# Certificados de confianza
## Tipos de certificados de confianza
### AC de confianza para autenticación de cliente
Las AC de confianza para autenticación de cliente establecen la confianza entre las AC que emiten certificados de autenticación de cliente para sus dispositivos finales y RADIUSaaS.
### Certificados de conexión RadSec de confianza
RadSec en sí funciona con autenticación mutua mediante certificados (mTLS). Esto significa que, por un lado, sus autenticadores deben [confiar en RADIUSaaS](https://docs.radiusaas.com/es/portal-de-administracion/settings-server#server-certificates) y, por otro lado, RADIUSaaS debe saber qué autenticadores son de confianza para que se pueda establecer una conexión RadSec válida. Los certificados de conexión RadSec de confianza garantizan que RADIUSaaS solo confíe en los autenticadores que usted especifique.
## **Certificado RadSec de confianza preinstalado**
Debido a lo [anterior](#trusted-radsec-connection-certificates), siempre verá al menos un certificado de confianza RadSec que establece la confianza con su [Los proxies RADIUS](https://docs-preview.radiusaas.com/admin-portal/settings/settings-proxy) (que en la práctica actúan como clientes RadSec). Para garantizar que sus proxies puedan iniciarse correctamente y puedan establecer una conexión con su instancia, no puede eliminarlo.
## Agregar
{% hint style="warning" %}
Si tiene una infraestructura PKI escalonada (por ejemplo, una **PKI heredada de Microsoft**), considere [este](#tiered-pki-hierarchy).
{% endhint %}
Para agregar un nuevo certificado de confianza, siga estos pasos:
1. Haga clic en **Agregar**
2. Seleccione si desea importar el certificado de confianza
* desde SCEPman (proporcionando la URL de su instancia de SCEPman), o
* desde cualquier otra AC (cargando un archivo de certificado codificado en PEM o DER)
3. Seleccione el [tipo](#types-of-trusted-certificates) de certificado de confianza en **Usar para**:
* [**Autenticación de cliente**](#trusted-cas-for-client-authentication)
* [**RadSec**](#trusted-radsec-connection-certificates)
* **Ambos** (útil si la misma AC emite sus certificados de autenticación de cliente y sus certificados de cliente RadSec)
4. Cargue el archivo del certificado arrastrándolo y soltándolo (alternativamente, puede hacer clic en el área azul y seleccionar su archivo)
5. Seleccione la opción de verificación del certificado:
* **Autodetección OCSP**: RADIUSaaS intentará inferir la URL del respondedor OCSP a partir de la extensión Authority Information Access (AIA) del certificado de cliente que se utiliza para la autenticación de red. En caso de que no se encuentre ninguna URL del respondedor OCSP o de que el respondedor OCSP no esté disponible, RADIUSaaS considerará la [**fallo suave** ](#ocsp-soft-fail)configuración.
* **OCSP**: Especifique manualmente qué URL del respondedor OCSP se utilizará para cualquier certificado que haya sido emitido por la AC de confianza. Si el respondedor OCSP no está disponible, RADIUSaaS considerará la [**fallo suave** ](#ocsp-soft-fail)configuración.
* **CRL**: Si se selecciona, RADIUSaaS utilizará una CRL en lugar de OCSP para verificar el certificado emitido por la AC. Especifique la codificación de la CRL (**DER** o **PEM**) y los **puntos de distribución de la CRL**.
* **Ninguno:** Si su AC no admite ni OCSP ni CRL, seleccione **Ninguno** para omitir la verificación.
6. Haga clic en **Guardar**
## Eliminar
Para eliminar un certificado, expanda la fila correspondiente, haga clic en **Eliminar** y confirme su elección.
Mostrando la eliminación de un certificado de confianza
## Fallo suave de OCSP
Esta configuración determina cómo se comporta RADIUSaaS cuando no se puede الوصول al respondedor OCSP de su AC de confianza.
{% hint style="danger" %}
Si **deshabilita** esta configuración, las solicitudes de autenticación serán **rechazadas** cuando no se pueda acceder al respondedor OCSP de su AC.
Compruebe [consecuencias-del-fallo-flexible-de-ocsp](https://docs.radiusaas.com/es/otro/faqs/consecuencias-del-fallo-flexible-de-ocsp "mention") para asegurarse de que entiende las implicaciones de esta configuración.
{% endhint %}
{% hint style="info" %}
Tenga en cuenta que esta configuración solo está disponible cuando se **Autodetección OCSP** o **OCSP** selecciona para la verificación del certificado.
{% endhint %}
De forma predeterminada, **recomendamos habilitar el fallo suave de OCSP** para aumentar la disponibilidad del servicio permitiendo que las solicitudes de autenticación se acepten incluso si no se puede acceder al respondedor OCSP. Con este **mecanismo de fallo suave** y, en caso de que OCSP no esté accesible, RADIUSaaS solo comprobará si el certificado entrante fue firmado por una de las [AC de confianza](https://docs.radiusaas.com/es/portal-de-administracion/settings/trusted-roots) y procesará cualquier [Regla](https://docs.radiusaas.com/es/portal-de-administracion/settings/rules).
## Jerarquía PKI escalonada
En un entorno de AC escalonado con varias AC emisoras configuradas, los certificados emitidos por la AC raíz o por cualquier AC emisora obtendrán acceso independientemente de si el certificado fue emitido por la raíz o por la AC emisora. Esto significa que confiar en la raíz confiará automáticamente en los certificados emitidos por cualquiera de las AC emisoras. \
\
Si es necesario controlar el acceso en función de las AC emisoras, esto se puede lograr configurando [las reglas correspondientes](https://docs.radiusaas.com/es/portal-de-administracion/rules#certificate-based-authentication).
### Consideraciones
Al cargar las AC raíz y emisoras de una PKI escalonada, tenga en cuenta lo siguiente:
* El **la AC raíz debe cargarse primero**, antes de cargar cualquier AC emisora derivada de esta AC raíz.
* La AC raíz y las AC emisoras deben cargarse en archivos separados. Cargar cadenas de certificados desde un solo archivo puede provocar un comportamiento inesperado.
## Configuraciones opcionales
### ID de Intune
Es posible utilizar el certificado que cada equipo con Windows 10 recibe de Intune al unirse a Microsoft Entra ID (Azure AD).
{% hint style="danger" %}
Esta configuración es opcional. Si no está familiarizado con los certificados de Intune, ¡no los configure!
{% endhint %}
#### ¿Por qué no recomendamos usar certificados de Intune para fines de autenticación?
* Microsoft no da soporte a los certificados de Intune para otros fines que no sean la administración con Intune.
* El tiempo de validez de los certificados de Intune es de 1 año.
* No existe ningún mecanismo para revocar certificados (como OCSP).
En lugar de usar certificados de Intune, recomendamos usar certificados de una PKI como [SCEPman](https://scepman.com/).
#### Configurar IDs de Intune
{% hint style="danger" %}
Use esta configuración con cuidado. Uno de los siguientes IDs **debe** existir en la extensión del certificado 1.2.840.113556.5.14. Todos los demás certificados serán **rechazados**.
{% endhint %}
Para obtener su ID de inquilino de Intune, siga estos pasos:
* Presione **Windows + R** e introduzca **certlm.msc**
* Vaya a sus certificados personales. Habrá un certificado de uno de los siguientes emisores
* SC Online Issuing
* MDM Device Authority
* Abra este certificado, vaya a **Detalles** y busque la extensión
1.2.840.113556.5.14
* El valor HEX mostrado es su ID de inquilino de Intune.
**Ejemplo:**
El ID de inquilino del siguiente certificado es: **bb4397cb6891c64db17f766487518a6a**
## XML
{% hint style="info" %}
El perfil XML generado por RADIUSaaS habilitará [almacenamiento en caché de PMK](https://docs.radiusaas.com/es/implementacion-de-perfiles/microsoft-intune/wifi-profile/windows#fast-roaming).
{% endhint %}
Hoy en día, la mayoría de las plataformas MDM ofrecen un método asistido por asistente para implementar perfiles de red (WiFi y LAN). Si esto no es posible, o si el asistente proporciona solo opciones de configuración limitadas, puede generar un perfil XML en bruto directamente en la plataforma RADIUSaaS.
* Para generar su **WiFi** perfil XML:
1. Expanda el **XML** menú,
2. seleccione el protocolo de seguridad deseado (WPA2 o WPA3),
3. introduzca su **SSID,**
4. y haga clic en **Descargar**.
* Para generar su **Cableado** perfil XML, haga clic en **Descargar**.
