Το πιστοποιητικό απαιτήσεις όταν χρησιμοποιείτε το EAP-TLS ή PEAP με EAP-TLS

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τις απαιτήσεις που τα πιστοποιητικά προγράμματος-πελάτη και τα πιστοποιητικά διακομιστή πρέπει να ανταποκρίνεται όταν χρησιμοποιείτε ασφάλεια επιπέδου μεταφοράς πρωτοκόλλου Extensible ελέγχου ταυτότητας (EAP-TLS) ή προστατευμένης Extensible ελέγχου ταυτότητας πρωτοκόλλου (PEAP) με EAP-TLS.

Περισσότερες πληροφορίες

Όταν χρησιμοποιείτε το EAP με ισχυρό τύπο EAP, όπως TLS με έξυπνες κάρτες ή TLS με πιστοποιητικά, τόσο ο υπολογιστής-πελάτης και ο διακομιστής χρησιμοποιούν πιστοποιητικά για να επαληθεύσουν τις ταυτότητες μεταξύ τους. Τα πιστοποιητικά πρέπει να πληρούν τις ειδικές απαιτήσεις τόσο στο διακομιστή όσο και στον υπολογιστή-πελάτη για επιτυχή έλεγχο ταυτότητας.



Μία απαίτηση είναι ότι το πιστοποιητικό πρέπει να ρυθμιστεί με μία ή περισσότερες χρήσεις στις επεκτάσεις εκτεταμένης χρήσης κλειδιού (EKU) που ταιριάζουν με τη χρήση πιστοποιητικών. Για παράδειγμα, ένα πιστοποιητικό που χρησιμοποιείται για τον έλεγχο ταυτότητας ενός υπολογιστή-πελάτη σε ένα διακομιστή πρέπει να ρυθμιστεί με το σκοπό του ελέγχου ταυτότητας υπολογιστή-πελάτη. Εναλλακτικά, ένα πιστοποιητικό που χρησιμοποιείται για τον έλεγχο ταυτότητας του διακομιστή πρέπει να ρυθμιστεί με το σκοπό του ελέγχου ταυτότητας του διακομιστή. Όταν χρησιμοποιούνται πιστοποιητικά για έλεγχο ταυτότητας, η υπηρεσία ελέγχου ταυτότητας εξετάζει το πιστοποιητικό προγράμματος-πελάτη και αναζητά το αναγνωριστικό αντικειμένου σωστό σκοπό σε επεκτάσεις EKU. Για παράδειγμα, το αναγνωριστικό αντικειμένου για το σκοπό του ελέγχου ταυτότητας του προγράμματος-πελάτη είναι 1.3.6.1.5.5.7.3.2.

Πιστοποιητικό ελάχιστες απαιτήσεις

Όλα τα πιστοποιητικά που χρησιμοποιούνται για έλεγχο ταυτότητας πρόσβασης δικτύου πρέπει να πληρούν τις απαιτήσεις για τα πιστοποιητικά X.509 και πρέπει να πληρούν επίσης τις απαιτήσεις για συνδέσεις που χρησιμοποιούν κρυπτογράφηση Secure Sockets Layer (SSL) και κρυπτογράφηση ασφάλεια επιπέδου μεταφοράς (TLS). Μετά από αυτές τις ελάχιστες απαιτήσεις, τα πιστοποιητικά προγράμματος-πελάτη και τα πιστοποιητικά διακομιστή πρέπει να πληρούν τις ακόλουθες πρόσθετες απαιτήσεις.

Απαιτήσεις πιστοποιητικού προγράμματος-πελάτη

Με EAP-TLS ή PEAP με EAP-TLS, ο διακομιστής αποδέχεται ελέγχου ταυτότητας του υπολογιστή-πελάτη, όταν το πιστοποιητικό πληροί τις ακόλουθες απαιτήσεις:

  • Το πιστοποιητικό προγράμματος-πελάτη έχει εκδοθεί από μια εταιρική αρχή έκδοσης πιστοποιητικών (CA) ή αντιστοιχεί σε ένα λογαριασμό χρήστη ή σε έναν λογαριασμό υπολογιστή στην υπηρεσία καταλόγου Active Directory.
  • Ο χρήστης ή το πιστοποιητικό του υπολογιστή από το πρόγραμμα-πελάτης αλυσίδων σε μια αξιόπιστη αρχή έκδοσης Πιστοποιητικών ρίζας.
  • Ο χρήστης ή το πιστοποιητικό υπολογιστή του υπολογιστή-πελάτη περιλαμβάνει το σκοπό του ελέγχου ταυτότητας υπολογιστή-πελάτη.
  • Ο χρήστης ή το πιστοποιητικό υπολογιστή αποτύχει κάθε ενός από τους ελέγχους που πραγματοποιούνται από το χώρο αποθήκευσης πιστοποιητικών CryptoAPI και το πιστοποιητικό μεταβιβάζει τις απαιτήσεις της πολιτικής απομακρυσμένης πρόσβασης.
  • Ο χρήστης ή το πιστοποιητικό υπολογιστή δεν αποτύχει μία από τους ελέγχους αναγνωριστικό αντικειμένου του πιστοποιητικού που καθορίζονται στην πολιτική απομακρυσμένης πρόσβασης υπηρεσίας ελέγχου ταυτότητας Internet (IAS).
  • Το πρόγραμμα-πελάτη 802.1x δεν χρησιμοποιεί πιστοποιητικά που βασίζονται στο μητρώο που είναι έξυπνη κάρτα πιστοποιητικά ή πιστοποιητικά που προστατεύονται με κωδικό πρόσβασης.
  • Η επέκταση εναλλακτικό όνομα θέματος (SubjectAltName) στο πιστοποιητικό περιέχει το κύριο όνομα χρήστη (UPN).

  • Όταν οι υπολογιστές-πελάτες χρησιμοποιούν το EAP-TLS ή PEAP με έλεγχο ταυτότητας EAP-TLS, εμφανίζεται μια λίστα με τα εγκατεστημένα πιστοποιητικά με τα πιστοποιητικά συμπληρωματικό, με τις ακόλουθες εξαιρέσεις:
    • Ασύρματοι υπολογιστές-πελάτες δεν εμφανίζονται πιστοποιητικά που βασίζονται στο μητρώο και τα πιστοποιητικά σύνδεσης έξυπνης κάρτας.
    • Ασύρματοι υπολογιστές-πελάτες και εικονικού ιδιωτικού δικτύου (VPN), οι υπολογιστές-πελάτες δεν εμφανίζονται πιστοποιητικά που προστατεύονται με κωδικό πρόσβασης.
    • Τα πιστοποιητικά που δεν περιέχουν το σκοπό του ελέγχου ταυτότητας του προγράμματος-πελάτη σε EKU επεκτάσεις δεν εμφανίζονται.

Απαιτήσεις πιστοποιητικού διακομιστή

Μπορείτε να ρυθμίσετε τους υπολογιστές-πελάτες για την επικύρωση πιστοποιητικών διακομιστή χρησιμοποιώντας την επιλογή Επικύρωση πιστοποιητικού διακομιστή στην καρτέλα Έλεγχος ταυτότητας στις ιδιότητες σύνδεσης δικτύου. Όταν ένας υπολογιστής-πελάτης χρησιμοποιεί έλεγχο ταυτότητας έκδοση 2 του πρωτοκόλλου ελέγχου ταυτότητας μέσω ανταλλαγής χειραψίας (CHAP) PEAP-EAP-MS-πρόκλησης, PEAP με EAP-TLS έλεγχος ταυτότητας ή έλεγχος ταυτότητας EAP-TLS, ο υπολογιστής-πελάτης αποδέχεται το πιστοποιητικό του διακομιστή, όταν το πιστοποιητικό πληροί τις ακόλουθες απαιτήσεις:

  • Το πιστοποιητικό υπολογιστή του αλυσίδες διακομιστή σε ένα από τα εξής:
    • Μια αξιόπιστη Microsoft αρχή έκδοσης Πιστοποιητικών ρίζας.
    • Μια αυτόνομη ρίζας της Microsoft ή άλλου κατασκευαστή ρίζας CA σε έναν τομέα της υπηρεσίας καταλόγου Active Directory που έχει ένα χώρο αποθήκευσης NTAuthCertificates που περιέχει το πιστοποιητικό ρίζας δημοσιευμένη. Για περισσότερες πληροφορίες σχετικά με την εισαγωγή πιστοποιητικών CA τρίτων κατασκευαστών, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

      295663 Τρόπος εισαγωγής άλλου κατασκευαστή πιστοποίησης αρχή έκδοσης (CA) πιστοποιητικών στο χώρο αποθήκευσης NTAuth εταιρείας

  • Το IAS ή το πιστοποιητικό υπολογιστή του διακομιστή VPN έχει ρυθμιστεί με το σκοπό του ελέγχου ταυτότητας του διακομιστή. Το αναγνωριστικό αντικειμένου για έλεγχο ταυτότητας διακομιστή είναι 1.3.6.1.5.5.7.3.1.
  • Το πιστοποιητικό υπολογιστή αποτύχει κάθε ενός από τους ελέγχους που πραγματοποιούνται από το χώρο αποθήκευσης πιστοποιητικών CryptoAPI και αναπόφευκτο μία από τις απαιτήσεις της πολιτικής απομακρυσμένης πρόσβασης.
  • Το όνομα στη γραμμή θέματος του πιστοποιητικού διακομιστή ταιριάζει με το όνομα που έχει ρυθμιστεί στον υπολογιστή-πελάτη της σύνδεσης.
  • Για τα προγράμματα-πελάτες ασύρματου δικτύου, την επέκταση εναλλακτικό όνομα θέματος (SubjectAltName) περιέχει το διακομιστή πλήρως αναγνωρισμένο όνομα τομέα (FQDN).
  • Εάν ο υπολογιστής-πελάτης έχει ρυθμιστεί να εμπιστευτείτε ένα πιστοποιητικό διακομιστή με ένα συγκεκριμένο όνομα, ζητείται από το χρήστη για να πάρετε μια απόφαση σχετικά με αξιόπιστο πιστοποιητικό με διαφορετικό όνομα. Εάν ο χρήστης απορρίπτει το πιστοποιητικό, ο έλεγχος ταυτότητας αποτυγχάνει. Εάν ο χρήστης αποδεχτεί το πιστοποιητικό, το πιστοποιητικό προστίθεται στο χώρο αποθήκευσης πιστοποιητικών του τοπικού υπολογιστή αξιόπιστης ρίζας.

Σημείωση Με το PEAP ή με έλεγχο ταυτότητας EAP-TLS, διακομιστές εμφανίζει μια λίστα με τα εγκατεστημένα πιστοποιητικά στο συμπληρωματικό πρόγραμμα πιστοποιητικά. Ωστόσο, τα πιστοποιητικά που περιέχουν το σκοπό του ελέγχου ταυτότητας διακομιστή σε EKU επεκτάσεις δεν εμφανίζονται.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τις τεχνολογίες ασύρματων δικτύων, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

313242 Τρόπος αντιμετώπισης προβλημάτων ασύρματες συνδέσεις δικτύου στα Windows XP

Ιδιότητες

Αναγνωριστικό άρθρου: 814394 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια