Teď jste offline a čekáte, až se znova připojí internet.

Certifikační požadavky při použití protokolu EAP-TLS nebo PEAP s protokolem EAP-TLS

Podpora Windows XP byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Windows XP. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:814394
ÚVOD
Tento článek popisuje požadavky, které vaše klientské certifikáty a certifikáty serveru musí splňovat při použití Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) nebo Protected Extensible Authentication Protocol (PEAP) s protokolem EAP-TLS.
Další informace
Při použití protokolu EAP se silný typ protokolu EAP, jako je například TLS s kartami smart card nebo TLS s certifikáty, klient i server používat certifikáty k ověřování svých identit navzájem. Certifikáty musí splňovat zvláštní požadavky na serveru i klienta k úspěšnému ověření.

Jedním z požadavků je, že certifikát musí být nakonfigurován s jedním nebo více účely v rozšíření použití rozšířeného klíče (EKU), které odpovídají použití certifikátu. Například certifikát, který se používá k ověřování klienta k serveru musí být nakonfigurován účel ověření klienta. Nebo certifikát, který se používá k ověřování serveru musí být nakonfigurován účel ověření serveru. Při použití certifikátů pro ověřování Ověřovatel zkontroluje certifikát klienta a hledá správný identifikátor objektu účelu v rozšíření EKU. Například identifikátor objektu pro účel ověření klienta je 1.3.6.1.5.5.7.3.2.

Minimální požadavky na certifikát

Všechny certifikáty používané k ověřování přístupu do sítě musí splňovat požadavky na certifikáty standardu X.509 a musí také splňovat požadavky na připojení používající šifrování SSL (protokol SSL (Secure Sockets Layer)) a šifrování Transport Level Security (TLS). Poté, co tyto minimální požadavky jsou splněny, musí splňovat tyto další požadavky klientské certifikáty a certifikáty serveru.

Požadavky na certifikát

S protokolem EAP-TLS nebo PEAP s protokolem EAP-TLS přijme server ověřování klienta, jestliže certifikát splňuje následující požadavky:
  • Klientský certifikát byl vystaven certifikačním úřadem (CÚ) rozlehlé sítě nebo je mapován na uživatelský účet nebo účet počítače v adresářové službě Active Directory.
  • Uživatel nebo počítač certifikát na řetězy klienta k důvěryhodnému kořenovému CÚ.
  • Uživatel nebo počítač certifikát klienta obsahuje účel ověření klienta.
  • Uživatel nebo počítač certifikát nelze překlopit některou z kontrol, které provádí rozhraní CryptoAPI úložiště certifikátů a certifikát předává požadavky v zásadách vzdáleného přístupu.
  • Uživatel nebo počítač certifikát nelze překlopit některé kontroly identifikátor objektu certifikát, které jsou specifikovány v zásadách vzdáleného přístupu služby ověřování v Internetu (IAS).
  • Protokolem 802. 1x klient nepoužívá certifikáty založené na registru, které jsou certifikáty karet smart card nebo certifikáty, které jsou chráněny heslem.
  • Rozšíření Alternativní název předmětu (SubjectAltName) v certifikátech obsahuje hlavní název uživatele (UPN) uživatele.
  • Klientů pomocí protokolu EAP-TLS nebo PEAP s ověřování EAP-TLS, zobrazí se seznam všech nainstalovaných certifikátů v modulu snap-in Certifikáty, s následujícími výjimkami:
    • Bezdrátových klientů se nezobrazí certifikáty založené na registru a certifikáty pro přihlášení pomocí karty smart card.
    • Bezdrátové klienty a klienty virtuální privátní sítě (VPN) se nezobrazí certifikáty, které jsou chráněny heslem.
    • Nezobrazí se certifikáty, které neobsahují v rozšíření EKU účel ověření klienta.

Požadavky na certifikát serveru

Můžete nakonfigurovat klienty k ověření serveru certifikáty pomocí Ověřit certifikát serveru možnost v Ověřování kartě vlastností síťového připojení. Pokud klient používá ověřování protokolem CHAP (protokol PEAP-EAP-MS-Challenge Handshake Authentication Protocol) verze 2, přijímá protokol PEAP s ověřování EAP-TLS nebo EAP-TLS ověření klienta certifikátu serveru, jestliže certifikát splňuje následující požadavky:
  • Certifikát počítače na server řetězců na jeden z následujících:
    • Důvěryhodné Microsoft kořenového certifikačního úřadu.
    • Samostatný kořenový adresář společnosti Microsoft nebo třetí strany kořenového certifikačního úřadu v doméně služby Active Directory, který obsahuje úložiště NTAuthCertificates, které obsahuje publikované kořenový certifikát.Další informace o importu certifikátů certifikačního úřadu jiného výrobce klepněte na následující číslo článku databáze Microsoft Knowledge Base:
      295663Jak importovat certifikáty jiného certifikačního úřadu (CÚ) do úložiště Enterprise NTAuth
  • IAS nebo certifikát pro počítač serveru VPN je nakonfigurován účel ověření serveru. Identifikátor objektu ověření serveru je 1.3.6.1.5.5.7.3.1.
  • Certifikát počítače nedojde k selhání některou z kontrol, které provádí úložiště CryptoAPI a nelze překlopit některý z požadavků stanovených v zásadách vzdáleného přístupu.
  • Název v poli předmět certifikátu serveru odpovídá název, který je nakonfigurován pro připojení klienta.
  • U klientů bezdrátových sítí obsahuje rozšíření alternativní název předmětu (SubjectAltName) na serveru plně kvalifikovaný název domény (FQDN).
  • Pokud je klient nakonfigurován důvěřovat certifikátu serveru s určitým názvem, bude uživatel vyzván k rozhodování o nastavení důvěryhodnosti certifikátu s jiným názvem. Pokud uživatel odmítne certifikát, ověření se nezdaří. Pokud uživatel přijímá osvědčení, je certifikát přidán do úložiště důvěryhodných kořenových certifikátů místním počítači.
Poznámka: S protokolem PEAP nebo ověřování EAP-TLS zobrazí servery seznam všech nainstalovaných certifikátů v modulu snap-in Certifikáty. Certifikáty, které v rozšíření EKU účel ověření serveru se však nezobrazí.
Odkazy
Další informace o bezdrátových síťových technologií navštivte následující Web společnosti Microsoft: Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
313242Řešení potíží s připojením k bezdrátové síti v systému Windows XP

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 814394 - Poslední kontrola: 05/20/2011 14:14:00 - Revize: 5.0

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtcs
Váš názor
=">