Requisiti del certificato quando si utilizza EAP-TLS o PEAP con EAP-TLS

Identificativo articolo: 814394 - Visualizza i prodotti a cui si riferisce l?articolo.
Traduzione automatica articoliAttenzione: Questo è un articolo tradotto in automatico.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo vengono descritti i requisiti che devono soddisfare i certificati di client e i certificati server quando si utilizza Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) o PEAP (Protected Extensible Authentication Protocol) con EAP-TLS.
Torna all'inizio | Invia suggerimenti

Informazioni

Quando si utilizza EAP con un tipo EAP sicuro, ad esempio i TLS con smart card o TLS con certificati, in client e il server viene utilizzare certificati per verificare le proprie identità a altra. I certificati devono essere ai requisiti di specifici sul server e sul client per l'autenticazione ha avuto esito positivo.

Una requisito è che con uno o più scopi nelle estensioni di utilizzo chiave esteso (EKU) che corrispondono l'utilizzo di certificati è necessario configurare il certificato. Ad esempio, un certificato utilizzato per l'autenticazione di un client a un server deve essere configurato con lo scopo Autenticazione Client. In alternativa, un certificato utilizzato per l'autenticazione di un server deve essere configurato con lo scopo Autenticazione Server. Quando vengono utilizzati i certificati per l'autenticazione, l'autenticatore esamina il certificato del client e Cerca l'identificatore di oggetto corretto scopo nelle estensioni EKU. Ad esempio, l'identificatore di oggetto per lo scopo Autenticazione Client è 1.3.6.1.5.5.7.3.2.

Requisiti minimi dei certificati

Tutti i certificati utilizzati per l'autenticazione di accesso di rete devono soddisfare i requisiti per i certificati x.509, e inoltre deve soddisfare i requisiti per le connessioni utilizzare crittografia SSL (Secure Sockets Layer) e la crittografia TLS (Transport Level Security). Una volta che vengono soddisfatti i requisiti minimi sia i certificati client che i certificati del server devono i seguenti requisiti aggiuntivi.

Requisiti dei certificati client

Con EAP-TLS o PEAP con EAP-TLS, il server accetta l'autenticazione del client quando il certificato soddisfa i requisiti seguenti:
  • Il certificato del client è stato rilasciato da un'autorità di certificazione (CA) o è mappato a un account utente o a un account computer nel servizio directory Active Directory.
  • L'utente o il certificato di computer sulle catene di client a una CA principale attendibile.
  • L'utente o il certificato del computer sul client include lo scopo Autenticazione Client.
  • L'utente o il certificato di computer non è possibile uno qualsiasi dei controlli che vengono eseguite dall'archivio certificati CryptoAPI e il certificato passa requisiti nel criterio di accesso remoto.
  • L'utente o il certificato di computer non è possibile uno qualsiasi dei controlli di identificatore oggetto certificato specificati nel criterio di accesso remoto IAS (Internet Authentication Service).
  • Il client 802.1X x non utilizza i certificati del Registro di sistema di certificati smart card o certificati che sono protetti con una password.
  • L'estensione nome alternativo soggetto (SubjectAltName) del certificato contiene il nome principale utente (UPN) dell'utente.
  • Quando i client utilizzano EAP-TLS o PEAP con l'autenticazione EAP-TLS, verrà visualizzato un elenco di tutti i certificati installati nello snap-in certificati, con le seguenti eccezioni:
    • I client senza fili non vengono visualizzati i certificati del Registro di sistema e i certificati di accesso smart card.
    • I client senza fili e i client di rete privata virtuale (VPN) non vengono visualizzati i certificati che sono protetti con una password.
    • I certificati che non contengono lo scopo Autenticazione Client nelle estensioni EKU non vengono visualizzati.

Requisiti dei certificati server

È possibile configurare i client per convalidare i certificati server con l'opzione di Convalida certificato server nella scheda autenticazione nelle proprietà della connessione di rete. Quando un client utilizza l'autenticazione di CHAP (PEAP EAP-Microsoft Challenge Handshake Authentication Protocol) versione 2, PEAP con l'autenticazione EAP-TLS o l'autenticazione EAP-TLS, il client accetta il certificato del server quando il certificato soddisfa i requisiti seguenti:
  • Il certificato di computer sulle catene di server a una delle seguenti operazioni:
    • Una Microsoft CA principale attendibile.
    • Un principale autonoma di Microsoft o una CA in un dominio Active Directory che dispone di un archivio di NTAuthCertificates contenente il certificato principale pubblicato principale di terze parti.Per ulteriori informazioni sull'importazione di certificati CA di terze parti, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
      295663
      (http://support.microsoft.com/kb/295663/ )
      Come importare i certificati di autorità (CA) di terze parti nell'archivio NTAuth Enterprise
  • Server IAS o il certificato del computer server VPN è configurato con lo scopo Autenticazione Server. L'identificatore di oggetto per l'autenticazione server è 1.3.6.1.5.5.7.3.1.
  • Il certificato di computer non non uno qualsiasi dei controlli che vengono eseguite dall'archivio certificati CryptoAPI e non è possibile uno dei requisiti definiti nel criterio di accesso remoto.
  • Nome della riga oggetto del certificato server corrisponde al nome configurato sul client per la connessione.
  • Per i client senza fili, l'estensione del nome alternativo soggetto (SubjectAltName) contiene il nome di dominio completo del server (FQDN).
  • Se il client è configurato per considerare attendibile un certificato server con un nome specifico, viene richiesto di prendere una decisione sull'attendibilità di un certificato con un nome diverso. Se l'utente rifiuta il certificato, autenticazione non riesce. Se l'utente accetta il certificato, il certificato viene aggiunto all'archivio di certificati attendibili del computer locale.
Nota Con PEAP o con l'autenticazione EAP-TLS, il server Visualizza un elenco di tutti i certificati installati nello snap-in certificati. Tuttavia, i certificati che contengono lo scopo Autenticazione Server nelle estensioni EKU non vengono visualizzati.
Torna all'inizio | Invia suggerimenti

Riferimenti

Per ulteriori informazioni sulle tecnologie di rete senza fili, visitare il sito di Web di Microsoft:
http://www.microsoft.com/whdc/connect/wireless/default.mspx
(http://www.microsoft.com/whdc/connect/wireless/default.mspx)
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
313242
(http://support.microsoft.com/kb/313242/ )
Risoluzione dei problemi connessioni di rete senza fili in Windows XP
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 814394 - Ultima modifica: lunedì 30 ottobre 2006 - Revisione: 3.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi: 
kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 814394
(http://support.microsoft.com/kb/814394/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio