¿Hay alguna diferencia entre las distintas plantillas de certificado en el servidor de Windows?

Las plantillas incluyen, entre otras cosas, una lista de campos de Uso de clave (KU) y Uso de clave extendida (EKU) que le gustaría en el certificado emitido. Fuera de los servicios de Microsoft muy específicos, el campo de la plantilla en sí no se verifica al evaluar un certificado (es un campo solo de Microsoft, no un estándar), pero básicamente todas las aplicaciones PKI utilizarán los campos KU y EKU y, de hecho, deben hacerlo.

Verifique con la aplicación (por ejemplo, NPS) qué parámetros KU y EKU aceptará en el certificado resultante. Muchas de las plantillas de certificados básicamente emiten certificados EKU de Autenticación de Servidor, lo que los hace en gran parte equivalentes, pero aún así es útil usar las plantillas de certificado correctas por varias razones:

• Hace que sea más fácil determinar por qué se emitió ese certificado
• y qué componente puede estar usándolo
• Puede bloquear los permisos para que solo unas pocas personas puedan emitir certificados muy privilegiados
• Puede emitir y revocar certificados para cada servicio en lugar de para todo el servidor / dispositivo

Sin embargo, hay desventajas, como intentar forzar a servicios particulares a usar solo su certificado específico (plantilla) cuando se instalan múltiples certificados en el mismo servidor de Windows. Si solo está realmente tratando de proporcionar una seguridad de conexión simple, entonces reutilizar un certificado para múltiples propósitos puede no ser un problema.

Si el servidor NPS se instala directamente en el controlador de dominio, no necesita usar un certificado separado de la plantilla de certificado "Servidor IAS y RAS", ya que son intercambiables en este contexto.

Es decir, el certificado de controlador de dominio se puede usar para RADIUS, pero el certificado "RAS e IAS" no se puede usar para propósitos específicos del controlador de dominio.