Renovación del certificado del servidor

Un certificado de servidor es esencial para asegurar tanto el túnel interno EAP-TLS como el túnel externo RadSec TLS en RADIUSaaS. Para evitar fallos de autenticación, asegúrese de renovar su certificado antes de que caduque.

Su certificado de servidor puede ser uno de los siguientes dos tipos:

1. Customer-CA. Esto viene con su RADIUSaaS y ofrece una caducidad larga de 20 años. Actualmente no hay forma de crear una nueva Customer-CA junto con la existente. Esto significa que la Customer-CA existente que esté por expirar deberá eliminarse antes de que se pueda crear una nueva. Crear una nueva Customer-CA también generará un nuevo certificado raíz que deberá volver a desplegarse en sus clientes. Por favor siga esto artículo para desplegar su nueva Customer-CA y hacer referencia a ella mediante la política WiFi de su MDM.

2. Traiga su propio certificado (BYO) usando su propia PKI, por ejemplo Certificado de servidor emitido por SCEPman. Los certificados de servidor de SCEPman caducan cada dos años, así que asegúrese de establecer un recordatorio para evitar tiempo de inactividad. Al usar un certificado BYO, se asume que el certificado raíz de la CA y el FQDN (Subject y SAN) permanecerán sin cambios respecto al certificado que está por expirar. Por lo tanto, no es necesario volver a desplegar el certificado.

Creando un nuevo certificado

Customer-CA integrada

Este tipo de certificado es válido por 20 años y no puede renovarse antes de su caducidad. Sin embargo, puede eliminarse y crearse uno nuevo siguiendo esto guía.

Certificado BYO

Si desea usar su propio certificado, por ejemplo: un certificado de servidor emitido por SCEPman, entonces siga esto enlace para crear un certificado de servidor antes de la caducidad en SCEPman o en la PKI que prefiera.

Desplegando el nuevo certificado de servidor

Perfiles de Intune

Si está renovando la Customer-CA o una CA BYO con un root y FQDN diferentes al anterior, entonces siga los pasos siguientes para volver a desplegar este certificado a sus clientes, de lo contrario, si está usando un certificado BYO sin cambios en el certificado raíz de la CA y el FQDN (Subject y SAN), ¡puede omitir este paso!

1. Despliegue el nuevo certificado de servidor/raíz confiable a sus clientes como se describe aquí creando un nuevo perfil.

2. Actualice su existente perfil(es) WiFi o cableados

   • Si ha utilizado el asistente de Intune para la creación de sus perfiles de red, edite todos los perfiles relevantes añadiendo un segundo certificado de servidor confiable. No olvide añadir un segundo nombre de servidor bajo Nombres de servidores de certificado en caso de que el nuevo certificado tenga un dominio diferente.

   • Si ha utilizado un perfil personalizado para la creación de sus perfiles de red, vuelva a descargar el XML generado por RADIUSaaS desde aquíy reemplácelo en su perfil existente. Ambos huellas digitales (thumbprints) de los certificados de servidor se incluyen automáticamente en el XML.

3. Espere hasta que todos sus clientes hayan recibido el/los perfil(es) actualizado(s).

Infraestructura WiFi y LAN

Si está utilizando RadSec, suba el nuevo certificado de servidor a sus puntos de acceso o al dispositivo switch de red.

Activando el nuevo certificado de servidor

Finalmente, cuando esté listo para cambiar al nuevo certificado, actívelo como se describe aquí.