Conditions requises pour les certificats lorsque vous utilisez EAP-TLS ou PEAP avec EAP-TLS

  • Article

Lorsque vous utilisez EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ou PEAP (Protected Extensible Authentication Protocol) avec EAP-TLS, vos certificats client et serveur doivent répondre à certaines exigences.

S’applique à : Windows 11, Windows 10
Numéro de la base de connaissances d’origine : 814394

Résumé

Lorsque vous utilisez EAP avec un type EAP fort, tel que TLS avec des cartes à puce ou TLS avec des certificats, le client et le serveur utilisent des certificats pour vérifier les identités entre elles. Les certificats doivent répondre à des exigences spécifiques à la fois sur le serveur et sur le client pour que l’authentification réussisse.

Le certificat doit être configuré avec un ou plusieurs objectifs dans les extensions EKU (Extended Key Usage) qui correspondent à l’utilisation du certificat. Par exemple, un certificat utilisé pour l’authentification d’un client auprès d’un serveur doit être configuré avec l’objectif d’authentification du client . Ou bien, un certificat utilisé pour l’authentification d’un serveur doit être configuré avec l’objectif Authentification du serveur . Lorsque des certificats sont utilisés pour l’authentification, l’authentificateur examine le certificat client et recherche l’identificateur d’objet d’objectif (OID) correct dans les extensions EKU. Par exemple, l’OID pour l’objectif d’authentification du client est 1.3.6.1.5.5.7.3.2, et l’OID pour l’authentification serveur est 1.3.6.1.5.5.7.3.1.

Conditions minimales requises pour les certificats

Tous les certificats utilisés pour l’authentification d’accès réseau doivent répondre aux exigences des certificats X.509. Ils doivent également répondre aux exigences pour les connexions qui utilisent le chiffrement SSL (Secure Sockets Layer) et le chiffrement TLS (Transport Level Security). Une fois ces conditions minimales remplies, les certificats clients et les certificats serveur doivent satisfaire aux exigences supplémentaires suivantes.

Conditions requises pour les certificats clients

Avec EAP-TLS ou PEAP avec EAP-TLS, le serveur accepte l’authentification du client lorsque le certificat répond aux exigences suivantes :

  • Le certificat client est émis par une autorité de certification d’entreprise. Ou il est mappé à un compte d’utilisateur ou à un compte d’ordinateur dans le service d’annuaire Active Directory.

  • L’utilisateur ou le certificat d’ordinateur sur le client est lié à une autorité de certification racine approuvée.

  • L’utilisateur ou le certificat d’ordinateur sur le client inclut l’objectif d’authentification du client .

  • L’utilisateur ou le certificat d’ordinateur n’échoue à aucune des vérifications effectuées par le magasin de certificats CryptoAPI. Et le certificat répond aux exigences de la stratégie d’accès à distance.

  • L’utilisateur ou le certificat d’ordinateur n’échoue pas à l’une des vérifications OID de certificat spécifiées dans la stratégie d’accès à distance du serveur NPS (Network Policy Server).

  • Le client 802.1X n’utilise pas de certificats basés sur le Registre qui sont soit des certificats carte intelligents, soit des certificats protégés par un mot de passe.

  • L’extension SubjectAltName (SubjectAltName) dans le certificat contient le nom d’utilisateur principal (UPN) de l’utilisateur.

  • Lorsque les clients utilisent EAP-TLS ou PEAP avec l’authentification EAP-TLS, une liste de tous les certificats installés s’affiche dans le composant logiciel enfichable Certificats, avec les exceptions suivantes :

    • Les clients sans fil n’affichent pas les certificats basés sur le registre et les certificats d’ouverture de session smart carte.
    • Les clients sans fil et les clients de réseau privé virtuel (VPN) n’affichent pas de certificats protégés par un mot de passe.
    • Les certificats qui ne contiennent pas l’objectif d’authentification client dans les extensions EKU ne sont pas affichés.

Conditions requises pour les certificats de serveur

Vous pouvez configurer des clients pour valider les certificats de serveur à l’aide de l’option Valider le certificat de serveur . Cette option se trouve sous l’onglet Authentification dans les propriétés de connexion réseau. Lorsqu’un client utilise l’authentification PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) version 2, PEAP avec l’authentification EAP-TLS ou l’authentification EAP-TLS, le client accepte le certificat du serveur lorsque le certificat répond aux exigences suivantes :

  • Le certificat d’ordinateur sur le serveur est lié à l’une des autorités de certification suivantes :

  • Le certificat d’ordinateur du serveur NPS ou du serveur VPN est configuré avec l’objectif Authentification du serveur . L’OID pour l’authentification du serveur est 1.3.6.1.5.5.7.3.1.

  • Le certificat d’ordinateur n’échoue à aucune des vérifications effectuées par le magasin de certificats CryptoAPI. De plus, l’une des exigences de la stratégie d’accès à distance n’est pas remplie.

  • Le nom dans la ligne Objet du certificat de serveur correspond au nom configuré sur le client pour la connexion.

  • Pour les clients sans fil, l’extension SubjectAltName (SubjectAltName) contient le nom de domaine complet (FQDN) du serveur.

  • Si le client est configuré pour approuver un certificat de serveur portant un nom spécifique, l’utilisateur est invité à décider de l’approbation d’un certificat portant un autre nom. Si l’utilisateur rejette le certificat, l’authentification échoue. Si l’utilisateur accepte le certificat, le certificat est ajouté au magasin de certificats racine approuvé de l’ordinateur local.

Remarque

Avec PEAP ou avec l’authentification EAP-TLS, les serveurs affichent une liste de tous les certificats installés dans le composant logiciel enfichable Certificats. Toutefois, les certificats qui contiennent l’objectif d’authentification serveur dans les extensions EKU ne sont pas affichés.

Plus d’informations