Anforderungen bei Verwendung von EAP-TLS oder PEAP mit EAP-TLS-Zertifikat

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 814394 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt die Anforderungen, die Ihre Client-Zertifikate und Ihre Serverzertifikate erfüllen muss, wenn Sie mit EAP-TLS (Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) oder PEAP Protected Extensible Authentication Protocol () verwenden.

Weitere Informationen

Bei Verwendung von EAP mit einem strengen EAP-Typ, z. B. TLS mit Smartcards oder TLS mit Zertifikaten, verwenden sowohl die Clients als auch die Server Zertifikate, gegenseitig ihre Identität zu überprüfen. Zertifikate müssen bestimmte Anforderungen auf dem Server und auf dem Client für die erfolgreiche Authentifizierung erfüllen.

Eine Anforderung ist, dass das Zertifikat mit ein oder mehrere Zwecke in Erweiterungen für die erweiterte Schlüsselverwendung (EKU) konfiguriert werden muss, die mit die Verwendung des Zertifikats übereinstimmen. Beispielsweise muss ein Zertifikat, das für die Authentifizierung eines Clients auf einem Server verwendet wird, mit der Clientauthentifizierung als Zweck konfiguriert werden. Oder ein Zertifikat, das für die Authentifizierung eines Servers verwendet wird, muss mit der Serverauthentifizierung als Zweck konfiguriert sein. Wenn Zertifikate für die Authentifizierung verwendet werden, die authentifizierende Seite überprüft das Clientzertifikat und sucht nach der Objektbezeichner richtigen Zweck in den EKU-Erweiterungen. Beispielsweise ist die Objekt-ID für die Clientauthentifizierung als Zweck 1.3.6.1.5.5.7.3.2.

Mindestanforderungen für Zertifikate

Alle Zertifikate für die Authentifizierung des Netzwerkzugriffs müssen die Anforderungen für X.509-Zertifikate, und sie müssen auch die Anforderungen für Verbindungen, die Verschlüsselung (SSL = Secure Sockets Layer) und Verschlüsselung (TLS = Transport Level Security) verwenden, erfüllen. Nachdem diese Mindestanforderungen erfüllt sind, müssen die Client-Zertifikate und die Serverzertifikate die folgenden zusätzlichen Anforderungen erfüllen.

Clientzertifikat

Mit EAP-TLS oder PEAP mit EAP-TLS akzeptiert der Server die Authentifizierung des Clients, wenn das Zertifikat die folgenden Anforderungen erfüllt:
  • Das Client-Zertifikat wird von einer Unternehmens-Zertifizierungsstelle (CA) ausgestellt, oder ein Benutzerkonto oder ein Computerkonto in Active Directory-Verzeichnisdienst zugeordnet.
  • Der Benutzer oder das Computerzertifikat auf dem Client mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet.
  • Der Benutzer oder das Computerzertifikat auf dem Client enthält den Clientauthentifizierung als Zweck.
  • Der Benutzer oder das Computerzertifikat schlägt nicht fehl, eine der Prüfungen, die von den Zertifikatspeicher CryptoAPI durchgeführt werden, und das Zertifikat übergibt Anforderungen in der RAS-Richtlinie.
  • Der Benutzer oder das Computerzertifikat schlägt nicht eines der Überprüfungen fehl, die in der RAS-Richtlinie (Internet Authentication Service, IAS) angegeben werden.
  • Die 802. 1x Client verwendet keine registrierungsbasierten Zertifikate, die Smartcard-Zertifikate oder Zertifikate, die mit einem Kennwort geschützt sind.
  • Erweiterung für die alternativen Antragstellernamen (SubjectAltName) im Zertifikat enthält der Benutzerprinzipalname (UPN) des Benutzers.
  • Wenn Clients EAP-TLS oder PEAP mit EAP-TLS-Authentifizierung verwenden, erscheint eine Liste aller installierten Zertifikate im Zertifikate-Snap-in mit den folgenden Ausnahmen:
    • Drahtlose Clients zeigen keine registrierungsbasierten Zertifikate und Smartcardanmeldezertifikate.
    • Drahtlose Clients und virtuelles privates Netzwerk (VPN)-Clients zeigen keine Zertifikate an, die mit einem Kennwort geschützt sind.
    • Zertifikate, die nicht den Clientauthentifizierung als Zweck in den EKU-Erweiterungen enthalten, werden nicht angezeigt.

Serverzertifikat

Sie können konfigurieren, dass Clients zum Überprüfen von Serverzertifikaten mithilfe der Serverzertifikat validieren Option auf der Authentifizierung Registerkarte in den Eigenschaften der Netzwerkverbindung. Wenn ein Client PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) Version 2-Authentifizierung verwendet, akzeptiert PEAP mit EAP-TLS-Authentifizierung oder EAP-TLS-Authentifizierung, der Client das Zertifikat des Servers, wenn das Zertifikat die folgenden Anforderungen erfüllt:
  • Das Computerzertifikat auf dem Server mit einer der folgenden verkettet:
    • Einer vertrauenswürdigen Microsoft Stammzertifizierungsstelle.
    • Ein eigenständiger Stamm von Microsoft oder Drittanbieter-Stammzertifizierungsstelle in Active Directory-Domäne, die einen NTAuthCertificates Speicher verfügt, der das veröffentlichten Stammzertifikat enthält.Weitere Informationen über das Importieren von Fremdanbieter-CA-Zertifikate, klicken Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
      295663Importieren der Zertifikate von Drittanbieter-Zertifizierungsstellen (CA) in den Enterprise NTAuth-Speicher
  • Der IAS oder Computerzertifikat des VPN-Servers ist mit der Serverauthentifizierung als Zweck konfiguriert. Die Objektkennung für die Serverauthentifizierung lautet 1.3.6.1.5.5.7.3.1.
  • Das Computerzertifikat schlägt nicht fehl, eine der Prüfungen, die von den Zertifikatspeicher CryptoAPI durchgeführt werden, und es schlägt nicht fehl, eine der Anforderungen in der RAS-Richtlinie.
  • Der Name in der Betreffzeile des Serverzertifikats entspricht der Name, der für die Verbindung auf dem Client konfiguriert ist.
  • Für drahtlose Clients enthält die alternativen Antragstellernamen (SubjectAltName) Erweiterung vollqualifizierten Domänennamen (FQDN) des Servers.
  • Wenn der Client konfiguriert ist, um ein Serverzertifikat mit einem bestimmten Namen zu vertrauen, wird der Benutzer aufgefordert, eine Entscheidung über ein Zertifikat mit einem anderen Namen zu vertrauen. Wenn der Benutzer das Zertifikat zurückgewiesen wird, schlägt die Authentifizierung fehl. Wenn der Benutzer das Zertifikat bestätigt, wird das Zertifikat auf der lokalen Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt.
Hinweis Mit PEAP oder EAP-TLS-Authentifizierung zeigen Server eine Liste aller installierten Zertifikate im Zertifikate-Snap-in. Die Zertifikate, die den Serverauthentifizierung als Zweck in den EKU-Erweiterungen werden jedoch nicht angezeigt.

Informationsquellen

Weitere Informationen zu Drahtlosnetzwerktechnologien finden Sie auf der folgenden Microsoft-Website:
http://www.Microsoft.com/whdc/Connect/Wireless/default.mspx
Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
313242Problembehandlung bei drahtlosen Netzwerkverbindungen in Windows XP

Eigenschaften

Artikel-ID: 814394 - Geändert am: Sonntag, 30. September 2012 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 814394
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com