EAP-TLS ile EAP-TLS veya PEAP kullandığınızda gereksinimleri sertifika

Makale çevirileri Makale çevirileri
Makale numarası: 814394 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Giriş

Bu makalede, EAP-TLS ile Korumalı Genişletilmiş Kimlik Doğrulama Protokolü (PEAP) ya da Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği (EAP-TLS) kullandığınızda, istemci sertifikaları ve sunucu sertifikalarını karşılaması gereken gereksinimleri açıklanır.

Daha fazla bilgi

TLS akıllı kartlarla veya sertifikalarla TLS gibi güçlü bir EAP türü ile EAP'ı kullandığınızda, hem istemci hem de sunucu sertifikaları, kimliklerini birbirlerine doğrulamak için kullanın. Sertifikalar, sunucuda ve istemcide başarılı bir kimlik doğrulaması için belirli gereksinimleri karşılaması gerekir.

Bir sertifikayı, sertifika kullanımı eşleşen genişletilmiş anahtar kullanımı (EKU) uzantılarında bir veya daha çok amaçlı ile yapılandırılmalıdır zorunludur. Örneğin, bir sunucuya istemci kimlik doğrulaması için kullanılan sertifika, istemci kimlik doğrulaması amacı ile yapılandırılmalıdır. Veya, bir sunucu kimlik doğrulaması için kullanılan sertifika, sunucu kimlik doğrulaması amacı ile yapılandırılmalıdır. Kimlik doğrulaması için sertifikalar kullanıldığında kimlik doğrulayıcısı sertifikayı inceler ve EKU uzantılarında doğru amaç nesnesi tanımlayıcısını arar. Örneğin, istemci kimlik doğrulaması amacı nesne tanımlayıcısı 1.3.6.1.5.5.7.3.2'dir.

En az sertifika gereksinimleri

Ağ erişimi kimlik doğrulaması için kullanılan tüm sertifikalar, X.509 sertifikalarının gereksinimleri karşılaması gerekir ve ayrıca Güvenli Yuva Katmanı (SSL) şifrelemesini ve aktarım düzeyi güvenliği (TLS) kullanan bağlantılar için gereksinimleri de karşılamalıdır. En az aşağıdaki gerekler yerine getirildikten sonra istemci sertifikalarını hem de sunucu sertifikaları, ek aşağıdaki gereksinimleri karşılaması gerekir.

Istemci sertifika gereksinimleri

Sertifika aşağıdaki koşulları karşıladığında sunucunun EAP-TLS veya EAP-TLS ile PEAP ile istemci kimlik doğrulaması kabul eder:
  • Istemci sertifikası bir kuruluş sertifika yetkilisi (CA) tarafından verilir veya bir kullanıcı hesabı veya bilgisayar hesabı Active Directory dizin hizmetindeki bir şekilde eşleştirir.
  • Kullanıcı veya bilgisayar sertifikası güvenilir bir kök CA'YA istemci zincirlerini üzerinde.
  • Kullanıcı veya bilgisayar sertifikası istemci üzerindeki istemci kimlik doğrulaması amacını içerir.
  • Kullanıcı veya bilgisayar sertifikası sertifika Cryptoapı depolama ile gerçekleştirilen çeklerin birini başarısız ve sertifika gereksinimleri uzaktan erişim ilkesinde geçirir.
  • Kullanıcı veya bilgisayar sertifikası ınternet kimlik doğrulama hizmeti (IAS) uzaktan erişim ilkesinde belirtilen sertifika nesnesi tanımlayıcı çeklerin birini başarısız değil.
  • 802.1 x istemci veya akıllı kart sertifikalarını, hem de parola korumalı sertifikalar olan kayıt defteri tabanlı sertifikaları kullanmaz.
  • Sertifikadaki konu diğer adı (SubjectAltName) uzantısı, kullanıcı asıl adı (UPN) kullanıcının içerir.
  • Istemcilerin EAP-TLS kimlik doğrulamasında EAP-TLS veya PEAP kullandığınızda, yüklü olan tüm sertifikaların listesini Sertifikalar ek bileşenini, aşağıdaki istisnalar görüntülenir:
    • Kablosuz istemciler, kayıt defteri tabanlı sertifikaları ve akıllı kart oturum açma sertifikalarını görüntülemez.
    • Kablosuz istemciler ve sanal özel ağ (VPN) istemcileri, parola korumalı sertifikaları görüntülemez.
    • EKU uzantılarında istemci kimlik doğrulaması amacını içermeyen sertifikalar görüntülenmez.

Sunucu sertifika gereksinimleri

Ağ bağlantısı özelliklerinde <a0>kimlik doğrulama</a0> sekmesindeki <a2>sunucu sertifikasını doğrula</a2> seçeneğini kullanarak sunucu sertifikaları doğrulamak için istemcileri olarak yapılandırabilirsiniz. Bir istemci, PEAP-EAP-MS-Challenge Handshake Kimlik Doğrulama Protokolü (CHAP) sürüm 2 kimlik doğrulaması kullandığında, PEAP, EAP-TLS kimlik doğrulaması veya EAP-TLS kimlik doğrulaması, istemci sertifika aşağıdaki koşulları karşıladığında sunucunun sertifikasını kabul eder:
  • Sunucu zincirlerini aşağıdakilerden birine, bilgisayar sertifikası:
    • Güvenilir BIR Microsoft kök CA'sı.
    • Tek başına kök Microsoft veya üçüncü taraf kök CA'ın yayımlanmış bir kök sertifikayı içeren NTAuthCertificates deposunun olan bir Active Directory etki alanında.Üçüncü taraf CA sertifikalarını alma hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
      295663Kurumsal NTAuth deposuna üçüncü taraf sertifika yetkilisi (CA) sertifikaları alma
  • IAS veya VPN sunucu bilgisayarı sertifikası, sunucu kimlik doğrulaması amacı ile yapılandırılır. Sunucu kimlik doğrulaması'nın nesne tanımlayıcısı 1.3.6.1.5.5.7.3.1 ' dir.
  • Bilgisayar sertifikası sertifika Cryptoapı depolama ile gerçekleştirilen çeklerin birini başarısız ve Uzaktan erişim ilkesindeki gereksinimleri herhangi biri başarısız.
  • Konu satırında sunucu sertifikası adıyla bağlantı için istemcide yapılandırılmış ad.
  • Konu diğer adı (SubjectAltName) uzantısı, kablosuz istemciler için sunucunun tam etki alanı adını (FQDN) içerir.
  • Istemci, belirli bir ada sahip bir sunucu sertifikasına güvenmek üzere yapılandırılırsa, kullanıcı farklı bir adla bir sertifika güvenme hakkında bir karar almanız istenir. Kullanıcı sertifika reddederse, kimlik doğrulaması başarısız olur. Kullanıcı sertifika kabul ederse, yerel bilgisayardaki güvenilen kök sertifika deposuna sertifika eklenecektir.
Not PEAP ile veya EAP-TLS kimlik doğrulamasıyla sunucuları Sertifikalar ek bileşeninde, yüklü olan tüm sertifikaların listesini görüntüler. Ancak, EKU uzantılarında Sunucu Kimlik Doğrulaması amacını içeren sertifika görüntülenmez.

Referanslar

Kablosuz ağ teknolojileri hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/whdc/connect/wireless/default.mspx
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
313242Windows XP'de kablosuz ağ bağlantısı sorunları nasıl giderilir

Özellikler

Makale numarası: 814394 - Last Review: 30 Ekim 2006 Pazartesi - Gözden geçirme: 3.4
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Anahtar Kelimeler: 
kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:814394

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com