¿PEAP MS-Chapv2? ¿EAP-TLS? ¿Cuántos certificados necesito desplegar para una red wireless con 802.1x?
Hola a todos,
Una pregunta muy común que recibimos en soporte es la de saber qué infraestructura de PKI (y cuántos certificados) es necesaria para realizar un despliegue de una red wireless con 802.1x en un entorno corporativo.
La respuesta a esta pregunta está completamente ligada al método EAP (Extensible Authentication Protocol) seleccionado para realizar la autenticación 802.1x.
Los sistemas operativos cliente (Windows XP, Windows Vista, Windows 7 y Windows 8) soportan de manera nativa los siguientes:
- EAP-TLS
- PEAP MS-Chapv2
- PEAP EAP-TLS
- EAP-TTLS (solo en Windows 8 de manera nativa al sistema operativo)
Mientras que por otro lado, el servicio RADIUS de Microsoft (IAS en Windows Server 2003 y NPS en Windows Server 2008/R2 y 2012) soporta estos otros:
- EAP-TLS
- PEAP MS-Chapv2
- PEAP EAP-TLS
Nota: Existen más métodos EAP disponibles a través de software de terceros. La información presentada en este post corresponde a los protocolos implementados en el sistema operativo, que son los soportados oficialmente por Microsoft.
Por tanto, los requisitos de certificado en función del protocolo utilizado serían:
Método EAP |
Certificados en cliente |
Certificados en servidor NPS/IAS |
PEAP MS-Chapv2 |
Certificados de la cadena de CAs emisoras del certificado del NPS*
|
Certificado de servidor** |
EAP-TLS o PEAP EAP-TLS |
Certificados de la cadena de CAs emisoras del certificado del NPS*
Certificado de equipo
Certificado de usuario
|
Certificado de servidor**
Certificados de la cadena de CAs emisoras de los certificados clientes wireless (usuario o equipo)
|
* Necesario siempre y cuando tengamos habilitada la opción de Validar el certificado del servidor en las opciones del perfil 802.1x que tengamos configurado:
** En caso de tratarse de una CA basada en Windows Server, se recomienda utilizar una copia de la plantilla RAS and IAS Servers disponible entre la colección de plantillas de la entidad certificadora.
Podéis encontrar más información en el siguiente enlace:
NPS Server Certificate: Configure the Template and Autoenrollment
https://technet.microsoft.com/en-us/library/cc754198.aspx
Por último, hacemos referencia al artículo que explica en profundidad todos los requisitos (tanto certificados cliente como servidor) que han de tener los certificados a la hora de utilizar estos protocolos:
Certificate requirements when you use EAP-TLS or PEAP with EAP-TLS
https://support.microsoft.com/kb/814394
Esperamos que esta información os sirva de ayuda :)
Un saludo,
Javier Rama
Comments
- Anonymous
January 01, 2003
ESTO ES LO MAXIMO PARA MI