Loco con el certificado!!

02/01/2006 - 01:16 por Javi | Informe spam
Buenas, estoy probando los certificados en casa, y tengo un par de problemas.

Estoy con el W2003 con una Enterprise CA y todo correcto, en el segundo
ordenador tengo otro W2003 y todo perfecto.
La cosa está en que estoy haciendo VPN con los 2. Por PPTP me funciona
perfectamente, entonces estoy probando los certificados con Ipsec.

La cosa esta en que necesito el certificado Ipsec y certificado de máquina,
con que esta el SERVER02 conectado al dominio, si entro como Administrador
pues puedo pedir el certificado Ipsec y de equipo sin ningún problema, hago
la prueba del VPN y funciona correcto con Ipsec. Si entro con una cuenta de
usuario normal, a la hora de pedir certificado solo me da de USER y EFS.
Cuando lo pruebo me va bien, porque el certificado de equipo es el mismo que
he utilizado antes.

Lo que querría saber en para un usuario normal que privilegios tiene que
tener para que me salga la opción de pedir un certificado Ipsec y de máquina,
ya que me he leido los libros que he podido pero ninguno me lo aclara.

Para el segundo punto, es para que un usuario que no es del dominio (por
ejemplo me quiero conectar con mi ordenador de casa al de la empresa), como
puedo crear una cuenta de equipo para despues exportar e importar en mi
equipo sin que tenga problema, ya que he importado el Ipsec y va bien, pero
me falta el certificado de equipo.

Gracias de antemano.

Preguntas similare

Leer las respuestas

#1 Miguel
02/01/2006 - 02:21 | Informe spam
añade a la plantilla de certificados, en la pestaña de seguridad el usuario
o grupos que podrán pedir el certificado



Miguel
"Javi" escribió en el mensaje
news:
Buenas, estoy probando los certificados en casa, y tengo un par de
problemas.

Estoy con el W2003 con una Enterprise CA y todo correcto, en el segundo
ordenador tengo otro W2003 y todo perfecto.
La cosa está en que estoy haciendo VPN con los 2. Por PPTP me funciona
perfectamente, entonces estoy probando los certificados con Ipsec.

La cosa esta en que necesito el certificado Ipsec y certificado de
máquina,
con que esta el SERVER02 conectado al dominio, si entro como Administrador
pues puedo pedir el certificado Ipsec y de equipo sin ningún problema,
hago
la prueba del VPN y funciona correcto con Ipsec. Si entro con una cuenta
de
usuario normal, a la hora de pedir certificado solo me da de USER y EFS.
Cuando lo pruebo me va bien, porque el certificado de equipo es el mismo
que
he utilizado antes.

Lo que querría saber en para un usuario normal que privilegios tiene que
tener para que me salga la opción de pedir un certificado Ipsec y de
máquina,
ya que me he leido los libros que he podido pero ninguno me lo aclara.

Para el segundo punto, es para que un usuario que no es del dominio (por
ejemplo me quiero conectar con mi ordenador de casa al de la empresa),
como
puedo crear una cuenta de equipo para despues exportar e importar en mi
equipo sin que tenga problema, ya que he importado el Ipsec y va bien,
pero
me falta el certificado de equipo.

Gracias de antemano.

Respuesta Responder a este mensaje
#2 Javi
02/01/2006 - 10:21 | Informe spam
Gracias por contestar Miguel, pero no lo logro, te comento lo que hago para
ver si me puedes decir si hago algo mal.

1. En Certificate Template hago una copia del Computer e Ipsec template para
que me deje meterme en las propiedades de seguridad y le pueda añadir un
usuario normal que es del Domain Users, le dejo la opción de Read, Write y
Enroll.

2. Despues me voy al Certification Authority y en Certification Templates le
doy boton derecho New/Certificate Template to Issue, le doy que eliga el Copy
of Computer y Copy of Ipsec.

Ya con esto debería haber suficiente (creo yo) para que el usuario Luis
pueda pedir el certificado de Computer y el de Ipsec.

3. Me voy al ordenador de Luis, ejecuto el MMC le doy que añada el
Certificate y aquí está el problema, no me deja elegir el Computer Account,
solo me deja el User Account y aquí no puedo añadir la cuenta de equipo.
Me da la opción de Computer Account si le pongo como administrador pero no
es plan.

Haber si sabes lo que es, te lo agradecería mucho ya que llevo liado 1
semana con este problema y estoy ya de los nervios.

Gracias

"Miguel" wrote:

añade a la plantilla de certificados, en la pestaña de seguridad el usuario
o grupos que podrán pedir el certificado



Miguel
"Javi" escribió en el mensaje
news:
> Buenas, estoy probando los certificados en casa, y tengo un par de
> problemas.
>
> Estoy con el W2003 con una Enterprise CA y todo correcto, en el segundo
> ordenador tengo otro W2003 y todo perfecto.
> La cosa está en que estoy haciendo VPN con los 2. Por PPTP me funciona
> perfectamente, entonces estoy probando los certificados con Ipsec.
>
> La cosa esta en que necesito el certificado Ipsec y certificado de
> máquina,
> con que esta el SERVER02 conectado al dominio, si entro como Administrador
> pues puedo pedir el certificado Ipsec y de equipo sin ningún problema,
> hago
> la prueba del VPN y funciona correcto con Ipsec. Si entro con una cuenta
> de
> usuario normal, a la hora de pedir certificado solo me da de USER y EFS.
> Cuando lo pruebo me va bien, porque el certificado de equipo es el mismo
> que
> he utilizado antes.
>
> Lo que querría saber en para un usuario normal que privilegios tiene que
> tener para que me salga la opción de pedir un certificado Ipsec y de
> máquina,
> ya que me he leido los libros que he podido pero ninguno me lo aclara.
>
> Para el segundo punto, es para que un usuario que no es del dominio (por
> ejemplo me quiero conectar con mi ordenador de casa al de la empresa),
> como
> puedo crear una cuenta de equipo para despues exportar e importar en mi
> equipo sin que tenga problema, ya que he importado el Ipsec y va bien,
> pero
> me falta el certificado de equipo.
>
> Gracias de antemano.
>



Respuesta Responder a este mensaje
#3 Guillermo Delprato [MS-MVP]
02/01/2006 - 13:04 | Informe spam
Cuando te conectas con IPSec y certificado, este último no es del usuario
sino del equipo, ya que en este caso hay una doble autenticación: primero
las máquinas y luego el usuario
De por si, los valores por omisión en el caso planteado, la autenticación
del usario se hace por MS-CHAP v2 (XP a W2k3)

El que tenga que hacerlo un administrador, es porque tiene que instalar un
certificado de *máquina*, lo cual afectará a *todos* los usuarios de ese
equipo

IPSec puede usar para autenticación de equipos: Kerberos, certificados, o
clave compartida
Para usar Kerberos, ambas máquinas *deben* estar en el mismo bosque
Para usar Certificados, ambas máquinas deben tener una autoridad
certificador en común, o por lo menos coincidir en una autoridad
certificadora en común en la cadena de certificados. En tu caso no quedaría
más que usar una autoridad certificadora comercial, o que la instales de
tipo "stand-alone" de forma que puedas otorgar certificados a entes externos
El uso de clave compartida, es lo más sencillo, pero su seguridad no se
compara, es mucho menor

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Javi wrote:
Buenas, estoy probando los certificados en casa, y tengo un par de
problemas.

Estoy con el W2003 con una Enterprise CA y todo correcto, en el
segundo ordenador tengo otro W2003 y todo perfecto.
La cosa está en que estoy haciendo VPN con los 2. Por PPTP me funciona
perfectamente, entonces estoy probando los certificados con Ipsec.

La cosa esta en que necesito el certificado Ipsec y certificado de
máquina, con que esta el SERVER02 conectado al dominio, si entro como
Administrador pues puedo pedir el certificado Ipsec y de equipo sin
ningún problema, hago la prueba del VPN y funciona correcto con
Ipsec. Si entro con una cuenta de usuario normal, a la hora de pedir
certificado solo me da de USER y EFS. Cuando lo pruebo me va bien,
porque el certificado de equipo es el mismo que he utilizado antes.

Lo que querría saber en para un usuario normal que privilegios tiene
que tener para que me salga la opción de pedir un certificado Ipsec y
de máquina, ya que me he leido los libros que he podido pero ninguno
me lo aclara.

Para el segundo punto, es para que un usuario que no es del dominio
(por ejemplo me quiero conectar con mi ordenador de casa al de la
empresa), como puedo crear una cuenta de equipo para despues exportar
e importar en mi equipo sin que tenga problema, ya que he importado
el Ipsec y va bien, pero me falta el certificado de equipo.

Gracias de antemano.
Respuesta Responder a este mensaje
#4 Javi
02/01/2006 - 16:59 | Informe spam
Entonces un usuario normal no puede pedir un certificado de equipo? lo tiene
que hacer el administrador?

"Guillermo Delprato [MS-MVP]" wrote:

Cuando te conectas con IPSec y certificado, este último no es del usuario
sino del equipo, ya que en este caso hay una doble autenticación: primero
las máquinas y luego el usuario
De por si, los valores por omisión en el caso planteado, la autenticación
del usario se hace por MS-CHAP v2 (XP a W2k3)

El que tenga que hacerlo un administrador, es porque tiene que instalar un
certificado de *máquina*, lo cual afectará a *todos* los usuarios de ese
equipo

IPSec puede usar para autenticación de equipos: Kerberos, certificados, o
clave compartida
Para usar Kerberos, ambas máquinas *deben* estar en el mismo bosque
Para usar Certificados, ambas máquinas deben tener una autoridad
certificador en común, o por lo menos coincidir en una autoridad
certificadora en común en la cadena de certificados. En tu caso no quedaría
más que usar una autoridad certificadora comercial, o que la instales de
tipo "stand-alone" de forma que puedas otorgar certificados a entes externos
El uso de clave compartida, es lo más sencillo, pero su seguridad no se
compara, es mucho menor

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Javi wrote:
> Buenas, estoy probando los certificados en casa, y tengo un par de
> problemas.
>
> Estoy con el W2003 con una Enterprise CA y todo correcto, en el
> segundo ordenador tengo otro W2003 y todo perfecto.
> La cosa está en que estoy haciendo VPN con los 2. Por PPTP me funciona
> perfectamente, entonces estoy probando los certificados con Ipsec.
>
> La cosa esta en que necesito el certificado Ipsec y certificado de
> máquina, con que esta el SERVER02 conectado al dominio, si entro como
> Administrador pues puedo pedir el certificado Ipsec y de equipo sin
> ningún problema, hago la prueba del VPN y funciona correcto con
> Ipsec. Si entro con una cuenta de usuario normal, a la hora de pedir
> certificado solo me da de USER y EFS. Cuando lo pruebo me va bien,
> porque el certificado de equipo es el mismo que he utilizado antes.
>
> Lo que querría saber en para un usuario normal que privilegios tiene
> que tener para que me salga la opción de pedir un certificado Ipsec y
> de máquina, ya que me he leido los libros que he podido pero ninguno
> me lo aclara.
>
> Para el segundo punto, es para que un usuario que no es del dominio
> (por ejemplo me quiero conectar con mi ordenador de casa al de la
> empresa), como puedo crear una cuenta de equipo para despues exportar
> e importar en mi equipo sin que tenga problema, ya que he importado
> el Ipsec y va bien, pero me falta el certificado de equipo.
>
> Gracias de antemano.



Respuesta Responder a este mensaje
#5 Ivan [MS MVP]
02/01/2006 - 17:25 | Informe spam
"Javi" escribió en el mensaje
news:
Gracias por contestar Miguel, pero no lo logro, te comento lo que hago
para
ver si me puedes decir si hago algo mal.

1. En Certificate Template hago una copia del Computer e Ipsec template
para
que me deje meterme en las propiedades de seguridad y le pueda añadir un
usuario normal que es del Domain Users, le dejo la opción de Read, Write y
Enroll.



En este caso no es necesario realizar una copia de la pantilla, sirve la
plantilla por defecto "IPSec". Solo es necesario editar las propieaddes y
dar permisos de Read, Enroll y Autoenroll al grupo de usuarios adecuado.


2. Despues me voy al Certification Authority y en Certification Templates
le
doy boton derecho New/Certificate Template to Issue, le doy que eliga el
Copy
of Computer y Copy of Ipsec.

Ya con esto debería haber suficiente (creo yo) para que el usuario Luis
pueda pedir el certificado de Computer y el de Ipsec.



Si siempre y cuando ambos equipos esten en el mismo dominio, si no es asi,
debes usar la plantilla "IPSec (Offline request)".


3. Me voy al ordenador de Luis, ejecuto el MMC le doy que añada el
Certificate y aquí está el problema, no me deja elegir el Computer
Account,



Me parece que te estas liando un poco en este punto.. Cuando agregas la
MMC de certificados eliges Compuetr Account y luego desde Cetfificates
(Local Computer)\Personal\Certificates, click derecho, All task, Request New
Certificate, deberias poder seleccionar IPSec.

solo me deja el User Account y aquí no puedo añadir la cuenta de equipo.
Me da la opción de Computer Account si le pongo como administrador pero no
es plan.



De todas formas, si estan en el mismo dominio porque no utilizas el
Autoenrollment ?? es una de las ventajas de usar una CA sobre Windows 2003
EE, la posibilidad de asignar certificados de maquina de forma automatica.

Un saludo.
Ivan
MS MVP ISA Server
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida