Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

EAP TLS y autenticar un winxp como equipo

BocaDePez
BocaDePez

Tengo una red wifi con autenticacion EAP-TLS activada (esto es, necesito un certificado para entrar). La cosa es que para cada usuario instalo el certificado correpondiente en sus almacenes y se utentica bien y todo funciona, El problema es cuando el usuario no tiene el certificado instalado o en la pantalla de login que no hay usuario no consigo que se autentique. En las opciones del adaptador hay una casilla que pone (autenticar como equipo cuando la informacion de equipo este disponible". Para que la informacion de equipo este disponible donde tengo que poner el certificado? (en el alamacen de que usuario?) He probado en el del sistema, en el de servicios de red... y nada. En el CN (common name) del certificado que tengo que poner? el fqdn del ordenador (odernador.dominio.com) o solo nombre del ordenador? En propiedades del pc tengo configurado el fqdn y tengo servicios dns (tambien resolucion inversa) dentro de la red.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
BocaDePez
BocaDePez

En vista que nadie me ha respondido resumo mi consulta de la siguiente manera:

¿Donde tengo que instalar el certificado para que el windows lo encuentre y me identifique como equipo sin tener que instalar el certificado usuario por usuario? ¿Hay alguna directiva de seguridad relativa a esto?

Le estare muy agradecido a cualquier persona que me ayude.

🗨️ 2
BocaDePez
BocaDePez

Vamos a ver, para hacer EAP-TLS con certificados de cliente (pc) no de usuario, tienes que instalar el certificado del pc en el almacen de certificados del pc, este almacen lo ves si por ejemplo, abres la mmc (ejecutar-->mmc) y añades la pestaña de certificados, te pregunta si quieres ver la del usuario local o el equipo local, y alli estará su certificado.
lo mas comodo para hacer esto, es usar la autoridad de cert de microsoft, en un servidor y en la politica de grupo del dominio definir la politica de autoenrollment para estaciones de trabajo (en esp. creo que es subscripcion automatica), así al dar de alta en el dominio, le genera una solicitud de certificado en la CA y esta le manda su certificado......
Con este certificado, y definiendo la correspondiente politica en el IAS (o el radius que utilizes), te autenticará......
Yo esto solo lo he podido hacer con XP y usando el servicio de conf inalabrica de windows,ya q la utilidad de las tarjetas que yo he visto, solo busca certificados en el almacen del usuario que se ha logeado y no ve los de la máquina.
Espero que te sirva.
Saludos
Jesus

🗨️ 1
BocaDePez
BocaDePez

El certificado ya lo meto en el alamcen del PC, pero no lo encuentra y me dice que "windows no ha encontrado un certificado para autenticar" (o algo asi). En cambio si lo meto en el almacen personal del usuario que este en ese momento logeado si que lo encuentra y me autentica. Entonces lo que he podido deducir es que no meto el certificado en el sistio adecuado, por lo que en vez de la cuenta de sistema he probado la cuenta de varios servicios relacionados con la red sin resultado. Alguien sabe donde tengo que meter el certificado?

BocaDePez
BocaDePez

Jodete, jajajjaja

🗨️ 1
BocaDePez
BocaDePez

Por que?