Paso 3 Planear la implementación de certificados OTP

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Después de planear el servidor RADIUS, debe planear los requisitos de la entidad de certificación (CA), incluida la entidad de certificación que emitirá certificados de contraseña única (OTP), la plantilla de certificado OTP y el certificado de entidad de registro usado por el servidor de acceso remoto para firmar todas las solicitudes de certificado OTP del cliente de DirectAccess. Estos certificados se usan de la manera siguiente:

  1. El cliente de DirectAccess solicita un certificado OTP y el servidor de acceso remoto recibe la solicitud.

  2. El servidor de acceso remoto comprueba las credenciales de OTP y, si son válidas, el servidor actúa como entidad de registro y firma la solicitud de inscripción de certificados OTP mediante un certificado de firma de corta duración.

  3. El servidor de acceso remoto devuelve la solicitud de inscripción de certificados firmados al cliente de DirectAccess.

  4. A continuación, el cliente inscribe el certificado OTP de la entidad de certificación mediante las solicitudes de inscripción de certificados firmadas por el servidor.

  5. La entidad de certificación comprueba las credenciales y la solicitud.

Tarea Descripción
3.1 Planear la entidad de certificación de OTP Planee la entidad de certificación (CA) que se usará para emitir certificados a los clientes de DirectAccess para la autenticación de OTP.
3.2 Planear la plantilla de certificado OTP Planee la plantilla de certificado OTP.
3.3 Planear el certificado de la entidad de registro Planee el certificado de la entidad de registro para firmar todas las solicitudes de certificado de autenticación de OTP.

3.1 Planear la entidad de certificación de OTP

Para implementar DirectAccess mediante la autenticación de contraseña de un solo uso (OTP), necesita una ENTIDAD de certificación interna para emitir los certificados de autenticación de OTP a los equipos cliente de DirectAccess. Para ello, puede usar la misma ENTIDAD de certificación interna que usa para emitir los certificados que se usan para la autenticación normal del equipo IPsec.

3.2 Planear la plantilla de certificado OTP

Cada cliente de DirectAccess requiere un certificado de autenticación OTP para obtener acceso a la red interna. Debe configurar una plantilla en la ENTIDAD de certificación interna para el certificado OTP. Tenga en cuenta lo siguiente al configurar la plantilla de certificado OTP:

  • Todos los usuarios que necesiten realizar la autenticación de OTP deben tener permisos de lectura e inscripción para esta plantilla.

  • El nombre del firmantes debe crearse a partir de Active Directory información, para asegurarse de que el nombre del firmantes coincide con el nombre de usuario de OTP y no con el nombre del servidor de acceso remoto que realiza la solicitud de certificado. El nombre del sujeto debe tener el formato de nombre completo y el nombre alternativo del sujeto debe estar en formato UPN. Esto garantiza que el certificado OTP inscrito sea válido para la autenticación Kerberos de tarjeta inteligente.

  • El propósito previsto del certificado debe ser el inicio de sesión con tarjeta inteligente.

  • La emisión debe requerir una firma autorizada. La firma debe configurarse con la directiva de aplicación OTP de DirectAccess predefinida establecida en la plantilla de certificado de firma de la entidad de registro.

  • El período de validez debe establecerse en una hora.

    Nota

    En situaciones en las que el servidor de ca es un Windows Server 2003, la plantilla debe configurarse en otro equipo. Esto se debe al hecho de que no es posible establecer el período de validez en horas al ejecutar Windows versiones anteriores a 2008/Vista. Si el equipo que usa para configurar la plantilla no tiene instalado el rol Servicio de certificación o es un equipo cliente, es posible que tenga que instalar el complemento Plantillas de certificado. Para obtener más información sobre este tema, haga clic aquí.

  • El período de renovación debe establecerse en 0.

  • (Opcional) Los certificados y las solicitudes no deben almacenarse en la base de datos de ca.

  • El parámetro uso mejorado de clave del certificado debe establecerse correctamente, como se muestra a continuación:

    • Para la plantilla de certificado de firma de registro de DirectAccess, use la clave 1.3.6.1.4.1.311.81.1.1.

    • Para la plantilla de certificado de autenticación de OTP, use la clave 1.3.6.1.4.1.311.20.2.2.

3.3 Planear el certificado de la entidad de registro

Cuando los clientes de DirectAccess solicitan un certificado OTP, el servidor de acceso remoto recibe la solicitud del cliente. El servidor de acceso remoto firma todas las solicitudes de certificado OTP de los clientes mediante el certificado de la entidad de registro. La entidad de certificación emite certificados solo si la solicitud está firmada por el certificado de la entidad de registro en el servidor de acceso remoto. El certificado debe ser emitido por una CA interna, el certificado no puede ser autofirmado. No es necesario que la emita la CA que emitió los certificados OTP, pero la entidad de certificación que emite los certificados OTP debe confiar en la CA que emite el certificado de firma de la entidad de registro.