EAP-TLS ile EAP-TLS veya PEAP kullandýðýnýzda gereksinimleri sertifika

Bu makalede, EAP-TLS ile Korumalý Geniþletilmiþ Kimlik Doðrulama Protokolü (PEAP) ya da Geniþletilebilir Kimlik Doðrulama Protokolü-Aktarým Katmaný Güvenliði (EAP-TLS) kullandýðýnýzda, istemci sertifikalarý ve sunucu sertifikalarýný karþýlamasý gereken gereksinimleri açýklanýr.

TLS akýllý kartlarla veya sertifikalarla TLS gibi güçlü bir EAP türü ile EAP'ý kullandýðýnýzda, hem istemci hem de sunucu sertifikalarý, kimliklerini birbirlerine doðrulamak için kullanýn. Sertifikalar, sunucuda ve istemcide baþarýlý bir kimlik doðrulamasý için belirli gereksinimleri karþýlamasý gerekir.

Bir sertifikayý, sertifika kullanýmý eþleþen geniþletilmiþ anahtar kullanýmý (EKU) uzantýlarýnda bir veya daha çok amaçlý ile yapýlandýrýlmalýdýr zorunludur. Örneðin, bir sunucuya istemci kimlik doðrulamasý için kullanýlan sertifika, istemci kimlik doðrulamasý amacý ile yapýlandýrýlmalýdýr. Veya, bir sunucu kimlik doðrulamasý için kullanýlan sertifika, sunucu kimlik doðrulamasý amacý ile yapýlandýrýlmalýdýr. Kimlik doðrulamasý için sertifikalar kullanýldýðýnda kimlik doðrulayýcýsý sertifikayý inceler ve EKU uzantýlarýnda doðru amaç nesnesi tanýmlayýcýsýný arar. Örneðin, istemci kimlik doðrulamasý amacý nesne tanýmlayýcýsý 1.3.6.1.5.5.7.3.2'dir.

En az sertifika gereksinimleri

Að eriþimi kimlik doðrulamasý için kullanýlan tüm sertifikalar, X.509 sertifikalarýnýn gereksinimleri karþýlamasý gerekir ve ayrýca Güvenli Yuva Katmaný (SSL) þifrelemesini ve aktarým düzeyi güvenliði (TLS) kullanan baðlantýlar için gereksinimleri de karþýlamalýdýr. En az aþaðýdaki gerekler yerine getirildikten sonra istemci sertifikalarýný hem de sunucu sertifikalarý, ek aþaðýdaki gereksinimleri karþýlamasý gerekir.

Istemci sertifika gereksinimleri

Sertifika aþaðýdaki koþullarý karþýladýðýnda sunucunun EAP-TLS veya EAP-TLS ile PEAP ile istemci kimlik doðrulamasý kabul eder:

• Istemci sertifikasý bir kuruluþ sertifika yetkilisi (CA) tarafýndan verilir veya bir kullanýcý hesabý veya bilgisayar hesabý Active Directory dizin hizmetindeki bir þekilde eþleþtirir.
• Kullanýcý veya bilgisayar sertifikasý güvenilir bir kök CA'YA istemci zincirlerini üzerinde.
• Kullanýcý veya bilgisayar sertifikasý istemci üzerindeki istemci kimlik doðrulamasý amacýný içerir.
• Kullanýcý veya bilgisayar sertifikasý sertifika Cryptoapý depolama ile gerçekleþtirilen çeklerin birini baþarýsýz ve sertifika gereksinimleri uzaktan eriþim ilkesinde geçirir.
• Kullanýcý veya bilgisayar sertifikasý ýnternet kimlik doðrulama hizmeti (IAS) uzaktan eriþim ilkesinde belirtilen sertifika nesnesi tanýmlayýcý çeklerin birini baþarýsýz deðil.
• 802.1 x istemci veya akýllý kart sertifikalarýný, hem de parola korumalý sertifikalar olan kayýt defteri tabanlý sertifikalarý kullanmaz.
• Sertifikadaki konu diðer adý (SubjectAltName) uzantýsý, kullanýcý asýl adý (UPN) kullanýcýnýn içerir.
• Istemcilerin EAP-TLS kimlik doðrulamasýnda EAP-TLS veya PEAP kullandýðýnýzda, yüklü olan tüm sertifikalarýn listesini Sertifikalar ek bileþenini, aþaðýdaki istisnalar görüntülenir:
  • Kablosuz istemciler, kayýt defteri tabanlý sertifikalarý ve akýllý kart oturum açma sertifikalarýný görüntülemez.
  • Kablosuz istemciler ve sanal özel að (VPN) istemcileri, parola korumalý sertifikalarý görüntülemez.
  • EKU uzantýlarýnda istemci kimlik doðrulamasý amacýný içermeyen sertifikalar görüntülenmez.

Sunucu sertifika gereksinimleri

Að baðlantýsý özelliklerinde <a0>kimlik doðrulama</a0> sekmesindeki <a2>sunucu sertifikasýný doðrula</a2> seçeneðini kullanarak sunucu sertifikalarý doðrulamak için istemcileri olarak yapýlandýrabilirsiniz. Bir istemci, PEAP-EAP-MS-Challenge Handshake Kimlik Doðrulama Protokolü (CHAP) sürüm 2 kimlik doðrulamasý kullandýðýnda, PEAP, EAP-TLS kimlik doðrulamasý veya EAP-TLS kimlik doðrulamasý, istemci sertifika aþaðýdaki koþullarý karþýladýðýnda sunucunun sertifikasýný kabul eder:

• Sunucu zincirlerini aþaðýdakilerden birine, bilgisayar sertifikasý:
  • Güvenilir BIR Microsoft kök CA'sý.
  • Tek baþýna kök Microsoft veya üçüncü taraf kök CA'ýn yayýmlanmýþ bir kök sertifikayý içeren NTAuthCertificates deposunun olan bir Active Directory etki alanýnda.Üçüncü taraf CA sertifikalarýný alma hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
    295663  (http://support.microsoft.com/kb/295663/ ) Kurumsal NTAuth deposuna üçüncü taraf sertifika yetkilisi (CA) sertifikalarý alma
• IAS veya VPN sunucu bilgisayarý sertifikasý, sunucu kimlik doðrulamasý amacý ile yapýlandýrýlýr. Sunucu kimlik doðrulamasý'nýn nesne tanýmlayýcýsý 1.3.6.1.5.5.7.3.1 ' dir.
• Bilgisayar sertifikasý sertifika Cryptoapý depolama ile gerçekleþtirilen çeklerin birini baþarýsýz ve Uzaktan eriþim ilkesindeki gereksinimleri herhangi biri baþarýsýz.
• Konu satýrýnda sunucu sertifikasý adýyla baðlantý için istemcide yapýlandýrýlmýþ ad.
• Konu diðer adý (SubjectAltName) uzantýsý, kablosuz istemciler için sunucunun tam etki alaný adýný (FQDN) içerir.
• Istemci, belirli bir ada sahip bir sunucu sertifikasýna güvenmek üzere yapýlandýrýlýrsa, kullanýcý farklý bir adla bir sertifika güvenme hakkýnda bir karar almanýz istenir. Kullanýcý sertifika reddederse, kimlik doðrulamasý baþarýsýz olur. Kullanýcý sertifika kabul ederse, yerel bilgisayardaki güvenilen kök sertifika deposuna sertifika eklenecektir.

Not PEAP ile veya EAP-TLS kimlik doðrulamasýyla sunucularý Sertifikalar ek bileþeninde, yüklü olan tüm sertifikalarýn listesini görüntüler. Ancak, EKU uzantýlarýnda Sunucu Kimlik Doðrulamasý amacýný içeren sertifika görüntülenmez.

Kablosuz að teknolojileri hakkýnda daha fazla bilgi için aþaðýdaki Microsoft Web sitesini ziyaret edin: Daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: