Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Loco con el certificado!!

02/01/2006 - 01:16 por Javi | Informe spam
Ayuda Hacer una pregunta
Buenas, estoy probando los certificados en casa, y tengo un par de problemas.

Estoy con el W2003 con una Enterprise CA y todo correcto, en el segundo
ordenador tengo otro W2003 y todo perfecto.
La cosa está en que estoy haciendo VPN con los 2. Por PPTP me funciona
perfectamente, entonces estoy probando los certificados con Ipsec.

La cosa esta en que necesito el certificado Ipsec y certificado de máquina,
con que esta el SERVER02 conectado al dominio, si entro como Administrador
pues puedo pedir el certificado Ipsec y de equipo sin ningún problema, hago
la prueba del VPN y funciona correcto con Ipsec. Si entro con una cuenta de
usuario normal, a la hora de pedir certificado solo me da de USER y EFS.
Cuando lo pruebo me va bien, porque el certificado de equipo es el mismo que
he utilizado antes.

Lo que querría saber en para un usuario normal que privilegios tiene que
tener para que me salga la opción de pedir un certificado Ipsec y de máquina,
ya que me he leido los libros que he podido pero ninguno me lo aclara.

Para el segundo punto, es para que un usuario que no es del dominio (por
ejemplo me quiero conectar con mi ordenador de casa al de la empresa), como
puedo crear una cuenta de equipo para despues exportar e importar en mi
equipo sin que tenga problema, ya que he importado el Ipsec y va bien, pero
me falta el certificado de equipo.

Gracias de antemano.
email Siga el debateRespuesta 10 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#6 Guillermo Delprato [MS-MVP]
02/01/2006 - 23:22 | Informe spam
Exacto. Habría que investigar a ver si se pudiera delegar este privilegio,
pero lo veo difícil

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Javi wrote:
Entonces un usuario normal no puede pedir un certificado de equipo?
lo tiene que hacer el administrador?

"Guillermo Delprato [MS-MVP]" wrote:

Cuando te conectas con IPSec y certificado, este último no es del
usuario sino del equipo, ya que en este caso hay una doble
autenticación: primero las máquinas y luego el usuario
De por si, los valores por omisión en el caso planteado, la
autenticación del usario se hace por MS-CHAP v2 (XP a W2k3)

El que tenga que hacerlo un administrador, es porque tiene que
instalar un certificado de *máquina*, lo cual afectará a *todos* los
usuarios de ese equipo

IPSec puede usar para autenticación de equipos: Kerberos,
certificados, o clave compartida
Para usar Kerberos, ambas máquinas *deben* estar en el mismo bosque
Para usar Certificados, ambas máquinas deben tener una autoridad
certificador en común, o por lo menos coincidir en una autoridad
certificadora en común en la cadena de certificados. En tu caso no
quedaría más que usar una autoridad certificadora comercial, o que
la instales de tipo "stand-alone" de forma que puedas otorgar
certificados a entes externos El uso de clave compartida, es lo más
sencillo, pero su seguridad no se compara, es mucho menor

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume
all risk for your use.




Javi wrote:
Buenas, estoy probando los certificados en casa, y tengo un par de
problemas.

Estoy con el W2003 con una Enterprise CA y todo correcto, en el
segundo ordenador tengo otro W2003 y todo perfecto.
La cosa está en que estoy haciendo VPN con los 2. Por PPTP me
funciona perfectamente, entonces estoy probando los certificados
con Ipsec.

La cosa esta en que necesito el certificado Ipsec y certificado de
máquina, con que esta el SERVER02 conectado al dominio, si entro
como Administrador pues puedo pedir el certificado Ipsec y de
equipo sin ningún problema, hago la prueba del VPN y funciona
correcto con Ipsec. Si entro con una cuenta de usuario normal, a la
hora de pedir certificado solo me da de USER y EFS. Cuando lo
pruebo me va bien, porque el certificado de equipo es el mismo que
he utilizado antes.

Lo que querría saber en para un usuario normal que privilegios tiene
que tener para que me salga la opción de pedir un certificado Ipsec
y de máquina, ya que me he leido los libros que he podido pero
ninguno me lo aclara.

Para el segundo punto, es para que un usuario que no es del dominio
(por ejemplo me quiero conectar con mi ordenador de casa al de la
empresa), como puedo crear una cuenta de equipo para despues
exportar e importar en mi equipo sin que tenga problema, ya que he
importado el Ipsec y va bien, pero me falta el certificado de
equipo.

Gracias de antemano.
Respuesta Responder a este mensaje
#7 Javi
02/01/2006 - 23:46 | Informe spam
Entonces una cosa, si yo desde mi casa (que no pertenezco al dominio ni
nada)quiero hacer VPN con certificados, el problema está en que no puedo
pedir certificado ni nada, ¿hay alguna forma de pedir un certificado de
equipo e Ipsec y llevarmelo a casa?. Se que se puede pedir, por ejemplo me
hago uno de cada con la cuenta administrador. Pero el problema será en que no
se si ese certificado funcionará en mi equipo de casa, es que lo he probado
pero no me lo acepta, no se si hará algo mas o no se puede hacer.
El VPN Ipsec con contraseña compartida si que va, pero no hay seguridad.

"Guillermo Delprato [MS-MVP]" wrote:

Exacto. Habría que investigar a ver si se pudiera delegar este privilegio,
pero lo veo difícil

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Javi wrote:
> Entonces un usuario normal no puede pedir un certificado de equipo?
> lo tiene que hacer el administrador?
>
> "Guillermo Delprato [MS-MVP]" wrote:
>
>> Cuando te conectas con IPSec y certificado, este último no es del
>> usuario sino del equipo, ya que en este caso hay una doble
>> autenticación: primero las máquinas y luego el usuario
>> De por si, los valores por omisión en el caso planteado, la
>> autenticación del usario se hace por MS-CHAP v2 (XP a W2k3)
>>
>> El que tenga que hacerlo un administrador, es porque tiene que
>> instalar un certificado de *máquina*, lo cual afectará a *todos* los
>> usuarios de ese equipo
>>
>> IPSec puede usar para autenticación de equipos: Kerberos,
>> certificados, o clave compartida
>> Para usar Kerberos, ambas máquinas *deben* estar en el mismo bosque
>> Para usar Certificados, ambas máquinas deben tener una autoridad
>> certificador en común, o por lo menos coincidir en una autoridad
>> certificadora en común en la cadena de certificados. En tu caso no
>> quedaría más que usar una autoridad certificadora comercial, o que
>> la instales de tipo "stand-alone" de forma que puedas otorgar
>> certificados a entes externos El uso de clave compartida, es lo más
>> sencillo, pero su seguridad no se compara, es mucho menor
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP-MCT-MCSE-MCSA-MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> http://support.microsoft.com/kb/555375/en-us
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase,
>> y no otorga ningún derecho. Ud. asume los riesgos This posting is
>> provided "AS IS" with no warranties, and confers no rights. You
>> assume
>> all risk for your use.
>>
>>
>>
>>
>> Javi wrote:
>>> Buenas, estoy probando los certificados en casa, y tengo un par de
>>> problemas.
>>>
>>> Estoy con el W2003 con una Enterprise CA y todo correcto, en el
>>> segundo ordenador tengo otro W2003 y todo perfecto.
>>> La cosa está en que estoy haciendo VPN con los 2. Por PPTP me
>>> funciona perfectamente, entonces estoy probando los certificados
>>> con Ipsec.
>>>
>>> La cosa esta en que necesito el certificado Ipsec y certificado de
>>> máquina, con que esta el SERVER02 conectado al dominio, si entro
>>> como Administrador pues puedo pedir el certificado Ipsec y de
>>> equipo sin ningún problema, hago la prueba del VPN y funciona
>>> correcto con Ipsec. Si entro con una cuenta de usuario normal, a la
>>> hora de pedir certificado solo me da de USER y EFS. Cuando lo
>>> pruebo me va bien, porque el certificado de equipo es el mismo que
>>> he utilizado antes.
>>>
>>> Lo que querría saber en para un usuario normal que privilegios tiene
>>> que tener para que me salga la opción de pedir un certificado Ipsec
>>> y de máquina, ya que me he leido los libros que he podido pero
>>> ninguno me lo aclara.
>>>
>>> Para el segundo punto, es para que un usuario que no es del dominio
>>> (por ejemplo me quiero conectar con mi ordenador de casa al de la
>>> empresa), como puedo crear una cuenta de equipo para despues
>>> exportar e importar en mi equipo sin que tenga problema, ya que he
>>> importado el Ipsec y va bien, pero me falta el certificado de
>>> equipo.
>>>
>>> Gracias de antemano.



Respuesta Responder a este mensaje
#8 Ivan [MS MVP]
03/01/2006 - 09:29 | Informe spam
Estas confundiendo terminos. Una cosa es que un simple usuario no puuda
instalar un certificado y otra muy distinta que no pueda solicitar un
certificado a una CA, son cosas totalemte distintas, no tienen nada que
ver

Mira mi post anterior, esta indicado como puedes solicitar un certificado e
instalarlo, pero, logicamente para poder hacer esto debes ser administrador
local de la maquina en la que quieres instalar dicho certificado. Otra
opcion es usar el web enrollment y mas adelante que un administrador instale
el certificado. O directamente solicitar el certificaod con una cuenta
adminsitrativa. COmo el certificado es de maquna, vale para todos los
usuarios
Si el equipo pertenece al dominio ya te comente la posibilidad de usar el
autoenrollment. Ademas, con esto no necesitas que el usuaio sea
adminsitrador local e instalas el certificado de forma automatica y
totalemte desatendida

Un saludo.
Ivan
MS MVP ISA Server

"Javi" escribió en el mensaje
news:
Entonces una cosa, si yo desde mi casa (que no pertenezco al dominio ni
nada)quiero hacer VPN con certificados, el problema está en que no puedo
pedir certificado ni nada, ¿hay alguna forma de pedir un certificado de
equipo e Ipsec y llevarmelo a casa?. Se que se puede pedir, por ejemplo me
hago uno de cada con la cuenta administrador. Pero el problema será en que
no
se si ese certificado funcionará en mi equipo de casa, es que lo he
probado
pero no me lo acepta, no se si hará algo mas o no se puede hacer.
El VPN Ipsec con contraseña compartida si que va, pero no hay seguridad.

"Guillermo Delprato [MS-MVP]" wrote:

Exacto. Habría que investigar a ver si se pudiera delegar este
privilegio,
pero lo veo difícil

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Javi wrote:
> Entonces un usuario normal no puede pedir un certificado de equipo?
> lo tiene que hacer el administrador?
>
> "Guillermo Delprato [MS-MVP]" wrote:
>
>> Cuando te conectas con IPSec y certificado, este último no es del
>> usuario sino del equipo, ya que en este caso hay una doble
>> autenticación: primero las máquinas y luego el usuario
>> De por si, los valores por omisión en el caso planteado, la
>> autenticación del usario se hace por MS-CHAP v2 (XP a W2k3)
>>
>> El que tenga que hacerlo un administrador, es porque tiene que
>> instalar un certificado de *máquina*, lo cual afectará a *todos* los
>> usuarios de ese equipo
>>
>> IPSec puede usar para autenticación de equipos: Kerberos,
>> certificados, o clave compartida
>> Para usar Kerberos, ambas máquinas *deben* estar en el mismo bosque
>> Para usar Certificados, ambas máquinas deben tener una autoridad
>> certificador en común, o por lo menos coincidir en una autoridad
>> certificadora en común en la cadena de certificados. En tu caso no
>> quedaría más que usar una autoridad certificadora comercial, o que
>> la instales de tipo "stand-alone" de forma que puedas otorgar
>> certificados a entes externos El uso de clave compartida, es lo más
>> sencillo, pero su seguridad no se compara, es mucho menor
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP-MCT-MCSE-MCSA-MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> http://support.microsoft.com/kb/555375/en-us
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase,
>> y no otorga ningún derecho. Ud. asume los riesgos This posting is
>> provided "AS IS" with no warranties, and confers no rights. You
>> assume
>> all risk for your use.
>>
>>
>>
>>
>> Javi wrote:
>>> Buenas, estoy probando los certificados en casa, y tengo un par de
>>> problemas.
>>>
>>> Estoy con el W2003 con una Enterprise CA y todo correcto, en el
>>> segundo ordenador tengo otro W2003 y todo perfecto.
>>> La cosa está en que estoy haciendo VPN con los 2. Por PPTP me
>>> funciona perfectamente, entonces estoy probando los certificados
>>> con Ipsec.
>>>
>>> La cosa esta en que necesito el certificado Ipsec y certificado de
>>> máquina, con que esta el SERVER02 conectado al dominio, si entro
>>> como Administrador pues puedo pedir el certificado Ipsec y de
>>> equipo sin ningún problema, hago la prueba del VPN y funciona
>>> correcto con Ipsec. Si entro con una cuenta de usuario normal, a la
>>> hora de pedir certificado solo me da de USER y EFS. Cuando lo
>>> pruebo me va bien, porque el certificado de equipo es el mismo que
>>> he utilizado antes.
>>>
>>> Lo que querría saber en para un usuario normal que privilegios tiene
>>> que tener para que me salga la opción de pedir un certificado Ipsec
>>> y de máquina, ya que me he leido los libros que he podido pero
>>> ninguno me lo aclara.
>>>
>>> Para el segundo punto, es para que un usuario que no es del dominio
>>> (por ejemplo me quiero conectar con mi ordenador de casa al de la
>>> empresa), como puedo crear una cuenta de equipo para despues
>>> exportar e importar en mi equipo sin que tenga problema, ya que he
>>> importado el Ipsec y va bien, pero me falta el certificado de
>>> equipo.
>>>
>>> Gracias de antemano.



Respuesta Responder a este mensaje
#9 Guillermo Delprato [MS-MVP]
03/01/2006 - 12:21 | Informe spam
Javi, el certificado que necesita IPSec, es de *máquina* (computer), no de
usuario
Luego el usuario administrador, es el que instala el certificado de máquina,
en la máquina :-)

Si la CA es Stand-alone, entonces puede darle un certificado a una máquina
que no forma parte del dominio
Pero si la CA es Enterprise, entonces *no puede* darle un certificado a
quien no pertenezca al dominio (tu máquina)

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Javi wrote:
Entonces una cosa, si yo desde mi casa (que no pertenezco al dominio
ni nada)quiero hacer VPN con certificados, el problema está en que no
puedo pedir certificado ni nada, ¿hay alguna forma de pedir un
certificado de equipo e Ipsec y llevarmelo a casa?. Se que se puede
pedir, por ejemplo me hago uno de cada con la cuenta administrador.
Pero el problema será en que no se si ese certificado funcionará en
mi equipo de casa, es que lo he probado pero no me lo acepta, no se
si hará algo mas o no se puede hacer.
El VPN Ipsec con contraseña compartida si que va, pero no hay
seguridad.

"Guillermo Delprato [MS-MVP]" wrote:

Exacto. Habría que investigar a ver si se pudiera delegar este
privilegio, pero lo veo difícil

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.




Javi wrote:
Entonces un usuario normal no puede pedir un certificado de equipo?
lo tiene que hacer el administrador?

"Guillermo Delprato [MS-MVP]" wrote:

Cuando te conectas con IPSec y certificado, este último no es del
usuario sino del equipo, ya que en este caso hay una doble
autenticación: primero las máquinas y luego el usuario
De por si, los valores por omisión en el caso planteado, la
autenticación del usario se hace por MS-CHAP v2 (XP a W2k3)

El que tenga que hacerlo un administrador, es porque tiene que
instalar un certificado de *máquina*, lo cual afectará a *todos*
los usuarios de ese equipo

IPSec puede usar para autenticación de equipos: Kerberos,
certificados, o clave compartida
Para usar Kerberos, ambas máquinas *deben* estar en el mismo bosque
Para usar Certificados, ambas máquinas deben tener una autoridad
certificador en común, o por lo menos coincidir en una autoridad
certificadora en común en la cadena de certificados. En tu caso no
quedaría más que usar una autoridad certificadora comercial, o que
la instales de tipo "stand-alone" de forma que puedas otorgar
certificados a entes externos El uso de clave compartida, es lo más
sencillo, pero su seguridad no se compara, es mucho menor

Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume
all risk for your use.




Javi wrote:
Buenas, estoy probando los certificados en casa, y tengo un par de
problemas.

Estoy con el W2003 con una Enterprise CA y todo correcto, en el
segundo ordenador tengo otro W2003 y todo perfecto.
La cosa está en que estoy haciendo VPN con los 2. Por PPTP me
funciona perfectamente, entonces estoy probando los certificados
con Ipsec.

La cosa esta en que necesito el certificado Ipsec y certificado de
máquina, con que esta el SERVER02 conectado al dominio, si entro
como Administrador pues puedo pedir el certificado Ipsec y de
equipo sin ningún problema, hago la prueba del VPN y funciona
correcto con Ipsec. Si entro con una cuenta de usuario normal, a
la hora de pedir certificado solo me da de USER y EFS. Cuando lo
pruebo me va bien, porque el certificado de equipo es el mismo que
he utilizado antes.

Lo que querría saber en para un usuario normal que privilegios
tiene que tener para que me salga la opción de pedir un
certificado Ipsec y de máquina, ya que me he leido los libros que
he podido pero ninguno me lo aclara.

Para el segundo punto, es para que un usuario que no es del
dominio (por ejemplo me quiero conectar con mi ordenador de casa
al de la empresa), como puedo crear una cuenta de equipo para
despues exportar e importar en mi equipo sin que tenga problema,
ya que he importado el Ipsec y va bien, pero me falta el
certificado de equipo.

Gracias de antemano.
Respuesta Responder a este mensaje
#10 Javi
04/01/2006 - 21:12 | Informe spam
Buenas Ivan, gracias por tu paciencia, el tema de certificados en el dominio
ya lo he logrado, gracias.

Ahora el problema es que me quiero llevar los certificados para mi casa para
conectarme desde ahí.

Lo que hago es exportar el root cd con su privado, he instalado en el
ordenador de la empresa un certificado ipsec y un certificado autenticación
de cliente y tambien lo he exportado. Me lo instalo en mi casa los 3. A la
hora de importar que me lo ponga en certificado de equipo personal.

El problema está en que cuando se conecta me dice que el certificado de
maquina no es valido (por lo menos ya no me da problema en el Ipsec). Ya no
se que hacer...a ver si me puedes ayudar con tu paciencia en este tema...

Un saludo


"Ivan [MS MVP]" wrote:

Estas confundiendo terminos. Una cosa es que un simple usuario no puuda
instalar un certificado y otra muy distinta que no pueda solicitar un
certificado a una CA, son cosas totalemte distintas, no tienen nada que
ver

Mira mi post anterior, esta indicado como puedes solicitar un certificado e
instalarlo, pero, logicamente para poder hacer esto debes ser administrador
local de la maquina en la que quieres instalar dicho certificado. Otra
opcion es usar el web enrollment y mas adelante que un administrador instale
el certificado. O directamente solicitar el certificaod con una cuenta
adminsitrativa. COmo el certificado es de maquna, vale para todos los
usuarios
Si el equipo pertenece al dominio ya te comente la posibilidad de usar el
autoenrollment. Ademas, con esto no necesitas que el usuaio sea
adminsitrador local e instalas el certificado de forma automatica y
totalemte desatendida

Un saludo.
Ivan
MS MVP ISA Server

"Javi" escribió en el mensaje
news:
> Entonces una cosa, si yo desde mi casa (que no pertenezco al dominio ni
> nada)quiero hacer VPN con certificados, el problema está en que no puedo
> pedir certificado ni nada, ¿hay alguna forma de pedir un certificado de
> equipo e Ipsec y llevarmelo a casa?. Se que se puede pedir, por ejemplo me
> hago uno de cada con la cuenta administrador. Pero el problema será en que
> no
> se si ese certificado funcionará en mi equipo de casa, es que lo he
> probado
> pero no me lo acepta, no se si hará algo mas o no se puede hacer.
> El VPN Ipsec con contraseña compartida si que va, pero no hay seguridad.
>
> "Guillermo Delprato [MS-MVP]" wrote:
>
>> Exacto. Habría que investigar a ver si se pudiera delegar este
>> privilegio,
>> pero lo veo difícil
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP-MCT-MCSE-MCSA-MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos.
>>
>> http://support.microsoft.com/kb/555375/en-us
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna clase,
>> y no otorga ningún derecho. Ud. asume los riesgos This posting is
>> provided "AS IS" with no warranties, and confers no rights. You assume
>> all risk for your use.
>>
>>
>>
>>
>> Javi wrote:
>> > Entonces un usuario normal no puede pedir un certificado de equipo?
>> > lo tiene que hacer el administrador?
>> >
>> > "Guillermo Delprato [MS-MVP]" wrote:
>> >
>> >> Cuando te conectas con IPSec y certificado, este último no es del
>> >> usuario sino del equipo, ya que en este caso hay una doble
>> >> autenticación: primero las máquinas y luego el usuario
>> >> De por si, los valores por omisión en el caso planteado, la
>> >> autenticación del usario se hace por MS-CHAP v2 (XP a W2k3)
>> >>
>> >> El que tenga que hacerlo un administrador, es porque tiene que
>> >> instalar un certificado de *máquina*, lo cual afectará a *todos* los
>> >> usuarios de ese equipo
>> >>
>> >> IPSec puede usar para autenticación de equipos: Kerberos,
>> >> certificados, o clave compartida
>> >> Para usar Kerberos, ambas máquinas *deben* estar en el mismo bosque
>> >> Para usar Certificados, ambas máquinas deben tener una autoridad
>> >> certificador en común, o por lo menos coincidir en una autoridad
>> >> certificadora en común en la cadena de certificados. En tu caso no
>> >> quedaría más que usar una autoridad certificadora comercial, o que
>> >> la instales de tipo "stand-alone" de forma que puedas otorgar
>> >> certificados a entes externos El uso de clave compartida, es lo más
>> >> sencillo, pero su seguridad no se compara, es mucho menor
>> >>
>> >> Saludos
>> >>
>> >> Guillermo Delprato
>> >> MVP-MCT-MCSE-MCSA-MCP
>> >> Buenos Aires, Argentina
>> >>
>> >> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> >> beneficiamos todos.
>> >>
>> >> http://support.microsoft.com/kb/555375/en-us
>> >>
>> >> Este mensaje se proporciona "como está" sin garantías de ninguna
>> >> clase,
>> >> y no otorga ningún derecho. Ud. asume los riesgos This posting is
>> >> provided "AS IS" with no warranties, and confers no rights. You
>> >> assume
>> >> all risk for your use.
>> >>
>> >>
>> >>
>> >>
>> >> Javi wrote:
>> >>> Buenas, estoy probando los certificados en casa, y tengo un par de
>> >>> problemas.
>> >>>
>> >>> Estoy con el W2003 con una Enterprise CA y todo correcto, en el
>> >>> segundo ordenador tengo otro W2003 y todo perfecto.
>> >>> La cosa está en que estoy haciendo VPN con los 2. Por PPTP me
>> >>> funciona perfectamente, entonces estoy probando los certificados
>> >>> con Ipsec.
>> >>>
>> >>> La cosa esta en que necesito el certificado Ipsec y certificado de
>> >>> máquina, con que esta el SERVER02 conectado al dominio, si entro
>> >>> como Administrador pues puedo pedir el certificado Ipsec y de
>> >>> equipo sin ningún problema, hago la prueba del VPN y funciona
>> >>> correcto con Ipsec. Si entro con una cuenta de usuario normal, a la
>> >>> hora de pedir certificado solo me da de USER y EFS. Cuando lo
>> >>> pruebo me va bien, porque el certificado de equipo es el mismo que
>> >>> he utilizado antes.
>> >>>
>> >>> Lo que querría saber en para un usuario normal que privilegios tiene
>> >>> que tener para que me salga la opción de pedir un certificado Ipsec
>> >>> y de máquina, ya que me he leido los libros que he podido pero
>> >>> ninguno me lo aclara.
>> >>>
>> >>> Para el segundo punto, es para que un usuario que no es del dominio
>> >>> (por ejemplo me quiero conectar con mi ordenador de casa al de la
>> >>> empresa), como puedo crear una cuenta de equipo para despues
>> >>> exportar e importar en mi equipo sin que tenga problema, ya que he
>> >>> importado el Ipsec y va bien, pero me falta el certificado de
>> >>> equipo.
>> >>>
>> >>> Gracias de antemano.
>>
>>
>>



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida