Requisitos de certificados quando utilizar EAP-TLS ou PEAP com EAP-TLS

Este artigo descreve os requisitos de certificados de cliente e os certificados de servidor têm de cumprir quando utiliza o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ou protegido Extensible Authentication Protocol (PEAP) com EAP-TLS.

Quando utilizar EAP com um tipo de EAP forte, tal como TLS com cartões Smart Card ou TLS com certificados, o cliente e o servidor utilizam certificados para verificar as suas identidades entre si. Certificados devem cumprir requisitos específicos no servidor e no cliente de autenticação com êxito.

Um requisito é que o certificado deve ser configurado com um ou mais objectivos nas extensões de utilização de chaves expandida (EKU) que correspondem a utilização de certificados. Por exemplo, um certificado utilizado para a autenticação de um cliente a um servidor deve ser configurado com o objectivo de autenticação de cliente. Ou, um certificado utilizado para a autenticação de um servidor deve ser configurado com o objectivo de autenticação de servidor. Quando os certificados são utilizados para autenticação, o autenticador examina o certificado de cliente e procura o identificador de objecto do objectivo correcto nas extensões EKU. Por exemplo, o identificador de objecto para o objectivo autenticação de cliente é 1.3.6.1.5.5.7.3.2.

Requisitos mínimos de certificados

Todos os certificados são utilizados para autenticação de acesso à rede devem cumprir os requisitos para certificados X.509 e tem também cumprem os requisitos para ligações que utilizam codificação Secure Sockets Layer (SSL) e encriptação TLS (Transport Level Security). Depois destes requisitos mínimos forem cumpridos, os certificados de cliente e os certificados de servidor tem de cumprir os seguintes requisitos adicionais.

Requisitos de certificados de cliente

Com EAP-TLS ou PEAP com EAP-TLS, o servidor aceita a autenticação do cliente quando o certificado cumpre os seguintes requisitos:

• O certificado de cliente é emitido por uma autoridade de certificação (AC) empresarial ou mapeia para uma conta de utilizador ou para uma conta de computador no serviço de directório do Active Directory.
• O utilizador ou o certificado de computador nas cadeias de cliente para uma AC de raiz fidedigna.
• O utilizador ou o certificado de computador no cliente inclui o objectivo autenticação de cliente.
• O utilizador ou o certificado de computador não falha nenhuma das verificações que são executadas por arquivo de certificados CryptoAPI e o certificado transmite requisitos na política de acesso remoto.
• O utilizador ou o certificado de computador não falha nenhuma das verificações de identificador de objecto de certificado que são especificadas na política de acesso remoto serviço de autenticação da Internet (IAS).
• O cliente 802.1X x não utiliza certificados baseados no registo que são certificados de cartões Smart Card ou certificados que estão protegidos com uma palavra-passe.
• A extensão de nome alternativo do requerente (SubjectAltName) no certificado contém o nome principal do utilizador utilizador (UPN).
• Quando os clientes utilizam o EAP-TLS ou PEAP com EAP-TLS autenticação, é apresentada uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes excepções:
  • Os clientes sem fios não apresentam certificados baseados no registo e certificados de início de sessão de smart card.
  • Clientes sem fios e clientes de rede privada virtual (VPN) não apresentam certificados protegidos com uma palavra-passe.
  • Os certificados que não contêm o objectivo de autenticação de cliente nas extensões EKU não são apresentados.

Requisitos de certificados de servidor

Pode configurar clientes para validar certificados de servidor utilizando a opção de Validar certificado do servidor no separador autenticação nas propriedades de ligação de rede. Quando um cliente utiliza a autenticação do protocolo de autenticação PEAP-EAP-MS-Challenge Handshake (CHAP) versão 2, o PEAP com autenticação EAP-TLS ou EAP-TLS autenticação, o cliente aceita o certificado do servidor quando o certificado cumpre os seguintes requisitos:

• O certificado de computador no cadeias de servidor para um dos seguintes procedimentos:
  • Microsoft AC de raiz fidedigna.
  • Uma raiz autónoma do Microsoft ou AC num domínio do Active Directory que tenha um arquivo CertificadosAutNT que contém o certificado raiz publicado de raiz de terceiros.Para obter mais informações sobre como importar certificados de AC de outros fabricantes, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    295663  (http://support.microsoft.com/kb/295663/ ) Como importar certificados de autoridade de certificação (AC) de certificação de terceiros para o arquivo NTAuth Enterprise
• O IAS ou o certificado de computador do servidor de VPN é configurado com o objectivo autenticação de servidor. O identificador de objecto para autenticação de servidor é 1.3.6.1.5.5.7.3.1.
• O certificado de computador não falha nenhuma das verificações que são executadas por arquivo de certificados CryptoAPI e não falha nenhuma dos requisitos de política de acesso remoto.
• O nome na linha de assunto do certificado de servidor corresponde ao nome que é configurado no cliente para a ligação.
• Para clientes sem fios, a extensão de nome alternativo do requerente (SubjectAltName) contém o nome do servidor domínio totalmente qualificado (FQDN, Fully Qualified Domain Name).
• Se o cliente estiver configurado para confiar um certificado de servidor com um nome específico, é pedido ao utilizador que tomar uma decisão sobre confiar um certificado com um nome diferente. Se o utilizador rejeita o certificado, a autenticação falha. Se o utilizador aceitar o certificado, o certificado é adicionado ao arquivo de certificados de raiz fidedigna do computador local.

Nota Com PEAP ou com a autenticação EAP-TLS, servidores de apresentam uma lista de todos os certificados instalados no snap-in Certificados. No entanto, os certificados que contêm o objectivo de autenticação de servidor nas extensões EKU não são apresentados.

Para obter mais informações sobre tecnologias de rede sem fios, visite o seguinte Web site da Microsoft: Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: