Proceso de autenticacin de acceso remoto

Pgina 1 de 6

Proceso de autenticacin de acceso remoto

Cuando se conecta a Internet, la autenticacin de acceso remoto es un proceso que se realiza en un solo paso. El equipo presenta credenciales, que suelen consistir en un nombre de usuario y una contrasea, aceptables para un servidor de acceso remoto del Proveedor de servicios Internet (ISP) y se le concede una conexin a Internet. Cuando se conecta a una red corporativa que utiliza un dominio de Windows, se lleva a cabo un proceso similar de autenticacin de acceso remoto. Pero, en este caso, es necesario un segundo paso de autenticacin. Despus de conectar a la red, los recursos a los que se obtiene acceso, como los servidores de archivos e impresin, solicitarn al equipo las credenciales del dominio cada vez que se intente obtener acceso a ellos. Estas credenciales de red del dominio pueden ser distintas de las credenciales requeridas por el servidor de acceso remoto. Adems, los equipos que ejecutan un sistema operativo seguro como Windows XP requieren credenciales de inicio de sesin para permitir el acceso del usuario al propio equipo. Esto significa que el equipo puede requerir hasta tres conjuntos de credenciales para el acceso remoto: uno para iniciar sesin en el propio equipo; otro para conectar con el servidor de acceso remoto; y un tercero para responder a los desafos de los recursos de la red. Estas credenciales pueden ser las mismas, como se describe a continuacin, pero tambin pueden ser diferentes. Los equipos corporativos de redes seguras suelen ser miembros del dominio. En Windows XP, esto significa que las credenciales que presenta el usuario cuando inicia sesin en el equipo se comprueban en el controlador de dominio antes de conceder al usuario acceso al equipo. Como consecuencia, estas credenciales son las mismas que se necesitan para obtener acceso a los recursos de la red. Para simplificar el acceso remoto, muchas redes corporativas se organizan de forma que el servidor de acceso remoto acepte tambin las mismas credenciales del dominio. Esto permite un inicio de sesin nico para los equipos que pertenecen a un dominio. Un solo conjunto de credenciales desbloquea el equipo, proporciona acceso remoto a la red corporativa y permite el acceso a los recursos de la red una vez establecida la conexin. Para facilitar el uso de credenciales nicas en los equipos que son miembros de un dominio, las conexiones de red en Windows XP se pueden configurar para que presenten las credenciales de inicio de sesin del usuario al servidor de acceso remoto. As se elimina la necesidad de suministrar credenciales especficas para el servidor de acceso remoto. Como las credenciales de inicio de sesin son las mismas que las credenciales del dominio del usuario, las mismas credenciales satisfacen los desafos de los recursos de la red. Sin embargo, los equipos que se encuentran fuera del lugar de trabajo (como los equipos domsticos) no suelen ser miembros de un dominio; por lo tanto, las credenciales de inicio de sesin del usuario que desbloquean el equipo no proporcionan acceso al dominio. Tambin existen casos en los que un servidor de acceso remoto requiere credenciales que son independientes de las credenciales del dominio de la red. En esta situacin, tendra que proporcionar tres credenciales diferentes para iniciar sesin en el equipo, conectar a la red remota y, despus, obtener acceso a los recursos de dicha red. Temas relacionados

Autenticacin y cifrado de datos de la conexin de acceso telefnico

Las opciones de seguridad Tpica (configuracin recomendada) que se seleccionan en la ficha Seguridad componen un conjunto predefinido de mtodos de autenticacin y requisitos de cifrado que se negocian con el servidor durante un intercambio PPP. La tabla siguiente muestra los mtodos de autenticacin y cifrado de datos que puede utilizar con cada combinacin de las selecciones Validar mi identidad como sigue y Requerir cifrado de datos (desconectar si no hay). Tambin puede ver esta configuracin si establece sus requisitos de validacin de identidad y cifrado de datos en Tpica (configuracin recomendada) y, despus, hace clic en la opcin Configuracin en Avanzada (configuracin personalizada). Puede habilitar, configurar y deshabilitar individualmente estas combinaciones de seguridad mediante Avanzada (configuracin personalizada), pero esto requiere que conozca los protocolos de seguridad. Para obtener ms informacin acerca de un mtodo de autenticacin o de cifrado de datos especfico, haga clic en el mtodo en la tabla siguiente. Para obtener informacin acerca de cmo configurar una conexin, consulte Para configurar una conexin. Validar mi identidad con Requerir datos cifrados Mtodos de autenticacin negociados PAP, CHAP, SPAP, MS-CHAP, MS-CHAP v2 CHAP, MS-CHAP, MS-CHAP v2 Exigir cifrado Cifrado opcional (conectar incluso sin cifrado) Cifrado opcional (conectar incluso sin cifrado)

Permitir una contrasea No no segura Requerir una contrasea segura No

file://C:\Documents and Settings\Agus\Configuracin local\Temp\~hh5BD3.htm

06/12/2007

Proceso de autenticacin de acceso remoto

Pgina 2 de 6

Requerir una contrasea segura Tarjeta inteligente Tarjeta inteligente Notas

S No S

MS-CHAP, MS-CHAP v2 EAP/TLS EAP/TLS

Requiere cifrado (desconectar si el servidor no acepta) Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta)

Slo se cifran los datos si se negocia la autenticacin MS-CHAP, MS-CHAP v2 o EAP/TLS. stos son los nicos protocolos de autenticacin que generan sus propias claves de cifrado iniciales, que son necesarias para el cifrado. Cifrado punto a punto de Microsoft (MPPE) cifra los datos en las conexiones de acceso telefnico basadas en PPP. Se aceptan los esquemas de alto nivel (clave de 128 bits) y estndar (clave de 40 bits) de cifrado MPPE. MS-CHAP v2 y EAP son protocolos de autenticacin mutua, lo que significa que tanto el cliente como el servidor demuestran su identidad. Si la conexin est configurada para utilizar MS-CHAP v2 o EAP como el nico mtodo de autenticacin y el servidor al que se conecta no proporciona pruebas de su identidad, la conexin se desconectar. Anteriormente, los servidores podan omitir la autenticacin y, simplemente, aceptar la llamada. Este cambio asegura que puede configurar una conexin para que se conecte con el servidor esperado.

Autenticacin y cifrado de datos en conexiones VPN

Las opciones de seguridad Tpica (configuracin recomendada) que selecciona en la ficha Seguridad componen un conjunto predefinido de mtodos de autenticacin y requisitos de cifrado que se negocian con el servidor durante un intercambio PPP. Las tablas siguientes muestran los mtodos de autenticacin y de cifrado de datos que puede utilizar con cada combinacin de las selecciones Validar mi identidad como sigue y Requerir cifrado de datos (desconectar si no hay). Tambin puede ver esta configuracin si establece sus requisitos de validacin de identidad y cifrado de datos en Tpica (configuracin recomendada) y, despus, hace clic en la opcin Configuracin de Avanzada (configuracin personalizada). Puede habilitar, configurar y deshabilitar individualmente estas combinaciones de configuracin de seguridad mediante Avanzadas, pero esto requiere que conozca los protocolos de seguridad. Para obtener ms informacin acerca de un mtodo de autenticacin o de cifrado de datos especfico, haga clic en el mtodo en la tabla siguiente. Para obtener informacin acerca de la configuracin de una conexin, consulte Para configurar una conexin. Protocolo de tnel punto a punto (PPTP) o servidor de acceso remoto automtico Validar mi identidad Requerir datos con cifrados Requerir una contrasea segura Requerir una contrasea segura Tarjeta inteligente Tarjeta inteligente No S No S Mtodos de autenticacin negociados CHAP, MS-CHAP, MS-CHAP v2 MS-CHAP, MS-CHAP v2 EAP/TLS EAP/TLS

Exigir cifrado Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta) Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta)

Servidor de acceso remoto con Protocolo de tnel de capa dos (L2TP) Validar mi identidad Requerir datos con cifrados Requerir una contrasea segura Requerir una contrasea segura Tarjeta inteligente Tarjeta inteligente Notas No S No S Mtodos de autenticacin negociados CHAP, MS-CHAP, MS-CHAP v2 CHAP, MS-CHAP, MS-CHAP v2 EAP/TLS EAP/TLS

Exigir cifrado Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta) Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta)

file://C:\Documents and Settings\Agus\Configuracin local\Temp\~hh5BD3.htm

06/12/2007

Proceso de autenticacin de acceso remoto

Pgina 3 de 6

En las conexiones VPN con L2TP, los datos se cifran mediante seguridad del Protocolo de Internet (IPSec). Cifrado punto a punto de Microsoft (MPPE) cifra los datos en las conexiones VPN de PPTP. Se aceptan los esquemas de alto nivel (clave de 128 bits) y estndar (clave de 40 bits) de cifrado MPPE. Slo se cifran los datos con MPPE si se negocia la autenticacin MS-CHAP, MS-CHAP v2 o EAP/TLS. stos son los nicos protocolos de autenticacin que generan sus propias claves de cifrado iniciales. MPPE requiere claves comunes en el cliente y en el servidor, como las generadas por estos tipos de autenticacin. MS-CHAP v2 y EAP/TLS son protocolos de autenticacin mutua, lo que significa que tanto el cliente como el servidor demuestran su identidad. Si la conexin est configurada para utilizar MS-CHAP v2 o EAP/TLS como el nico mtodo de autenticacin y el servidor al que se conecta no proporciona pruebas de su identidad, la conexin finalizar. Anteriormente, los servidores podan omitir la autenticacin ante los clientes y, simplemente, aceptar la llamada. Este cambio asegura que puede configurar una conexin para que se conecte con el servidor esperado.

Protocolo de autenticacin de contrasea (PAP)

El Protocolo de autenticacin de contrasea (PAP) es un protocolo de autenticacin simple en el que el nombre de usuario y la contrasea se envan al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseas pueden leerse fcilmente a partir de los paquetes del Protocolo punto a punto (PPP) intercambiados durante el proceso de autenticacin. PAP suele utilizarse nicamente al conectarse a servidores de acceso remoto antiguos basados en UNIX que no admiten otros mtodos de autenticacin. Notas No puede utilizar Cifrado punto a punto de Microsoft (MPPE) si se emplea PAP para autenticar la conexin. Si la conexin est configurada para solicitar una contrasea protegida y se conecta a un servidor configurado nicamente para PAP, el cliente de acceso remoto de Windows XP terminar la conexin. Temas relacionados

Protocolo de autenticacin por desafo mutuo (CHAP)

El Protocolo de autenticacin por desafo mutuo (CHAP) es un mtodo de autenticacin muy utilizado en el que se enva el conocimiento de la contrasea del usuario, no la propia contrasea. Con CHAP, el servidor de acceso remoto enva una cadena de desafo al cliente de acceso remoto. El cliente de acceso remoto utiliza la cadena de desafo y la contrasea del usuario, y calcula un esquema de hash Sntesis del mensaje-5 (MD5). Las funciones o algoritmos de hash se denominan cifrado unidireccional, ya que es fcil calcular el resultado hash para un bloque de datos, pero es inviable matemticamente determinar el bloque de datos original a partir del hash. El hash MD5 se enva entonces al servidor de acceso remoto. El servidor de acceso remoto, que tiene acceso a la contrasea del usuario, realiza el mismo clculo hash y compara el resultado con el hash enviado por el cliente. Si coinciden, las credenciales del cliente de acceso remoto se consideran autnticas. Nota No puede utilizar Cifrado punto a punto de Microsoft (MPPE) si se emplea CHAP para autenticar la conexin. Si est utilizando CHAP y se conecta a un servidor de acceso remoto que ejecuta Windows 2000 y el servicio Enrutamiento y acceso remoto, la cuenta de usuario del cliente debe estar configurada para permitir el almacenamiento de la contrasea en un formato cifrado reversible. Para obtener ms informacin, consulte la Ayuda de Windows 2000 Server. Temas relacionados

Protocolo de autenticacin de contrasea de Shiva (SPAP)

El Protocolo de autenticacin de contrasea de Shiva (SPAP) es un protocolo simple de autenticacin de contrasea cifrada compatible con servidores de acceso remoto de Shiva. Con SPAP, el cliente de acceso remoto enva una contrasea cifrada al servidor de acceso remoto. SPAP utiliza un algoritmo de cifrado bidireccional. El servidor de acceso remoto descifra la contrasea y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto. Nota No puede utilizar Cifrado punto a punto de Microsoft (MPPE) si se emplea PAP para autenticar la conexin. Temas relacionados

Protocolo de autenticacin por desafo mutuo de Microsoft (MS-

file://C:\Documents and Settings\Agus\Configuracin local\Temp\~hh5BD3.htm

06/12/2007

Proceso de autenticacin de acceso remoto

Pgina 4 de 6

CHAP)
Microsoft cre MS-CHAP para autenticar estaciones de trabajo Windows remotas, proporcionando la funcionalidad a la que los usuarios de redes LAN estn habituados e integrando los algoritmos de hash utilizados en las redes Windows. Al igual que CHAP, MS-CHAP utiliza un mecanismo de desafo y respuesta para evitar el envo de la contrasea durante el proceso de autenticacin. MS-CHAP utiliza el algoritmo de hash Sntesis del mensaje 4 (MD4) y el algoritmo de cifrado Estndar de cifrado de datos (DES) para generar el desafo y la respuesta, y ofrece mecanismos para informar de errores de conexin y para cambiar la contrasea del usuario. El paquete de respuesta est en un formato diseado especficamente para funcionar con productos de redes en Windows 95, Windows 98, Windows Millennium Edition, Windows NT, Windows 2000 y Windows XP Professional. Notas Existe una versin de MS-CHAP especfica para conectar con un servidor que ejecuta Windows 95. Debe utilizar esta versin si va a establecer conexin con un servidor que ejecuta Windows 95. Para habilitar esta versin, active la casilla de verificacin Permitir una versin anterior de MS-CHAP para servidores de Windows 95 del cuadro de dilogo Configuracin de seguridad avanzada. A diferencia de CHAP, MS-CHAP no requiere que la contrasea de la cuenta de usuario se almacene en un formato cifrado reversible. Durante el proceso de autenticacin de MS-CHAP se generan las claves de cifrado de secreto compartido para Cifrado punto a punto de Microsoft (MPPE). Temas relacionados

Protocolo de autenticacin por desafo mutuo de Microsoft versin 2 (MS-CHAP v2)

Windows XP acepta el Protocolo de autenticacin por desafo mutuo de Microsoft versin 2 (MS-CHAP v2) MSCHAP v2 proporciona autenticacin mutua, la generacin de claves de cifrado de datos iniciales ms seguras para Cifrado punto a punto de Microsoft (MPPE), y distintas claves de cifrado para los datos enviados y los datos recibidos. Para reducir al mnimo el riesgo de que una contrasea se vea comprometida durante su cambio, no se admiten mtodos ms antiguos que el cambio de contrasea de MS-CHAP. Como MS-CHAP v2 es ms seguro que MS-CHAP, se ofrece antes que MS-CHAP (si est habilitado) para todas las conexiones. MS-CHAP v2 puede utilizarse en equipos que ejecutan Windows XP, Windows 2000, Windows 98, Windows Millennium Edition y Windows NT 4.0. En los equipos que ejecutan Windows 95, MS-CHAP v2 slo se permite para las conexiones VPN, no para las de acceso telefnico. Nota MS-CHAP v2 es un protocolo de autenticacin mutua, lo que significa que tanto el cliente como el servidor deben demostrar que conocen la contrasea del usuario. En primer lugar, el servidor de acceso remoto pide una prueba mediante el envo de un desafo al cliente de acceso remoto. Despus, el cliente de acceso remoto pide una prueba mediante el envo de un desafo al servidor de acceso remoto. Si el servidor no responde correctamente al desafo del cliente para as demostrar que conoce la contrasea del usuario, el cliente termina la conexin. Sin la autenticacin mutua, un cliente de acceso remoto no podra detectar una conexin con un servidor de acceso remoto de representacin. Temas relacionados

Protocolo de autenticacin extensible (EAP)

El Protocolo de autenticacin extensible (EAP) es una extensin del Protocolo punto a punto (PPP) que admite mtodos de autenticacin arbitrarios que utilizan intercambios de credenciales e informacin de longitudes arbitrarias. EAP se desarroll como respuesta a una creciente demanda de mtodos de autenticacin que utiliza otros dispositivos de seguridad y ofrece una arquitectura estndar para permitir mtodos de autenticacin adicionales dentro de PPP. Al utilizar EAP, se pueden agregar varios esquemas de autenticacin conocidos como tipos de EAP, entre los que se incluyen tarjetas de identificacin, contraseas de un solo uso, autenticacin por clave pblica mediante tarjetas inteligentes, certificados y otros. EAP, junto con los tipos de EAP seguros, es un componente tecnolgico crtico para las conexiones de red privada virtual (VPN) seguras. Los tipos de EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques fsicos o de diccionario, y de investigacin de contraseas, que otros mtodos de autenticacin basados en contrasea, como CHAP o MSCHAP. Para averiguar si se est utilizando un tipo de EAP en su organizacin, pngase en contacto con el

file://C:\Documents and Settings\Agus\Configuracin local\Temp\~hh5BD3.htm

06/12/2007

Proceso de autenticacin de acceso remoto

Pgina 5 de 6

administrador de la red. Windows XP incluye compatibilidad con dos tipos de EAP: EAP-MD5 CHAP (equivalente al protocolo de autenticacin CHAP) EAP-TLS utilizado para autenticacin basada en certificados de usuario. EAP-TLS es un mtodo de autenticacin mutua, lo que significa que tanto el cliente como el servidor deben demostrar sus identidades uno a otro. Durante el intercambio EAP-TLS, el cliente de acceso remoto enva su certificado de usuario y el servidor de acceso remoto enva su certificado de equipo. Si el certificado no se enva o no es vlido, se termina la conexin. Notas Durante el proceso de autenticacin de EAP-TLS se generan las claves de cifrado de secreto compartido para Cifrado punto a punto de Microsoft (MPPE). Temas relacionados

Autenticacin por tarjeta inteligente y otros certificados

Si tiene un certificado instalado en el almacn de certificados del equipo o en una tarjeta inteligente, y el Protocolo de autenticacin extensible (EAP) est habilitado, puede utilizar autenticacin basada en certificados en un nico proceso de inicio de sesin en la red, lo que proporciona un almacenamiento resistente a intrusos para la informacin de autenticacin. Un certificado es un conjunto de credenciales de autenticacin cifradas. El certificado incluye una firma digital de la entidad emisora de certificados que ha emitido el certificado. En el proceso de autenticacin por certificado, el equipo presenta su certificado al servidor y el servidor presenta su certificado al equipo; por tanto, la autenticacin es mutua. Los certificados se autentican con una clave pblica para comprobar la firma digital, que est contenida en un certificado de una entidad raz en la que se confa almacenado en su equipo. Estos certificados raz son el fundamento de la comprobacin de certificados y slo debe proporcionarlos un administrador del sistema. Se proporciona un nmero de certificados raz de confianza. Slo debe agregar o quitar certificados raz en los que se confa si se lo aconseja el administrador del sistema. Los certificados pueden residir en el almacn de certificados del equipo o en una tarjeta inteligente. Una tarjeta inteligente es un dispositivo del tamao de una tarjeta de crdito que se inserta en lector de tarjetas inteligentes, que puede estar instalado internamente en el equipo o conectado de forma externa. Al establecer las opciones de seguridad de una conexin puede optar por utilizar una tarjeta inteligente u otro certificado, y puede especificar ciertos requisitos de los certificados. Por ejemplo, puede especificar que el certificado del servidor tiene que ser validado o especificar la entidad emisora raz de certificados del servidor, en la que se tiene un alto grado de confianza. Cuando crea una nueva conexin mediante el Asistente para conexin nueva y tiene instalado un lector de tarjetas inteligentes, el sistema operativo lo detectar y le preguntar si desea utilizarlo como mtodo de autenticacin para la conexin. Si decide no utilizar la tarjeta inteligente en el momento de crear la conexin, puede modificar la conexin posteriormente para que utilice la tarjeta inteligente u otro certificado. Para obtener ms informacin, consulte Para habilitar la autenticacin con tarjeta inteligente u otro certificado. Si es miembro de un dominio de Active Directory y necesita pedir un certificado, consulte Para solicitar un certificado. Si no es miembro de un dominio de Active Directory activo o necesita pedir un certificado desde Internet, consulte Para enviar una solicitud de certificado a travs del Web. Para obtener informacin acerca de usuarios mviles y certificados, consulte Usuarios mviles y certificados. Para habilitar la tarjeta inteligente y otros certificados 1. 2. Abra Conexiones de red. Haga clic en la conexin entrante, de acceso telefnico o de red privada virtual en la que desee utilizar la tarjeta inteligente u otros certificados y, a continuacin, en Tareas de red, haga clic en Cambiar la configuracin de esta conexin. Si va a utilizar una configuracin tpica para la tarjeta inteligente, en la ficha Seguridad, haga clic en Tpica (configuracin recomendada) y, en Validar mi identidad como sigue, haga clic en Usar tarjeta inteligente. Si va a habilitar, configurar o deshabilitar los mtodos de autenticacin y los requisitos de cifrado de forma individual, en la ficha Seguridad, haga clic en Avanzada (configuracin personalizada), haga clic en Configuracin y, a continuacin, realice las acciones siguientes: En Seguridad de inicio de sesin, haga clic en Usar el Protocolo de autenticacin extensible (EAP), haga clic en Tarjeta inteligente u otros certificados (cifrado habilitado), haga clic en Propiedades y, a continuacin, realice las acciones siguientes: 1. 2. Si desea utilizar el certificado que reside en la tarjeta inteligente, haga clic en Usar mi tarjeta inteligente. Si desea utilizar el certificado que reside en el almacn de certificados de su equipo, haga clic en

3.

4.

file://C:\Documents and Settings\Agus\Configuracin local\Temp\~hh5BD3.htm

06/12/2007

Proceso de autenticacin de acceso remoto

Pgina 6 de 6

Usar un certificado en este equipo. 3. Si desea comprobar que el certificado de servidor presentado al equipo no ha caducado, tiene la firma correcta y utiliza una entidad emisora de certificados de confianza, active la casilla de verificacin Validar un certificado de servidor. Si slo desea conectar con servidores de un dominio determinado, active la casilla de verificacin Conectar siempre que el nombre del equipo termine por y, despus, escriba el nombre del dominio. Para especificar que la entidad emisora del certificado raz del servidor debe ser una especfica, en Entidad emisora raz de confianza, haga clic en la entidad emisora de certificados apropiada. Para utilizar un nombre de usuario diferente cuando el nombre de usuario de la tarjeta inteligente o el certificado no es el mismo que el nombre de usuario del dominio en el va a iniciar sesin, active la casilla de verificacin Use un nombre de usuario distinto para la conexin.

4.

5. 6.

Notas Para abrir Conexiones de red, haga clic en Inicio, Panel de control, Conexiones de red e Internet y, a continuacin, en Conexiones de red. Por ejemplo, si slo desea conectar con servidores que residan en Microsoft.com, escriba Microsoft.com en Conectar siempre que el nombre del equipo termine por. Por ejemplo, si est trabajando para una compaa consultora en la que tiene que iniciar sesin en el dominio de la compaa a la que est asignado, pero su tarjeta inteligente contiene un nombre de usuario especfico de su compaa, active la casilla de verificacin Usar un nombre de usuario distinto para la conexin. Si activa la casilla de verificacin Usar un nombre de usuario distinto para la conexin, su certificado se exporta sin claves privadas y se enva al administrador del sistema para que lo asigne explcitamente a su cuenta de usuario de dominio. Para obtener ms informacin, haga clic en Temas relacionados. Si activa la casilla de verificacin Conectar siempre que el nombre del equipo termine por y no escribe un nombre de dominio, en el momento de conectar se le pide que utilice el nombre de dominio en el certificado de servidor. Temas relacionados

Usuarios mviles y certificados

Si es usted un usuario mvil, necesitar habilitar el uso de certificados en su PC. A menos que el administrador del sistema haya configurado previamente el equipo con certificados de equipo y de usuario antes de que usted lo recibiera, debe conectar con la red corporativa mediante mtodos de autenticacin convencionales basados en contraseas para obtener sus certificados de equipo y de usuario. Al conectar, une su PC al dominio corporativo, obtiene certificados y establece la directiva de certificados. La prxima vez que se conecte a la red corporativa, puede utilizar mtodos de autenticacin basados en certificados, como EAP. Para habilitar el uso de certificados en un equipo, realice las acciones siguientes: 1. Conecte con la red corporativa a travs de una conexin de red de acceso telefnico o PPTP, y protocolos de autenticacin como MS-CHAP o MS-CHAP v2. Al conectar, el nombre de su equipo se une al dominio corporativo y recibe los certificados de equipo. Solicite un certificado de usuario. Para obtener ms informacin acerca de cmo pedir certificados, consulte Para solicitar un certificado, Para enviar una solicitud de certificado de usuario a travs del Web y Solicitar certificados. Cree otra conexin que utilice autenticacin basada en certificados y vuelva a conectar mediante mtodos de autenticacin basados en certificados, como EAP o IPSec. Para obtener informacin acerca de cmo habilitar el uso de tarjetas inteligentes u otros certificados en una conexin, consulte Para habilitar la autenticacin con tarjeta inteligente y otros certificados.

2.

3.

Puede evitar estos pasos si el administrador del sistema carga los certificados de equipo y de usuario en su PC antes de entregrselo cuando salga de viaje. Nota Para recibir certificados de equipo de forma automtica, debe implementar directivas de clave pblica (mediante Directiva de grupo) que inscriban automticamente los equipos en la recepcin de certificados. Si el proceso del certificado de equipo no est automatizado, debe iniciar una sesin en su equipo como Administrador, instalar Servicios de certificados y solicitar un certificado de equipo. Para obtener ms informacin, consulte Para administrar los certificados de un equipo y Para administrar los certificados de su cuenta de usuario.

file://C:\Documents and Settings\Agus\Configuracin local\Temp\~hh5BD3.htm

06/12/2007