Al momento sei offline in attesa che la connessione Internet venga ristabilita

Il tuo browser non è supportato

Devi aggiornare il browser per usare il sito.

Esegui l'aggiornamento all'ultima versione di Internet Explorer

Requisiti del certificato quando si utilizza EAP-TLS o PEAP con EAP-TLS

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 814394
INTRODUZIONE
In questo articolo vengono descritti i requisiti che devono soddisfare i certificati di client e i certificati server quando si utilizza Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) o PEAP (Protected Extensible Authentication Protocol) con EAP-TLS.
Informazioni
Quando si utilizza EAP con un tipo EAP sicuro, ad esempio i TLS con smart card o TLS con certificati, in client e il server viene utilizzare certificati per verificare le proprie identità a altra. I certificati devono essere ai requisiti di specifici sul server e sul client per l'autenticazione ha avuto esito positivo.

Una requisito è che con uno o più scopi nelle estensioni di utilizzo chiave esteso (EKU) che corrispondono l'utilizzo di certificati è necessario configurare il certificato. Ad esempio, un certificato utilizzato per l'autenticazione di un client a un server deve essere configurato con lo scopo Autenticazione Client. In alternativa, un certificato utilizzato per l'autenticazione di un server deve essere configurato con lo scopo Autenticazione Server. Quando vengono utilizzati i certificati per l'autenticazione, l'autenticatore esamina il certificato del client e Cerca l'identificatore di oggetto corretto scopo nelle estensioni EKU. Ad esempio, l'identificatore di oggetto per lo scopo Autenticazione Client è 1.3.6.1.5.5.7.3.2.

Requisiti minimi dei certificati

Tutti i certificati utilizzati per l'autenticazione di accesso di rete devono soddisfare i requisiti per i certificati x.509, e inoltre deve soddisfare i requisiti per le connessioni utilizzare crittografia SSL (Secure Sockets Layer) e la crittografia TLS (Transport Level Security). Una volta che vengono soddisfatti i requisiti minimi sia i certificati client che i certificati del server devono i seguenti requisiti aggiuntivi.

Requisiti dei certificati client

Con EAP-TLS o PEAP con EAP-TLS, il server accetta l'autenticazione del client quando il certificato soddisfa i requisiti seguenti:
  • Il certificato del client è stato rilasciato da un'autorità di certificazione (CA) o è mappato a un account utente o a un account computer nel servizio directory Active Directory.
  • L'utente o il certificato di computer sulle catene di client a una CA principale attendibile.
  • L'utente o il certificato del computer sul client include lo scopo Autenticazione Client.
  • L'utente o il certificato di computer non è possibile uno qualsiasi dei controlli che vengono eseguite dall'archivio certificati CryptoAPI e il certificato passa requisiti nel criterio di accesso remoto.
  • L'utente o il certificato di computer non è possibile uno qualsiasi dei controlli di identificatore oggetto certificato specificati nel criterio di accesso remoto IAS (Internet Authentication Service).
  • Il client 802.1X x non utilizza i certificati del Registro di sistema di certificati smart card o certificati che sono protetti con una password.
  • L'estensione nome alternativo soggetto (SubjectAltName) del certificato contiene il nome principale utente (UPN) dell'utente.
  • Quando i client utilizzano EAP-TLS o PEAP con l'autenticazione EAP-TLS, verrà visualizzato un elenco di tutti i certificati installati nello snap-in certificati, con le seguenti eccezioni:
    • I client senza fili non vengono visualizzati i certificati del Registro di sistema e i certificati di accesso smart card.
    • I client senza fili e i client di rete privata virtuale (VPN) non vengono visualizzati i certificati che sono protetti con una password.
    • I certificati che non contengono lo scopo Autenticazione Client nelle estensioni EKU non vengono visualizzati.

Requisiti dei certificati server

È possibile configurare i client per convalidare i certificati server con l'opzione di Convalida certificato server nella scheda autenticazione nelle proprietà della connessione di rete. Quando un client utilizza l'autenticazione di CHAP (PEAP EAP-Microsoft Challenge Handshake Authentication Protocol) versione 2, PEAP con l'autenticazione EAP-TLS o l'autenticazione EAP-TLS, il client accetta il certificato del server quando il certificato soddisfa i requisiti seguenti:
  • Il certificato di computer sulle catene di server a una delle seguenti operazioni:
    • Una Microsoft CA principale attendibile.
    • Un principale autonoma di Microsoft o una CA in un dominio Active Directory che dispone di un archivio di NTAuthCertificates contenente il certificato principale pubblicato principale di terze parti.Per ulteriori informazioni sull'importazione di certificati CA di terze parti, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
      295663Come importare i certificati di autorità (CA) di terze parti nell'archivio NTAuth Enterprise
  • Server IAS o il certificato del computer server VPN è configurato con lo scopo Autenticazione Server. L'identificatore di oggetto per l'autenticazione server è 1.3.6.1.5.5.7.3.1.
  • Il certificato di computer non non uno qualsiasi dei controlli che vengono eseguite dall'archivio certificati CryptoAPI e non è possibile uno dei requisiti definiti nel criterio di accesso remoto.
  • Nome della riga oggetto del certificato server corrisponde al nome configurato sul client per la connessione.
  • Per i client senza fili, l'estensione del nome alternativo soggetto (SubjectAltName) contiene il nome di dominio completo del server (FQDN).
  • Se il client è configurato per considerare attendibile un certificato server con un nome specifico, viene richiesto di prendere una decisione sull'attendibilità di un certificato con un nome diverso. Se l'utente rifiuta il certificato, autenticazione non riesce. Se l'utente accetta il certificato, il certificato viene aggiunto all'archivio di certificati attendibili del computer locale.
Nota Con PEAP o con l'autenticazione EAP-TLS, il server Visualizza un elenco di tutti i certificati installati nello snap-in certificati. Tuttavia, i certificati che contengono lo scopo Autenticazione Server nelle estensioni EKU non vengono visualizzati.
Riferimenti
Per ulteriori informazioni sulle tecnologie di rete senza fili, visitare il sito di Web di Microsoft: Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
313242Risoluzione dei problemi connessioni di rete senza fili in Windows XP

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 814394 - Ultima revisione: 10/30/2006 21:31:59 - Revisione: 3.4

  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtit
Feedback
ntent='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> > + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");