文章編號: 814394 - 上次校閱: 2006年10月30日 - 版次: 3.4

使用 EAP-TLS 使用 EAP TLS 或 PEAP 時憑證需求

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

簡介

本文將告訴您,用戶端憑證與您的伺服器憑證必須符合使用 EAP-TLS 使用可延伸的驗證通訊協定傳輸層安全性 (EAP-TLS) 或受到保護的可延伸驗證通訊協定 (PEAP) 時的需求。
回此頁最上方

其他相關資訊

強式的 EAP 類型,例如 TLS 與智慧卡或憑證,與 TLS 搭配使用 EAP 時在用戶端和伺服器使用認證來驗證其識別彼此。憑證必須符合特定的需求,同時在伺服器上,然後在成功驗證用戶端。

一項需求是憑證必須以在符合憑證使用擴充金鑰使用方式 (EKU) 延伸的一或多個目的設定。比方說用於用戶端到伺服器的驗證的憑證必須使用 「 用戶端驗證 」 用途來設定。或用於伺服器的驗證的憑證必須設定 「 伺服器驗證 」 用途使用。當憑證用於驗證時,驗證者檢查用戶端憑證,並會尋找正確的目的物件識別項在 EKU 延伸內。比方說用戶端驗證目的物件識別項是 1.3.6.1.5.5.7.3.2。
回此頁最上方

最小的憑證需求

所有用於網路存取驗證的憑證必須符合 X.509 憑證的需求並它們也必須符合需求的使用安全通訊端層 (SSL) 加密和傳輸層級安全性 (TLS) 加密的連線。符合這些最低需求之後用戶端憑證及伺服器憑證必須符合下列額外的需求。

用戶端憑證需求

與 EAP-TLS) 或使用 EAP-TLS PEAP,伺服器接受用戶端驗證憑證符合下列需求:
  • 用戶端証由企業憑證授權單位 (CA) 發出來的或它會對應到使用者帳戶或在 Active Directory 目錄服務的電腦帳戶。
  • 使用者或電腦憑證,用戶端鏈結到信任的根 CA 上。
  • 使用者或電腦憑證,用戶端上的包含 「 用戶端驗證 」 用途。
  • 使用者或電腦憑證不會失敗任何一種由 CryptoAPI 憑證存放區執行的檢查,並將憑證將需求傳遞遠端存取原則中。
  • 使用者或電腦憑證並不會失敗任何一種在網際網路驗證服務 (IAS) 遠端存取原則中指定憑證物件識別項檢查。
  • 802.1 x 用戶端不使用登錄為基礎的憑證的智慧卡憑證或具有密碼保護的憑證。
  • 主體的別名 (SubjectAltName) 延伸模組在憑證中包含使用者主要名稱 (UPN) 的使用者。
  • 當用戶端會使用 EAP-TLS 驗證 EAP-TLS) 或 PEAP 時,所有已安裝的憑證清單會出現在 [憑證嵌入式管理單元,有下列例外:
    • 無線用戶端不會顯示登錄為基礎的憑證和智慧卡的登入憑證。
    • 無線用戶端及虛擬私人網路 (VPN) 用戶端並不會顯示具有密碼保護的憑證。
    • 不會顯示不包含在 EKU 延伸內 「 用戶端驗證 」 用途的憑證。

伺服器憑證需求

您可以設定網路連線內容中使用 [驗證] 索引標籤上的 [確認伺服器憑證] 選項來驗證伺服器憑證的用戶端。用戶端使用 PEAP-EAP-MS-挑戰賽信號交換說明 > (驗證通訊協定 (CHAP) 第 2 版驗證,PEAP 使用 EAP-TLS 驗證或 EAP-TLS 驗證用戶端都會接受憑證必須符合下列需求時伺服器的憑證:
  • 在伺服器鏈結到下列其中一項電腦憑證:
    • 信任的 Microsoft 根 CA。
    • Microsoft 獨立根或協力廠商根 CA 在已經包含已發佈的根憑證的 NTAuthCertificates 存放的 Active Directory 網域中。如需有關如何匯入協力廠商 CA 憑證的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
      295663? (http://support.microsoft.com/kb/295663/ ) 如何匯入到企業 NTAuth 存放區中協力廠商憑證授權單位 (CA) 憑證
  • IAS 或 VPN 伺服器電腦憑證是以 「 伺服器驗證 」 用途設定。物件識別項對於伺服器驗證 」 是 1.3.6.1.5.5.7.3.1。
  • 電腦憑證不會不失敗任何一種由 CryptoAPI 憑證存放區執行的檢查,並不會失敗任何一種在遠端存取原則需求。
  • 伺服器憑證] 的 [主旨] 行中名稱必須符合在連線的用戶端上設定的名稱。
  • 無線用戶端的主體的別名 (SubjectAltName) 副檔名會包含伺服器的完整格式的網域名稱 (FQDN)。
  • 如果用戶端設定為信任伺服器憑證具有特定名稱,會提示使用者決定信任憑證,以使用不同的名稱。如果使用者拒絕憑證,驗證便會失敗。如果使用者接受憑證,則會將該憑證新增到本機電腦信任的根憑證存放區中。
附註使用 PEAP 或 EAP-TLS 驗證,伺服器會顯示在 [憑證] 嵌入式管理單元中的所有已安裝的憑證清單。但是,都不會顯示包含在 EKU 延伸內 「 伺服器驗證 」 用途的憑證。
回此頁最上方

?考

如需有關無線網路的技術的詳細資訊,請造訪下列 Microsoft 網站]:
http://www.microsoft.com/whdc/connect/wireless/default.mspx (http://www.microsoft.com/whdc/connect/wireless/default.mspx)
如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
313242? (http://support.microsoft.com/kb/313242/ ) 如何疑難排解 Windows XP 中的無線網路連線
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
回此頁最上方
關鍵字:?
kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:814394? (http://support.microsoft.com/kb/814394/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。