Autenticación de acceso a la red y certificados

Autenticación de acceso a la red y certificados
Este tema contiene las siguientes secciones: • • • • • • • Información general Requisitos de certificados para EAP Autenticación de equipos en IPSec Autenticación basada en certificados y clientes inalámbricos Métodos de inscripción de certificados y pertenencia a dominios Elegir un método de inscripción de certificados Ser icios de inscripción en !eb de la entidad emisora de certificados

Información general
"os certificados se utili#an para la autenticación del acceso a la red porque ofrecen un ni el alto de seguridad en la autenticación de usuarios y equipos$ y eliminan la necesidad de utili#ar métodos de autenticación basados en contrase%as$ que son menos seguros& En este tema se describe la manera en que los ser idores de Ser icio de autenticación de Internet 'IAS( y red pri ada irtual ')P*( utili#an la Seguridad de ni el de transporte del Protocolo de autenticación e+tensible 'EAP,-"S($ el Protocolo de autenticación e+tensible protegido 'PEAP( o la seguridad de Protocolo Internet 'IPSec( para lle ar a cabo la autenticación basada en certificados con di ersos tipos de acceso a la red$ incluidas las cone+iones )P* e inalámbricas& Además$ en este tema se describen los métodos de inscripción de certificados para ayudarle a determinar cuál es el me.or método para su entorno& En el conte+to de la autenticación$ un ser idor se define como un ser idor )P* o IAS que es un e+tremo -"S& Se pueden configurar ser idores )P* para reali#ar la autenticación del acceso a la red sin utili#ar IAS o se puede utili#ar IAS para la autenticación si la red tiene m/ltiples clientes de Ser icio de usuario de acceso telefónico de autenticación remota 'RA0I1S($ por e.emplo ser idores )P* y puntos de acceso inalámbrico& "os certificados se utili#an en dos métodos de autenticación: Seguridad de ni el de transporte del Protocolo de autenticación e+tensible 'EAP,-"S( y Protocolo de autenticación e+tensible protegido 'PEAP(& En ambos métodos siempre se utili#an certificados para la autenticación de ser idor& En función del tipo de autenticación configurado con el método de autenticación$ los certificados se pueden utili#ar para la autenticación de usuarios y de clientes& Para obtener más información$ ea EAP y PEAP& El uso de certificados para la autenticación de cone+iones )P* es la forma más segura de autenticación disponible en la familia !indo2s Ser er 3445& 0ebe utili#ar la autenticación mediante certificados para las cone+iones )P* basadas en el Protocolo de t/nel de capa 3 a tra és de seguridad de Protocolo Internet '"3-P6IPSec(& "as cone+iones de Protocolo de t/nel punto a punto 'PP-P( no requieren certificados$ aunque se pueden

configurar cone+iones PP-P para utili#ar certificados en la autenticación de equipos si se utili#a EAP,-"S como método de autenticación& Para los clientes inalámbricos 'dispositi os con adaptadores de red inalámbricos$ como un equipo portátil o un asistente digital personal($ el método de autenticación recomendado es PEAP con EAP,-"S y tar.etas inteligentes o certificados& Para obtener más información$ ea Protocolo de t/nel de capa 3$ Protocolo de t/nel punto a punto y Redes inalámbricas& Notas • 0urante los intentos de autenticación de las cone+iones PP-P no se produce la autenticación de equipos& Si se utili#a EAP,-"S como método de autenticación en cone+iones PP-P$ la autenticación de usuarios se lle a a cabo con un certificado del almacén de certificados en el equipo local o mediante una tar.eta inteligente& En !indo2s Ser er 3445$ !eb Edition$ y !indo2s Ser er 3445$ Standard Edition$ puede crear 7asta 8&444 puertos del Protocolo de t/nel punto a punto 'PP-P( y 7asta 8&444 puertos del Protocolo de t/nel de capa 3 '"3-P(& *o obstante$ !indo2s Ser er 3445$ !eb Edition$ sólo puede aceptar una cone+ión de red pri ada irtual ')P*( cada e#& !indo2s Ser er 3445$ Standard Edition$ puede aceptar 7asta 8&444 cone+iones )P* simultáneas& Si se conectan 8&444 clientes )P*$ se denegarán los intentos de cone+ión posteriores 7asta que el n/mero de cone+iones sea inferior a 8&444& Puede configurar IAS en !indo2s Ser er 3445$ Standard Edition$ con un má+imo de 94 clientes de RA0I1S y 3 grupos de ser idores RA0I1S remotos& Puede definir un cliente de RA0I1S mediante un nombre de dominio completo o una dirección IP$ pero no puede definir grupos de clientes de RA0I1S mediante un inter alo de direcciones IP& Si el nombre de dominio completo de un cliente de RA0I1S se resuel e como arias direcciones IP$ el ser idor IAS utili#a la primera dirección IP de uelta en la consulta 0*S& :on IAS en !indo2s Ser er 3445$ Enterprise Edition$ y !indo2s Ser er 3445$ 0atacenter Edition$ puede configurar un n/mero ilimitado de clientes de RA0I1S y grupos de ser idores RA0I1S remotos& Además$ puede configurar clientes de RA0I1S si especifica un inter alo de direcciones IP&

Para implementar certificados para usuarios y equipos$ primero debe reali#ar las siguientes acciones: • • • • 0ise%e una infraestructura de cla es p/blicas 'P;I(& Implemente una entidad emisora de certificados ':A( mediante Ser icios de :ertificate Ser er& 0ise%e y publique uno o arios certificados mediante Plantillas de certificados$ que se instala con los Ser icios de :ertificate Ser er& Seleccione uno o arios métodos de distribución 'también denominados métodos de inscripción de certificados( para instalar los certificados en los equipos y distribuirlos a los usuarios&

Notas

EAP.orado de cla es 'E.-"S utili#a un certificado 'de una tar.1$ En7anced .1& Para obtener más información$ ea Implementar redes pri adas irtuales de enrutador a enrutador& :lientes inalámbricos o de conmutador IEEE <43&8= PEAP.:>AP 3 está configurado como método de autenticación y la opción Validar un certificado de servidor está 7abilitada en los equipos cliente& "as e+tensiones E.eta inteligente y otros certificados y :onfigurar las opciones de redes inalámbricas en equipos cliente& :lientes inalámbricos o de conmutador IEEE <43&8= Se utili#a "3-P6IPSec y se configura EAP.• En este tema se supone que 7a dise%ado e implementado una infraestructura de cla es p/blicas 'P.ey 1sage( del certificado& Para obtener más información$ ea Implementación de )P* de acceso remoto basadas en "3-P e Implementación de )P* de acceso remoto basadas en PP-P& :one+ión )P* de enrutador a enrutador :one+iones "3-P6IPSec dedicadas o de marcado a petición entre ser idores con EAP.-"S como método de autenticación& IPSec utili#a certificados de equipo entre el cliente y el ser idor para la autenticación$ y EAP.eta inteligente o del almacén local de certificados del usuario( para la autenticación de usuarios& El certificado del ser idor IAS o )P* debe contener el propósito Autenticación del ser idor$ y el certificado del equipo cliente o del usuario debe contener el propósito Autenticación del cliente en las e+tensiones de 1so me.-"S como método de autenticación& Ambos ser idores deben disponer de certificados que contengan los propósitos Autenticación del ser idor y Autenticación del cliente en las e+tensiones E.eta inteligente o del almacén local de certificados del usuario( para identificarse ante el ser idor IAS& '"os puntos de acceso inalámbricos se configuran como clientes RA0I1S en el ser idor IAS$ que es el autenticador EAP&( • • • Nota .1 del certificado del ser idor IAS contienen el propósito Autenticación del ser idor y el certificado se utili#a para identificar el ser idor ante el cliente& "a autenticación de los usuarios se lle a a cabo mediante el nombre de usuario y la contrase%a& Para obtener más información$ ea >abilitar la tar.1 para identificarse ante el cliente y el cliente utili#a un certificado 'de una tar.-"S con certificados como método de autenticación& El certificado del ser idor IAS contiene el propósito Autenticación del ser idor en las e+tensiones E.I( seg/n las directrices que se proporcionan en Prácticas recomendadas de Ser icios de :ertificate Ser er& Para obtener más información$ ea Infraestructura de cla es p/blicas& PEAP no se admite en cone+iones )P* o de acceso telefónico& • Ejemplos de implementaciones de certificados • :one+iones )P* de acceso remoto :one+iones "3-P6IPSec o PP-P entre un ser idor )P* y un cliente )P* con EAP.MS.

eto del propósito correcto en las e+tensiones E.emplo$ un certificado que se utilice para la autenticación de un cliente ante un ser idor debe configurarse con el propósito Autenticación del cliente& 0e la misma forma$ un certificado que se utilice para la autenticación de un ser idor debe configurarse con el propósito Autenticación del ser idor& :uando se utili#an certificados para la autenticación$ el autenticador e+amina el certificado del cliente en busca del identificador de ob.1 acAa 'o nula(& Aunque -odos sir e para indicar todos los propósitos posibles$ el propósito -odos no puede sustituir los propósitos Autenticación del cliente o Autenticación del ser idor ni otro propósito relacionado con la autenticación del acceso a la red& Para obtener más información$ ea Plantillas de certificados y Administrar plantillas de certificados para una entidad emisora de certificados de empresa& Para er los certificados y sus propósitos puede utili#ar la consola de :ertificados para .1& "a plantilla de certificado que cree puede incluir cualquier propósito para el que se aya a utili#ar el certificado& Por e.emplo$ el identificador de ob.1 y de 0irecti a de emisión 'también denominados 0irecti as de certificados( adicionales& Algunos programas de entidades emisoras de certificados que no son de Microsoft pueden contener un propósito llamado -odos$ que representa todos los propósitos posibles& Esto se indica mediante una e+tensión E.1 en el certificado& 0e forma predeterminada$ la plantilla Equipo incluye el propósito Autenticación del cliente y el propósito Autenticación del ser idor en las e+tensiones E.etas inteligentes para la autenticación$ se puede incluir el propósito Inicio de sesión con tar.eto del propósito Autenticación del cliente es 8&5&?&8&9&9&@&5&3& "as Plantillas de certificados permiten personali#ar los certificados emitidos por los Ser icios de :ertificate Ser er$ lo que incluye cómo se emiten los certificados y su contenido$ incluidos los propósitos& En las Plantillas de certificados$ puede utili#ar una plantilla predeterminada$ como la plantilla Equipo$ para definir la plantilla que la entidad emisora de certificados utili#a para asignar certificados a los equipos& -ambién puede crear una plantilla de certificado y asignar propósitos en las e+tensiones E.eta inteligente además del propósito Autenticación del cliente& Si se utili#a IAS$ puede configurarse para que compruebe los propósitos de los certificados antes de autori#ar el acceso a la red& IAS puede comprobar propósitos E.• "a autenticación de los usuarios y la autori#ación del acceso a la red tienen lugar en el ser idor )P* o en un ser idor RA0I1S$ como el Ser icio de autenticación de Internet 'IAS($ seg/n la configuración de la puerta de enlace )P*& Para obtener más información$ ea 1tili#ar la autenticación RA0I1S& Requisitos de certificados para EAP Si se utili#a EAP con un tipo EAP seguro 'como -"S con tar.etas inteligentes o certificados($ el cliente y el ser idor utili#an certificados para erificar sus identidades mutuamente& "os certificados deben cumplir determinados requisitos para que el ser idor y el cliente puedan autenticarse correctamente& 1no de los requisitos es que el certificado esté configurado con uno o arios propósitos en las e+tensiones E.emplo$ si se utili#an tar.1 relacionados con el uso del certificado& Por e.1& Por e.

ectAlt*ame( debe contener el nombre de dominio completo 'GH0*( del cliente$ que también se conoce como nombre 0*S& Para configurar este nombre .eta inteligente o que estén protegidos mediante contrase%a& En los certificados de usuario$ la e+tensión *ombre alternati o del su.eto para este propósito es 8&5&?&8&9&9&@&5&3( y no falla ni en las comprobaciones que reali#a :ryptoAPI y se especifican en la directi a de acceso remoto ni en las comprobaciones de identificador de ob.-"S$ el ser idor acepta el intento de autenticación del cliente si el certificado cumple los siguientes requisitos: • • El certificado de cliente 7a sido emitido por una entidad emisora de certificados de empresa o está asignado a una cuenta de usuario o equipo de Acti e 0irectory& El certificado de usuario o de equipo en el cliente está inculado a una entidad emisora de certificados raA# de confian#a$ incluye el propósito Autenticación de clientes en las e+tensiones E.eto :ertificado que se especifican en la directi a de acceso remoto de IAS& El cliente <43&8= no puede utili#ar certificados basados en el Registro que sean de inicio de sesión con tar.-"S o PEAP.EAP.-ransport "e el SecurityD6iE(& Fste es un requisito mAnimo que deben cumplir los certificados de cliente y de ser idor$ pero cada uno de estos tipos tiene requisitos adicionales& Requisitos de los certificados de cliente :on EAP.ectAlt*ame( del certificado debe contener el nombre principal de usuario '1P*( del usuario& Para configurar el nombre 1P* en una plantilla de certificado: • • Abra Plantillas de certificados& En el panel de detalles$ 7aga clic con el botón secundario del DiEmouseD6iE 'ratón( en la plantilla de certificados que desee cambiar y$ a continuación$ 7aga clic en Propiedades& >aga clic en la fic7a Nombre de sujeto y$ después$ en onstruido a partir de esta información de Active !irectory& En Incluir esta información en un nombre de sujeto alternativo$ seleccione Nombre principal del usuario "#PN$& • Para los certificados de equipo$ la e+tensión *ombre alternati o del su.eto 'Sub.abrir el almacén de certificados& "os almacenes de certificados se pueden er en modo Almacén lógico o en modo Propósito& Para obtener información acerca de cómo er los propósitos de los certificados$ ea Mostrar los almacenes de certificados en modo Propósito& Requisitos mínimos de los certificados -odos los certificados que se utili#an para la autenticación del acceso a la red deben cumplir los requisitos de los certificados =&94B y funcionar en cone+iones que utilicen Seguridad de ni el de transporte de *i el de socCets seguro 'SS"6-"S$ DiESecure SocCets "ayer.1 'el identificador de ob.eto 'Sub.

:>AP 3$ PEAP.MS.-"S como método de autenticación$ el cliente acepta el intento de autenticación del ser idor si el certificado cumple los siguientes requisitos: • El nombre Su.eta inteligente& En los clientes inalámbricos y en los clientes )P* no se muestran certificados protegidos por contrase%a& *o se muestran los certificados que no contengan el propósito Autenticación del cliente en las e+tensiones E.eto de Autenticación del ser idor es 8&5&?&8&9&9&@&5&8(& • .EAP.eto contiene un alor& Si 7a emitido un certificado para el ser idor IAS con un su.en la plantilla de certificados: Abra Plantillas de certificados& En el panel de detalles$ 7aga clic con el botón secundario del DiEmouseD6iE 'ratón( en la plantilla de certificados que desee cambiar y$ a continuación$ 7aga clic en Propiedades& >aga clic en la fic7a Nombre del sujeto y$ después$ en onstruido a partir de esta información de Active !irectory& En Incluir esta información en un nombre de sujeto alternativo$ seleccione Nombre !N%& :on PEAP.eto acAo$ el certificado no estará disponible para autenticar el ser idor IAS& Para configurar la plantilla de certificados con un nombre Su.-"S o EAP.EAP.1& Requisitos de los certificados de servidor "os clientes se pueden configurar para alidar certificados de ser idor mediante la opción Validar un certificado de servidor& :on PEAP.-"S y EAP.-"S$ los clientes muestran una lista de todos los certificados instalados en el complemento :ertificados con las siguientes e+cepciones: • • • "os clientes inalámbricos no muestran certificados basados en el Registro y de inicio de sesión con tar.eto: Abra Plantillas de certificados& En el panel de detalles$ 7aga clic con el botón secundario del DiEmouseD6iE 'ratón( en la plantilla de certificados que desee cambiar y$ a continuación$ 7aga clic en Propiedades& >aga clic en la fic7a Nombre del sujeto y$ después$ en onstruido a partir de esta información de Active !irectory& En &ormato de nombre de sujeto$ seleccione un alor que no sea Ninguno& • El certificado de equipo del ser idor está inculado a una :A raA# de confian#a y no falla ninguna de las comprobaciones reali#adas por :ryptoAPI que se especifican en la directi a de acceso remoto& El certificado de equipo del ser idor IAS o )P* está configurado con el propósito Autenticación del ser idor en las e+tensiones E.1 'el identificador de ob.EAP.

eto 'Sub.ectAlt*ame($ si se usa$ debe contener el nombre 0*S del ser idor& Para configurar la plantilla de certificados con el nombre 0*S del ser idor que se inscribe: Abra Plantillas de certificados& En el panel de detalles$ 7aga clic con el botón secundario del DiEmouseD6iE 'ratón( en la plantilla de certificados que desee cambiar y$ a continuación$ 7aga clic en Propiedades& >aga clic en la fic7a Nombre de sujeto y$ después$ en onstruido a partir de esta información de Active !irectory& En Incluir esta información en un nombre de sujeto alternativo$ seleccione Nombre !N%& :on PEAP y EAP.eta inteligente& .-"S$ los ser idores muestran una lista de todos los certificados instalados en el almacén de certificados del equipo$ con las siguientes e+cepciones: • • • Nota • Puede designar el certificado que usará el ser idor IAS o )P* en el perfil de la directi a de acceso remoto& Al configurar los métodos de autenticación PEAP y EAP que requieren un certificado para la autenticación de ser idores y no seleccionar un certificado especAfico en el cuadro de diálogo Propiedades de tarjeta inteligente u otros certificados$ el ser idor IAS o )P* selecciona automáticamente un certificado del almacén de certificados del equipo& Si el ser idor obtiene un certificado más reciente$ lo usa& Esto podrAa ocasionar que el ser idor IAS o )P* usara un certificado que no estu iera configurado *o se muestran los certificados que no contengan el propósito Autenticación del ser idor en las e+tensiones E.eto no se muestran& "os ser idores no muestran certificados basados en el Registro y de inicio de sesión con tar.• El certificado del ser idor se configura con Proveedor de servicios criptogr'ficos (icrosoft R%A % )annel como pro eedor de ser icios de cifrado ':SP(& Para configurar el :SP requerido: Abra Plantillas de certificados& En el panel de detalles$ 7aga clic con el botón secundario del DiEmouseD6iE 'ratón( en la plantilla de certificados que desee cambiar y$ a continuación$ 7aga clic en Propiedades& >aga clic en la fic7a *ratamiento de la petición y$ después$ 7aga clic en %Ps& En %elección del proveedor de servicios de cifrado " %P$$ seleccione +as solicitudes tienen que usar uno de los siguientes %P& En %Ps$ acti e la casilla de erificación Proveedor de servicios criptogr'ficos (icrosoft R%A % )annel& 0esacti e el resto de las casillas de erificación de %Ps& • "a e+tensión *ombre alternati o del su.1& "os certificados que no contienen un nombre de su.

1 se incluye el identificador de ob.1$ un ser idor )P* que se utilice como e+tremo de una cone+ión )P* con otro ser idor )P* origina 'como cliente( y termina 'como ser idor( las cone+iones )P*& Por este moti o$ el certificado de estos ser idores debe contener tanto el propósito Autenticación del ser idor como el propósito Autenticación del cliente en las e+tensiones E.1 y el certificado del ser idor )P* no tiene configurado el propósito Autenticación del ser idor en las e+tensiones E.eto del propósito Autenticación del ser idor en las e+tensiones E.1& Aunque los ser idores )P* que finali#an las cone+iones de usuarios remotos sólo necesitan un certificado que tenga configurado el propósito Autenticación del ser idor en las e+tensiones E.E( en las cone+iones )P* basadas en "3-P6IPSec& Para que un ser idor )P* que e.eto del propósito Autenticación del cliente$ IPSec puede utili#ar el certificado para lle ar a cabo la autenticación& 0e la misma manera$ el cliente consulta el certificado del ser idor )P* en busca del identificador de ob.eta inteligente o del almacén de certificados del equipo local( no tiene configurado el propósito Autenticación del cliente en las e+tensiones E.correctamente para la autenticación con lo que ésta no funcionarAa& Para impedirlo$ seleccione siempre un certificado de ser idor al configurar métodos de autenticación PEAP y EAP que lo requieran& Para obtener más información$ ea :onfigurar los métodos PEAP y EAP& Autenticación de equipos en IP%ec "a autenticación de equipos se lle a a cabo en primer lugar durante los intentos de cone+ión "3-P6IPSec entre el cliente de acceso remoto y el ser idor& Si se 7a establecido un canal seguro entre el cliente y el ser idor$ se procede a lle ar a cabo el intento de autenticación y autori#ación del usuario& "a autenticación de equipos en IPSec se reali#a mediante cla es pre iamente compartidas o certificados de equipo& El método de autenticación recomendado es el uso de una infraestructura de cla es p/blicas 'P.eto del propósito Autenticación del cliente& Si en las e+tensiones E.1& Además$ debido a la forma en la que funciona la selección automática de certificados$ ambos propósitos 'Autenticación del ser idor y Autenticación del cliente( deben estar contenidos en el mismo certificado& .an los certificados en los servidores VPN Al intentar establecer una cone+ión )P* "3-P6IPSec entre un cliente y un ser idor )P*$ la autenticación de equipos no se produce si el certificado del cliente )P* 'de una tar.1& IPSec consulta las e+tensiones E.ecuta !indo2s 3444 o !indo2s =P estable#can la confian#a en una cone+ión )P* "3-P6IPSec$ ambos equipos deben contar con un certificado de equipo emitido por la misma entidad emisora de certificados raA# de empresa en la que se confAa& Si ambos equipos cuentan con certificados emitidos por la entidad emisora de certificados raA# de confian#a durante la negociación IPSec y los intercambian$ se establece una confian#a mutua y se reali#a la asociación de seguridad& ómo se utili.1 del certificado de cliente para determinar si está presente el identificador de ob.ecuta !indo2s Ser er 3445 y un cliente )P* que e.I( y certificados& Si se utili#an certificados$ es necesario un certificado de equipo para establecer la confian#a de IPSec durante la negociación de Intercambio de cla es de Internet 'I.

EAP.eta inteligente$ con lo que se proporciona autenticación mutua& :on los clientes inalámbricos$ se puede utili#ar PEAP.EAP.EAP.etas inteligentes o certificados& Se puede configurar <43&8= con EAP."a selección automática de certificados puede proporcionar a IPSec cualquier certificado del almacén de certificados asociado a la entidad emisora de certificados raA# de empresa en la que se confAa$ independientemente de los propósitos contenidos en el certificado& Si en el ser idor están instalados dos certificados 'uno que contiene el propósito Autenticación del cliente y otro que contiene el propósito Autenticación del ser idor($ cabe la posibilidad de que la selección automática de certificados utilice el certificado erróneo para la autenticación& Por e.-"S de diferentes formas& Si la opción Validar un certificado de servidor está configurada en el cliente !indo2s =P Professional$ el cliente autentica al ser idor mediante su certificado& "a autenticación de equipos cliente y usuarios se puede lle ar a cabo con certificados del almacén de certificados del cliente o mediante una tar.I( con certificados para la autenticación de ser idores y tar.etas inteligentes o certificados para la autenticación de equipos cliente y usuarios& Para obtener más información$ ea PEAP& Para obtener más información acerca de la autenticación <43&8=$ ea 0escripción de la autenticación <43&8= para redes inalámbricas& (-todos de inscripción de certificados y pertenencia a dominios "a pertenencia a dominios de los equipos para los que desea inscribir certificados afecta al método de inscripción de certificados que se puede elegir& "os certificados de equipos que son miembros de un dominio se pueden inscribir automáticamente$ mientras que los administradores deben inscribir los certificados de equipos que no son miembros de un .emplo$ si se requiere el certificado que contiene el propósito Autenticación del cliente$ es posible que el certificado suministrado mediante la selección automática de certificados contenga el propósito Autenticación del ser idor& En este caso y en otros similares$ no se produce la autenticación de equipos& Autenticación basada en certificados y clientes inal'mbricos "a autenticación IEEE <43&8= proporciona acceso autenticado a redes inalámbricas <43&88 y a redes Et7ernet por cable& <43&8= ofrece compatibilidad con tipos EAP seguros$ como -"S con tar.:>AP 3 es un método de autenticación de usuarios basado en contrase%a que utili#a -"S con certificados de ser idor& 0urante la autenticación PEAP.:>AP 3$ el ser idor IAS o RA0I1S suministra un certificado para alidar su identidad ante el cliente 'si la opción Validar un certificado de servidor está configurada en el cliente !indo2s =P Professional(& "a autenticación de equipos cliente y usuarios se lle a a cabo mediante contrase%as$ lo que elimina parcialmente la dificultad de implementar certificados en los equipos cliente inalámbricos& "os clientes inalámbricos y de conmutador <43&8= también pueden utili#ar PEAP.MS.MS.-"S emplea una infraestructura de cla es p/blicas 'P. -"S$ con lo que se proporciona un ni el alto de seguridad& PEAP.:>AP 3 como método de autenticación& PEAP.EAP.EAP.MS.

ecuten !indo2s 3444 sólo pueden reali#ar la inscripción automática de certificados de equipo& Inscripción de certificados de equipos que no son miembros de un dominio "a inscripción de certificados de equipos que no son miembros de un dominio no se puede reali#ar mediante inscripción automática& Si un equipo está unido a un dominio$ e+iste una confian#a establecida que permite que tenga lugar la inscripción automática sin la inter ención del administrador& Si un equipo no está unido a un dominio$ no e+iste la confian#a y no se emite un certificado& 0ebe establecerse la confian#a mediante uno de los siguientes métodos: • El administrador 'en el que$ por definición$ se confAa( debe solicitar un certificado de equipo o usuario mediante la 7erramienta de inscripción en !eb de la entidad emisora de certificados& El administrador debe guardar un certificado de equipo o de usuario en un disquete e instalarlo en el equipo que no es miembro de un dominio& I bien$ si el administrador no puede tener acceso al equipo 'por e.eta • • .ecuta !indo2s 3444 o !indo2s =P es miembro de un dominio que e.dominio mediante el !eb o un disquete& El método de inscripción de certificados para los equipos que no son miembros de un dominio se conoce como un proceso de inicio de confian#a mediante el cual se crean los certificados y$ después$ los administradores los solicitan o distribuyen manualmente de forma segura para establecer una confian#a com/n& Inscripción de certificados de equipos que son miembros de un dominio Si el ser idor )P*$ el ser idor IAS o el cliente que e.ecuta !indo2s Ser er 3445 y Acti e 0irectory$ puede configurar la inscripción automática de certificados de equipo y usuario& 0espués de configurar y 7abilitar la inscripción automática$ todos los equipos que son miembros del dominio reciben certificados de equipo cuando se actuali#a la directi a de grupo$ tanto si la actuali#ación se fuer#a manualmente con el comando gpupdate como si se inicia sesión en el dominio& Si el equipo es miembro de un dominio en el que no está instalado Acti e 0irectory$ puede instalar manualmente certificados de equipo si los solicita a tra és del complemento :ertificados& Para obtener más información$ ea :ertificados de equipo para cone+iones )P* "3-P6IPSec& Nota • "os equipos que e.emplo$ en el caso de un equipo doméstico que se conecta a la red de una organi#ación mediante una cone+ión )P* "3-P6IPSec($ el certificado puede ser instalado por un usuario del dominio en el que el administrador confAe& El administrador puede distribuir un certificado de usuario en una tar.

bjeto y pertenencia a un dominio Propósitos del certificado (-todo preferido de inscripción de certificados (-todo alternativo de inscripción de certificados Ser idor )P* o IAS$ miembro de un dominio Ser idor )P* con cone+ión entre sitios$ miembro de un dominio :liente con !indo2s =P$ miembro de un dominio Ser idor )P* o IAS$ no miembro de un dominio Ser idor )P* con cone+ión entre sitios$ no Autenticación Inscripción de ser idor automática Autenticación del ser idor y Inscripción Autenticación automática del cliente Solicitar un certificado con el complemento :ertificados Equip o Solicitar un certificado con el complemento :ertificados Equip o Autenticación Inscripción de cliente automática >erramienta de inscripción en Autenticación !eb de la entidad de ser idor emisora de certificados Autenticación >erramienta de del ser idor y inscripción en Autenticación !eb de la entidad Solicitar un certificado con el complemento :ertificados Equip o Instalar desde un disquete Equip o Instalar desde un disquete .1 para que pueda negociar correctamente cone+iones )P* basadas en "3-P6IPSec con los clientes& Ibser e que si el ser idor )P* que no es miembro de un dominio se utili#a como e+tremo de una cone+ión )P* con otro ser idor )P*$ las e+tensiones E.1 deben contener el propósito Autenticación del ser idor y el propósito Autenticación del cliente& Elegir un m-todo de inscripción de certificados Si e.or método de inscripción de certificados para sus necesidades: Plant illa de certif icado s Equip o .emplo$ es posible que un ser idor )P* de una red perimetral no sea miembro de un dominio por ra#ones de seguridad& En ese caso$ el ser idor )P* que no es miembro de un dominio debe tener instalado un certificado de equipo que contenga el propósito Autenticación del ser idor en las e+tensiones E.etas inteligentes(& Muc7as infraestructuras de red contienen ser idores )P* e IAS que no son miembros de un dominio& Por e.ecuta una entidad emisora de certificados de empresa ':A( en un equipo donde se usa !indo2s Ser er 3445$ Standard Edition$ puede emplear la tabla siguiente para determinar el me.inteligente 'los certificados de equipo no se distribuyen en las tar.

miembro de un dominio :liente con !indo2s =P$ no Equip miembro de un o dominio del cliente emisora de certificados >erramienta de inscripción en Autenticación !eb de la entidad de cliente emisora de certificados Instalar desde un disquete 1suario$ usuario de dominio 1suar io Autenticación Inscripción de cliente automática 1tili#ar una tar.o: • • • • • • !indo2s Ser er 3445$ Enterprise Edition !indo2s Ser er 3445$ 0atacenter Edition !indo2s Ser er 3445$ Enterprise Edition para sistemas basados en Itanium !indo2s Ser er 3445$ 0atacenter Edition para sistemas basados en Itanium !indo2s Ser er 3445$ Enterprise +?J Edition !indo2s Ser er 3445$ 0atacenter +?J Edition 1tilice la tabla siguiente para determinar cuando utili#ar estas plantillas& .eta inteligente o la 7erramienta de inscripción en !eb de la entidad emisora de certificados Si su autoridad de certificación está en un equipo con uno de los siguientes sistemas operati os$ estarán disponibles los ser idores RAS e IAS y las plantillas de autenticación de estaciones de traba.bjeto y pertenencia a un dominio Plantilla de certificados Propósi to del certifica do Autentic ación de ser idor (-todo preferido de inscripción de certificados (-todo alternativo de inscripción de certificados Solicitar un certificado con el complemento :ertificados Solicitar un certificado con el complemento :ertificados Ser idor )P* o Ser idor IAS$ miembro de RAS e IAS un dominio :liente con !indo2s =P$ miembro de un dominio Inscripción automática Autenticació Autentic n de ación de estación de cliente traba.o Inscripción automática .

Ser idor )P* o IAS$ no miembro de un dominio :liente con !indo2s =P$ no miembro de un dominio Importante Ser idor RAS e IAS Autentic ación de ser idor >erramienta de inscripción en !eb de la entidad emisora de certificados >erramienta de inscripción en !eb de la entidad emisora de certificados Instalar desde un disquete Autenticació Autentic n de ación de estación de cliente traba.etos soliciten un certificado basado en la plantilla& 0espués de agregar el nue o grupo$ concédale los permisos +ectura$ Inscripción e Inscripción autom'tica& Para obtener más información$ ea Guncionalidad de dominios y bosques& %ervicios de inscripción en /eb de la entidad emisora de certificados En la familia de !indo2s Ser er 3445 se proporciona un con.unto de páginas !eb de la entidad emisora de certificados con los Ser icios de :ertificate Ser er& "as páginas de .etos soliciten un certificado basado en la plantilla& 0espués de agregar el ser idor IAS a la A:"$ concédale los permisos +ectura$ Inscripción e Inscripción autom'tica& Para administrar un grupo de ser idores$ agréguelos al nue o grupo global o uni ersal$ y agregue el grupo a la A:" de la plantilla de certificados: En 1suarios y equipos de Acti e 0irectory$ cree un nue o grupo global o uni ersal para los ser idores IAS& Para obtener más información$ ea :rear un grupo nue o& 0espués$ agregue al grupo todos los equipos que sean ser idores IAS$ no sean controladores de dominio y sean miembros de un dominio con una me#cla de ni eles funcionales de !indo2s 3444& Para obtener más información$ ea Agregar un miembro a un grupo& En Plantillas de certificados$ seleccione la plantilla %ervidores RA% e IA% y agregue después el grupo que 7a creado a las propiedades de la plantilla %eguridadK para ello$ debe seguir los pasos especificados en Permitir que los su.ecuta IAS no es controlador de dominio pero es miembro de un dominio con una me#cla de ni eles funcionales de !indo2s 3444$ debe agregar el ser idor a la lista de control de acceso 'A:"( de la plantilla de certificados de %ervidores RA% e IA%& -ambién debe configurar los permisos correctos para la inscripción automática& >ay procedimientos distintos para agregar a la A:" ser idores indi iduales y grupos de ser idores& Para agregar un ser idor indi idual a la lista de control de acceso 'A:"( en la plantilla de certificados %ervidores RA% e IA%: En Plantillas de certificados$ seleccione la plantilla %ervidores RA% e IA% y agregue después el ser idor IAS a las propiedades de %eguridad de la plantilla& Para obtener más información$ ea Permitir que los su.o Instalar desde un disquete Si el ser idor donde se e.

pciones de clave y .inscripción en !eb permiten conectarse a la entidad emisora de certificados mediante un e+plorador !eb y reali#ar tareas 7abituales$ como solicitar certificados de una entidad emisora de certificados& Para obtener más información$ ea Ser icios de inscripción en !eb de la entidad emisora de certificados y Instalar compatibilidad de inscripción en !eb de la entidad emisora de certificados& 1na e# dise%ada e implementada la infraestructura de cla es p/blicas 'P.:S 84 4as)0 S>A.pciones adicionales& Seleccione lo siguiente: • • • • • • • • • • • Plantilla de certificado0 Administrador .ar el almac-n del equipo local0 Seleccionado &ormato de solicitud0 P.I( y cuando tenga asignados los permisos necesarios en las plantillas de certificados$ puede solicitar certificados para los equipos mediante las páginas de inscripción en !eb de la entidad emisora de certificados& Para solicitar un certificado para un equipo que no sea miembro de un dominio mediante la 7erramienta de inscripción en !eb de la entidad emisora de certificados$ realice los pasos que se indican a continuación& Para poder lle ar a cabo estos pasos$ debe ser un administrador del equipo local& Instale un certificado de equipo en el equipo local 1tilice el e+plorador !eb para iniciar sesión en la 7erramienta de inscripción en !eb en )ttp011nombreDeServidor1certsrv$ donde nombreDeServidor es el nombre del ser idor que alo.8 Nombre descriptivo0 *ombre del ser idor )P* >aga clic en Enviar& >aga clic en Instalar este certificado& El certificado solicitado se instalará en el equipo local& .pciones de clave0 :rear con.a la entidad emisora de certificados$ las páginas !eb de la entidad emisora de certificados o ambas& >aga clic en %olicitar un certificado& En %olicitar un certificado$ 7aga clic en %olicitud de certificado avan.ada& En %olicitud de certificado avan.unto de cla es nue o %P0 Microsoft En7anced :ryptograp7ic Pro ider 8&4 #so de la clave0 Intercambio *ama2o de clave0 843J Nombre autom'tico de contenedor de claves0 Seleccionado (arcar claves como e3portables0 Seleccionado #tili.ada$ 7aga clic en rear y enviar una solicitud a esta A& Aparecerá un formulario !eb que contiene las secciones Plantilla de certificado$ .

unto de cla es nue o %P0 Microsoft En7anced :ryptograp7ic Pro ider 8&4 #so de la clave0 Intercambio *ama2o de clave0 843J Nombre autom'tico de contenedor de claves0 Seleccionado (arcar claves como e3portables0 Seleccionado E3portar claves al arc)ivo0 Seleccionado Nombre de ruta completa0 la ruta de la ubicación donde desea guardar el arc7i o y el nombre de arc7i o 'por e.8 Nombre descriptivo0 *ombre del ser idor )P* • • • >aga clic en Enviar& :ree y confirme la contrase%a de la cla e pri ada& En ertificado emitido$ seleccione ifrado !ER y !escargar cadena de certificado& Inserte un disquete en la unidad de disco& :uando el e+plorador se lo indique$ seleccione 5uardar este arc)ivo en disco y$ a continuación$ 7aga clic en Aceptar& Sit/ese en la unidad de disquete y$ después$ 7aga clic en Aceptar& El certificado solicitado se descargará y se guardará en el disquete& Para obtener más información$ ea En iar una solicitud a an#ada de certificado a tra és de !eb& Para obtener información acerca de cómo instalar un certificado desde un disquete en el almacén de certificados de un equipo local$ ea Importar un certificado& .pciones adicionales& Seleccione lo siguiente: • • • • • • • • • Plantilla de certificado0 Administrador .(& &ormato de solicitud0 P.ada$ 7aga clic en rear y enviar una solicitud a esta A& Aparecerá un formulario !eb que contiene las secciones Plantilla de certificado$ .pciones de clave0 :rear con.a la entidad emisora de certificados$ las páginas !eb de la entidad emisora de certificados o ambas& >aga clic en %olicitar un certificado& En %olicitar un certificado$ 7aga clic en %olicitud de certificado avan.pv k.:S 84 4as)0 S>A.emplo$ \\nombreDeServidor\nombreDeRecursoCompartido\nombreDeArchivo.pciones de clave y .5uarde un certificado de equipo en un disquete 1tilice el e+plorador !eb para iniciar sesión en la 7erramienta de inscripción en !eb en )ttp011nombreDeServidor1certsrv$ donde nombreDeServidor es el nombre del ser idor que alo.ada& En %olicitud de certificado avan.

eto acAo$ el certificado no estará disponible para autenticar el ser idor IAS& Para cambiar esto$ puede utili#ar Plantillas de certificados para crear un nue o certificado para la inscripción en el ser idor IAS& En las propiedades del certificado$ en la fic7a Nombre de sujeto$ en &ormato de nombre de sujeto$ seleccione un alor distinto de Ninguno :onfigurar la asignación de certificados automática para una entidad emisora de certificados de la compa%Aa Para configurar la asignación de certificados autom'tica para una entidad emisora de certificados de la compa2ía Abra 1suarios y equipos de Acti e 0irectory& En el árbol de la consola$ 7aga doble clic en #suarios y equipos de Active !irectory$ 7aga clic con el botón secundario del DiEmouseD6iE 'ratón( en el nombre de dominio en que reside la entidad emisora de certificados ':A( y$ a continuación$ 7aga clic en Propiedades& En la fic7a !irectiva de grupo$ 7aga clic en !irectiva de dominio predeterminada y$ a continuación$ 7aga clic en (odificar& En el árbol de la consola$ 7aga clic con el botón secundario del DiEmouseD6iE en onfiguración de la petición de certificados autom'tica$ seleccione Nueva y$ a continuación$ 7aga clic en Petición de certificados autom'tica& 6!ónde7 • :onfiguración del equipo6:onfiguración de !indo2s6:onfiguración de seguridad60irecti as de cla es p/blicas6:onfiguración de la petición de certificados automática :uando apare#ca el Asistente para petición de certificados automática$ 7aga clic en %iguiente& En Plantillas de certificado$ 7aga clic en Equipo y$ a continuación$ en %iguiente& En la lista aparecerá la entidad emisora de certificados ':A( raA# de la compa%Aa& >aga clic en la entidad emisora de certificados$ en %iguiente y$ después$ en &inali.Nota • Si 7a emitido un certificado para el ser idor IAS con un Su.ar& Para crear un certificado de equipo para el equipo :A$ escriba lo siguiente en el sAmbolo del sistema: gpupdate 1target0Equipo Notas • Para abrir 1suarios y equipos de Acti e 0irectory$ 7aga clic en Inicio$ en Panel de control$ 7aga doble clic en 4erramientas administrativas y$ a continuación$ 7aga doble clic en #suarios y equipos de Active !irectory& .

eto cuando se utili#an las páginas !eb de la entidad emisora de certificados de !indo2s 3444& Si la inscripción en !eb se e.ada& >aga clic en rear y enviar una solicitud a esta A& Escriba la información de identificación solicitada y cualquier otra opción necesaria$ y 7aga clic en Enviar& Realice una de estas acciones: • Si e la página !eb ertificado pendiente$ consulte -emas relacionados$ más aba.eta inteligente y la inscripción de un certificado basado en una plantilla de certificado de la ersión 3 pueden presentar limitaciones& Para disfrutar de todas las funciones con el agente de inscripción en !eb$ e.o$ con el fin de obtener el procedimiento para comprobar un certificado pendiente& Si e la página !eb ertificado emitido$ 7aga clic en Instalar este certificado& • Si 7a terminado de utili#ar las páginas !eb de Ser icios de :ertificate Ser er$ cierre Internet E+plorer& Notas • • Para abrir Internet E+plorer$ 7aga clic en Inicio$ seleccione *odos los programas y$ a continuación$ 7aga clic en Internet E3plorer& 1n equipo con !indo2s =P no puede solicitar un certificado en nombre de otro su.ec/telo en un ser idor !eb con un sistema operati o de !indo2s Ser er • .ecuta en un ser idor !eb de !indo2s 3444 que act/a como agente de inscripción en !eb para una entidad emisora de certificados de la familia de ser idores de !indo2s Ser er 3445 puede que no estén disponibles todas las funciones de la :A$ porque no estaba dise%ada para integrarse completamente con la :A de la familia de ser idores de !indo2s Ser er 3445& "a inscripción con tar.• Para abrir el sAmbolo del sistema$ 7aga clic en Inicio$ seleccione *odos los programas$ Accesorios y$ a continuación$ 7aga clic en %ímbolo del sistema& &nu L display:inlineK M En iar una solicitud a an#ada de certificado a tra és de !eb Para enviar una solicitud avan.ada de certificado a trav-s de /eb Abra Internet E+plorer& En !irección$ escriba )ttp011nombreDeServidor1certsrv$ donde nombreDeServidor corresponde al ser idor !eb de !indo2s 3444 en el que se encuentra la entidad emisora de certificados a la que desee tener acceso& >aga clic en %olicitar un certificado& >aga clic en %olicitud de certificado avan.

a de cla es y asegurarlas en otro lugar& #tili.a de cla es$ o si desea quitar la pare.:S O83& Resulta de utilidad si cambia de equipo y desea mo er la pare.ar uno e3istente8 Puede utili#ar una pare.ada$ puede establecer las opciones siguientes para cada certificado solicitado: • Plantilla de certificado 'de entidades emisoras de certificado de empresa( o Propósitos planteados 'de entidades emisoras de certificados independientes(& Indica las aplicaciones para las que se puede usar la cla e p/blica en el certificado$ como en autenticación de clientes o correo electrónico& Pro eedor de ser icios de cifrado ':SP(& *ama2o de clave8 "a longitud$ en bits$ de la cla e p/blica del certificado& En general$ cuanto mayor es la longitud de la cla e$ mayor es la seguridad& Algoritmo 7as7 #so de claves :ómo se puede utili#ar la cla e pri ada& NIntercambioN quiere decir que la cla e pri ada se puede utili#ar para permitir el intercambio de información confidencial& NGirmaN quiere decir que la cla e pri ada sólo se puede utili#ar para crear una firma digital& NAmbasN quiere decir que la cla e se puede utili#ar para reali#ar funciones de intercambio y firma& rear un nuevo conjunto de claves o utili.3445& • Mediante la página !eb %olicitud de certificado avan.<8 Resulta de utilidad si la entidad emisora de certificados no está disponible para procesar las solicitudes de certificados en lAnea& Para obtener información acerca de cómo crear y en iar una solicitud de certificado mediante un arc7i o • • • • • • • • • .a nue a para un certificado& Para obtener más información acerca de las cuestiones relati as a la reutili#ación de una cla e en contraposición a la generación de una nue a$ ea los recursos en Recursos de certificados& 4abilitar la protección de clave privada de alto nivel8 :uando 7abilite la protección segura de cla e pri ada se le pedirá la contrase%a cada e# que necesite utili#ar la cla e pri ada& (arcar claves como e3portables8 :uando marca cla es como e+portables$ puede guardar la cla e pri ada y la cla e p/blica en un arc7i o P.ar el almac-n del equipo local8 Acti e esta opción si el equipo a a necesitar tener acceso a la cla e pri ada asociada con el certificado cuando otros usuarios 7ayan iniciado la sesión& Acti e esta opción cuando intente en iar solicitudes de certificados a equipos 'como ser idores !eb( en e# de en iar certificados a personas& 5uardar la solicitud en un arc)ivo P9 % :.a de cla e pri ada y cla e p/blica almacenada en el equipo o crear una pare.

ar la copia para inscripción autom'tica >aga clic en Inicio$ en Ejecutar$ escriba mmc y$ a continuación$ 7aga clic en Aceptar& En el men/ Arc)ivo$ 7aga clic en Agregar o quitar complemento y$ después$ en Agregar& En omplemento$ 7aga clic en Plantillas de certificado$ en errar y$ a continuación$ 7aga clic en Aceptar& En el árbol de la consola$ 7aga clic en Plantillas de certificado& -odas las plantillas de certificado se mostrarán en el panel de detalles& En el panel de detalles$ 7aga clic en la plantilla #suario& En el men/ Acción$ 7aga clic en !uplicar plantilla& En el campo Nombre para mostrar$ escriba #suario de inscripción autom'tica& :ompruebe que la casilla de erificación Publicar certificado en Active !irectory está acti ada& >aga clic en la fic7a %eguridad& En el campo Nombres de grupos o usuarios$ 7aga clic en #suarios del dominio& .P.emplo de los Ser icios de :ertificate Ser er: establecer la inscripción automática para los certificados de usuario Implementación de ejemplo de los %ervicios de ertificate %erver0 establecer la inscripción autom'tica para los certificados de usuario Estas son las tareas necesarias para utili#ar la recuperación de cla es en una entidad emisora de certificados ':A( de Microsoft: 0uplicar la plantilla de usuario y utili#ar la copia para inscripción automática :onfigurar una entidad emisora de certificados de empresa para emitir el certificado de usuario de inscripción automática Establecer la directi a para la inscripción automática de usuarios de dominio Requisitos previos Antes de lle ar a cabo estas tareas$ por lo que respecta a esta guAa: • El controlador de dominio de !indo2s Ser er 3445 también deberá configurarse como una entidad emisora de certificados subordinada o raA# de empresa& "a entidad emisora de certificados se conoce por el nombre Ent A en esta guAa& !uplicar la plantilla de usuario y utili.:S O84$ consulte los temas relacionados& Implementación de e.

o onfiguración del usuario& .emplo& "os alores de estos permisos son ariables$ dependiendo de quién desea que se inscriba automáticamente para estos certificados& onfigurar una entidad emisora de certificados de empresa para emitir el certificado de usuario de inscripción autom'tica Abra Entidad emisora de certificados& En el árbol de la consola$ 7aga clic en Plantillas de certificado& 6!ónde7 • Entidad emisora de certificados6Nombre de la entidad emisora de certificados6Plantillas de certificados En el men/ Acción$ seleccione Nuevo y$ a continuación$ 7aga clic en ertificado para emitir& >aga clic en #suario de inscripción autom'tica y 7aga clic en Aceptar& Nota • Para abrir Entidad emisora de certificados$ 7aga clic en Inicio$ después en Panel de control$ 7aga doble clic en 4erramientas administrativas y$ a continuación$ 7aga doble clic en Entidad emisora de certificados& Establecer la directiva para la inscripción autom'tica de usuarios de dominio 0ebe utili#ar el esquema de Acti e 0irectory de !indo2s Ser er 3445 para que este procedimiento funcione& >aga clic en Inicio$ en Ejecutar$ escriba mmc y$ a continuación$ 7aga clic en Aceptar& En el men/ Arc)ivo$ 7aga clic en Agregar o quitar complemento y$ después$ en Agregar& En omplemento$ 7aga doble clic en #suarios y equipos de Active !irectory$ 7aga clic en errar y$ a continuación$ 7aga clic en Aceptar& En el árbol de la consola$ 7aga clic en el nombre del dominio& 6!ónde7 • 1suarios y equipos de Acti e 0irectory6Nombre de dominio En el men/ Acción$ 7aga clic en Propiedades& >aga clic en la fic7a !irectiva de grupo y en (odificar& En el árbol de la consola$ 7aga clic en !irectivas de clave p=blica ba.En la lista Permisos para usuarios del dominio$ acti e las casillas de erificación Inscripción e Inscripción autom'tica y$ a continuación$ 7aga clic en Aceptar& "a inscripción automática de #suarios del dominio es un e.

e de Inscripción de certificados y aparecerá un icono en la barra de tareas& :uando 7aga clic en ese icono o mensa.eta inteligente& "uego$ proporcione el PI* de su tar.eta inteligente y el certificado se almacenará en ella& :uando la inscripción automática inscriba un certificado que requiere la interacción del usuario para el proceso de inscripción$ recibirá un mensa.e cuando el certificado esté listo para almacenarse en dic7a tar.ar certificados pendientes y quitar certificados revocados& Acti e la casilla de erificación Actuali.e 7ace referencia a un tipo de tar.eta& Si el mensa.eta inteligente$ recibirá un mensa.e se iniciará el proceso de inscripción automática del certificado& • • • .6!ónde7 • 0irecti a de dominio predeterminado6:onfiguración de usuario6:onfiguración de !indo2s6:onfiguración de seguridad60irecti as de cla e p/blica En el panel de detalles$ 7aga doble clic en onfiguración de inscripción autom'tica& >aga clic en Registrar certificados autom'ticamente& Acti e la casilla de erificación Renovar certificados caducados> actuali.eta inteligente que no posee$ 7aga clic en ancelar 7asta que apare#ca el tipo correcto de tar.ar certificados que usan plantillas de certificados y 7aga clic en Aceptar& >aga clic en Arc)ivo$ en %alir y$ a continuación$ 7aga clic en Aceptar& Notas • Para abrir 1suarios y equipos de Acti e 0irectory$ 7aga clic en Inicio$ en Panel de control$ 7aga doble clic en 4erramientas administrativas y$ a continuación$ 7aga doble clic en #suarios y equipos de Active !irectory& A menos que los usuarios actualicen su directi a de seguridad utili#ando el comando 5P#pdate$ la directi a de inscripción automática tardará arias 7oras en 7acerse efecti a& :uando la inscripción automática recupera un certificado que está configurado para almacenarse en una tar.

Sign up to vote on this title
UsefulNot useful