Requisitos de certificado al usar EAP-TLS o PEAP con EAP-TLS

  • Artículo

Cuando se usa la autenticación extensible Protocol-Transport seguridad de la capa (EAP-TLS) o el Protocolo de autenticación extensible protegido (PEAP) con EAP-TLS, los certificados de cliente y servidor deben cumplir determinados requisitos.

Se aplica a: Windows 11, Windows 10
Número de KB original: 814394

Resumen

Cuando se usa EAP con un tipo de EAP seguro, como TLS con tarjetas inteligentes o TLS con certificados, tanto el cliente como el servidor usan certificados para comprobar las identidades entre sí. Los certificados deben cumplir requisitos específicos tanto en el servidor como en el cliente para una autenticación correcta.

El certificado debe configurarse con uno o varios propósitos en extensiones de uso extendido de claves (EKU) que coincidan con el uso del certificado. Por ejemplo, un certificado que se usa para la autenticación de un cliente en un servidor debe configurarse con el propósito de autenticación de cliente . O bien, un certificado que se usa para la autenticación de un servidor debe configurarse con el propósito autenticación del servidor. Cuando se usan certificados para la autenticación, el autenticador examina el certificado de cliente y busca el identificador de objeto de propósito correcto (OID) en las extensiones EKU. Por ejemplo, el OID para el propósito de autenticación de cliente es 1.3.6.1.5.5.7.3.2y el OID para la autenticación de servidor es 1.3.6.1.5.5.7.3.1.

Requisitos mínimos de certificado

Todos los certificados que se usan para la autenticación de acceso a la red deben cumplir los requisitos de los certificados X.509. También deben cumplir los requisitos para las conexiones que usan el cifrado de capa de sockets seguros (SSL) y el cifrado de seguridad de nivel de transporte (TLS). Una vez cumplidos estos requisitos mínimos, tanto los certificados de cliente como los certificados de servidor deben cumplir los siguientes requisitos adicionales.

Requisitos de certificado de cliente

Con EAP-TLS o PEAP con EAP-TLS, el servidor acepta la autenticación del cliente cuando el certificado cumple los siguientes requisitos:

  • El certificado de cliente lo emite una entidad de certificación empresarial (CA). O bien, se asigna a una cuenta de usuario o a una cuenta de equipo en el servicio de directorio de Active Directory.

  • El usuario o el certificado de equipo en las cadenas de cliente a una CA raíz de confianza.

  • El usuario o el certificado de equipo del cliente incluye el propósito de autenticación de cliente .

  • El usuario o el certificado de equipo no produce ningún error en ninguna de las comprobaciones que realiza el almacén de certificados CryptoAPI. Y el certificado supera los requisitos de la directiva de acceso remoto.

  • El usuario o el certificado de equipo no produce ningún error en ninguna de las comprobaciones de OID de certificado especificadas en la directiva de acceso remoto del servidor de directivas de red (NPS).

  • El cliente 802.1X no usa certificados basados en el Registro que sean certificados de tarjeta inteligente o certificados protegidos con una contraseña.

  • La extensión Subject Alternative Name (SubjectAltName) del certificado contiene el nombre principal de usuario (UPN) del usuario.

  • Cuando los clientes usan EAP-TLS o PEAP con autenticación EAP-TLS, se muestra una lista de todos los certificados instalados en el complemento Certificados, con las siguientes excepciones:

    • Los clientes inalámbricos no muestran certificados basados en el Registro ni certificados de inicio de sesión de tarjeta inteligente.
    • Los clientes inalámbricos y los clientes de red privada virtual (VPN) no muestran certificados protegidos con una contraseña.
    • No se muestran los certificados que no contienen el propósito de autenticación de cliente en las extensiones EKU.

Requisitos de certificado de servidor

Puede configurar clientes para validar certificados de servidor mediante la opción Validar certificado de servidor . Esta opción se encuentra en la pestaña Autenticación de las propiedades De conexión de red. Cuando un cliente usa la autenticación PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) versión 2, PEAP con autenticación EAP-TLS o autenticación EAP-TLS, el cliente acepta el certificado del servidor cuando el certificado cumple los siguientes requisitos:

  • El certificado de equipo en el servidor se encadena a una de las siguientes ENTIDADes de certificación:

  • El certificado de equipo servidor VPN o NPS está configurado con el propósito de autenticación del servidor . El OID para la autenticación de servidor es 1.3.6.1.5.5.7.3.1.

  • El certificado de equipo no produce ningún error en ninguna de las comprobaciones que realiza el almacén de certificados CryptoAPI. Y no produce ningún error en ninguno de los requisitos de la directiva de acceso remoto.

  • El nombre de la línea asunto del certificado de servidor coincide con el nombre configurado en el cliente para la conexión.

  • Para los clientes inalámbricos, la extensión Subject Alternative Name (SubjectAltName) contiene el nombre de dominio completo (FQDN) del servidor.

  • Si el cliente está configurado para confiar en un certificado de servidor con un nombre específico, se le pedirá al usuario que decida si confía en un certificado con un nombre diferente. Si el usuario rechaza el certificado, se produce un error en la autenticación. Si el usuario acepta el certificado, el certificado se agrega al almacén de certificados raíz de confianza del equipo local.

Nota:

Con PEAP o con autenticación EAP-TLS, los servidores muestran una lista de todos los certificados instalados en el complemento Certificados. Sin embargo, no se muestran los certificados que contienen el propósito de autenticación del servidor en las extensiones EKU.

Más información