Configurar la confianza de certificados para autenticaciones 802.1X en iOS y macOS

Descubre cómo configurar las propiedades de los certificados de confianza y los nombres de los certificados de confianza para ayudar a proteger la seguridad de tu red.

Este artículo se ha archivado y Apple ya no lo actualiza.

Puede que las redes 802.1X usen un certificado de servidor para establecer un canal seguro de comunicación TLS entre el cliente y el servidor de autenticación. El cliente se asegura de que el certificado del servidor es de confianza antes de continuar con el proceso de autenticación. Si no configuras los ajustes de tu certificado de confianza correctamente en un perfil de configuración, los usuarios verán un diálogo de certificado de confianza al conectarse a tu red 802.1X protegida.

Este diálogo les pide que verifiquen que la información de la cadena de certificados del servidor RADIUS es auténtica. Si un cliente intenta entrar sin saberlo en una red fraudulenta que se hace pasar por tu red, podría hacer clic en el diálogo de confianza del certificado no válido. Esto puede suceder si no sabe cómo verificar que la información es auténtica. Si el usuario proporciona sus credenciales válidas en la red fraudulenta, podría peligrar la seguridad de tu red.  Si no configuras la confianza de certificados para un perfil de configuración 802.1X de Modo sistema, la autenticación no podrá realizarse porque no se le podrá pedir al usuario que confíe manualmente en la cadena de certificados del servidor. 

Configurar certificados de confianza en un perfil de configuración

  1. Identifica la cadena de certificados que tu servidor RADIUS presenta cuando los clientes intentan autenticarse. Es posible que eso sea el certificado de tu servidor RADIUS. También podría ser un certificado raíz o intermedio emitido por el certificado del servidor RADIUS.
  2. Añade los certificados que has identificado a la carga útil Certificados del perfil de configuración.
  3. En la sección Confiar de la carga de red del perfil de configuración, busca el certificado en el que quieres establecer confianza. A continuación, márcalo como certificado de confianza.

Por ejemplo, si tienes un único servidor RADIUS en tu entorno, establece confianza en ese certificado de servidor RADIUS o en el certificado que lo emitió. Si tienes varios servidores RADIUS cuyos certificados han sido emitidos por el mismo certificado raíz o intermedio, establece confianza en dicho certificado para que todos tus servidores RADIUS sean de confianza.

Estos ajustes de certificados de confianza también permiten que funcionen el Modo sistema y el modo de ventana de inicio de sesión 802.1X de macOS.

Configurar los nombres de certificados de confianza en un perfil de configuración

También puedes configurar los nombres de los certificados de confianza para que no se le pida a los usuarios que confíen en los certificados del servidor RADIUS. Usa un valor que distinga entre mayúsculas y minúsculas que coincida con el nombre común de los certificados del servidor RADIUS. El valor también puede incluir un carácter comodín para identificar varios servidores RADIUS con el mismo dominio. Para más información, consulta la sección del diccionario EAPClientConfiguration (en inglés) en la referencia sobre los perfiles de configuración de Apple Developer.

Fecha de publicación: