Suporte EAP (PEAP) protegido adicionada ao Windows XP SP1 e Windows Server 2003

RFC 2284 define o protocolo de autenticação extensível (EAP), que fornece suporte para vários métodos de autenticação. Apesar do EAP foi originalmente criado para utilização com o protocolo ponto a ponto (PPP, Point-to-Point Protocol), tem sido adoptado para utilização com o IEEE 802.1X autenticação de porta de rede.

Desde a implementação do EAP, um número de fracos em EAP tornaram perceptível. Estas incluem as seguintes:

• Falta de protecção de identidade do utilizador ou o EAP negociação.
• Nenhum mecanismo padrão para troca de chaves.
• Não existe suporte incorporado para fragmentação e remontagem.
• Falta de suporte para rápida novamente.

EAP protegido (PEAP) resolve estes deficiencies ao protocolo EAP de moldagem de Transport Layer Security (TLS). Qualquer método EAP a ser executado no PEAP é fornecido com suporte incorporado para troca de chaves, recomeço de sessão e fragmentação e remontagem.

O PEAP com o MS-CHAP v2 é fornecido com Windows XP Service Pack 1 (SP1) como parte do melhorado EAP e IEEE 802.1X x suporte. Isto permite que clientes sem fios do Windows XP para utilizar o PEAP com o MS-CHAP v2 para acesso sem fios seguro com palavras-passe em vez de certificados.

O componente de funcionamento em rede de serviço de autenticação da Internet (IAS) fornecido com o Windows Server 2003 também suporta o PEAP com o MS-CHAP v2, permitindo a um servidor IAS para autenticar clientes sem fios que executem o Windows XP SP1. A autenticação IEEE 802.1X com suporte do PEAP também está disponível para clientes do Windows 2000 e o componente de IAS. Para obter informações adicionais sobre como adicionar IEEE 802.1X x com suporte PEAP para clientes do Windows 2000 e servidores IAS, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: Consulte Q313664 para obter detalhes. O PEAP com o MS-CHAP v2 requer certificados os servidores IAS mas não os clientes sem fios. IAS servidores tem de ter um certificado digital instalado no respectivo arquivo de certificados computador local. Em vez de implementar uma infra-estrutura de chave pública (PKI), pode adquirir certificados individuais a partir de uma autoridade de certificação de terceiros (AC) para instalar nos servidores IAS. Para se certificar de que os clientes sem fios podem validar a cadeia de certificado de servidor de IAS, o certificado da AC raiz da AC que emite certificados de servidor IAS tem de ser instalado no cada cliente sem fios.

O Windows XP inclui os certificados de AC de raiz de várias AC de outros fabricantes. Não se certificados de servidor de IAS são adquiridos a partir de uma AC de outros fabricantes que corresponde a um certificado de AC de raiz incluídos, é necessária nenhuma configuração de cliente sem fios adicional. Para obter informações sobre como obter um certificado compatível com o PEAP da VeriSign, visite o seguinte site da VeriSign: Se adquirir os certificados de servidor IAS de uma AC outros fabricantes para o qual o Windows XP não inclui um certificado correspondente da AC de raiz, tem de instalar o certificado da AC raiz em cada cliente sem fios.