ใบรับรองความต้องการเมื่อคุณใช้ TLS EAP หรือ PEAP กับ TLS EAP

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 814394 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

บทความนี้อธิบายถึงความต้องการที่ใบรับรองของไคลเอ็นต์และเซิร์ฟเวอร์ใบรับรองต้องตอบสนองเมื่อคุณใช้ Extensible รับรองความถูกต้องส่งผ่านโพรโทคอล Layer Security (TLS EAP) หรือป้องกัน Extensible พิสูจน์ตัวจริงของโพรโทคอล (PEAP) กับ TLS EAP

ข้อมูลเพิ่มเติม

เมื่อคุณใช้ EAP มีรัดกุม EAP ประเภท เช่น TLS กับสมาร์ทการ์ดหรือ TLS ด้วยใบรับรอง ไคลเอนต์และเซิร์ฟเวอร์ที่ใช้ใบรับรองเพื่อตรวจสอบข้อมูลเฉพาะตัวของพวกเขากัน ใบรับรองต้องตรงกับความต้องการระบุทั้งเซิร์ฟเวอร์ และไคลเอนต์สำหรับการตรวจสอบเสร็จเรียบร้อยแล้ว

ความต้องการหนึ่งคือ ว่า ใบรับรองที่ต้องถูกกำหนดค่า ด้วยอย่าง น้อยหนึ่งวัตถุประสงค์ในส่วนขยายที่ขยายแป้นใช้งาน (EKU) ที่ตรงกับการใช้ใบรับรอง ตัวอย่างเช่น ใบรับรองที่ใช้สำหรับการรับรองความถูกต้องของไคลเอ็นต์ไปยังเซิร์ฟเวอร์ ต้องถูกกำหนดค่า ด้วยวัตถุประสงค์การรับรองความถูกต้องของไคลเอ็นต์ หรือ ใบรับรองที่ใช้สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์ต้องถูกกำหนดค่า ด้วยวัตถุประสงค์การรับรองความถูกต้องของเซิร์ฟเวอร์ เมื่อมีใช้ใบรับรองสำหรับการรับรองความถูกต้อง authenticator การตรวจสอบใบรับรองของไคลเอ็นต์ และค้นหาตัวระบุวัตถุประสงค์ที่ถูกต้องของวัตถุในส่วนขยาย EKU ตัวอย่างเช่น ตัวระบุวัตถุประสงค์การรับรองความถูกต้องของไคลเอ็นต์กำลัง 1.3.6.1.5.5.7.3.2

ข้อกำหนดของใบรับรองที่น้อยที่สุด

ใบรับรองทั้งหมดที่ใช้สำหรับการตรวจสอบการเข้าถึงเครือข่ายต้องเป็นไปตามข้อกำหนดของใบรับรอง x.509 แบบ และพวกเขายังต้องตรงตามข้อกำหนดสำหรับการเชื่อมต่อที่ใช้การเข้ารหัส Secure Sockets Layer (SSL) และการเข้ารหัสลับในการเลื่อนระดับความปลอดภัย (TLS) หลังจากที่ตรงตามข้อกำหนดเหล่านี้ต่ำสุด ใบรับรองของไคลเอ็นต์และเซิร์ฟเวอร์ใบรับรองต้องตามความต้องการเพิ่มเติมต่อไปนี้

ความต้องการใบรับรองของไคลเอ็นต์

ยอมกับ TLS EAP หรือ PEAP ด้วย TLS EAP เซิร์ฟเวอร์รับการรับรองความถูกต้องของไคลเอ็นต์เมื่อใบรับรองเป็นไปตามข้อกำหนดต่อไปนี้:
  • ออกใบรับรองของไคลเอ็นต์ โดยมีองค์กรรับรอง (CA), หรือแมป ไปยังบัญชีผู้ใช้ หรือบัญชีคอมพิวเตอร์ในบริการไดเรกทอรี Active Directory
  • ผู้ใช้หรือใบรับรองของคอมพิวเตอร์บน chains ไคลเอ็นต์ไปยังรากที่เชื่อถือ CA
  • ผู้ใช้หรือใบรับรองของคอมพิวเตอร์บนไคลเอนต์รวมวัตถุประสงค์การรับรองความถูกต้องของไคลเอ็นต์
  • ผู้ใช้หรือใบรับรองของคอมพิวเตอร์ไม่ไม่ใด ๆ ของเช็คที่ดำเนินการ โดยเก็บใบรับรอง CryptoAPI และใบรับรองส่งผ่านข้อกำหนดในนโยบายการเข้าถึงระยะไกล
  • ไม่ผู้ใช้หรือใบรับรองของคอมพิวเตอร์ไม่สามารถตรวจสอบตัวระบุวัตถุใบรับรองที่ระบุไว้ในนโยบายการเข้าถึงระยะไกลของอินเทอร์เน็ตพิสูจน์ตัวจริงของ Service (IAS) ใด ๆ
  • 802.1xไคลเอ็นต์ไม่ได้ใช้ใบรับรองที่ใช้รีจิสทรีที่มีใบรับรองสมาร์ทการ์ดหรือใบรับรองที่ได้รับการป้องกัน ด้วยรหัสผ่าน
  • ส่วนขยายชื่อสำรองของชื่อเรื่อง (SubjectAltName) ในใบรับรองประกอบด้วยหลักชื่อผู้ใช้ (UPN) ของผู้ใช้
  • เมื่อไคลเอนต์ใช้ TLS EAP หรือ PEAP มีการตรวจสอบ TLS EAP รายการใบรับรองที่ถูกติดตั้งทั้งหมดจะแสดงอยู่ในใบรับรองสแนปอิน ด้วยข้อยกเว้นต่อไปนี้:
    • ไคลเอนต์แบบไร้สายไม่แสดงใบรับรองที่มีใช้รีจิสทรีและใบรับรองการเข้าสู่ระบบของสมาร์ทการ์ด
    • Wireless clients and virtual private network (VPN) clients do not display certificates that are protected with a password.
    • Certificates that do not contain the Client Authentication purpose in EKU extensions are not displayed.

Server certificate requirements

You can configure clients to validate server certificates by using theValidate server certificateตัวเลือกในการรับรองความถูกต้องtab in the Network Connection properties. When a client uses PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) version 2 authentication, PEAP with EAP-TLS authentication, or EAP-TLS authentication, the client accepts the server's certificate when the certificate meets the following requirements:
  • The computer certificate on the server chains to one of the following:
    • A trusted Microsoft root CA.
    • A Microsoft stand-alone root or third-party root CA in an Active Directory domain that has an NTAuthCertificates store that contains the published root certificate.For more information about how to import third-party CA certificates, click the following article number to view the article in the Microsoft Knowledge Base:
      295663How to import third-party certification authority (CA) certificates into the Enterprise NTAuth store
  • The IAS or the VPN server computer certificate is configured with the Server Authentication purpose. The object identifier for Server Authentication is 1.3.6.1.5.5.7.3.1.
  • The computer certificate does not fail any one of the checks that are performed by the CryptoAPI certificate store, and it does not fail any one of the requirements in the remote access policy.
  • The name in the Subject line of the server certificate matches the name that is configured on the client for the connection.
  • For wireless clients, the Subject Alternative Name (SubjectAltName) extension contains the server's fully qualified domain name (FQDN).
  • If the client is configured to trust a server certificate with a specific name, the user is prompted to make a decision about trusting a certificate with a different name. If the user rejects the certificate, authentication fails. If the user accepts the certificate, the certificate is added to the local computer trusted root certificate store.
หมายเหตุ:With PEAP or with EAP-TLS authentication, servers display a list of all the installed certificates in the Certificates snap-in. However, the certificates that contain the Server Authentication purpose in EKU extensions are not displayed.

ข้อมูลอ้างอิง

For more information about wireless network technologies, visit the following Microsoft Web site:
http://www.microsoft.com/whdc/connect/wireless/default.mspx
สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
313242How to troubleshoot wireless network connections in Windows XP

คุณสมบัติ

หมายเลขบทความ (Article ID): 814394 - รีวิวครั้งสุดท้าย: 14 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:814394

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com