Requisitos de certificado cuando se usa EAP-TLS o PEAP con EAP-TLS
Al usar seguridad de la capa de transporte de protocolo de autenticación extensible (EAP-TLS) o protocolo de autenticación extensible protegida (PEAP) con EAP-TLS, los certificados de cliente y servidor deben cumplir ciertos requisitos.
Se aplica a: Windows 11, Windows 10
Número de KB original: 814394
Resumen
Cuando se usa EAP con un tipo EAP seguro, como TLS con tarjetas inteligentes o TLS con certificados, tanto el cliente como el servidor usan certificados para comprobar las identidades entre sí. Los certificados deben cumplir requisitos específicos tanto en el servidor como en el cliente para la autenticación correcta.
El certificado debe configurarse con uno o varios propósitos en extensiones de uso extendido de claves (EKU) que coincidan con el uso del certificado. Por ejemplo, un certificado que se usa para la autenticación de un cliente en un servidor debe configurarse con el propósito de autenticación de cliente. O bien, un certificado que se usa para la autenticación de un servidor debe configurarse con el propósito de autenticación del servidor. Cuando se usan certificados para la autenticación, el autenticador examina el certificado de cliente y busca el identificador de objeto de propósito correcto (OID) en las extensiones de EKU. Por ejemplo, el OID para el propósito de autenticación de cliente es 1.3.6.1.5.5.7.3.2y el OID para la autenticación de servidor es 1.3.6.1.5.5.7.3.1.
Requisitos mínimos de certificado
Todos los certificados que se usan para la autenticación de acceso a la red deben cumplir los requisitos de los certificados X.509. También deben cumplir los requisitos para las conexiones que usan cifrado de capa de sockets seguros (SSL) y cifrado de seguridad de nivel de transporte (TLS). Una vez cumplidos estos requisitos mínimos, tanto los certificados de cliente como los certificados de servidor deben cumplir los siguientes requisitos adicionales.
Requisitos de certificados de cliente
Con EAP-TLS o PEAP con EAP-TLS, el servidor acepta la autenticación del cliente cuando el certificado cumple los siguientes requisitos:
El certificado de cliente lo emite una entidad de certificación (CA) de empresa. O se asigna a una cuenta de usuario o a una cuenta de equipo en el servicio de directorio de Active Directory.
El usuario o el certificado de equipo en el cliente se encadena a una ENTIDAD de certificación raíz de confianza.
El usuario o el certificado de equipo en el cliente incluye el propósito de autenticación de cliente.
El usuario o el certificado de equipo no produce ningún error en ninguna de las comprobaciones realizadas por el almacén de certificados cryptoAPI. Y el certificado pasa los requisitos en la directiva de acceso remoto.
El usuario o el certificado de equipo no produce ningún error en ninguna de las comprobaciones de OID de certificado especificadas en la directiva de acceso remoto del servidor de directivas de red (NPS).
El cliente 802.1X no usa certificados basados en el Registro que son certificados de tarjeta inteligente o certificados protegidos con una contraseña.
La extensión Subject Alternative Name (SubjectAltName) del certificado contiene el nombre principal de usuario (UPN) del usuario.
Cuando los clientes usan EAP-TLS o PEAP con autenticación EAP-TLS, se muestra una lista de todos los certificados instalados en el complemento Certificados, con las siguientes excepciones:
- Los clientes inalámbricos no muestran certificados basados en el registro ni certificados de inicio de sesión de tarjetas inteligentes.
- Los clientes inalámbricos y los clientes de red privada virtual (VPN) no muestran certificados protegidos con una contraseña.
- Los certificados que no contienen el propósito de autenticación de cliente en las extensiones de EKU no se muestran.
Requisitos de certificado de servidor
Puede configurar clientes para validar certificados de servidor mediante la opción Validar certificado de servidor. Esta opción se encuentra en la pestaña Autenticación de las propiedades conexión de red. Cuando un cliente usa autenticación PEAP-EAP-MS-Challenge Protocolo de autenticación de protocolo de autenticación (CHAP) versión 2, PEAP con autenticación EAP-TLS o autenticación EAP-TLS, el cliente acepta el certificado del servidor cuando el certificado cumple los siguientes requisitos:
El certificado de equipo en el servidor se encadena a una de las siguientes CA:
Una ENTIDAD de certificación raíz de Microsoft de confianza.
Una entidad de certificación raíz independiente o de terceros de Microsoft en un dominio de Active Directory que tenga un almacén NTAuthCertificates que contenga el certificado raíz publicado. Para obtener más información sobre cómo importar certificados de entidad de certificación de terceros, consulte Importación de certificados de entidad de certificación (CA) de terceros en el almacén de Enterprise NTAuth.
El certificado de equipo de servidor VPN o NPS está configurado con el propósito de autenticación del servidor. El OID para la autenticación de servidor es
1.3.6.1.5.5.7.3.1.El certificado de equipo no produce ningún error en ninguna de las comprobaciones realizadas por el almacén de certificados cryptoAPI. Y no produce ningún error en ninguno de los requisitos de la directiva de acceso remoto.
El nombre de la línea Asunto del certificado de servidor coincide con el nombre configurado en el cliente para la conexión.
Para los clientes inalámbricos, la extensión Subject Alternative Name (SubjectAltName) contiene el nombre de dominio completo (FQDN) del servidor.
Si el cliente está configurado para confiar en un certificado de servidor con un nombre específico, se le pedirá al usuario que decida confiar en un certificado con un nombre diferente. Si el usuario rechaza el certificado, se produce un error en la autenticación. Si el usuario acepta el certificado, el certificado se agrega al almacén de certificados raíz de confianza del equipo local.
Nota:
Con PEAP o con autenticación EAP-TLS, los servidores muestran una lista de todos los certificados instalados en el complemento Certificados. Sin embargo, no se muestran los certificados que contienen el propósito de autenticación del servidor en las extensiones de EKU.