Сертификат требования при использовании EAP-TLS или PEAP с EAP-TLS

Переводы статьи Переводы статьи
Код статьи: 814394 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье описаны требования, клиентские сертификаты и серверные сертификаты должны удовлетворять при использовании расширенной проверки подлинности протокола-защиты транспортного уровня (EAP-TLS) или защищенный расширяемого протокола аутентификации (PEAP) с протоколом EAP-TLS.

Дополнительная информация

При использовании строгого типа EAP, например, TLS со смарт-картами или TLS с сертификатами, клиент и сервер используют сертификаты для подтверждения подлинности друг. Сертификаты должны соответствовать определенным требованиям, как на сервере, так и на стороне клиента для успешной проверки подлинности.

Одно требование — что сертификат должен быть настроен с одной или нескольких целей в расширениях расширенного использования ключа (EKU), которые соответствуют использования сертификатов. Например сертификат, используемый для проверки подлинности клиента на сервере должен быть настроен с помощью проверки подлинности клиента. Или сертификат, используемый для проверки подлинности сервера должны быть настроены с целью проверки подлинности сервера. При использовании сертификатов для проверки подлинности устройством проверки подлинности проверяет сертификат клиента и производит поиск идентификатора объекта цели в расширениях «Улучшенный ключ». Например идентификатор объекта для проверки подлинности клиента — 1.3.6.1.5.5.7.3.2.

Минимальные требования к сертификатам

Все сертификаты, используемые для проверки подлинности доступа к сети должны отвечать требованиям сертификаты X.509, и они также должны отвечать требованиям для подключений, использующих шифрование Secure Sockets Layer (SSL) и шифрование безопасности транспортного уровня (TLS). После выполняются следующие минимальные требования, клиентские сертификаты и сертификаты сервера должны соответствовать следующие дополнительные требования.

Требования к сертификату клиента

Протокол EAP-TLS или PEAP с EAP-TLS, сервер принимает проверку подлинности клиента при соблюдении следующих требований:
  • Клиентский сертификат выдан центром сертификации предприятия (ЦС) или сопоставляет учетную запись пользователя или учетную запись компьютера в службе каталогов Active Directory.
  • Пользователь или компьютер сертификат восходит к доверенному корневому ЦС.
  • Пользователя или сертификат компьютера на клиентском компьютере включает проверки подлинности клиента.
  • Сертификат компьютера или пользователя проходит любой из проверок, выполняемых в хранилище сертификатов CryptoAPI и передает сертификат требования в политике удаленного доступа.
  • Сертификат компьютера или пользователя проходит один из проверки идентификатора объекта сертификата, указанным в политике удаленного доступа службы проверки подлинности в Интернете (IAS).
  • 802. 1x клиент не использует сертификаты на основе реестра, сертификаты смарт-карты или сертификаты, защищенные паролем.
  • Расширение имени субъекта (SubjectAltName) сертификата содержит основного имени пользователя (UPN) пользователя.
  • Когда клиенты используют протокол EAP-TLS или PEAP с EAP-TLS-аутентификации, список всех установленных сертификатов отображается в оснастке Сертификаты, со следующими исключениями:
    • Беспроводные клиенты не отображают сертификаты на основе реестра и сертификаты для входа со смарт-картой.
    • Беспроводных клиентов и клиентов виртуальных частных сетей (VPN) не отображаются сертификаты, защищенные паролем.
    • Не отображаются сертификаты, не содержащие в расширениях «Улучшенный ключ» цель проверки подлинности клиента.

Требования к сертификату сервера

Настройка клиентов для проверки сертификатов сервера с помощью Проверить сертификат сервера параметр на Проверка подлинности на вкладке Свойства сетевого подключения. Когда клиент использует проверку подлинности PEAP-EAP-MS-запрос подтверждения подлинности протокола CHAP версии 2, протокол PEAP с EAP-TLS, или проверки подлинности EAP-TLS, клиент принимает сертификат сервера при соблюдении следующих требований:
  • Сертификат компьютера на сервере привязан к одному из следующих действий:
    • В Microsoft корневом ЦС.
    • Изолированный корень корпорации Майкрософт или стороннего корневого центра сертификации в домене Active Directory, который содержит NTAuthCertificates хранилище, которое содержит опубликованные корневого сертификата.Для получения дополнительных сведений о том, как импортировать сертификаты стороннего центра сертификации щелкните следующий номер статьи базы знаний Майкрософт:
      295663Импорт сертификатов центра сертификации независимых производителей в хранилище NTAuth предприятия
  • Сертификат сервера VPN или IAS настроен с целью проверки подлинности сервера. Идентификатор объекта для проверки подлинности сервера-1.3.6.1.5.5.7.3.1.
  • Сертификат компьютера проходит любой из проверок, выполняемых в хранилище сертификатов CryptoAPI и он проходит один требований в политике удаленного доступа.
  • Имя в поле темы сертификата сервера соответствует имени, которое настроено на стороне клиента для подключения.
  • Для беспроводных клиентов расширение имени субъекта (SubjectAltName) содержит полное доменное имя сервера (FQDN).
  • Если клиент настроен доверять сертификату сервера с определенным именем, пользователю предлагается принять решение о доверия сертификатов с другим именем. Если пользователь отклоняет сертификата, проверка подлинности завершается неудачно. Если пользователь принимает сертификат, сертификат добавляется в хранилище доверенных корневых сертификатов локального компьютера.
Примечание С PEAP или EAP-TLS-аутентификации серверы отображают список всех установленных сертификатов в оснастке Сертификаты. Тем не менее не отображаются сертификаты, содержащие в расширениях «Улучшенный ключ» цели проверки подлинности сервера.

Ссылки

Для получения дополнительных сведений о технологии беспроводных сетей посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/whdc/Connect/Wireless/Default.mspx
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
313242Устранение неполадок подключения к беспроводной сети в Windows XP

Свойства

Код статьи: 814394 - Последний отзыв: 14 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:814394

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com