Requisitos de certificados quando utilizar EAP-TLS ou PEAP com EAP-TLS

Traduções de Artigos Traduções de Artigos
Artigo: 814394 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve os requisitos de certificados de cliente e os certificados de servidor têm de cumprir quando utiliza o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ou protegido Extensible Authentication Protocol (PEAP) com EAP-TLS.

Mais Informação

Quando utilizar EAP com um tipo de EAP forte, tal como TLS com cartões Smart Card ou TLS com certificados, o cliente e o servidor utilizam certificados para verificar as suas identidades entre si. Certificados devem cumprir requisitos específicos no servidor e no cliente de autenticação com êxito.

Um requisito é que o certificado deve ser configurado com um ou mais objectivos nas extensões de utilização de chaves expandida (EKU) que correspondem a utilização de certificados. Por exemplo, um certificado utilizado para a autenticação de um cliente a um servidor deve ser configurado com o objectivo de autenticação de cliente. Ou, um certificado utilizado para a autenticação de um servidor deve ser configurado com o objectivo de autenticação de servidor. Quando os certificados são utilizados para autenticação, o autenticador examina o certificado de cliente e procura o identificador de objecto do objectivo correcto nas extensões EKU. Por exemplo, o identificador de objecto para o objectivo autenticação de cliente é 1.3.6.1.5.5.7.3.2.

Requisitos mínimos de certificados

Todos os certificados são utilizados para autenticação de acesso à rede devem cumprir os requisitos para certificados X.509 e tem também cumprem os requisitos para ligações que utilizam codificação Secure Sockets Layer (SSL) e encriptação TLS (Transport Level Security). Depois destes requisitos mínimos forem cumpridos, os certificados de cliente e os certificados de servidor tem de cumprir os seguintes requisitos adicionais.

Requisitos de certificados de cliente

Com EAP-TLS ou PEAP com EAP-TLS, o servidor aceita a autenticação do cliente quando o certificado cumpre os seguintes requisitos:
  • O certificado de cliente é emitido por uma autoridade de certificação (AC) empresarial ou mapeia para uma conta de utilizador ou para uma conta de computador no serviço de directório do Active Directory.
  • O utilizador ou o certificado de computador nas cadeias de cliente para uma AC de raiz fidedigna.
  • O utilizador ou o certificado de computador no cliente inclui o objectivo autenticação de cliente.
  • O utilizador ou o certificado de computador não falha nenhuma das verificações que são executadas por arquivo de certificados CryptoAPI e o certificado transmite requisitos na política de acesso remoto.
  • O utilizador ou o certificado de computador não falha nenhuma das verificações de identificador de objecto de certificado que são especificadas na política de acesso remoto serviço de autenticação da Internet (IAS).
  • O cliente 802.1X x não utiliza certificados baseados no registo que são certificados de cartões Smart Card ou certificados que estão protegidos com uma palavra-passe.
  • A extensão de nome alternativo do requerente (SubjectAltName) no certificado contém o nome principal do utilizador utilizador (UPN).
  • Quando os clientes utilizam o EAP-TLS ou PEAP com EAP-TLS autenticação, é apresentada uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes excepções:
    • Os clientes sem fios não apresentam certificados baseados no registo e certificados de início de sessão de smart card.
    • Clientes sem fios e clientes de rede privada virtual (VPN) não apresentam certificados protegidos com uma palavra-passe.
    • Os certificados que não contêm o objectivo de autenticação de cliente nas extensões EKU não são apresentados.

Requisitos de certificados de servidor

Pode configurar clientes para validar certificados de servidor utilizando a opção de Validar certificado do servidor no separador autenticação nas propriedades de ligação de rede. Quando um cliente utiliza a autenticação do protocolo de autenticação PEAP-EAP-MS-Challenge Handshake (CHAP) versão 2, o PEAP com autenticação EAP-TLS ou EAP-TLS autenticação, o cliente aceita o certificado do servidor quando o certificado cumpre os seguintes requisitos:
  • O certificado de computador no cadeias de servidor para um dos seguintes procedimentos:
    • Microsoft AC de raiz fidedigna.
    • Uma raiz autónoma do Microsoft ou AC num domínio do Active Directory que tenha um arquivo CertificadosAutNT que contém o certificado raiz publicado de raiz de terceiros.Para obter mais informações sobre como importar certificados de AC de outros fabricantes, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
      295663Como importar certificados de autoridade de certificação (AC) de certificação de terceiros para o arquivo NTAuth Enterprise
  • O IAS ou o certificado de computador do servidor de VPN é configurado com o objectivo autenticação de servidor. O identificador de objecto para autenticação de servidor é 1.3.6.1.5.5.7.3.1.
  • O certificado de computador não falha nenhuma das verificações que são executadas por arquivo de certificados CryptoAPI e não falha nenhuma dos requisitos de política de acesso remoto.
  • O nome na linha de assunto do certificado de servidor corresponde ao nome que é configurado no cliente para a ligação.
  • Para clientes sem fios, a extensão de nome alternativo do requerente (SubjectAltName) contém o nome do servidor domínio totalmente qualificado (FQDN, Fully Qualified Domain Name).
  • Se o cliente estiver configurado para confiar um certificado de servidor com um nome específico, é pedido ao utilizador que tomar uma decisão sobre confiar um certificado com um nome diferente. Se o utilizador rejeita o certificado, a autenticação falha. Se o utilizador aceitar o certificado, o certificado é adicionado ao arquivo de certificados de raiz fidedigna do computador local.
Nota Com PEAP ou com a autenticação EAP-TLS, servidores de apresentam uma lista de todos os certificados instalados no snap-in Certificados. No entanto, os certificados que contêm o objectivo de autenticação de servidor nas extensões EKU não são apresentados.

Referências

Para obter mais informações sobre tecnologias de rede sem fios, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/whdc/connect/wireless/default.mspx
Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
313242Como resolver problemas de ligações de rede sem fios no Windows XP

Propriedades

Artigo: 814394 - Última revisão: 30 de outubro de 2006 - Revisão: 3.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 814394

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com