Iniciar Sess�o

Select the product you need help with

Requisitos de certificados quando voc� usa o EAP-TLS ou PEAP com EAP-TLS

ID do artigo: 814394 - Exibir os produtos aos quais esse artigo se aplica.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Recolher tudo

Este artigo descreve os requisitos que os certificados de cliente e seus certificados de servidor devem atender ao usar o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ou PEAP (Protected Extensible Authentication Protocol) com EAP-TLS.

Voltar para o in�cio | Submeter coment�rios

Mais Informa��es

Ao usar o EAP com um tipo EAP de alta seguran�a, como TLS com cart�es inteligentes ou TLS com certificados, o cliente e o servidor usam certificados para verificar suas identidades uns aos outros. Certificados devem atender requisitos espec�ficos no servidor e no cliente para autentica��o bem-sucedida.

Um requisito � que o certificado deve ser configurado com um ou mais finalidades em extens�es EKU (uso estendido de chave) que coincidem com o uso de certificado. Por exemplo, um certificado que � usado para a autentica��o de um cliente para um servidor deve ser configurado com a finalidade Autentica��o do cliente. Ou, um certificado que � usado para a autentica��o de um servidor deve ser configurado com a finalidade Autentica��o do servidor. Quando certificados s�o usados para autentica��o, o autenticador examina o certificado de cliente e procura o identificador de objeto finalidade correta em extens�es EKU. Por exemplo, o identificador de objeto para a finalidade Autentica��o do cliente � 1.3.6.1.5.5.7.3.2.

Requisitos m�nimos de certificado

Todos os certificados que s�o usados para autentica��o de acesso � rede devem atender aos requisitos de certificados X.509, e eles tamb�m devem atender aos requisitos para conex�es que usam criptografia SSL (Secure Sockets LAYER) e criptografia de seguran�a da camada de transporte (TLS). Depois que esses requisitos m�nimos s�o atendidos, tanto os certificados de cliente e os certificados do servidor devem atender aos seguintes adicionais requisitos.

Requisitos de certificado de cliente

Com EAP-TLS ou PEAP com EAP-TLS, o servidor aceita autentica��o do cliente quando o certificado atende aos seguintes requisitos:

O certificado de cliente � emitido por uma autoridade de certifica��o corporativa (CA), ou ele mapeia para uma conta de usu�rio ou para uma conta de computador no servi�o de diret�rio do Active Directory.
O usu�rio ou o certificado de computador as cadeias de cliente para uma CA raiz confi�vel.
O usu�rio ou o certificado de computador no cliente inclui a finalidade Autentica��o do cliente.
O usu�rio ou o certificado de computador n�o falha qualquer um das verifica��es s�o realizadas pelo armazenamento de certificados CryptoAPI e o certificado passa requisitos na diretiva de acesso remoto.
O usu�rio ou o certificado de computador n�o falha qualquer um das verifica��es de identificador de objeto certificado especificadas na diretiva de acesso remoto (IAS).
O cliente 802, 1 x n�o usa certificados baseados em registro que s�o certificados de cart�es inteligentes ou certificados que s�o protegidos com uma senha.
A extens�o de nome alternativo para a entidade (SubjectAltName) no certificado cont�m o nome principal de usu�rio (UPN) do usu�rio.
Quando os clientes usam EAP-TLS ou PEAP com EAP-TLS autentica��o, � exibida uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes exce��es:
- Os clientes sem fio n�o exibem certificados com base no registro e certificados de logon de cart�o inteligente.
- Clientes sem fio e clientes de rede virtual privada (VPN) n�o exibem certificados protegidos com uma senha.
- N�o s�o exibidos certificados que n�o cont�m a finalidade de autentica��o de cliente em extens�es EKU.

Requisitos de certificado do servidor

Voc� pode configurar clientes para validar certificados de servidor usando a op��o de Validar certificado do servidor na guia autentica��o nas propriedades de conex�o de rede. Quando um cliente usa autentica��o do PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) vers�o 2, o PEAP com EAP-TLS autentica��o ou autentica��o EAP-TLS, o cliente aceita o certificado do servidor quando o certificado atende aos seguintes requisitos:

O certificado de computador as cadeias de servidor a um dos seguintes:
- Uma Microsoft CA raiz confi�vel.
- Uma raiz aut�noma do Microsoft ou raiz de terceiros autoridade de certifica��o em um dom�nio do Active Directory que tenha um armazenamento de CertificadosAutentNT que cont�m o certificado raiz publicada.Para obter mais informa��es sobre como importar certificados de autoridade de certifica��o de terceiros, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  295663
  (http://support.microsoft.com/kb/295663/ )
  Como importar certificados de autoridade (CA) de certifica��o de terceiros para a empresa no armazenamento NTAuth
O IAS ou o certificado de computador do servidor VPN est� configurado com a finalidade Autentica��o do servidor. O identificador de objeto para autentica��o de servidor � 1.3.6.1.5.5.7.3.1.
O certificado de computador n�o falha qualquer um das verifica��es s�o realizadas pelo armazenamento de certificados CryptoAPI e n�o falha qualquer um dos requisitos a diretiva de acesso remoto.
O nome na linha assunto do certificado do servidor corresponde ao nome configurado no cliente para a conex�o.
Para clientes sem fio, a extens�o de nome alternativo para a entidade (SubjectAltName) cont�m nome de dom�nio totalmente qualificado do servidor (FQDN).
Se o cliente estiver configurado para confiar em um certificado de servidor com um nome espec�fico, o usu�rio � solicitado a tomar uma decis�o sobre confiar em um certificado com um nome diferente. Se o usu�rio rejeita o certificado, a autentica��o falhar�. Se o usu�rio aceitar o certificado, o certificado � adicionado no armazenamento de certificado de raiz confi�vel do computador local.

Observa��o Com PEAP ou com autentica��o EAP-TLS, servidores exibem uma lista de todos os certificados instalados no snap-in de certificados. No entanto, os certificados que contenham a finalidade Autentica��o do servidor em extens�es EKU n�o s�o exibidos.

Voltar para o in�cio | Submeter coment�rios

Refer�ncias

Para obter mais informa��es sobre tecnologias de rede sem fio, visite o seguinte site:

http://www.microsoft.com/whdc/connect/wireless/default.mspx

(http://www.microsoft.com/whdc/connect/wireless/default.mspx)

Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

313242

(http://support.microsoft.com/kb/313242/ )

Como solucionar problemas de conex�es de rede sem fio no Windows XP

Voltar para o in�cio | Submeter coment�rios

Propriedades

ID do artigo: 814394 - �ltima revis�o: segunda-feira, 30 de outubro de 2006 - Revis�o: 3.4

A informa��o contida neste artigo aplica-se a:

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 814394

(http://support.microsoft.com/kb/814394/en-us/ )

Voltar para o in�cio | Submeter coment�rios