Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informacin general
Informacin general
Los certificados se utilizan para la autenticacin del acceso a la red porque ofrecen un
nivel alto de seguridad en la autenticacin de usuarios y equipos, y eliminan la necesidad
de utilizar mtodos de autenticacin basados en contraseas, que son menos seguros. En
este tema se describe la manera en que los servidores de Servicio de autenticacin de
Internet (IAS) y red privada virtual (VPN) utilizan la Seguridad de nivel de transporte del
Protocolo de autenticacin extensible (EAP-TLS), el Protocolo de autenticacin
extensible protegido (PEAP) o la seguridad de Protocolo Internet (IPSec) para llevar a
cabo la autenticacin basada en certificados con diversos tipos de acceso a la red,
incluidas las conexiones VPN e inalmbricas. Adems, en este tema se describen los
mtodos de inscripcin de certificados para ayudarle a determinar cul es el mejor
mtodo para su entorno.
En el contexto de la autenticacin, un servidor se define como un servidor VPN o IAS
que es un extremo TLS. Se pueden configurar servidores VPN para realizar la
autenticacin del acceso a la red sin utilizar IAS o se puede utilizar IAS para la
autenticacin si la red tiene mltiples clientes de Servicio de usuario de acceso telefnico
de autenticacin remota (RADIUS), por ejemplo servidores VPN y puntos de acceso
inalmbrico.
Los certificados se utilizan en dos mtodos de autenticacin: Seguridad de nivel de
transporte del Protocolo de autenticacin extensible (EAP-TLS) y Protocolo de
autenticacin extensible protegido (PEAP). En ambos mtodos siempre se utilizan
certificados para la autenticacin de servidor. En funcin del tipo de autenticacin
configurado con el mtodo de autenticacin, los certificados se pueden utilizar para la
autenticacin de usuarios y de clientes. Para obtener ms informacin, vea EAP y PEAP.
El uso de certificados para la autenticacin de conexiones VPN es la forma ms segura de
autenticacin disponible en la familia Windows Server 2003. Debe utilizar la
autenticacin mediante certificados para las conexiones VPN basadas en el Protocolo de
tnel de capa 2 a travs de seguridad de Protocolo Internet (L2TP/IPSec). Las conexiones
de Protocolo de tnel punto a punto (PPTP) no requieren certificados, aunque se pueden
Para implementar certificados para usuarios y equipos, primero debe realizar las
siguientes acciones:
Notas
Nota
en la plantilla de certificados:
Abra Plantillas de certificados.
En el panel de detalles, haga clic con el botn secundario del <i>mouse</i> (ratn) en
la plantilla de certificados que desee cambiar y, a continuacin, haga clic en
Propiedades.
Haga clic en la ficha Nombre del sujeto y, despus, en Construido a partir de esta
informacin de Active Directory.
En Incluir esta informacin en un nombre de sujeto alternativo, seleccione
Nombre DNS.
Con PEAP-EAP-TLS y EAP-TLS, los clientes muestran una lista de todos los
certificados instalados en el complemento Certificados con las siguientes excepciones:
Nota
Los equipos que ejecuten Windows 2000 slo pueden realizar la inscripcin
automtica de certificados de equipo.
Mtodo alternativo de
inscripcin de certificados
Servidor VPN o
Autenticacin Inscripcin
IAS, miembro de Equipo
de servidor
automtica
un dominio
Autenticacin
del servidor y Inscripcin
Autenticacin automtica
del cliente
Cliente con
Windows XP,
miembro de un
dominio
Autenticacin Inscripcin
de cliente
automtica
Equipo
Herramienta de
Servidor VPN o
inscripcin en Web
Autenticacin
IAS, no miembro Equipo
de la entidad
Instalar desde un disquete
de servidor
de un dominio
emisora de
certificados
Servidor VPN con
conexin entre
Equipo
sitios, no miembro
de un dominio
Herramienta de
Autenticacin
inscripcin en Web
del servidor y
de la entidad
Instalar desde un disquete
Autenticacin
emisora de
del cliente
certificados
Herramienta de
Cliente con
inscripcin en Web
Windows XP, no
Autenticacin
Equipo
de la entidad
Instalar desde un disquete
miembro de un
de cliente
emisora de
dominio
certificados
Usuario, usuario
de dominio
Usuario
Autenticacin Inscripcin
de cliente
automtica
Solicitar un
certificado con el
complemento
Certificados
Cliente con
Windows XP,
miembro de un
dominio
Solicitar un
certificado con el
complemento
Certificados
Autenticacin Autenticac
de estacin de in de
Inscripcin automtica
trabajo
cliente
Servidor VPN o
Autenticac Herramienta de inscripcin
Servidor RAS
Instalar desde un
IAS, no miembro
in de
en Web de la entidad
e IAS
disquete
de un dominio
servidor emisora de certificados
Cliente con
Windows XP, no
miembro de un
dominio
Importante
Si el servidor donde se ejecuta IAS no es controlador de dominio pero es miembro de un
dominio con una mezcla de niveles funcionales de Windows 2000, debe agregar el
servidor a la lista de control de acceso (ACL) de la plantilla de certificados de Servidores
RAS e IAS. Tambin debe configurar los permisos correctos para la inscripcin
automtica. Hay procedimientos distintos para agregar a la ACL servidores individuales y
grupos de servidores.
Para agregar un servidor individual a la lista de control de acceso (ACL) en la plantilla de
certificados Servidores RAS e IAS:
En Plantillas de certificados, seleccione la plantilla Servidores RAS e IAS y agregue
despus el servidor IAS a las propiedades de Seguridad de la plantilla. Para obtener ms
informacin, vea Permitir que los sujetos soliciten un certificado basado en la plantilla.
Despus de agregar el servidor IAS a la ACL, concdale los permisos Lectura,
Inscripcin e Inscripcin automtica.
Para administrar un grupo de servidores, agrguelos al nuevo grupo global o universal, y
agregue el grupo a la ACL de la plantilla de certificados:
En Usuarios y equipos de Active Directory, cree un nuevo grupo global o universal
para los servidores IAS. Para obtener ms informacin, vea Crear un grupo
nuevo. Despus, agregue al grupo todos los equipos que sean servidores IAS, no
sean controladores de dominio y sean miembros de un dominio con una mezcla de
niveles funcionales de Windows 2000. Para obtener ms informacin, vea
Agregar un miembro a un grupo.
En Plantillas de certificados, seleccione la plantilla Servidores RAS e IAS y agregue
despus el grupo que ha creado a las propiedades de la plantilla Seguridad; para
ello, debe seguir los pasos especificados en Permitir que los sujetos soliciten un
certificado basado en la plantilla. Despus de agregar el nuevo grupo, concdale
los permisos Lectura, Inscripcin e Inscripcin automtica.
Para obtener ms informacin, vea Funcionalidad de dominios y bosques.
certificados.
Una vez diseada e implementada la infraestructura de claves pblicas (PKI) y cuando
tenga asignados los permisos necesarios en las plantillas de certificados, puede solicitar
certificados para los equipos mediante las pginas de inscripcin en Web de la entidad
emisora de certificados. Para solicitar un certificado para un equipo que no sea miembro
de un dominio mediante la herramienta de inscripcin en Web de la entidad emisora de
certificados, realice los pasos que se indican a continuacin. Para poder llevar a cabo
estos pasos, debe ser un administrador del equipo local.
Instale un certificado de equipo en el equipo local
Utilice el explorador Web para iniciar sesin en la herramienta de inscripcin en Web
en http://nombreDeServidor/certsrv, donde nombreDeServidor es el nombre del
servidor que aloja la entidad emisora de certificados, las pginas Web de la
entidad emisora de certificados o ambas. Haga clic en Solicitar un certificado.
En Solicitar un certificado, haga clic en Solicitud de certificado avanzada.
En Solicitud de certificado avanzada, haga clic en Crear y enviar una solicitud a
esta CA. Aparecer un formulario Web que contiene las secciones Plantilla de
certificado, Opciones de clave y Opciones adicionales. Seleccione lo siguiente:
Hash: SHA-1
Hash: SHA-1
distinto de Ninguno
Configurar la asignacin de certificados automtica para una entidad emisora de
certificados de la compaa
Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel
de control, haga doble clic en Herramientas administrativas y, a continuacin,
haga doble clic en Usuarios y equipos de Active Directory.
Para abrir el smbolo del sistema, haga clic en Inicio, seleccione Todos los
programas, Accesorios y, a continuacin, haga clic en Smbolo del sistema.
.nu { display:inline; }
Enviar una solicitud avanzada de certificado a travs de Web
Para abrir Internet Explorer, haga clic en Inicio, seleccione Todos los programas
y, a continuacin, haga clic en Internet Explorer.
independientes). Indica las aplicaciones para las que se puede usar la clave
pblica en el certificado, como en autenticacin de clientes o correo
electrnico.
Algoritmo hash
Para abrir Entidad emisora de certificados, haga clic en Inicio, despus en Panel
de control, haga doble clic en Herramientas administrativas y, a continuacin,
haga doble clic en Entidad emisora de certificados.
automtica.
Haga clic en Registrar certificados automticamente.
Active la casilla de verificacin Renovar certificados caducados, actualizar
certificados pendientes y quitar certificados revocados.
Active la casilla de verificacin Actualizar certificados que usan plantillas de
certificados y haga clic en Aceptar.
Haga clic en Archivo, en Salir y, a continuacin, haga clic en Aceptar.
Notas
Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel
de control, haga doble clic en Herramientas administrativas y, a continuacin,
haga doble clic en Usuarios y equipos de Active Directory.