Implementación de certificados de servidor para las implementaciones cableadas e inalámbricas de 802.1X

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Puede usar esta guía para implementar certificados de servidor en los servidores de infraestructura de Servidor de directivas de red y acceso remoto (NPS).

En esta guía se incluyen las siguientes secciones.

Certificados de servidor digital

En esta guía se proporcionan instrucciones para usar Servicios de certificados de Active Directory (AD CS) para inscribir automáticamente certificados en servidores de infraestructura nps y acceso remoto. AD CS permite crear una infraestructura de clave pública (PKI) y proporcionar criptografía de clave pública, certificados digitales y funcionalidades de firma digital para su organización.

Cuando se usan certificados de servidor digital para la autenticación entre equipos de la red, los certificados proporcionan:

  1. Confidencialidad a través del cifrado.
  2. Integridad a través de firmas digitales.
  3. Autenticación mediante la asociación de claves de certificado con cuentas de equipo, usuario o dispositivo en una red de equipo.

Tipos de servidor

Con esta guía, puede implementar certificados de servidor en los siguientes tipos de servidores.

  • Servidores que ejecutan el servicio de acceso remoto, que son servidores de DirectAccess o de red privada virtual (VPN) estándar, y que son miembros del grupo Servidores RAS e IAS.
  • Servidores que ejecutan el servicio Servidor de directivas de red (NPS) que son miembros del grupo Servidores RAS e IAS.

Ventajas de la inscripción automática de certificados

La inscripción automática de certificados de servidor, también denominada inscripción automática, proporciona las siguientes ventajas.

  • La AD CS de certificación (CA) inscribe automáticamente un certificado de servidor en todos los servidores NPS y acceso remoto.
  • Todos los equipos del dominio reciben automáticamente el certificado de entidad de certificación, que se instala en el almacén entidades de certificación raíz de confianza en cada equipo miembro del dominio. Por este problema, todos los equipos del dominio confían en los certificados emitidos por la entidad de certificación. Esta confianza permite que los servidores de autenticación demuestren sus identidades entre sí y se impliquen en comunicaciones seguras.
  • Aparte de actualizar directiva de grupo, no es necesaria la reconfiguración manual de cada servidor.
  • Cada certificado de servidor incluye tanto el propósito de autenticación de servidor como el propósito de autenticación de cliente en las extensiones de uso mejorado de clave (EKU).
  • Escalabilidad. Después de implementar Enterprise ca raíz con esta guía, puede expandir la infraestructura de clave pública (PKI) agregando Enterprise CA subordinadas.
  • Capacidad de administración. Puede administrar AD CS mediante la consola AD CS o mediante Windows PowerShell comandos y scripts.
  • Simplicidad. Especifique los servidores que inscriben certificados de servidor mediante Active Directory de grupo y pertenencia a grupos.
  • Al implementar certificados de servidor, los certificados se basan en una plantilla que se configura con las instrucciones de esta guía. Esto significa que puede personalizar diferentes plantillas de certificado para tipos de servidor específicos, o bien puede usar la misma plantilla para todos los certificados de servidor que quiera emitir.

Requisitos previos para usar esta guía

En esta guía se proporcionan instrucciones sobre cómo implementar certificados de servidor mediante AD CS y el rol de servidor servidor web (IIS) en Windows Server 2016. A continuación se indican los requisitos previos para realizar los procedimientos de esta guía.

  • Debe implementar una red principal mediante la Guía de red de Windows Server 2016 Core, o bien ya debe tener las tecnologías proporcionadas en la Guía de red principal instaladas y funcionando correctamente en la red. Estas tecnologías incluyen TCP/IP v4, DHCP, Active Directory Domain Services (AD DS), DNS y NPS.

    Nota

    La Windows Server 2016 core network está disponible en la biblioteca Windows Server 2016 Technical Library. Para obtener más información, vea Core Network Guide.

  • Debe leer la sección de planeamiento de esta guía para asegurarse de que está preparado para esta implementación antes de realizar la implementación.

  • Debe realizar los pasos de esta guía en el orden en que se presentan. No salte e implemente la entidad de certificación sin realizar los pasos que conducen a la implementación del servidor o se producirá un error en la implementación.

  • Debe estar preparado para implementar dos servidores nuevos en la red: un servidor en el que instalará AD CS como una CA raíz de Enterprise y un servidor en el que instalará servidor web (IIS) para que la ca pueda publicar la lista de revocación de certificados (CRL) en el servidor web.

Nota

Está preparado para asignar una dirección IP estática a los servidores web y AD CS que implemente con esta guía, así como para asignar un nombre a los equipos según las convenciones de nomenclatura de la organización. Además, debe unir los equipos a su dominio.

Qué no incluye esta guía

En esta guía no se proporcionan instrucciones completas para diseñar e implementar una infraestructura de clave pública (PKI) mediante AD CS. Se recomienda revisar la documentación AD CS y la documentación de diseño de PKI antes de implementar las tecnologías de esta guía.

Introducción a las tecnologías

A continuación se muestra información general sobre tecnología AD CS y servidor web (IIS).

Servicios de certificados de Active Directory

AD CS en Windows Server 2016 proporciona servicios personalizables para crear y administrar los certificados X.509 que se usan en sistemas de seguridad de software que emplean tecnologías de clave pública. Las organizaciones pueden AD CS mejorar la seguridad enlazando la identidad de una persona, dispositivo o servicio a una clave pública correspondiente. AD CS también incluye características que le permiten administrar la inscripción y revocación de certificados en una variedad de entornos escalables.

Para obtener más información, vea Información Servicios de certificados de Active Directory información general y Guía de diseño de infraestructura de clave pública.

Servidor web (IIS)

El rol servidor web (IIS) de Windows Server 2016 proporciona una plataforma segura, fácil de administrar, modular y extensible para hospedar sitios web, servicios y aplicaciones de forma confiable. Con IIS, puede compartir información con los usuarios de Internet, una intranet o una extranet. IIS es una plataforma web unificada que integra IIS, ASP.NET, servicios FTP, PHP y Windows Communication Foundation (WCF).

Para obtener más información, vea Web Server (IIS) Overview .