Requisitos de certificados quando você usa o EAP-TLS ou PEAP com EAP-TLS

Traduções deste artigo Traduções deste artigo
ID do artigo: 814394 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve os requisitos que os certificados de cliente e seus certificados de servidor devem atender ao usar o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ou PEAP (Protected Extensible Authentication Protocol) com EAP-TLS.

Mais Informações

Ao usar o EAP com um tipo EAP de alta segurança, como TLS com cartões inteligentes ou TLS com certificados, o cliente e o servidor usam certificados para verificar suas identidades uns aos outros. Certificados devem atender requisitos específicos no servidor e no cliente para autenticação bem-sucedida.

Um requisito é que o certificado deve ser configurado com um ou mais finalidades em extensões EKU (uso estendido de chave) que coincidem com o uso de certificado. Por exemplo, um certificado que é usado para a autenticação de um cliente para um servidor deve ser configurado com a finalidade Autenticação do cliente. Ou, um certificado que é usado para a autenticação de um servidor deve ser configurado com a finalidade Autenticação do servidor. Quando certificados são usados para autenticação, o autenticador examina o certificado de cliente e procura o identificador de objeto finalidade correta em extensões EKU. Por exemplo, o identificador de objeto para a finalidade Autenticação do cliente é 1.3.6.1.5.5.7.3.2.

Requisitos mínimos de certificado

Todos os certificados que são usados para autenticação de acesso à rede devem atender aos requisitos de certificados X.509, e eles também devem atender aos requisitos para conexões que usam criptografia SSL (Secure Sockets LAYER) e criptografia de segurança da camada de transporte (TLS). Depois que esses requisitos mínimos são atendidos, tanto os certificados de cliente e os certificados do servidor devem atender aos seguintes adicionais requisitos.

Requisitos de certificado de cliente

Com EAP-TLS ou PEAP com EAP-TLS, o servidor aceita autenticação do cliente quando o certificado atende aos seguintes requisitos:
  • O certificado de cliente é emitido por uma autoridade de certificação corporativa (CA), ou ele mapeia para uma conta de usuário ou para uma conta de computador no serviço de diretório do Active Directory.
  • O usuário ou o certificado de computador as cadeias de cliente para uma CA raiz confiável.
  • O usuário ou o certificado de computador no cliente inclui a finalidade Autenticação do cliente.
  • O usuário ou o certificado de computador não falha qualquer um das verificações são realizadas pelo armazenamento de certificados CryptoAPI e o certificado passa requisitos na diretiva de acesso remoto.
  • O usuário ou o certificado de computador não falha qualquer um das verificações de identificador de objeto certificado especificadas na diretiva de acesso remoto (IAS).
  • O cliente 802, 1 x não usa certificados baseados em registro que são certificados de cartões inteligentes ou certificados que são protegidos com uma senha.
  • A extensão de nome alternativo para a entidade (SubjectAltName) no certificado contém o nome principal de usuário (UPN) do usuário.
  • Quando os clientes usam EAP-TLS ou PEAP com EAP-TLS autenticação, é exibida uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes exceções:
    • Os clientes sem fio não exibem certificados com base no registro e certificados de logon de cartão inteligente.
    • Clientes sem fio e clientes de rede virtual privada (VPN) não exibem certificados protegidos com uma senha.
    • Não são exibidos certificados que não contêm a finalidade de autenticação de cliente em extensões EKU.

Requisitos de certificado do servidor

Você pode configurar clientes para validar certificados de servidor usando a opção de Validar certificado do servidor na guia autenticação nas propriedades de conexão de rede. Quando um cliente usa autenticação do PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) versão 2, o PEAP com EAP-TLS autenticação ou autenticação EAP-TLS, o cliente aceita o certificado do servidor quando o certificado atende aos seguintes requisitos:
  • O certificado de computador as cadeias de servidor a um dos seguintes:
    • Uma Microsoft CA raiz confiável.
    • Uma raiz autônoma do Microsoft ou raiz de terceiros autoridade de certificação em um domínio do Active Directory que tenha um armazenamento de CertificadosAutentNT que contém o certificado raiz publicada.Para obter mais informações sobre como importar certificados de autoridade de certificação de terceiros, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
      295663Como importar certificados de autoridade (CA) de certificação de terceiros para a empresa no armazenamento NTAuth
  • O IAS ou o certificado de computador do servidor VPN está configurado com a finalidade Autenticação do servidor. O identificador de objeto para autenticação de servidor é 1.3.6.1.5.5.7.3.1.
  • O certificado de computador não falha qualquer um das verificações são realizadas pelo armazenamento de certificados CryptoAPI e não falha qualquer um dos requisitos a diretiva de acesso remoto.
  • O nome na linha assunto do certificado do servidor corresponde ao nome configurado no cliente para a conexão.
  • Para clientes sem fio, a extensão de nome alternativo para a entidade (SubjectAltName) contém nome de domínio totalmente qualificado do servidor (FQDN).
  • Se o cliente estiver configurado para confiar em um certificado de servidor com um nome específico, o usuário é solicitado a tomar uma decisão sobre confiar em um certificado com um nome diferente. Se o usuário rejeita o certificado, a autenticação falhará. Se o usuário aceitar o certificado, o certificado é adicionado no armazenamento de certificado de raiz confiável do computador local.
Observação Com PEAP ou com autenticação EAP-TLS, servidores exibem uma lista de todos os certificados instalados no snap-in de certificados. No entanto, os certificados que contenham a finalidade Autenticação do servidor em extensões EKU não são exibidos.

Referências

Para obter mais informações sobre tecnologias de rede sem fio, visite o seguinte site:
http://www.microsoft.com/whdc/connect/wireless/default.mspx
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
313242Como solucionar problemas de conexões de rede sem fio no Windows XP

Propriedades

ID do artigo: 814394 - Última revisão: segunda-feira, 30 de outubro de 2006 - Revisão: 3.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 814394

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com