Implementación de certificados de servidor para las implementaciones cableadas e inalámbricas de 802.1X

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Puede usar esta guía para implementar certificados de servidor en los servidores de infraestructura de acceso remoto y de servidor de directivas de redes (NPS).

En esta guía se incluyen las siguientes secciones.

• Requisitos previos para usar esta guía

• Qué no incluye esta guía

• Introducción a las tecnologías

• Introducción a la implementación de un certificado de servidor

• Planificación de la implementación de un certificado de servidor

• Implementación de un certificado de servidor

Certificados de servidor digitales

En esta guía se proporcionan instrucciones para usar Servicios de certificados de Active Directory (AD CS) para inscribir automáticamente certificados en servidores de infraestructura de acceso remoto y NPS. AD CS permite crear una infraestructura de clave pública (PKI) y proporcionar criptografía de clave pública, certificados digitales y capacidad de forma digital a su organización.

Cuando se usan certificados de servidor digital para la autenticación entre equipos de la red, los certificados proporcionan:

1. Confidencialidad mediante cifrado.
2. Integridad mediante firmas digitales.
3. Autenticación mediante la asociación de claves de certificado con cuentas de equipos, usuarios o dispositivos en una red de equipos.

Tipos de servidor

Mediante esta guía puede implementar certificados de servidor en los siguientes tipos de servidores.

• Servidores que ejecutan el servicio de acceso remoto, que son servidores de red privada virtual (VPN) estándar o DirectAccess, y que son miembros del grupo de servidores RAS e IAS.
• Servidores que ejecutan el servicio Servidor de directivas de red (NPS) que son miembros del grupo de servidores RAS e IAS.

Ventajas de la autoinscripción de certificados

La inscripción automática de certificados de servidor, también denominada autoinscripción, proporciona las siguientes ventajas.

• La entidad de certificación (CA) de AD CS inscribe automáticamente un certificado de servidor en todos los servidores NPS y de acceso remoto.
• Todos los equipos del dominio reciben automáticamente el certificado de CA, que se instala en el almacén Entidades de certificación raíz de confianza en cada equipo miembro del dominio. Por este motivo, todos los equipos del dominio confían en los certificados emitidos por la entidad de certificación. Esta confianza permite que los servidores de autenticación demuestren sus identidades entre sí y participen en comunicaciones seguras.
• Aparte de actualizar la directiva de grupo, no es necesaria la reconfiguración manual de cada servidor.
• Cada certificado de servidor incluye tanto el propósito de autenticación de servidor como el propósito de autenticación de cliente en las extensiones de uso mejorado de claves (EKU).
• Escalabilidad. Después de implementar la CA raíz de empresa con esta guía, puede expandir la infraestructura de clave pública (PKI) agregando CA subordinadas de empresa.
• Capacidad de administración. Puede administrar AD CS mediante la consola de AD CS o mediante comandos y scripts de Windows PowerShell.
• Simplicidad. Especifique los servidores que inscriben certificados de servidor mediante cuentas de grupo de Active Directory y pertenencia a grupos.
• Al implementar certificados de servidor, los certificados se basan en una plantilla que configure con las instrucciones de esta guía. Esto significa que puede personalizar diferentes plantillas de certificado para tipos de servidor específicos, o bien puede usar la misma plantilla para todos los certificados de servidor que desee emitir.

Requisitos previos para usar esta guía

En esta guía se proporcionan instrucciones sobre cómo implementar certificados de servidor mediante AD CS y el rol del servidor Servidor web (IIS) en Windows Server 2016. Estos son los requisitos previos para llevar a cabo los procedimientos de esta guía.

• Debe implementar una red básica mediante la Guía de red básica de Windows Server 2016, o tener ya instaladas y funcionando correctamente en la red de antemano las tecnologías proporcionadas en la Guía de red básica. Estas tecnologías incluyen TCP/IP v4, DHCP, Active Directory Domain Services (AD DS), DNS y NPS.

  Nota

  La guía de red principal de Windows Server 2016 está disponible en la biblioteca técnica de Windows Server 2016. Para más información, consulte Guía de red básica.

• Debe leer la sección de planificación de esta guía para asegurarse de que tiene la preparación para esta implementación antes de realizarla.

• Debe llevar a cabo los pasos de esta guía en el orden en que se presentan. No se adelante e implemente la entidad de certificación sin llevar a cabo los pasos que conducen a la implementación del servidor o se producirá un error.

• Debe prepararse para implementar dos nuevos servidores en la red: un servidor en el que instalará AD CS como una CA raíz de empresa y un servidor en el que instalará el servidor web (IIS) para que la entidad de certificación pueda publicar la lista de revocación de certificados (CRL) en el servidor web.

Nota

Prepárese para asignar una dirección IP estática a los servidores web y AD CS que implemente con esta guía, así como para asignar un nombre a los equipos según las convenciones de nomenclatura de su organización. Además, debe unir los equipos al dominio.

Qué no incluye esta guía

En esta guía no se ofrecen instrucciones completas para diseñar e implementar una infraestructura de clave pública (PKI) mediante AD CS. Se recomienda que revise la documentación de AD CS y de las directivas de grupo antes de implementar las tecnologías de esta guía.

Introducción a las tecnologías

A continuación se muestran información general sobre tecnología para AD CS y servidor web (IIS).

Servicios de certificados de Active Directory

AD CS en Windows Server 2016 proporciona servicios personalizables para crear y administrar los certificados X.509 que se usan en sistemas de seguridad de software que emplean tecnologías de clave pública. Las organizaciones pueden usar AD CS para aumentar la seguridad al enlazar la identidad de una persona, un dispositivo o un servicio con la clave pública correspondiente. AD CS también incluye características que le permiten administrar la inscripción y revocación de certificados en varios entornos escalables.

Para más información, consulte Introducción a los Servicios de certificados de Active Directory y Guía de diseño de infraestructura de clave pública.

Servidor web (IIS)

El rol de Servidor web (IIS) en Windows Server 2016 proporciona una plataforma segura, fácil de administrar, modular y extensible donde hospedar sitios web, servicios y aplicaciones de manera fiable. Con IIS, puede compartir información con los usuarios de Internet, en una intranet o en una extranet. IIS es una plataforma web unificada que integra IIS, ASP.NET, servicios FTP, PHP y Windows Communication Foundation (WCF).

Para obtener más información, Introducción a servidor web (IIS).