sea de difusión.
Seguridad Nota Si se habilita esta opción se puede generar un riesgo de seguridad porque los clientes inalámbricos van a buscar e intentar conexiones con cualquier red inalámbrica. De forma predeterminada, esta opción no está habilitada.
Haga clic en la ficha Seguridad. En Seleccionar los métodos de seguridad de red, en Autenticación, seleccione WPA2-Enterprise si los adaptadores de red de AP inalámbrico y cliente inalámbrico lo admiten. En caso contrario, seleccione WPA-Enterprise.
Nota La selección de WPA2 expone la configuración de Movilidad rápida que no se muestra si WPA está seleccionada. La configuración predeterminada para Movilidad rápida es suficiente para la mayoría de implementaciones inalámbricas.
En Cifrado, seleccione AES si sus adaptadores de red de AP inalámbrico y cliente inalámbrico lo admiten. De lo contrario, seleccione TKIP.
Nota Las configuraciones de Autenticación y Cifrado deben coincidir con la configuración del AP inalámbrico.
En Seleccione un método de autenticación de red, seleccione Microsoft: Tarjeta inteligente u otro certificado.
En Modo de autenticación, seleccione entre lo siguiente, según sus necesidades: Autenticación de usuarios y equipos, Autenticación de equipos, Autenticación del usuario, Autenticación de invitados. De manera predeterminada, la opción Autenticación de usuarios y equipos está seleccionada.
En Nº máximo de errores de autenticación, especifique el número máximo de intentos incorrectos que se permiten antes de notificar al usuario el error de autenticación. De forma predeterminada, el valor se establece en “1”.
Para especificar que las credenciales de usuario se guardan en la memoria caché, seleccione Almacenar en caché información de usuario sobre conexiones posteriores a esta red.
Haga clic en Opciones avanzadas y, a continuación, configure lo siguiente:
Para establecer la configuración 802.1X avanzada, en IEEE 802.1X, seleccione Aplicar configuración 802.1X avanzada y, a continuación, establezca la siguiente configuración, según sus necesidades: Nº máximo de mensajes EAPOL-Start, Período de retención, Período de inicio y Período de autenticación.
Cuando se aplica la configuración avanzada de 802.1X, los valores predeterminados son suficientes para la mayoría de las implementaciones inalámbricas.
Para habilitar el inicio de sesión único, seleccione Habilitar inicio de sesión único en esta red.
Para especificar cuando se produce el inicio de sesión único, seleccione Realizar inmediatamente antes de que el usuario inicie sesión o Realizar inmediatamente después de que el usuario inicie sesión, en función de sus necesidades.
Los valores predeterminados restantes de Inicio de sesión único son suficientes para las implementaciones inalámbricas típicas.
Para especificar el intervalo máximo de tiempo, en segundos, en que se debe completar la autenticación 802.1X y autorizar el acceso a red, en Retraso máximo para conectividad (seg.), especifique un valor, en función de sus necesidades.
Para permitir diálogos durante el inicio de sesión único, seleccione Permitir cuadros de diálogo adicionales durante el inicio de sesión único.
Para especificar que los equipos inalámbricos se colocan en una red de área local virtual (VLAN) al inicio y, a continuación, realizan la transición a una red diferente después de que el usuario inicia una sesión en el equipo, seleccione Esta red usa diferentes VLAN para autenticarse con credenciales de equipo y de usuario.
Para habilitar la Movilidad rápida, en Movilidad rápida, seleccione Habilitar Almacenamiento en caché de Clave maestra en pares (PMK). Los valores predeterminados para Período de vida de PMK (min.) y Número de entradas en la caché PMK son normalmente suficientes para Movilidad rápida.
Seleccione Esta red usa autenticación previa si su AP inalámbrico está configurado para usar autenticación previa. El valor predeterminado de 3 normalmente es suficiente para Nº máximo de intentos de autenticación previa.
Para especificar que la criptografía se adhiere al modo certificado FIPS 140-2 seleccione Realizar criptografía en modo certificado FIPS 140-2.
Haga clic en Propiedades. En el cuadro de diálogo Propiedades de tarjeta inteligente u otros certificados, en Al conectar, seleccione Usar mi tarjeta inteligente o bien, Usar un certificado en este equipo y Usar selección de certificado simple (recomendado).
Para requerir que los clientes de acceso validen el certificado de servidor de servidor de directivas de redes (NPS), seleccione Validar un certificado de servidor.
Para especificar qué servidores RADIUS (Servicio de autenticación remota telefónica de usuario) deben usar sus clientes de acceso inalámbrico para autenticación y autorización, en Conectar a estos servidores, escriba el nombre de cada servidor RADIUS, de la misma manera en la que aparece en el campo del sujeto del certificado de servidor. Use puntos y coma para especificar varios nombres de servidores RADIUS.
En Entidades de certificación raíz de confianza, seleccione la CA que ha emitido certificados para los servidores que ejecutan NPS.
Para especificar que los clientes usen un nombre alternativo para el intento de acceso, seleccione Usar un nombre de usuario distinto para la conexión.
Para obtener una mejora en la seguridad y en la experiencia de usuario, seleccione No pedir la intervención del usuario para autorizar nuevos servidores o entidades de certificación de confianza.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de tarjeta inteligente u otros certificados y regresar al cuadro de diálogo de propiedades de nueva directiva de red inalámbrica.