Sertifikat persyaratan ketika Anda menggunakan EAP-TLS atau PEAP dengan EAP-TLS

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 814394 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

PENDAHULUAN

Artikel ini menjelaskan persyaratan bahwa sertifikat klien Anda dan Sertifikat server Anda harus bertemu ketika Anda menggunakan otentikasi Extensible protokol Transport Layer Security (EAP TLS) atau dilindungi Extensible otentikasi protokol (PEAP) dengan EAP-TLS.

INFORMASI LEBIH LANJUT

Ketika Anda menggunakan EAP dengan jenis EAP kuat, seperti TLS dengan smart card atau TLS dengan sertifikat, klien dan server menggunakan sertifikat untuk memverifikasi identitas mereka satu sama lain. Sertifikat harus memenuhi persyaratan tertentu pada server dan klien untuk otentikasi berhasil.

Salah satu persyaratan adalah bahwa sertifikat harus dikonfigurasi dengan satu atau lebih tujuan di diperpanjang kunci penggunaan (IDEKU) ekstensi yang sesuai dengan penggunaan sertifikat. Sebagai contoh, sertifikat yang digunakan untuk otentikasi klien ke server harus dikonfigurasi dengan tujuan otentikasi klien. Atau, sertifikat yang digunakan untuk otentikasi server harus dikonfigurasi dengan tujuan Server otentikasi. Ketika sertifikat yang digunakan untuk otentikasi, authenticator memeriksa sertifikat klien dan mencari pengidentifikasi objek benar tujuan di IDEKU ekstensi. Sebagai contoh, pengidentifikasi objek untuk tujuan otentikasi klien adalah 1.3.6.1.5.5.7.3.2.

Persyaratan minimum sertifikat

Semua sertifikat yang digunakan untuk jaringan akses otentikasi harus memenuhi persyaratan untuk sertifikat X.509, dan mereka juga harus memenuhi persyaratan untuk sambungan yang menggunakan Secure Sockets Layer (SSL) enkripsi dan transportasi tingkat Security (TLS) enkripsi. Setelah persyaratan minimum ini bertemu, sertifikat klien dan Sertifikat server harus memenuhi persyaratan tambahan berikut.

Klien sertifikat persyaratan

Dengan EAP-TLS atau PEAP dengan EAP-TLS, server menerima otentikasi klien ketika sertifikat memenuhi persyaratan berikut:
  • Sertifikat klien yang dikeluarkan oleh perusahaan sertifikasi authority (CA), atau peta untuk account pengguna atau komputer account di layanan direktori Active Directory.
  • Pengguna atau sertifikat komputer pada rantai klien akar terpercaya CA.
  • Pengguna atau sertifikat komputer pada klien termasuk tujuan otentikasi klien.
  • Pengguna atau sertifikat komputer tidak gagal salah satu dari pemeriksaan yang dilakukan oleh CryptoAPI sertifikat toko, dan sertifikat melewati persyaratan dalam kebijakan akses remote.
  • Pengguna atau sertifikat komputer tidak gagal salah satu sertifikat pemeriksaan pengidentifikasi objek yang ditentukan di kebijakan akses remote Internet Authentication Service (IAS).
  • 802.1x klien tidak menggunakan registri berbasis sertifikat yang kartu pintar sertifikat atau sertifikat yang dilindungi dengan sandi.
  • Ekstensi subjek alternatif nama (SubjectAltName) dalam sertifikat berisi pengguna (UPN nama dasar) dari pengguna.
  • Ketika klien menggunakan EAP-TLS atau PEAP EAP-TLS otentikasi, daftar semua sertifikat diinstal ditampilkan dalam sertifikat snap-in, dengan pengecualian berikut:
    • Klien nirkabel tidak menampilkan berbasis registri sertifikat dan smart card logon sertifikat.
    • Nirkabel klien dan klien jaringan privat virtual (VPN) menampilkan sertifikat yang dilindungi dengan sandi.
    • Sertifikat yang mengandung tujuan otentikasi klien dalam IDEKU ekstensi tidak ditampilkan.

Persyaratan Sertifikat server

Anda dapat mengkonfigurasi klien untuk memvalidasi Sertifikat server dengan menggunakan Validasi sertifikat server pilihan di Otentikasi tab di properti sambungan jaringan. Ketika klien menggunakan protokol otentikasi jabat tangan PEAP-EAP-MS-tantangan (CHAP) versi 2 otentikasi, PEAP dengan otentikasi EAP-TLS, atau EAP-TLS otentikasi, klien menerima sertifikat server ketika sertifikat memenuhi persyaratan berikut:
  • Sertifikat komputer pada rantai server untuk salah satu langkah berikut:
    • Terpercaya Microsoft akar CA.
    • Root berdiri sendiri Microsoft atau pihak ketiga akar CA dalam domain Active Directory yang memiliki toko NTAuthCertificates yang berisi sertifikat root diterbitkan.Untuk informasi lebih lanjut tentang cara mengimpor sertifikat CA pihak ketiga, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
      295663Bagaimana untuk mengimpor sertifikat otoritas (CA) pihak ketiga sertifikasi ke toko Enterprise NTAuth
  • IAS atau sertifikat komputer server VPN dikonfigurasi dengan tujuan Server otentikasi. Pengidentifikasi objek untuk Server otentikasi adalah 1.3.6.1.5.5.7.3.1.
  • Sertifikat komputer tidak gagal salah satu dari pemeriksaan yang dilakukan oleh CryptoAPI sertifikat toko, dan tidak gagal salah satu persyaratan dalam kebijakan akses remote.
  • Nama di baris subjek Sertifikat server sesuai dengan nama yang dikonfigurasi pada klien untuk sambungan.
  • Untuk klien nirkabel, ekstensi subjek alternatif nama (SubjectAltName) berisi server memenuhi syarat FQDN (nama domain).
  • Jika klien dikonfigurasi untuk mempercayai Sertifikat server dengan nama spesifik, pengguna diminta untuk membuat keputusan tentang percaya sertifikat dengan nama yang berbeda. Jika pengguna menolak sertifikat, otentikasi gagal. Jika pengguna menerima sertifikat, sertifikat akan ditambahkan ke sertifikat terpercaya akar komputer lokal toko.
Catatan Dengan PEAP atau dengan EAP-TLS otentikasi, server menampilkan daftar semua sertifikat diinstal di snap-in sertifikat. Namun, sertifikat yang berisi Server otentikasi tujuan dalam IDEKU ekstensi tidak ditampilkan.

REFERENSI

Untuk informasi lebih lanjut tentang teknologi jaringan nirkabel, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/whdc/Connect/Wireless/default.mspx
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
313242Cara mengatasi masalah sambungan jaringan nirkabel pada Windows XP

Properti

ID Artikel: 814394 - Kajian Terakhir: 03 Oktober 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kata kunci: 
kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:814394

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com