Certificados de confianza

Tipos de certificados de confianza

AC de confianza para autenticación de cliente

Las AC de confianza para autenticación de cliente establecen la confianza entre las AC que emiten certificados de autenticación de cliente para sus dispositivos finales y RADIUSaaS.

Certificados de conexión RadSec de confianza

RadSec en sí funciona con autenticación mutua mediante certificados (mTLS). Esto significa que, por un lado, sus autenticadores deben confiar en RADIUSaaS y, por otro lado, RADIUSaaS debe saber qué autenticadores son de confianza para que se pueda establecer una conexión RadSec válida. Los certificados de conexión RadSec de confianza garantizan que RADIUSaaS solo confíe en los autenticadores que usted especifique.

Certificado RadSec de confianza preinstalado

Debido a lo anterior, siempre verá al menos un certificado de confianza RadSec que establece la confianza con su Los proxies RADIUS (que en la práctica actúan como clientes RadSec). Para garantizar que sus proxies puedan iniciarse correctamente y puedan establecer una conexión con su instancia, no puede eliminarlo.

Agregar

Para agregar un nuevo certificado de confianza, siga estos pasos:

1. Haga clic en Agregar

2. Seleccione si desea importar el certificado de confianza

   • desde SCEPman (proporcionando la URL de su instancia de SCEPman), o

   • desde cualquier otra AC (cargando un archivo de certificado codificado en PEM o DER)

3. Seleccione el tipo de certificado de confianza en Usar para:

   • Autenticación de cliente

   • RadSec

   • Ambos (útil si la misma AC emite sus certificados de autenticación de cliente y sus certificados de cliente RadSec)

4. Cargue el archivo del certificado arrastrándolo y soltándolo (alternativamente, puede hacer clic en el área azul y seleccionar su archivo)

5. Seleccione la opción de verificación del certificado:

   • Autodetección OCSP: RADIUSaaS intentará inferir la URL del respondedor OCSP a partir de la extensión Authority Information Access (AIA) del certificado de cliente que se utiliza para la autenticación de red. En caso de que no se encuentre ninguna URL del respondedor OCSP o de que el respondedor OCSP no esté disponible, RADIUSaaS considerará la fallo suave configuración.

   • OCSP: Especifique manualmente qué URL del respondedor OCSP se utilizará para cualquier certificado que haya sido emitido por la AC de confianza. Si el respondedor OCSP no está disponible, RADIUSaaS considerará la fallo suave configuración.

   • CRL: Si se selecciona, RADIUSaaS utilizará una CRL en lugar de OCSP para verificar el certificado emitido por la AC. Especifique la codificación de la CRL (DER o PEM) y los puntos de distribución de la CRL.

   • Ninguno: Si su AC no admite ni OCSP ni CRL, seleccione Ninguno para omitir la verificación.

6. Haga clic en Guardar

Eliminar

Para eliminar un certificado, expanda la fila correspondiente, haga clic en Eliminar y confirme su elección.

Fallo suave de OCSP

Esta configuración determina cómo se comporta RADIUSaaS cuando no se puede الوصول al respondedor OCSP de su AC de confianza.

De forma predeterminada, recomendamos habilitar el fallo suave de OCSP para aumentar la disponibilidad del servicio permitiendo que las solicitudes de autenticación se acepten incluso si no se puede acceder al respondedor OCSP. Con este mecanismo de fallo suave y, en caso de que OCSP no esté accesible, RADIUSaaS solo comprobará si el certificado entrante fue firmado por una de las AC de confianza y procesará cualquier Regla.

Jerarquía PKI escalonada

En un entorno de AC escalonado con varias AC emisoras configuradas, los certificados emitidos por la AC raíz o por cualquier AC emisora obtendrán acceso independientemente de si el certificado fue emitido por la raíz o por la AC emisora. Esto significa que confiar en la raíz confiará automáticamente en los certificados emitidos por cualquiera de las AC emisoras. Si es necesario controlar el acceso en función de las AC emisoras, esto se puede lograr configurando las reglas correspondientes.

Consideraciones

Al cargar las AC raíz y emisoras de una PKI escalonada, tenga en cuenta lo siguiente:

• El la AC raíz debe cargarse primero, antes de cargar cualquier AC emisora derivada de esta AC raíz.

• La AC raíz y las AC emisoras deben cargarse en archivos separados. Cargar cadenas de certificados desde un solo archivo puede provocar un comportamiento inesperado.

Configuraciones opcionales

ID de Intune

Es posible utilizar el certificado que cada equipo con Windows 10 recibe de Intune al unirse a Microsoft Entra ID (Azure AD).

¿Por qué no recomendamos usar certificados de Intune para fines de autenticación?

• Microsoft no da soporte a los certificados de Intune para otros fines que no sean la administración con Intune.

• El tiempo de validez de los certificados de Intune es de 1 año.

• No existe ningún mecanismo para revocar certificados (como OCSP).

En lugar de usar certificados de Intune, recomendamos usar certificados de una PKI como SCEPman.

Configurar IDs de Intune

Para obtener su ID de inquilino de Intune, siga estos pasos:

• Presione Windows + R e introduzca certlm.msc

• Vaya a sus certificados personales. Habrá un certificado de uno de los siguientes emisores

  • SC Online Issuing

  • MDM Device Authority

• Abra este certificado, vaya a Detalles y busque la extensión

  1.2.840.113556.5.14

• El valor HEX mostrado es su ID de inquilino de Intune.

Ejemplo:

El ID de inquilino del siguiente certificado es: bb4397cb6891c64db17f766487518a6a

XML

Hoy en día, la mayoría de las plataformas MDM ofrecen un método asistido por asistente para implementar perfiles de red (WiFi y LAN). Si esto no es posible, o si el asistente proporciona solo opciones de configuración limitadas, puede generar un perfil XML en bruto directamente en la plataforma RADIUSaaS.

• Para generar su WiFi perfil XML:

  1. Expanda el XML menú,

  2. seleccione el protocolo de seguridad deseado (WPA2 o WPA3),

  3. introduzca su SSID,

  4. y haga clic en Descargar.

• Para generar su Cableado perfil XML, haga clic en Descargar.