Requisiti del certificato quando si utilizza EAP-TLS o PEAP con EAP-TLS

Traduzione articoli Traduzione articoli
Identificativo articolo: 814394 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo vengono descritti i requisiti che devono soddisfare i certificati di client e i certificati server quando si utilizza Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) o PEAP (Protected Extensible Authentication Protocol) con EAP-TLS.

Informazioni

Quando si utilizza EAP con un tipo EAP sicuro, ad esempio i TLS con smart card o TLS con certificati, in client e il server viene utilizzare certificati per verificare le proprie identitÓ a altra. I certificati devono essere ai requisiti di specifici sul server e sul client per l'autenticazione ha avuto esito positivo.

Una requisito Ŕ che con uno o pi¨ scopi nelle estensioni di utilizzo chiave esteso (EKU) che corrispondono l'utilizzo di certificati Ŕ necessario configurare il certificato. Ad esempio, un certificato utilizzato per l'autenticazione di un client a un server deve essere configurato con lo scopo Autenticazione Client. In alternativa, un certificato utilizzato per l'autenticazione di un server deve essere configurato con lo scopo Autenticazione Server. Quando vengono utilizzati i certificati per l'autenticazione, l'autenticatore esamina il certificato del client e Cerca l'identificatore di oggetto corretto scopo nelle estensioni EKU. Ad esempio, l'identificatore di oggetto per lo scopo Autenticazione Client Ŕ 1.3.6.1.5.5.7.3.2.

Requisiti minimi dei certificati

Tutti i certificati utilizzati per l'autenticazione di accesso di rete devono soddisfare i requisiti per i certificati x.509, e inoltre deve soddisfare i requisiti per le connessioni utilizzare crittografia SSL (Secure Sockets Layer) e la crittografia TLS (Transport Level Security). Una volta che vengono soddisfatti i requisiti minimi sia i certificati client che i certificati del server devono i seguenti requisiti aggiuntivi.

Requisiti dei certificati client

Con EAP-TLS o PEAP con EAP-TLS, il server accetta l'autenticazione del client quando il certificato soddisfa i requisiti seguenti:
  • Il certificato del client Ŕ stato rilasciato da un'autoritÓ di certificazione (CA) o Ŕ mappato a un account utente o a un account computer nel servizio directory Active Directory.
  • L'utente o il certificato di computer sulle catene di client a una CA principale attendibile.
  • L'utente o il certificato del computer sul client include lo scopo Autenticazione Client.
  • L'utente o il certificato di computer non Ŕ possibile uno qualsiasi dei controlli che vengono eseguite dall'archivio certificati CryptoAPI e il certificato passa requisiti nel criterio di accesso remoto.
  • L'utente o il certificato di computer non Ŕ possibile uno qualsiasi dei controlli di identificatore oggetto certificato specificati nel criterio di accesso remoto IAS (Internet Authentication Service).
  • Il client 802.1X x non utilizza i certificati del Registro di sistema di certificati smart card o certificati che sono protetti con una password.
  • L'estensione nome alternativo soggetto (SubjectAltName) del certificato contiene il nome principale utente (UPN) dell'utente.
  • Quando i client utilizzano EAP-TLS o PEAP con l'autenticazione EAP-TLS, verrÓ visualizzato un elenco di tutti i certificati installati nello snap-in certificati, con le seguenti eccezioni:
    • I client senza fili non vengono visualizzati i certificati del Registro di sistema e i certificati di accesso smart card.
    • I client senza fili e i client di rete privata virtuale (VPN) non vengono visualizzati i certificati che sono protetti con una password.
    • I certificati che non contengono lo scopo Autenticazione Client nelle estensioni EKU non vengono visualizzati.

Requisiti dei certificati server

╚ possibile configurare i client per convalidare i certificati server con l'opzione di Convalida certificato server nella scheda autenticazione nelle proprietÓ della connessione di rete. Quando un client utilizza l'autenticazione di CHAP (PEAP EAP-Microsoft Challenge Handshake Authentication Protocol) versione 2, PEAP con l'autenticazione EAP-TLS o l'autenticazione EAP-TLS, il client accetta il certificato del server quando il certificato soddisfa i requisiti seguenti:
  • Il certificato di computer sulle catene di server a una delle seguenti operazioni:
    • Una Microsoft CA principale attendibile.
    • Un principale autonoma di Microsoft o una CA in un dominio Active Directory che dispone di un archivio di NTAuthCertificates contenente il certificato principale pubblicato principale di terze parti.Per ulteriori informazioni sull'importazione di certificati CA di terze parti, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
      295663Come importare i certificati di autoritÓ (CA) di terze parti nell'archivio NTAuth Enterprise
  • Server IAS o il certificato del computer server VPN Ŕ configurato con lo scopo Autenticazione Server. L'identificatore di oggetto per l'autenticazione server Ŕ 1.3.6.1.5.5.7.3.1.
  • Il certificato di computer non non uno qualsiasi dei controlli che vengono eseguite dall'archivio certificati CryptoAPI e non Ŕ possibile uno dei requisiti definiti nel criterio di accesso remoto.
  • Nome della riga oggetto del certificato server corrisponde al nome configurato sul client per la connessione.
  • Per i client senza fili, l'estensione del nome alternativo soggetto (SubjectAltName) contiene il nome di dominio completo del server (FQDN).
  • Se il client Ŕ configurato per considerare attendibile un certificato server con un nome specifico, viene richiesto di prendere una decisione sull'attendibilitÓ di un certificato con un nome diverso. Se l'utente rifiuta il certificato, autenticazione non riesce. Se l'utente accetta il certificato, il certificato viene aggiunto all'archivio di certificati attendibili del computer locale.
Nota Con PEAP o con l'autenticazione EAP-TLS, il server Visualizza un elenco di tutti i certificati installati nello snap-in certificati. Tuttavia, i certificati che contengono lo scopo Autenticazione Server nelle estensioni EKU non vengono visualizzati.

Riferimenti

Per ulteriori informazioni sulle tecnologie di rete senza fili, visitare il sito di Web di Microsoft:
http://www.microsoft.com/whdc/connect/wireless/default.mspx
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
313242Risoluzione dei problemi connessioni di rete senza fili in Windows XP

ProprietÓ

Identificativo articolo: 814394 - Ultima modifica: lunedý 30 ottobre 2006 - Revisione: 3.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 814394
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com