Requisitos de certificado quando você usa EAP-TLS ou PEAP com EAP-TLS

Quando você usa a Autenticação Extensível Protocol-Transport Layer Security (EAP-TLS) ou o PEAP (Protocolo de Autenticação Extensível Protegida) com EAP-TLS, seus certificados de cliente e servidor devem atender a determinados requisitos.

Aplica-se a: Windows 11, Windows 10
Número de KB original: 814394

Resumo

Quando você usa o EAP com um tipo EAP forte, como TLS com cartões inteligentes ou TLS com certificados, o cliente e o servidor usam certificados para verificar identidades entre si. Os certificados devem atender a requisitos específicos no servidor e no cliente para autenticação bem-sucedida.

O certificado deve ser configurado com uma ou mais finalidades em extensões de EKU (Uso de Chave Estendida) que correspondam ao uso do certificado. Por exemplo, um certificado usado para a autenticação de um cliente em um servidor deve ser configurado com a finalidade autenticação do cliente . Ou, um certificado usado para a autenticação de um servidor deve ser configurado com a finalidade autenticação do servidor . Quando os certificados são usados para autenticação, o autenticador examina o certificado do cliente e procura o OID (identificador de objeto de finalidade correta) em extensões de EKU. Por exemplo, o OID para a finalidade autenticação do cliente é 1.3.6.1.5.5.7.3.2, e o OID for Server Authentication é 1.3.6.1.5.5.7.3.1.

Requisitos mínimos de certificado

Todos os certificados usados para autenticação de acesso à rede devem atender aos requisitos para certificados X.509. Eles também devem atender aos requisitos para conexões que usam criptografia SSL (Secure Sockets Layer) e criptografia TLS (Transport Level Security). Depois que esses requisitos mínimos forem atendidos, os certificados de cliente e os certificados de servidor devem atender aos seguintes requisitos extras.

Requisitos de certificado do cliente

Com EAP-TLS ou PEAP com EAP-TLS, o servidor aceita a autenticação do cliente quando o certificado atende aos seguintes requisitos:

• O certificado do cliente é emitido por uma autoridade de certificação corporativa (AC). Ou ele é mapeado para uma conta de usuário ou uma conta de computador no serviço de diretório do Active Directory.

• O usuário ou o certificado de computador nas cadeias de clientes para uma AC raiz confiável.

• O usuário ou o certificado de computador no cliente inclui a finalidade autenticação do cliente .

• O usuário ou o certificado do computador não falha em nenhuma das verificações executadas pelo repositório de certificados CryptoAPI. E o certificado passa os requisitos na política de acesso remoto.

• O usuário ou o certificado de computador não falha em nenhuma das verificações OID de certificado especificadas na política de acesso remoto do NPS (Servidor de Política de Rede).

• O cliente 802.1X não usa certificados baseados em registro que sejam certificados ou certificados smart-cartão protegidos com uma senha.

• A extensão Nome Alternativo do Assunto (SubjectAltName) no certificado contém o UPN (nome da entidade de usuário) do usuário.

• Quando os clientes usam eAP-TLS ou PEAP com autenticação EAP-TLS, uma lista de todos os certificados instalados é exibida no snap-in Certificados, com as seguintes exceções:

  • Os clientes sem fio não exibem certificados baseados em registro e certificados de logon cartão inteligentes.
  • Clientes sem fio e clientes VPN (rede virtual privada) não exibem certificados protegidos com uma senha.
  • Certificados que não contêm a finalidade autenticação do cliente em extensões EKU não são exibidos.

Requisitos de certificado de servidor

Você pode configurar clientes para validar certificados de servidor usando a opção Validar certificado do servidor . Essa opção está na guia Autenticação nas propriedades conexão de rede. Quando um cliente usa a autenticação CHAP (Protocolo de Autenticação de Handshake) do PEAP-EAP-MS-Challenge versão 2, o PEAP com autenticação EAP-TLS ou autenticação EAP-TLS, o cliente aceita o certificado do servidor quando o certificado atende aos seguintes requisitos:

• O certificado de computador nas cadeias de servidor para um dos seguintes CAs:

  • Uma AC raiz confiável da Microsoft.

  • Uma AC raiz autônoma ou de terceiros da Microsoft em um domínio do Active Directory que tem um repositório NTAuthCertificates que contém o certificado raiz publicado. Para obter mais informações sobre como importar certificados de ac de terceiros, consulte Como importar certificados de autoridade de certificação de terceiros (AC) para o repositório Enterprise NTAuth.

• O NPS ou o certificado de computador do servidor VPN está configurado com a finalidade autenticação do servidor . O OID for Server Authentication é 1.3.6.1.5.5.7.3.1.

• O certificado do computador não falha em nenhuma das verificações executadas pelo repositório de certificados CryptoAPI. E não falha em nenhum dos requisitos na política de acesso remoto.

• O nome na linha Assunto do certificado do servidor corresponde ao nome configurado no cliente para a conexão.

• Para clientes sem fio, a extensão SubjectAltName (SubjectAltName) contém o FQDN (nome de domínio totalmente qualificado) do servidor.

• Se o cliente estiver configurado para confiar em um certificado de servidor com um nome específico, o usuário será solicitado a decidir sobre confiar em um certificado com um nome diferente. Se o usuário rejeitar o certificado, a autenticação falhará. Se o usuário aceitar o certificado, o certificado será adicionado ao repositório de certificados raiz confiável do computador local.

Mais informações

• Protocolo de Autenticação Extensível (EAP) para acesso à rede
• Configurar modelos de certificado para requisitos PEAP e EAP para NPS