Αναγν. άρθρου: 814394 - Τελευταία αναθεώρηση: Κυριακή, 29 Μαΐου 2011 - Αναθεώρηση: 4.0

Το πιστοποιητικό απαιτήσεις όταν χρησιμοποιείτε το EAP-TLS ή PEAP με EAP-TLS

Παράλληλη προβολήΠροβολή του πρωτότυπου αγγλικού άρθρου και της ελληνικής μετάφρασης αντικριστά
Μηχανικά μεταφρασμένοΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΑΥΤΟ ΤΟ ΑΡΘΡΟ ΜΕΤΑΦΡΑΣΤΗΚΕ ΜΕ ΜΗΧΑΝΙΚΗ ΜΕΤΑΦΡΑΣΗ
Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

ΕΙΣΑΓΩΓΉ

Αυτό το άρθρο περιγράφει τις απαιτήσεις που τα πιστοποιητικά προγράμματος-πελάτη σας και σας πιστοποιητικά διακομιστή πρέπει να ανταποκρίνεται όταν χρησιμοποιείτε ασφάλεια επιπέδου μεταφοράς πρωτοκόλλου Extensible ελέγχου ταυτότητας (EAP-TLS) ή προστατευμένης Extensible ελέγχου ταυτότητας πρωτοκόλλου (PEAP) με EAP-TLS.
Επιστροφή στην αρχή

Περισσότερες πληροφορίες

Όταν χρησιμοποιείτε το πρωτόκολλο EAP με ισχυρό τύπο EAP, όπως TLS με έξυπνες κάρτες ή TLS με πιστοποιητικά, το πρόγραμμα-πελάτη και του διακομιστή χρησιμοποιούν πιστοποιητικά για να επαληθεύσουν τις ταυτότητες μεταξύ τους. Τα πιστοποιητικά πρέπει να πληρούν τις ειδικές απαιτήσεις του διακομιστή και του υπολογιστή-πελάτη για επιτυχή έλεγχο ταυτότητας.

Μία απαίτηση είναι ότι το πιστοποιητικό πρέπει να ρυθμιστεί με μία ή περισσότερες χρήσεις επεκτάσεις εκτεταμένης χρήσης κλειδιού (EKU) που ταιριάζουν με τη χρήση πιστοποιητικών. Για παράδειγμα, ένα πιστοποιητικό που χρησιμοποιείται για έλεγχο ταυτότητας υπολογιστή-πελάτη σε ένα διακομιστή πρέπει να ρυθμιστεί με σκοπό τον έλεγχο ταυτότητας υπολογιστή-πελάτη. Ή ένα πιστοποιητικό που χρησιμοποιείται για έλεγχο ταυτότητας του διακομιστή πρέπει να ρυθμιστεί με σκοπό τον έλεγχο ταυτότητας διακομιστή. Όταν χρησιμοποιούνται πιστοποιητικά για έλεγχο ταυτότητας, η υπηρεσία ελέγχου ταυτότητας εξετάζει πιστοποιητικό προγράμματος-πελάτη και αναζητά το αναγνωριστικό αντικειμένου σωστό σκοπό σε επεκτάσεις EKU. Για παράδειγμα, το αναγνωριστικό αντικειμένου για το σκοπό του ελέγχου ταυτότητας υπολογιστή-πελάτη είναι 1.3.6.1.5.5.7.3.2.
Επιστροφή στην αρχή

Πιστοποιητικό ελάχιστες απαιτήσεις

Όλα τα πιστοποιητικά που χρησιμοποιούνται για έλεγχο ταυτότητας πρόσβασης δικτύου πρέπει να πληρούν τις απαιτήσεις για τα πιστοποιητικά X.509 και πρέπει να πληρούν επίσης τις απαιτήσεις για συνδέσεις που χρησιμοποιούν κρυπτογράφηση Secure Sockets Layer (SSL) και κρυπτογράφηση ασφάλεια επιπέδου μεταφοράς (TLS). Μετά από αυτές τις ελάχιστες απαιτήσεις πληρούνται, πιστοποιητικά προγράμματος-πελάτη και τα πιστοποιητικά διακομιστή πρέπει να πληρούν τις ακόλουθες πρόσθετες απαιτήσεις.

Απαιτήσεις πιστοποιητικού προγράμματος-πελάτη

Με EAP-TLS ή PEAP με EAP-TLS, ο διακομιστής αποδέχεται τον έλεγχο ταυτότητας του υπολογιστή-πελάτη όταν το πιστοποιητικό πληροί τις ακόλουθες απαιτήσεις:
  • Το πιστοποιητικό προγράμματος-πελάτη έχει εκδοθεί από μια εταιρική αρχή έκδοσης πιστοποιητικών (CA) ή αντιστοιχίζεται σε ένα λογαριασμό χρήστη ή σε ένα λογαριασμό υπολογιστή στην υπηρεσία καταλόγου Active Directory.
  • Ο χρήστης ή πιστοποιητικό υπολογιστή σε αλυσίδες υπολογιστή-πελάτη μια αξιόπιστη αρχή έκδοσης Πιστοποιητικών ρίζας.
  • Ο χρήστης ή το πιστοποιητικό υπολογιστή του υπολογιστή-πελάτη περιλαμβάνει το σκοπό του ελέγχου ταυτότητας υπολογιστή-πελάτη.
  • Ο χρήστης ή το πιστοποιητικό υπολογιστή αποτύχει οποιοδήποτε από τους ελέγχους που πραγματοποιούνται από το χώρο αποθήκευσης πιστοποιητικών CryptoAPI και το πιστοποιητικό μεταβιβάζει τις απαιτήσεις της πολιτικής απομακρυσμένης πρόσβασης.
  • Ο χρήστης ή το πιστοποιητικό υπολογιστή αποτύχει οποιοδήποτε από τους ελέγχους αναγνωριστικό αντικειμένου πιστοποιητικού που καθορίζεται στην πολιτική απομακρυσμένης πρόσβασης υπηρεσίας ελέγχου ταυτότητας Internet (IAS).
  • Το 802.1x πρόγραμμα-πελάτης δεν χρησιμοποιούν πιστοποιητικά που βασίζονται στο μητρώο που είναι έξυπνη κάρτα πιστοποιητικά ή πιστοποιητικά που προστατεύονται με κωδικό πρόσβασης.
  • Επέκταση εναλλακτικό όνομα θέματος (SubjectAltName) στο πιστοποιητικό περιέχει το κύριο όνομα χρήστη (UPN).
  • Όταν οι υπολογιστές-πελάτες χρησιμοποιούν το EAP-TLS ή PEAP με έλεγχο ταυτότητας EAP-TLS, εμφανίζεται μια λίστα με τα εγκατεστημένα πιστοποιητικά με τα πιστοποιητικά συμπληρωματικό, με τις ακόλουθες εξαιρέσεις:
    • Ασύρματοι υπολογιστές-πελάτες δεν εμφανίζονται πιστοποιητικά που βασίζονται στο μητρώο και τα πιστοποιητικά σύνδεσης έξυπνης κάρτας.
    • Ασύρματοι υπολογιστές-πελάτες και εικονικού ιδιωτικού δικτύου (VPN), οι υπολογιστές-πελάτες δεν εμφανίζουν τα πιστοποιητικά που προστατεύονται με κωδικό πρόσβασης.
    • Τα πιστοποιητικά που δεν περιέχουν σκοπό ελέγχου ταυτότητας υπολογιστή-πελάτη σε EKU επεκτάσεις δεν εμφανίζονται.

Απαιτήσεις πιστοποιητικού διακομιστή

Μπορείτε να ρυθμίσετε τα προγράμματα-πελάτες για την επικύρωση πιστοποιητικών διακομιστή χρησιμοποιώντας το Επικύρωση πιστοποιητικού διακομιστή επιλογή από το Έλεγχος ταυτότητας καρτέλα ιδιοτήτων σύνδεσης δικτύου. Όταν ένας υπολογιστής-πελάτης χρησιμοποιεί έλεγχο ταυτότητας έκδοση 2 του πρωτοκόλλου ελέγχου ταυτότητας μέσω ανταλλαγής χειραψίας (CHAP) PEAP-EAP-MS-πρόκλησης, PEAP με EAP-TLS ελέγχου ταυτότητας ή έλεγχος ταυτότητας EAP-TLS, ο υπολογιστής-πελάτης αποδέχεται το πιστοποιητικό του διακομιστή, όταν το πιστοποιητικό πληροί τις ακόλουθες απαιτήσεις:
  • Το πιστοποιητικό υπολογιστή σε αλυσίδες διακομιστή σε ένα από τα εξής:
    • Μια αξιόπιστη Microsoft ρίζας CA.
    • Μια αυτόνομη ρίζας της Microsoft ή άλλου κατασκευαστή ρίζας CA σε έναν τομέα υπηρεσίας καταλόγου Active Directory που έχει ένα κατάστημα NTAuthCertificates που περιέχει το πιστοποιητικό ρίζας δημοσιευμένη.Για περισσότερες πληροφορίες σχετικά με τον τρόπο εισαγωγής πιστοποιητικών (CA) άλλου κατασκευαστή, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
      295663  (http://support.microsoft.com/kb/295663/ ) Τρόπος εισαγωγής άλλου κατασκευαστή πιστοποίησης (CA) αρχής έκδοσης πιστοποιητικών στο χώρο αποθήκευσης Enterprise NTAuth
  • Το IAS ή το πιστοποιητικό υπολογιστή του διακομιστή VPN έχει ρυθμιστεί με σκοπό τον έλεγχο ταυτότητας διακομιστή. Το αναγνωριστικό αντικειμένου για έλεγχο ταυτότητας διακομιστή είναι 1.3.6.1.5.5.7.3.1.
  • Το πιστοποιητικό υπολογιστή αποτύχει οποιοδήποτε από τους ελέγχους που πραγματοποιούνται από το χώρο αποθήκευσης πιστοποιητικών CryptoAPI και δεν αποτυγχάνει οποιαδήποτε από τις απαιτήσεις της πολιτικής απομακρυσμένης πρόσβασης.
  • Το όνομα στη γραμμή θέματος του πιστοποιητικού διακομιστή ταιριάζει με το όνομα που έχει ρυθμιστεί στον υπολογιστή-πελάτη της σύνδεσης.
  • Για υπολογιστές-πελάτες ασύρματου δικτύου, την επέκταση εναλλακτικό όνομα θέματος (SubjectAltName) περιέχει το διακομιστή πλήρως αναγνωρισμένο όνομα τομέα (FQDN).
  • Εάν ο υπολογιστής-πελάτης έχει ρυθμιστεί να εμπιστευτείτε ένα πιστοποιητικό διακομιστή με ένα συγκεκριμένο όνομα, ζητείται από το χρήστη για τη λήψη απόφασης σχετικά με αξιόπιστο πιστοποιητικό με διαφορετικό όνομα. Εάν ο χρήστης απορρίπτει το πιστοποιητικό, ο έλεγχος ταυτότητας αποτυγχάνει. Εάν ο χρήστης αποδεχτεί το πιστοποιητικό, το πιστοποιητικό προστίθεται στο χώρο αποθήκευσης πιστοποιητικών του τοπικού υπολογιστή αξιόπιστης ρίζας.
Σημείωση Με το PEAP ή με έλεγχο ταυτότητας EAP-TLS, διακομιστές εμφανίζει μια λίστα με τα εγκατεστημένα πιστοποιητικά στο συμπληρωματικό πρόγραμμα πιστοποιητικά. Ωστόσο, τα πιστοποιητικά που περιέχουν σκοπό ελέγχου ταυτότητας διακομιστή σε EKU επεκτάσεις δεν εμφανίζονται.
Επιστροφή στην αρχή

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τις τεχνολογίες ασύρματου δικτύου, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.Microsoft.com/whdc/Connect/Wireless/Default.mspx (http://www.microsoft.com/whdc/connect/wireless/default.mspx)
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
313242  (http://support.microsoft.com/kb/313242/ ) Τρόπος αντιμετώπισης προβλημάτων σε ασύρματες συνδέσεις δικτύου στα Windows XP
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtel
Επιστροφή στην αρχή
Μηχανικά μεταφρασμένοΜηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:814394  (http://support.microsoft.com/kb/814394/en-us/ )
Επιστροφή στην αρχή