Certifikační požadavky při použití protokolu EAP-TLS nebo PEAP s protokolem EAP-TLS

Překlady článku Překlady článku
ID článku: 814394 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek popisuje požadavky, které vaše klientské certifikáty a certifikáty serveru musí splňovat při použití Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) nebo Protected Extensible Authentication Protocol (PEAP) s protokolem EAP-TLS.

Další informace

Při použití protokolu EAP se silný typ protokolu EAP, jako je například TLS s kartami smart card nebo TLS s certifikáty, klient i server používat certifikáty k ověřování svých identit navzájem. Certifikáty musí splňovat zvláštní požadavky na serveru i klienta k úspěšnému ověření.

Jedním z požadavků je, že certifikát musí být nakonfigurován s jedním nebo více účely v rozšíření použití rozšířeného klíče (EKU), které odpovídají použití certifikátu. Například certifikát, který se používá k ověřování klienta k serveru musí být nakonfigurován účel ověření klienta. Nebo certifikát, který se používá k ověřování serveru musí být nakonfigurován účel ověření serveru. Při použití certifikátů pro ověřování Ověřovatel zkontroluje certifikát klienta a hledá správný identifikátor objektu účelu v rozšíření EKU. Například identifikátor objektu pro účel ověření klienta je 1.3.6.1.5.5.7.3.2.

Minimální požadavky na certifikát

Všechny certifikáty používané k ověřování přístupu do sítě musí splňovat požadavky na certifikáty standardu X.509 a musí také splňovat požadavky na připojení používající šifrování SSL (protokol SSL (Secure Sockets Layer)) a šifrování Transport Level Security (TLS). Poté, co tyto minimální požadavky jsou splněny, musí splňovat tyto další požadavky klientské certifikáty a certifikáty serveru.

Požadavky na certifikát

S protokolem EAP-TLS nebo PEAP s protokolem EAP-TLS přijme server ověřování klienta, jestliže certifikát splňuje následující požadavky:
  • Klientský certifikát byl vystaven certifikačním úřadem (CÚ) rozlehlé sítě nebo je mapován na uživatelský účet nebo účet počítače v adresářové službě Active Directory.
  • Uživatel nebo počítač certifikát na řetězy klienta k důvěryhodnému kořenovému CÚ.
  • Uživatel nebo počítač certifikát klienta obsahuje účel ověření klienta.
  • Uživatel nebo počítač certifikát nelze překlopit některou z kontrol, které provádí rozhraní CryptoAPI úložiště certifikátů a certifikát předává požadavky v zásadách vzdáleného přístupu.
  • Uživatel nebo počítač certifikát nelze překlopit některé kontroly identifikátor objektu certifikát, které jsou specifikovány v zásadách vzdáleného přístupu služby ověřování v Internetu (IAS).
  • Protokolem 802. 1x klient nepoužívá certifikáty založené na registru, které jsou certifikáty karet smart card nebo certifikáty, které jsou chráněny heslem.
  • Rozšíření Alternativní název předmětu (SubjectAltName) v certifikátech obsahuje hlavní název uživatele (UPN) uživatele.
  • Klientů pomocí protokolu EAP-TLS nebo PEAP s ověřování EAP-TLS, zobrazí se seznam všech nainstalovaných certifikátů v modulu snap-in Certifikáty, s následujícími výjimkami:
    • Bezdrátových klientů se nezobrazí certifikáty založené na registru a certifikáty pro přihlášení pomocí karty smart card.
    • Bezdrátové klienty a klienty virtuální privátní sítě (VPN) se nezobrazí certifikáty, které jsou chráněny heslem.
    • Nezobrazí se certifikáty, které neobsahují v rozšíření EKU účel ověření klienta.

Požadavky na certifikát serveru

Můžete nakonfigurovat klienty k ověření serveru certifikáty pomocí Ověřit certifikát serveru možnost v Ověřování kartě vlastností síťového připojení. Pokud klient používá ověřování protokolem CHAP (protokol PEAP-EAP-MS-Challenge Handshake Authentication Protocol) verze 2, přijímá protokol PEAP s ověřování EAP-TLS nebo EAP-TLS ověření klienta certifikátu serveru, jestliže certifikát splňuje následující požadavky:
  • Certifikát počítače na server řetězců na jeden z následujících:
    • Důvěryhodné Microsoft kořenového certifikačního úřadu.
    • Samostatný kořenový adresář společnosti Microsoft nebo třetí strany kořenového certifikačního úřadu v doméně služby Active Directory, který obsahuje úložiště NTAuthCertificates, které obsahuje publikované kořenový certifikát.Další informace o importu certifikátů certifikačního úřadu jiného výrobce klepněte na následující číslo článku databáze Microsoft Knowledge Base:
      295663Jak importovat certifikáty jiného certifikačního úřadu (CÚ) do úložiště Enterprise NTAuth
  • IAS nebo certifikát pro počítač serveru VPN je nakonfigurován účel ověření serveru. Identifikátor objektu ověření serveru je 1.3.6.1.5.5.7.3.1.
  • Certifikát počítače nedojde k selhání některou z kontrol, které provádí úložiště CryptoAPI a nelze překlopit některý z požadavků stanovených v zásadách vzdáleného přístupu.
  • Název v poli předmět certifikátu serveru odpovídá název, který je nakonfigurován pro připojení klienta.
  • U klientů bezdrátových sítí obsahuje rozšíření alternativní název předmětu (SubjectAltName) na serveru plně kvalifikovaný název domény (FQDN).
  • Pokud je klient nakonfigurován důvěřovat certifikátu serveru s určitým názvem, bude uživatel vyzván k rozhodování o nastavení důvěryhodnosti certifikátu s jiným názvem. Pokud uživatel odmítne certifikát, ověření se nezdaří. Pokud uživatel přijímá osvědčení, je certifikát přidán do úložiště důvěryhodných kořenových certifikátů místním počítači.
Poznámka: S protokolem PEAP nebo ověřování EAP-TLS zobrazí servery seznam všech nainstalovaných certifikátů v modulu snap-in Certifikáty. Certifikáty, které v rozšíření EKU účel ověření serveru se však nezobrazí.

Odkazy

Další informace o bezdrátových síťových technologií navštivte následující Web společnosti Microsoft:
http://www.microsoft.com/whdc/Connect/Wireless/default.mspx
Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
313242Řešení potíží s připojením k bezdrátové síti v systému Windows XP

Vlastnosti

ID článku: 814394 - Poslední aktualizace: 20. května 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:814394

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com