Certifikační požadavky při použití protokolu EAP-TLS nebo PEAP s protokolem EAP-TLS

ÚVOD

Tento článek popisuje požadavky, které musí splňovat klientské certifikáty a certifikáty serveru, pomocí Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) nebo Protected Extensible Authentication Protocol (PEAP) s protokolem EAP-TLS.

Další informace

Pokud používáte silný typ protokolu EAP, například TLS s kartami smart card nebo TLS s certifikáty, klient i server používat certifikáty k ověřování svých identit navzájem. Certifikáty musí splňovat specifické požadavky na serveru a v klientském počítači k úspěšnému ověření.



Jedním z požadavků je, že certifikát musí být nakonfigurován s jedním nebo více účely v rozšíření rozšířené použití klíče (EKU), které odpovídají použití certifikátu. Například certifikát, který se používá k ověřování klientského počítače vůči serveru musí lze osadit účel ověření klienta. Nebo certifikát, který se používá k ověřování serveru musí být nakonfigurován s účelem ověření serveru. Při použití certifikátů pro ověřování, Ověřovatel zkontroluje certifikát klienta a hledá správný identifikátor objektu účelu v rozšíření EKU. Například identifikátor objektu účelu Ověření klienta je 1.3.6.1.5.5.7.3.2.

Minimální požadavky na certifikát

Všechny certifikáty používané k ověřování přístupu do sítě musí splňovat požadavky na certifikáty standardu X.509 a musí splňovat také požadavky na připojení, které používají šifrování protokol SSL (Secure Sockets Layer) (SSL) a šifrování úroveň zabezpečení TLS (Transport). Poté, co tyto minimální požadavky jsou splněny, musí splňovat tyto další požadavky klientské certifikáty a certifikáty serveru.

Požadavky na certifikát

S protokolem EAP-TLS nebo PEAP s protokolem EAP-TLS přijme server ověřování klienta, jestliže certifikát splňuje následující požadavky:

  • Klientský certifikát vydává certifikační úřad (CÚ) rozlehlé sítě nebo je mapován na uživatelský účet nebo účet počítače v adresáři služby Active Directory.
  • Uživatel nebo počítač certifikát na řetězy klienta k důvěryhodnému kořenovému CÚ.
  • Uživatel nebo počítač certifikát klienta obsahuje účel ověření klienta.
  • Uživatel nebo počítač certifikát nelze překlopit některou z kontrol, které provádí rozhraní CryptoAPI úložiště certifikátů a certifikát předá požadavky v zásadách vzdáleného přístupu.
  • Uživatel nebo počítač certifikát nelze překlopit některý certifikát kontroly identifikátor objektu, které jsou specifikovány v zásadách vzdáleného přístupu služby IAS (Internet Authentication).
  • Klienta 802.1x nepoužívá certifikáty založené na registru, které jsou certifikáty karet smart card nebo certifikáty, které jsou chráněny heslem.
  • Rozšíření Alternativní název předmětu (SubjectAltName) v certifikátu obsahuje hlavní uživatelské jméno (UPN) uživatele.

  • Když klienti používat protokol EAP-TLS nebo PEAP s ověřování EAP-TLS, zobrazí se seznam všech nainstalovaných certifikátů v modulu snap-in certifikátů s následujícími výjimkami:
    • Bezdrátoví klienti se nezobrazí certifikáty založené na registru a certifikáty pro přihlášení pomocí karty smart card.
    • Bezdrátové klienty a klienty virtuální privátní sítě (VPN) nezobrazí se certifikáty, které jsou chráněny heslem.
    • Nezobrazí se certifikáty, které neobsahují v rozšíření EKU účel ověření klienta.

Požadavky na certifikát serveru

Můžete nakonfigurovat klienty, aby ověřovaly certifikáty serveru, pomocí možnosti Ověřit certifikát serveru na kartě ověřování v dialogovém okně Vlastnosti síťového připojení. Pokud klient používá ověřování protokol PEAP-EAP-MS-Challenge Handshake ověřování CHAP (Protocol) verze 2, přijímá protokol PEAP s ověřování EAP-TLS nebo EAP-TLS ověřování, klient certifikát serveru, jestliže certifikát splňuje následující požadavky:

  • Certifikát počítače na serveru řetězy na jednu z následujících akcí:
    • Důvěryhodné Microsoft kořenového certifikačního úřadu.
    • Samostatný kořenový adresář společnosti Microsoft nebo jiných výrobců kořenového certifikačního úřadu v doméně služby Active Directory, který má úložiště NTAuthCertificates, obsahující publikované kořenový certifikát. Další informace o importu certifikátů certifikačního úřadu jiného výrobce klepněte na následující číslo článku databáze Microsoft Knowledge Base:

      295663 jak importovat certifikáty jiných výrobců certifikačního úřadu (CA) do úložiště Enterprise NTAuth

  • Serveru IAS nebo certifikát pro počítač serveru VPN je nakonfigurován s účelem ověření serveru. Identifikátor objektu ověření serveru je 1.3.6.1.5.5.7.3.1.
  • Certifikát počítače nelze překlopit některou z kontrol, které provádí rozhraní CryptoAPI úložiště certifikátů a nelze překlopit některý z požadavků uvedených v zásadách vzdáleného přístupu.
  • Název v poli předmět certifikátu serveru odpovídá názvu, který je nakonfigurován na straně klienta pro připojení.
  • U klientů bezdrátové sítě obsahuje rozšíření alternativní název předmětu (SubjectAltName) na serveru plně kvalifikovaný název domény (FQDN).
  • Pokud je klient nakonfigurován důvěřovat certifikát serveru s určitým názvem, bude uživatel vyzván k rozhodnutí o nastavení důvěryhodnosti certifikátu pod jiným názvem. Pokud uživatel odmítne certifikát, ověření se nezdaří. Pokud uživatel přijímá osvědčení, certifikát přidán do úložiště důvěryhodných kořenových certifikátů místního počítače.

Poznámka: S protokolem PEAP nebo EAP-TLS ověřování zobrazí servery seznam všech nainstalovaných certifikátů v modulu snap-in Certifikáty. Však se nezobrazí certifikáty, které obsahují v rozšíření EKU účel ověření serveru.

Odkazy

Další informace o technologiích bezdrátových sítí naleznete na následujícím webu společnosti Microsoft:Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

313242 řešení potíží s připojením k bezdrátové síti v systému Windows XP

Vlastnosti

ID článku: 814394 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor