متطلبات الشهادة عند استخدام EAP-TLS أو PEAP مع EAP-TLS


مقدمة


توضح هذه المقالة المتطلبات التي يجب ان تفي شهادات العميل وشهادات الملقم عند استخدام بروتوكول المصادقة القابل للإلحاق-أمان طبقه النقل (EAP-TLS) أو بروتوكول المصادقة القابلة للإلحاق المحمية (PEAP) مع EAP-TLS.

مزيد من المعلومات


عند استخدام EAP مع نوع EAP قوي ، مثل TLS مع البطاقات الذكية أو TLS مع الشهادات ، كل من العميل والملقم استخدام الشهادات للتحقق من الهويات الخاصة بهم إلى بعضها البعض. يجب ان تفي الشهادات بمتطلبات معينه علي الخادم وعلي العميل للمصادقة الناجحة. مطلب واحد هو انه يجب تكوين الشهادة مع واحد أو أكثر من الأغراض في ملحقات "استخدام المفتاح الموسع" (EKU) التي تتطابق مع استخدام الشهادة. علي سبيل المثال ، يجب تكوين شهادة المستخدمة للمصادقة عميل إلى ملقم مع الغرض "مصادقه العميل". أو ، يجب تكوين شهادة المستخدمة للمصادقة ملقم مع الغرض "مصادقه الملقم". عند استخدام الشهادات للمصادقة ، يفحص المصادق شهادة العميل ويبحث عن معرف كائن الغرض الصحيح في ملحقات EKU. علي سبيل المثال ، معرف الكائن لغرض "مصادقه العميل" هو 1.3.6.1.5.5.7.3.2.

الحد الأدنى لمتطلبات الشهادة

يجب ان تستوفي كافة الشهادات المستخدمة لمصادقه الوصول إلى الشبكة متطلبات شهادات x.509 ، كما يجب ان تفي بمتطلبات الاتصالات التي تستخدم تشفير طبقه ماخذ التوصيل الامنه (SSL) وأمان مستوي النقل (TLS) التشفير. بعد استيفاء هذه المتطلبات الدنيا ، يجب ان تستوفي شهادات العميل وشهادات الملقم المتطلبات الاضافيه التالية.

متطلبات شهادة العميل

باستخدام EAP-TLS أو PEAP مع EAP-TLS ، يقبل الملقم مصادقه العميل عندما تستوفي الشهادة المتطلبات التالية:
  • يتم إصدار شهادة العميل من قبل المرجع المصدق للمؤسسة (CA) أو تعيينها إلى حساب مستخدم أو إلى حساب كمبيوتر في خدمه الدليل "Active Directory".
  • المستخدم أو شهادة الكمبيوتر علي سلاسل العميل إلى مرجع مصدق جذر موثوق به.
  • المستخدم أو شهادة الكمبيوتر علي العميل يتضمن الغرض "مصادقه العميل".
  • لا يفشل المستخدم أو شهادة الكمبيوتر اي من الشيكات التي يتم تنفيذها بواسطة مخزن الشهادات التشفير ، والشهادة بتمرير المتطلبات في نهج الوصول البعيد.
  • لا يفشل المستخدم أو شهادة الكمبيوتر اي من التحقق من معرف كائن الشهادة المحددة في نهج الوصول البعيد خدمه مصادقه إنترنت (IAS).
  • لا يستخدم عميل 802.1x الشهادات المستندة إلى التسجيل اما شهادات البطاقة الذكية أو الشهادات المحمية بكلمه مرور.
  • يحتوي الملحق اسم الموضوع البديل (سوبتكتالتاسم) في الشهادة علي اسم المستخدم الأساسي (UPN) للمستخدم.
  • عندما يستخدم العملاء EAP-TLS أو PEAP مع مصادقه EAP-TLS ، يتم عرض قائمه بكافة الشهادات المثبتة في الاداه الاضافيه "الشهادات" ، مع الاستثناءات التالية:
    • لا يتم عرض الشهادات المستندة إلى التسجيل وشهادات تسجيل دخول البطاقة الذكية العملاء لاسلكيه.
    • لا يتم عرض العملاء لاسلكيه وعملاء الشبكة الخاصة الظاهرية (VPN) الشهادات المحمية بكلمه مرور.
    • لا يتم عرض الشهادات التي لا تحتوي علي الغرض "مصادقه العميل" في ملحقات EKU.

متطلبات شهادة الملقم

يمكنك تكوين عملاء للتحقق من صحة شهادات الملقم باستخدام الخيار التحقق من صحة شهادة الملقم علي علامة التبويب المصادقة في خصائص "اتصال الشبكة". عندما يستخدم عميل PEAP-EAP-MS-ارتياب مصادقه تعارف بروتوكول (الفصل) الإصدار 2 مصادقه ، PEAP مع مصادقه EAP-TLS ، أو مصادقه EAP-TLS ، يقبل العميل شهادة الملقم عندما تستوفي الشهادة المتطلبات التالية:
  • شهادة الكمبيوتر علي سلاسل الملقم إلى أحد الإجراءات التالية:
    • مرجع مصدق جذر Microsoft موثوق به.
    • جذر مستقل Microsoft أو مرجع مصدق جذر لجهة خارجيه في مجال "Active Directory" يحتوي علي مخزن NTAuthCertificatesات التي تحتوي علي الشهادة الجذر المنشورة. لمزيد من المعلومات حول كيفيه استيراد شهادات المرجع المصدق لجهة خارجيه ، انقر فوق رقم المقالة التالي لعرض المقالة في قاعده معارف Microsoft:
      295663 كيفيه استيراد شهادات المرجع المصدق (CA) لجهة خارجيه إلى مخزن NTAuth المؤسسة
  • يتم تكوين IAS أو شهادة الكمبيوتر ملقم VPN مع الغرض "مصادقه الملقم". معرف الكائن "مصادقه الملقم" 1.3.6.1.5.5.7.3.1.
  • لا تفشل شهادة الكمبيوتر اي من الشيكات التي يتم تنفيذها بواسطة مخزن الشهادات التشفير ، ولا تفشل اي من المتطلبات في نهج الوصول البعيد.
  • يطابق الاسم في سطر الموضوع من شهادة الملقم الاسم الذي تم تكوينه علي العميل للاتصال.
  • بالنسبة للعملاء لالاسلكيين ، يحتوي ملحق الاسم البديل للموضوع (ذاتي) علي اسم المجال المؤهل بالبالكامل للخادم (FQDN).
  • إذا تم تكوين العميل للثقة بشهادة ملقم باسم معين ، تتم مطالبه المستخدم باتخاذ قرار حول الوثوق بشهادة باسم مختلف. إذا رفض المستخدم الشهادة ، تفشل المصادقة. إذا كان المستخدم يقبل الشهادة ، تتم أضافه الشهادة إلى مخزن الشهادات الجذر الموثوق بها الكمبيوتر المحلي.
ملاحظه مع PEAP أو مع مصادقه EAP-TLS ، ملقمات عرض قائمه بكافة الشهادات المثبتة في الاداه الاضافيه الشهادات. ومع ذلك ، لا يتم عرض الشهادات التي تحتوي علي الغرض "مصادقه الملقم" في ملحقات EKU.

المراجع


لمزيد من المعلومات حول تقنيات الشبكة لاسلكيه ، قم بزيارة موقع Microsoft التالي علي الويب:للمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
313242 كيفيه استكشاف أخطاء اتصالات شبكه الاتصال لاسلكيه في نظام التشغيل Windows XP