Sertifikat persyaratan ketika Anda menggunakan EAP-TLS atau PEAP dengan EAP-TLS

Artikel ini menjelaskan persyaratan bahwa sertifikat klien Anda dan Sertifikat server Anda harus bertemu ketika Anda menggunakan otentikasi Extensible protokol Transport Layer Security (EAP TLS) atau dilindungi Extensible otentikasi protokol (PEAP) dengan EAP-TLS.

Ketika Anda menggunakan EAP dengan jenis EAP kuat, seperti TLS dengan smart card atau TLS dengan sertifikat, klien dan server menggunakan sertifikat untuk memverifikasi identitas mereka satu sama lain. Sertifikat harus memenuhi persyaratan tertentu pada server dan klien untuk otentikasi berhasil.

Salah satu persyaratan adalah bahwa sertifikat harus dikonfigurasi dengan satu atau lebih tujuan di diperpanjang kunci penggunaan (IDEKU) ekstensi yang sesuai dengan penggunaan sertifikat. Sebagai contoh, sertifikat yang digunakan untuk otentikasi klien ke server harus dikonfigurasi dengan tujuan otentikasi klien. Atau, sertifikat yang digunakan untuk otentikasi server harus dikonfigurasi dengan tujuan Server otentikasi. Ketika sertifikat yang digunakan untuk otentikasi, authenticator memeriksa sertifikat klien dan mencari pengidentifikasi objek benar tujuan di IDEKU ekstensi. Sebagai contoh, pengidentifikasi objek untuk tujuan otentikasi klien adalah 1.3.6.1.5.5.7.3.2.

Persyaratan minimum sertifikat

Semua sertifikat yang digunakan untuk jaringan akses otentikasi harus memenuhi persyaratan untuk sertifikat X.509, dan mereka juga harus memenuhi persyaratan untuk sambungan yang menggunakan Secure Sockets Layer (SSL) enkripsi dan transportasi tingkat Security (TLS) enkripsi. Setelah persyaratan minimum ini bertemu, sertifikat klien dan Sertifikat server harus memenuhi persyaratan tambahan berikut.

Klien sertifikat persyaratan

Dengan EAP-TLS atau PEAP dengan EAP-TLS, server menerima otentikasi klien ketika sertifikat memenuhi persyaratan berikut:

• Sertifikat klien yang dikeluarkan oleh perusahaan sertifikasi authority (CA), atau peta untuk account pengguna atau komputer account di layanan direktori Active Directory.
• Pengguna atau sertifikat komputer pada rantai klien akar terpercaya CA.
• Pengguna atau sertifikat komputer pada klien termasuk tujuan otentikasi klien.
• Pengguna atau sertifikat komputer tidak gagal salah satu dari pemeriksaan yang dilakukan oleh CryptoAPI sertifikat toko, dan sertifikat melewati persyaratan dalam kebijakan akses remote.
• Pengguna atau sertifikat komputer tidak gagal salah satu sertifikat pemeriksaan pengidentifikasi objek yang ditentukan di kebijakan akses remote Internet Authentication Service (IAS).
• 802.1x klien tidak menggunakan registri berbasis sertifikat yang kartu pintar sertifikat atau sertifikat yang dilindungi dengan sandi.
• Ekstensi subjek alternatif nama (SubjectAltName) dalam sertifikat berisi pengguna (UPN nama dasar) dari pengguna.
• Ketika klien menggunakan EAP-TLS atau PEAP EAP-TLS otentikasi, daftar semua sertifikat diinstal ditampilkan dalam sertifikat snap-in, dengan pengecualian berikut:
  • Klien nirkabel tidak menampilkan berbasis registri sertifikat dan smart card logon sertifikat.
  • Nirkabel klien dan klien jaringan privat virtual (VPN) menampilkan sertifikat yang dilindungi dengan sandi.
  • Sertifikat yang mengandung tujuan otentikasi klien dalam IDEKU ekstensi tidak ditampilkan.

Persyaratan Sertifikat server

Anda dapat mengkonfigurasi klien untuk memvalidasi Sertifikat server dengan menggunakan Validasi sertifikat server pilihan di Otentikasi tab di properti sambungan jaringan. Ketika klien menggunakan protokol otentikasi jabat tangan PEAP-EAP-MS-tantangan (CHAP) versi 2 otentikasi, PEAP dengan otentikasi EAP-TLS, atau EAP-TLS otentikasi, klien menerima sertifikat server ketika sertifikat memenuhi persyaratan berikut:

• Sertifikat komputer pada rantai server untuk salah satu langkah berikut:
  • Terpercaya Microsoft akar CA.
  • Root berdiri sendiri Microsoft atau pihak ketiga akar CA dalam domain Active Directory yang memiliki toko NTAuthCertificates yang berisi sertifikat root diterbitkan.Untuk informasi lebih lanjut tentang cara mengimpor sertifikat CA pihak ketiga, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    295663  (http://support.microsoft.com/kb/295663/ ) Bagaimana untuk mengimpor sertifikat otoritas (CA) pihak ketiga sertifikasi ke toko Enterprise NTAuth
• IAS atau sertifikat komputer server VPN dikonfigurasi dengan tujuan Server otentikasi. Pengidentifikasi objek untuk Server otentikasi adalah 1.3.6.1.5.5.7.3.1.
• Sertifikat komputer tidak gagal salah satu dari pemeriksaan yang dilakukan oleh CryptoAPI sertifikat toko, dan tidak gagal salah satu persyaratan dalam kebijakan akses remote.
• Nama di baris subjek Sertifikat server sesuai dengan nama yang dikonfigurasi pada klien untuk sambungan.
• Untuk klien nirkabel, ekstensi subjek alternatif nama (SubjectAltName) berisi server memenuhi syarat FQDN (nama domain).
• Jika klien dikonfigurasi untuk mempercayai Sertifikat server dengan nama spesifik, pengguna diminta untuk membuat keputusan tentang percaya sertifikat dengan nama yang berbeda. Jika pengguna menolak sertifikat, otentikasi gagal. Jika pengguna menerima sertifikat, sertifikat akan ditambahkan ke sertifikat terpercaya akar komputer lokal toko.

Catatan Dengan PEAP atau dengan EAP-TLS otentikasi, server menampilkan daftar semua sertifikat diinstal di snap-in sertifikat. Namun, sertifikat yang berisi Server otentikasi tujuan dalam IDEKU ekstensi tidak ditampilkan.

Untuk informasi lebih lanjut tentang teknologi jaringan nirkabel, kunjungi Web site Microsoft berikut: Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft: