¿PEAP MS-Chapv2? ¿EAP-TLS? ¿Cuántos certificados necesito desplegar para una red wireless con 802.1x?

Hola a todos,

Una pregunta muy común que recibimos en soporte es la de saber qué infraestructura de PKI (y cuántos certificados) es necesaria para realizar un despliegue de una red wireless con 802.1x en un entorno corporativo.

La respuesta a esta pregunta está completamente ligada al método EAP (Extensible Authentication Protocol) seleccionado para realizar la autenticación 802.1x.

Los sistemas operativos cliente (Windows XP, Windows Vista, Windows 7 y Windows 8) soportan de manera nativa los siguientes:

- EAP-TLS

- PEAP MS-Chapv2

- PEAP EAP-TLS

- EAP-TTLS  (solo en Windows 8 de manera nativa al sistema operativo)

Mientras que por otro lado, el servicio RADIUS de Microsoft (IAS en Windows Server 2003 y NPS en Windows Server 2008/R2 y 2012) soporta estos otros:

- EAP-TLS

- PEAP MS-Chapv2

- PEAP EAP-TLS

Nota:   Existen más métodos EAP disponibles a través de software de terceros. La información presentada en este post corresponde a los protocolos implementados en el sistema operativo, que son los soportados oficialmente por Microsoft.

Por tanto, los requisitos de certificado en función del protocolo utilizado serían:

Método EAP

Certificados en cliente

Certificados en servidor NPS/IAS

PEAP MS-Chapv2

 

Certificados de la cadena de CAs emisoras del certificado del NPS*

 

 

Certificado de servidor**

EAP-TLS o PEAP EAP-TLS

 

Certificados de la cadena de CAs emisoras del certificado del NPS*

 

Certificado de equipo

 

Certificado de usuario

 

 

Certificado de servidor**

 

Certificados de la cadena de CAs emisoras de los certificados clientes wireless

(usuario o equipo)

 

 

* Necesario siempre y cuando tengamos habilitada la opción de Validar el certificado del servidor en las opciones del perfil 802.1x que tengamos configurado:

clip_image001

 

** En caso de tratarse de una CA basada en Windows Server, se recomienda utilizar una copia de la plantilla RAS and IAS Servers disponible entre la colección de plantillas de la entidad certificadora.  

Podéis encontrar más información en el siguiente enlace:

NPS Server Certificate: Configure the Template and Autoenrollment

                https://technet.microsoft.com/en-us/library/cc754198.aspx

Por último, hacemos referencia al artículo que explica en profundidad todos los requisitos (tanto certificados cliente como servidor) que han de tener los certificados a la hora de utilizar estos protocolos:

 Certificate requirements when you use EAP-TLS or PEAP with EAP-TLS

https://support.microsoft.com/kb/814394

 

Esperamos que esta información os sirva de ayuda :)

 

Un saludo,

Javier Rama