Exigences en matière de certificat lorsque vous utilisez EAP-TLS ou PEAP avec EAP-TLS

Traductions disponibles Traductions disponibles
Numéro d'article: 814394 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article décrit les exigences auxquelles les certificats de vos clients et vos certificats de serveur doivent répondre lorsque vous utilisez Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ou protégé par l'authentification PEAP (Extensible Protocol) avec EAP-TLS.

Plus d'informations

Lorsque vous utilisez EAP avec un type EAP fort, tels que TLS avec les cartes à puce ou TLS avec des certificats, le client et le serveur utilisent des certificats pour vérifier leur identité à l'autre. Les certificats doivent répondre aux exigences spécifiques sur le serveur et sur le client pour l'authentification.

Une condition requise est que le certificat doit être configuré avec un ou plusieurs rôles dans les extensions Utilisation de clé étendue (EKU) qui correspondent à l'utilisation de certificats. Par exemple, un certificat qui est utilisé pour l'authentification d'un client à un serveur doit être configuré avec le rôle Authentification du Client. Ou bien, un certificat qui est utilisé pour l'authentification d'un serveur doit être configuré avec le rôle Authentification du serveur. Lorsque les certificats sont utilisés pour l'authentification, l'authentificateur examine le certificat client et recherche de l'identificateur d'objet rôle correct dans les extensions EKU. Par exemple, l'identificateur d'objet pour le rôle Authentification du Client est 1.3.6.1.5.5.7.3.2.

Configuration requise minimale des certificats

Tous les certificats qui sont utilisés pour l'authentification de l'accès réseau doivent satisfaire la configuration requise pour les certificats X.509, et qu'ils remplissent également les conditions requises pour les connexions qui utilisent le cryptage Secure Sockets Layer (SSL) et le cryptage de sécurité TLS (Transport Level Security). Une fois ces conditions minimales sont remplies, les certificats de client et les certificats de serveur doivent respecter les exigences supplémentaires suivantes.

Configuration requise du certificat client

Avec EAP-TLS ou PEAP avec EAP-TLS, le serveur accepte l'authentification du client si le certificat remplit les conditions suivantes :
  • Le certificat client est émis par une autorité de certification d'entreprise (CA), ou il est mappé à un compte d'utilisateur ou à un compte d'ordinateur dans le service d'annuaire Active Directory.
  • L'utilisateur ou le certificat d'ordinateur sur les chaînes de client à une autorité de certification racine de confiance.
  • L'utilisateur ou le certificat d'ordinateur sur le client inclut le rôle Authentification du Client.
  • L'utilisateur ou le certificat d'ordinateur n'échoue pas l'une des vérifications effectuées par le magasin de certificats CryptoAPI et le certificat transmet les exigences de la stratégie d'accès distant.
  • L'utilisateur ou le certificat d'ordinateur n'échoue pas l'un des contrôles d'identificateur d'objet certificat qui sont spécifiées dans la stratégie d'accès distant Service d'authentification Internet (IAS).
  • 802. 1x client n'utilise pas de certificats basés sur le Registre qui sont des certificats de carte à puce ou des certificats qui sont protégées par un mot de passe.
  • L'extension (SubjectAltName) autre nom du sujet dans le certificat contient le nom utilisateur principal (UPN) de l'utilisateur.
  • Lorsque des clients utilisent EAP-TLS ou PEAP avec l'authentification EAP-TLS, une liste de tous les certificats installés s'affiche dans le composant logiciel enfichable Certificats, avec les exceptions suivantes :
    • Les clients sans fil n'affichent pas les certificats basés sur le Registre et les certificats d'ouverture de session de carte à puce.
    • Les clients sans fil et les clients de réseau privé virtuel (VPN) n'affichent pas les certificats qui sont protégées par un mot de passe.
    • Les certificats qui ne contiennent pas le rôle Authentification du Client dans les extensions EKU ne s'affichent pas.

Configuration requise du certificat serveur

Vous pouvez configurer les clients pour valider les certificats de serveur à l'aide de l'option Valider le certificat du serveur dans l'onglet authentification dans les propriétés de connexion réseau. Lorsqu'un client utilise l'authentification PEAP-EAP-MS-CHAP Challenge Handshake Authentication Protocol () version 2, le protocole PEAP avec l'authentification EAP-TLS ou l'authentification EAP-TLS, le client accepte le certificat du serveur lorsque le certificat remplit les conditions suivantes :
  • Le certificat d'ordinateur sur le serveur provient d'une des opérations suivantes :
    • Une Microsoft AC racine de confiance.
    • Une racine autonome Microsoft ou tierce autorité de certification dans un domaine Active Directory qui possède une Boutique NTAuthCertificates qui contient le certificat racine publié.Pour plus d'informations sur l'importation de certificats d'autorité de certification tierce, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
      295663 Comment faire pour importer des certificats d'autorité de certification tierce dans le magasin NTAuth de Microsoft Enterprise
  • Le service IAS ou le certificat d'ordinateur serveur VPN est configuré avec le rôle Authentification du serveur. L'identificateur d'objet pour l'authentification du serveur est 1.3.6.1.5.5.7.3.1.
  • Le certificat d'ordinateur n'échoue pas l'une des vérifications effectuées par le magasin de certificats CryptoAPI, et elle n'échouera pas l'une des exigences de la stratégie d'accès distant.
  • Le nom de la ligne d'objet du certificat du serveur correspond au nom configuré sur le client pour la connexion.
  • Pour les clients sans fil, l'extension (SubjectAltName) autre nom du sujet contient le nom de domaine pleinement qualifié du serveur (FQDN).
  • Si le client est configuré pour faire confiance à un certificat de serveur avec un nom spécifique, l'utilisateur est invité à prendre une décision sur l'approbation d'un certificat avec un nom différent. Si l'utilisateur rejette le certificat, l'authentification échoue. Si l'utilisateur accepte le certificat, le certificat est ajouté au magasin de certificats ordinateur local racine de confiance.
Remarque : Avec PEAP ou avec l'authentification EAP-TLS, les serveurs affichent une liste de tous les certificats installés dans le composant logiciel enfichable Certificats. Toutefois, les certificats qui contiennent le rôle Authentification du serveur dans les extensions EKU ne sont affichent pas.

Références

Pour plus d'informations sur les technologies de réseau sans fil, visitez le site Web de Microsoft à l'adresse suivante :
http://www.Microsoft.com/whdc/Connect/Wireless/default.mspx
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
313242 Comment faire pour résoudre les problèmes de connexion réseau sans fil dans Windows XP

Propriétés

Numéro d'article: 814394 - Dernière mise à jour: jeudi 31 octobre 2013 - Version: 5.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 814394
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com