Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Usar certificados digitales

Cuando se usa la autenticación EAP, tanto el cliente como el servidor deben comprobar la identidad del otro. El cliente debe confiar en el servidor con el que se está comunicando y el servidor debe autenticar al cliente. El certificado de servidor es el primer paso en este proceso de autenticación mutua, y el cliente debe validarlo o confiar en él antes de continuar con la comunicación.

Si echamos un vistazo a cualquier transacción EAP (digamos EAP-TLS o EAP-TTLS), independientemente de si se trata de autenticación inalámbrica o por cable, el primer paso es que el servidor se identifique enviando un mensaje de "Server Hello" al dispositivo cliente.

Cuando un dispositivo cliente recibe un certificado de servidor, examina la lista de entidades de certificación (CA) de confianza en el perfil de Wi-Fi o LAN y comprueba si el certificado de servidor está firmado por una de las CA de confianza. Opcionalmente, si está configurado, comprueba si el nombre del servidor coincide con la lista de nombres de servidor de confianza en la configuración del cliente.

Se recomienda no omitir el paso de validación y el certificado de servidor de confianza. Este es un alto riesgo de seguridad y puede abrir ataques MITM (Man in the middle).

Puede utilizar uno de los siguientes métodos para generar y usar certificados para el servidor RADIUS integrado con Juniper Mist Access Assurance para cada organización.

  • Certificado de CA: Juniper Mist requiere certificados de CA específicos para establecer confianza con los dispositivos cliente. Estos certificados, emitidos por autoridades de certificación (CA) de confianza, permiten que Juniper Mist Access Assurance otorgue acceso de red a los dispositivos cliente. La validación de los dispositivos cliente por parte de Juniper Mist se basa en la presentación de certificados por parte de los dispositivos, que deben estar firmados por la misma CA.
  • Certificado predeterminado de Juniper Mist Access Assurance: la organización de Mist mantiene su autoridad de certificación (CA) de Mist única y privada responsable de emitir el certificado del servidor de Access Assurance. En ausencia de configuraciones específicas, los clientes recibirán un certificado predeterminado autenticado por sus respectivas CA de la organización de Mist. Este certificado corresponde al dominio "auth.mist.com".
  • Certificado de servidor personalizado: el certificado de servidor personalizado se prefiere cuando prefiere no modificar la configuración de cliente actual y desea que los clientes confíen en los certificados de servidor emitidos por la misma autoridad de certificación (CA) que proporcionó los certificados de cliente. Debe introducir la clave privada y el certificado firmado que obtuvo del servidor RADIUS.

Lea los siguientes procedimientos para comprender cómo usar los certificados anteriores.

Usar certificado de entidad de certificación (CA)

Para que funcione la autenticación basada en certificados del Protocolo de autenticación extensible y seguridad de la capa de transporte (EAP-TLS), debe agregar el certificado de CA de confianza en el portal de Juniper Mist.

Este paso permite que la autenticación de acceso de Juniper Mist confíe en los certificados de cliente firmados por las CA agregadas.

Puede obtener el certificado de una CA externa. La CA puede ser una CA pública conocida o una CA empresarial.

Vea el siguiente vídeo para obtener información sobre cómo generar un certificado para pruebas o uso en laboratorio:

Para agregar un certificado de CA:

  1. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > certificados de acceso >.
    Aparece la página Entidades emisoras de certificados con una lista de certificados.
  2. Haga clic en Agregar entidad emisora de certificados.
  3. Pegue el certificado de CA en el campo Certificado firmado.
    Figura 1: Agregar entidad de certificación Add Certificate Authority

    El texto debe incluir las —–BEGIN CERTIFICATE—– líneas y —–END CERTIFICATE—– .

    El sistema analiza y decodifica el certificado de CA importado y muestra las propiedades del certificado en el panel Propiedades . Le recomendamos que agregue su CA raíz, así como todas las CA intermedias o certificados emisores.

Usar certificado de servidor predeterminado de Juniper Mist Access Assurance

La nube de Juniper Mist actúa como una autoridad de certificación (CA) privada para cada organización agregada a la nube de Juniper Mist. Juniper Mist emite un certificado de servidor. Si no se configura ningún certificado, el portal de Juniper Mist presenta un certificado de servidor predeterminado firmado por la CA de Juniper Mist a los dispositivos cliente.

El certificado se emitirá para el nombre auth.mist.com y muestra la información similar a la que se ve en la figura 2.

Figura 2: Certificado de servidor emitido por Mist Access Assurance Server Certificate Issued by Mist Access Assurance
En el lado del cliente, debe configurar los dispositivos cliente para que confíen en el certificado de CA de Mist y, opcionalmente, validar el nombre del certificado del servidor como auth.mist.com.

Para descargar el certificado de servidor de Juniper Mist:

  1. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > Acceso > certificados.
    Aparece la página Entidades emisoras de certificados con una lista de certificados.
  2. Haga clic en Ver certificado de Mist.
    La pantalla muestra los detalles del certificado firmado . Copie el contenido del certificado del campo Certificado firmado .
    Figura 3: Ver y copiar el certificado View and Copy Mist Certificate de Mist
  3. Almacene el contenido del certificado en el equipo local y agregue la extensión .crt o .cer en el nombre de archivo. Por ejemplo: mymistorgca.crt.
  4. Importe el archivo de certificado a todos los dispositivos cliente como un certificado raíz de confianza.

    Una vez que configure un dispositivo cliente para que confíe en el certificado de CA de Juniper Mist, puede usar el certificado hasta que el certificado sea válido.

Usar certificados de servidor personalizados

Es posible que ya tenga una PKI y desee mantener la configuración existente sin interrupciones. En tal caso, debe cargar el certificado público de su CA raíz y el par de claves pública/privada del servidor RADIUS en el portal de Juniper Mist.

Asegúrese de que los dispositivos cliente también utilizan los mismos certificados para que el servidor RADIUS valide el certificado de cada cliente (solicitante). Realice esta tarea si desea mantener la configuración actual de los clientes sin cambios y desea que los clientes confíen en el certificado de servidor emitido por la misma CA que emitió sus certificados.

Para cargar su certificado en el portal de Juniper Mist:

  1. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > acceder > certificados.
    Aparece la página con una lista de certificados.
  2. Haga clic en Importar certificado RADIUS personalizado para abrir la página del certificado.
    Figura 4: Importar certificado Import Custom RADIUS Server Certificate de servidor RADIUS personalizado
  3. En la página Importar certificado de servidor RADIUS personalizado, escriba los detalles del certificado de CA:
    Figura 5: Ingresar detalles Enter Custom Server Certificate Details del certificado de servidor personalizado
    • Clave privada: copie y pegue la información de la clave privada. El texto debe incluir las BEGIN RSA PRIVATE KEY líneas y END RSA PRIVATE KEY .
    • Contraseña de clave privada: introduzca la frase de contraseña de la clave privada (si está disponible).
    • Certificado firmado: copia y pega el certificado como texto. Asegúrese de incluir todas las CA intermedias y el certificado de CA raíz. El texto debe incluir las —–BEGIN CERTIFICATE—– líneas y —–END CERTIFICATE—– .
  4. Haga clic en Guardar.
  5. Configure los dispositivos cliente para que confíen en la entidad de certificación (CA) raíz que firmó el certificado de servidor.
    Con este paso, se asegura de que cuando actualice o cambie el certificado de servidor (lo que suele hacerse cada año o después de unos años), los dispositivos cliente confíen en el nuevo certificado de servidor porque confían en la CA principal que lo firmó.

Guidelines for using custom server certificates:

  • Do not use a wildcard certificate, for example: *.abc.com for 802.1X authentication.
  • You can use a certificate that contains a common name (CN) or a subject alternative name (SAN) for 802.1X authentication..
  • We recommend the following x509 extension attributes. The majority of the client device operating systems support these extensions.
    • Use certificate version 3 or v3 (not legacy v1)
    • If the server name is being used as a validation criterion on the client side, then the certificate should include the SAN extension with the DNS name of the server.
    • Include Extended Key Usage as a TLS web server authentication criterion (required for most Android devices).

Ahora puede seguir adelante con el proceso de autenticación basada en certificados.