Requisitos de certificados cuando se utiliza EAP-TLS o PEAP con EAP-TLS

INTRODUCCIÓN

Este artículo describe los requisitos que deben cumplir los certificados de cliente y los certificados de servidor cuando se utiliza seguridad Extensible autenticación Protocol-Transport Layer Security (EAP-TLS) o protocolo de autenticación Extensible protegido (PEAP) con EAP-TLS.

Más información

Cuando se utiliza EAP con un tipo EAP seguro, como TLS con tarjetas inteligentes o TLS con certificados, el cliente y el servidor utilizan certificados para verificar sus identidades entre sí. Los certificados deben cumplir requisitos específicos en el servidor y en el cliente para una autenticación correcta.



Un requisito es que el certificado debe configurarse con uno o varios propósitos en las extensiones de uso de clave extendida (EKU) que coincidan con el uso del certificado. Por ejemplo, un certificado que se utiliza para la autenticación de un cliente a un servidor debe configurarse con el propósito Autenticación del cliente. O bien, un certificado que se utiliza para la autenticación de un servidor debe configurarse con el propósito Autenticación del servidor. Cuando se utilizan certificados para la autenticación, el autenticador examina el certificado de cliente y busca el identificador de objeto del propósito correcto en las extensiones EKU. Por ejemplo, el identificador de objeto para el propósito Autenticación del cliente es 1.3.6.1.5.5.7.3.2.

Requisitos mínimos del certificado

Todos los certificados que se utilizan para la autenticación de acceso de red deben cumplir los requisitos para los certificados X.509 y también deben cumplir los requisitos para las conexiones que utilizan cifrado de Secure Sockets Layer (SSL) y seguridad de nivel de transporte (TLS). Una vez cumplidos estos requisitos mínimos, los certificados de cliente y los certificados de servidor deben cumplir los siguientes requisitos adicionales.

Requisitos de certificados de cliente

Con EAP-TLS o PEAP con EAP-TLS, el servidor acepta la autenticación del cliente si el certificado cumple los siguientes requisitos:

  • El certificado de cliente emitido por una entidad emisora de certificados (CA) de empresa o se asigna a una cuenta de usuario o a una cuenta de equipo en el servicio de directorio de Active Directory.
  • El usuario o el certificado de equipo en las cadenas de cliente a una entidad emisora de certificados raíz de confianza.
  • El usuario o el certificado de equipo en el cliente incluye el propósito Autenticación del cliente.
  • El usuario o el certificado de equipo no falla cualquiera de las comprobaciones realizadas por el almacén de certificados CryptoAPI y el certificado cumple los requisitos de la directiva de acceso remoto.
  • El usuario o el certificado de equipo no falla cualquiera de las comprobaciones de identificador de objeto certificado que se especifican en la directiva de acceso remoto del servicio de autenticación Internet (IAS, Internet Authentication Service).
  • El cliente 802.1Xx no utiliza los certificados basados en el registro que son certificados de tarjetas inteligentes o certificados que están protegidos con una contraseña.
  • La extensión de nombre alternativo del sujeto (SubjectAltName) del certificado contiene el nombre principal de usuario (UPN) del usuario.

  • Cuando los clientes utilizan EAP-TLS o PEAP con autenticación EAP-TLS, se muestra una lista de todos los certificados instalados en el complemento certificados, con las excepciones siguientes:
    • Los clientes inalámbricos no muestran certificados basados en el registro y los certificados de inicio de sesión de tarjeta inteligente.
    • Los clientes inalámbricos y clientes de red privada virtual (VPN) no muestran certificados protegidos con una contraseña.
    • No se muestran los certificados que no contengan el propósito Autenticación del cliente en las extensiones EKU.

Requisitos de certificados de servidor

Puede configurar los clientes para validar certificados de servidor mediante la opción de validar un certificado de servidor en la ficha autenticación en las propiedades de conexión de red. Cuando un cliente utiliza la autenticación de protocolo de autenticación de PEAP-EAP-MS-desafío mutuo (CHAP) versión 2, PEAP con autenticación EAP-TLS o autenticación de EAP-TLS, el cliente acepta el certificado del servidor si el certificado cumple los siguientes requisitos:

  • El certificado de equipo en las cadenas de servidor a uno de los siguientes:
    • Microsoft CA raíz de confianza.
    • Una raíz independiente de Microsoft o terceros raíz CA en un dominio de Active Directory que tiene un almacén NTAuthCertificates que contiene el certificado de raíz publicada. Para obtener más información acerca de cómo importar certificados de entidad emisora de certificados de terceros, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      295663 cómo importar certificados de entidad emisora (CA) de certificación de terceros en el almacén Enterprise NTAuth

  • El IAS o el certificado de equipo del servidor VPN está configurado con el propósito Autenticación del servidor. El identificador de objeto para la autenticación de servidor es 1.3.6.1.5.5.7.3.1.
  • El certificado de equipo no falla cualquiera de las comprobaciones realizadas por el almacén de certificados CryptoAPI y no falla cualquiera de los requisitos de la directiva de acceso remoto.
  • El nombre en la línea de asunto del certificado del servidor coincide con el que está configurado en el cliente para la conexión.
  • Para los clientes inalámbricos, la extensión nombre alternativo del sujeto (SubjectAltName) contiene el nombre del servidor nombre de dominio completo (FQDN).
  • Si el cliente está configurado para confiar en un certificado de servidor con un nombre específico, el usuario debe tomar una decisión sobre cómo confiar en un certificado con un nombre diferente. Si el usuario rechaza el certificado, se produce un error en la autenticación. Si el usuario acepta el certificado, el certificado se agrega al almacén de certificados raíz de confianza de equipo local.

Nota: Con PEAP o con autenticación EAP-TLS, los servidores muestran una lista de todos los certificados instalados en el complemento certificados. Sin embargo, no se muestran los certificados que contengan el propósito Autenticación del servidor en las extensiones EKU.

Referencias

Para obtener más información acerca de las tecnologías de red inalámbrica, visite el siguiente sitio Web de Microsoft:Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

313242 cómo solucionar problemas de conexión de red inalámbrica en Windows XP

Propiedades

Id. de artículo: 814394 - Última revisión: 17 feb. 2017 - Revisión: 2

Comentarios