Requisitos de certificados cuando se utiliza EAP-TLS o PEAP con EAP-TLS

Seleccione idioma Seleccione idioma
Id. de artículo: 814394 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo describe los requisitos que deben cumplir los certificados de cliente y los certificados de servidor cuando se utiliza seguridad de nivel de transporte de protocolo de autenticación extensible (EAP-TLS) o protocolo de autenticación extensible protegido (PEAP) con EAP-TLS.

Más información

Cuando se utiliza EAP con un tipo EAP seguro, como TLS con tarjetas inteligentes o TLS con certificados, el cliente y el servidor utilizan certificados para comprobar sus identidades entre sí. Los certificados deben cumplir requisitos específicos en el servidor y en el cliente para la autenticación correcta.

Un requisito es que el certificado debe configurarse con uno o más propósitos en extensiones de uso de clave extendida (EKU) que coincidan con el uso de certificados. Por ejemplo, un certificado que se utiliza para la autenticación de un cliente a un servidor debe configurarse con el propósito Autenticación del cliente. O un certificado que se utiliza para la autenticación de un servidor debe configurarse con el propósito Autenticación del servidor. Cuando se utilizan certificados para la autenticación, el autenticador examina el certificado de cliente y busca el identificador de objeto propósito correcto en las extensiones EKU. Por ejemplo, el identificador de objeto para el propósito Autenticación del cliente es 1.3.6.1.5.5.7.3.2.

Requisitos de certificados mínimo

Todos los certificados que se utilizan para la autenticación del acceso a la red deben cumplir los requisitos de certificados X.509 y también deben cumplir los requisitos para las conexiones que utilizan cifrado de Secure Sockets Layer (SSL) y cifrado de seguridad de nivel de transporte (TLS). Después de que se cumplen estos requisitos mínimos, tanto los certificados de cliente y los certificados de servidor deben cumplir los siguientes requisitos adicionales.

Requisitos de certificado de cliente

Con EAP-TLS o PEAP con EAP-TLS, el servidor acepta la autenticación del cliente cuando el certificado cumple los requisitos siguientes:
  • El certificado de cliente es emitido por una entidad de empresa (CA), o asigna a una cuenta de usuario o a una cuenta de equipo en el servicio de directorio de Active Directory.
  • El usuario o el certificado de equipo en el cliente se encadena con una raíz de confianza CA.
  • El usuario o el certificado de equipo en el cliente incluye el propósito Autenticación del cliente.
  • El usuario o el certificado de equipo no falla cualquiera de las comprobaciones realizadas por el almacén de certificados CryptoAPI y el certificado pasa requisitos en la directiva de acceso remoto.
  • El usuario o el certificado de equipo no falla cualquiera de las comprobaciones de identificador de objeto de certificado que se especifican en la directiva de acceso remoto del servicio de autenticación de Internet (IAS).
  • El cliente 802.1X x no utiliza los certificados basados en el registro que son certificados de tarjetas inteligentes o certificados que están protegidos con una contraseña.
  • La extensión de nombre alternativo del sujeto (SubjectAltName) en el certificado contiene el nombre principal de usuario (UPN) del usuario.
  • Cuando los clientes utilizan EAP-TLS o PEAP con autenticación EAP-TLS, se muestra una lista de todos los certificados instalados en el complemento certificados, con las excepciones siguientes:
    • Los clientes inalámbricos no muestran certificados basados en registro y certificados de inicio de sesión con tarjeta inteligente.
    • Clientes inalámbricos y clientes de red privada virtual (VPN) no muestran certificados protegidos con una contraseña.
    • No se muestran los certificados que no contengan el propósito Autenticación del cliente en las extensiones EKU.

Requisitos de certificados de servidor

Puede configurar los clientes para validar certificados de servidor mediante la opción de validar un certificado de servidor en la ficha autenticación en las propiedades de conexión de red. Cuando un cliente utiliza la autenticación de versión 2 de protocolo de autenticación por PEAP-EAP-MS-desafío mutuo (CHAP), PEAP con autenticación de EAP-TLS o autenticación de EAP-TLS, el cliente acepta el certificado del servidor cuando el certificado cumple los requisitos siguientes:
  • El certificado de equipo en las cadenas de servidor a uno de los siguientes:
    • Microsoft CA raíz de confianza.
    • Una raíz independiente de Microsoft o third-party root CA en un dominio de Active Directory que tiene un almacén de NTAuthCertificates que contenga el certificado raíz publicada.Para obtener más información acerca de cómo importar certificados de otros fabricantes, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      295663Cómo importar la entidad emisora de certificados de terceros en el almacén Enterprise NTAuth
  • El IAS o el certificado de equipo del servidor VPN está configurado con el propósito Autenticación del servidor. El identificador de objeto para la autenticación de servidor es 1.3.6.1.5.5.7.3.1.
  • El certificado de equipo no un error cualquiera de las comprobaciones realizadas por el almacén de certificados CryptoAPI y no falla cualquiera de los requisitos de la directiva de acceso remoto.
  • El nombre en la línea Asunto del certificado del servidor coincide con el nombre que está configurado en el cliente para la conexión.
  • Para los clientes inalámbricos, el asunto extensión nombre alternativo (del) SubjectAltName contiene nombre de dominio completo del servidor (FQDN).
  • Si el cliente está configurado para confiar en un certificado de servidor con un nombre específico, se le pide al usuario para tomar una decisión acerca de cómo confiar en un certificado con un nombre diferente. Si el usuario rechaza el certificado, autenticación produce un error. Si el usuario acepta el certificado, se agrega el certificado al almacén de certificados raíz de confianza de equipo local.
Nota Con PEAP o con autenticación EAP-TLS, servidores mostrar una lista de todos los certificados instalados en el complemento certificados. Sin embargo, no se muestran los certificados que contengan el propósito Autenticación del servidor en las extensiones EKU.

Referencias

Para obtener más información sobre tecnologías de red inalámbrica, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/whdc/connect/wireless/default.mspx
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
313242Como solucionar problemas de conexión a redes inalámbricas en Windows XP

Propiedades

Id. de artículo: 814394 - Última revisión: lunes, 30 de octubre de 2006 - Versión: 3.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 814394

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com