Zertifikatanforderungen bei Verwendung von EAP-TLS oder PEAP mit EAP-TLS

  • Artikel

Wenn Sie Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) oder PEAP (Protected Extensible Authentication Protocol) mit EAP-TLS verwenden, müssen Ihre Client- und Serverzertifikate bestimmte Anforderungen erfüllen.

Gilt für: Windows 11, Windows 10
Ursprüngliche KB-Nummer: 814394

Zusammenfassung

Wenn Sie EAP mit einem starken EAP-Typ verwenden, z. B. TLS mit Smartcards oder TLS mit Zertifikaten, verwenden sowohl der Client als auch der Server Zertifikate, um Identitäten gegenseitig zu überprüfen. Zertifikate müssen bestimmte Anforderungen sowohl auf dem Server als auch auf dem Client für eine erfolgreiche Authentifizierung erfüllen.

Das Zertifikat muss mit einem oder mehreren Zwecken in EKU-Erweiterungen (Extended Key Usage) konfiguriert werden, die der Zertifikatverwendung entsprechen. Beispielsweise muss ein Zertifikat, das für die Authentifizierung eines Clients bei einem Server verwendet wird, mit dem Clientauthentifizierungszweck konfiguriert werden. Alternativ muss ein Zertifikat, das für die Authentifizierung eines Servers verwendet wird, mit dem Zweck der Serverauthentifizierung konfiguriert werden. Wenn Zertifikate für die Authentifizierung verwendet werden, untersucht der Authentifikator das Clientzertifikat und sucht in EKU-Erweiterungen nach dem richtigen Zweckobjektbezeichner (OID). Die OID für den Clientauthentifizierungszweck ist 1.3.6.1.5.5.7.3.2beispielsweise , und die OID für die Serverauthentifizierung ist 1.3.6.1.5.5.7.3.1.

Mindestanforderungen für Zertifikate

Alle Zertifikate, die für die Netzwerkzugriffsauthentifizierung verwendet werden, müssen die Anforderungen für X.509-Zertifikate erfüllen. Sie müssen auch die Anforderungen für Verbindungen erfüllen, die SSL-Verschlüsselung (Secure Sockets Layer) und TLS-Verschlüsselung (Transport Level Security) verwenden. Nachdem diese Mindestanforderungen erfüllt sind, müssen sowohl die Clientzertifikate als auch die Serverzertifikate die folgenden zusätzlichen Anforderungen erfüllen.

Clientzertifikatanforderungen

Bei EAP-TLS oder PEAP mit EAP-TLS akzeptiert der Server die Authentifizierung des Clients, wenn das Zertifikat die folgenden Anforderungen erfüllt:

  • Das Clientzertifikat wird von einer Unternehmenszertifizierungsstelle (Ca) ausgestellt. Oder es wird einem Benutzerkonto oder einem Computerkonto im Active Directory-Verzeichnisdienst zugeordnet.

  • Das Benutzer- oder Computerzertifikat auf dem Client ist mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet.

  • Das Benutzer- oder Computerzertifikat auf dem Client enthält den Zweck der Clientauthentifizierung .

  • Das Benutzer- oder Computerzertifikat schlägt keine der Überprüfungen fehl, die vom CryptoAPI-Zertifikatspeicher ausgeführt werden. Und das Zertifikat erfüllt die Anforderungen in der Remotezugriffsrichtlinie.

  • Das Benutzer- oder Computerzertifikat schlägt keine der Zertifikat-OID-Überprüfungen fehl, die in der Netzwerkrichtlinienserver-Richtlinie (NPS) für den Remotezugriff angegeben sind.

  • Der 802.1X-Client verwendet keine registrierungsbasierten Zertifikate, bei denen es sich entweder um Smart-Karte-Zertifikate oder zertifikate handelt, die mit einem Kennwort geschützt sind.

  • Die Erweiterung "Alternativer Antragstellername" (SubjectAltName) im Zertifikat enthält den Benutzerprinzipalnamen (User Principal Name, UPN) des Benutzers.

  • Wenn Clients EAP-TLS oder PEAP mit EAP-TLS-Authentifizierung verwenden, wird eine Liste aller installierten Zertifikate im Zertifikat-Snap-In angezeigt, mit den folgenden Ausnahmen:

    • Drahtlose Clients zeigen keine registrierungsbasierten Zertifikate und Smart Karte Anmeldezertifikate an.
    • Drahtlosclients und VPN-Clients (Virtuelles privates Netzwerk) zeigen keine Zertifikate an, die mit einem Kennwort geschützt sind.
    • Zertifikate, die nicht den Zweck der Clientauthentifizierung in EKU-Erweiterungen enthalten, werden nicht angezeigt.

Serverzertifikatanforderungen

Mithilfe der Option Serverzertifikat überprüfen können Sie Clients zum Überprüfen von Serverzertifikaten konfigurieren. Diese Option befindet sich auf der Registerkarte Authentifizierung in den Netzwerkverbindungseigenschaften. Wenn ein Client die Authentifizierung peAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) Version 2, PEAP mit EAP-TLS-Authentifizierung oder EAP-TLS-Authentifizierung verwendet, akzeptiert der Client das Zertifikat des Servers, wenn das Zertifikat die folgenden Anforderungen erfüllt:

  • Das Computerzertifikat auf dem Server ist mit einer der folgenden Zertifizierungsstellen verkettet:

  • Das NPS- oder VPN-Servercomputerzertifikat ist mit dem Zweck der Serverauthentifizierung konfiguriert. Die OID für die Serverauthentifizierung ist 1.3.6.1.5.5.7.3.1.

  • Das Computerzertifikat schlägt keine der Überprüfungen fehl, die vom CryptoAPI-Zertifikatspeicher ausgeführt werden. Und es erfüllt keine der Anforderungen in der Remotezugriffsrichtlinie.

  • Der Name in der Betreffzeile des Serverzertifikats entspricht dem Namen, der auf dem Client für die Verbindung konfiguriert ist.

  • Bei Drahtlosen Clients enthält die Erweiterung "Alternativer Antragstellername" (SubjectAltName) den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Servers.

  • Wenn der Client so konfiguriert ist, dass er einem Serverzertifikat mit einem bestimmten Namen vertraut, wird der Benutzer aufgefordert, zu entscheiden, ob ein Zertifikat mit einem anderen Namen als vertrauenswürdig eingestuft werden soll. Wenn der Benutzer das Zertifikat ablehnt, schlägt die Authentifizierung fehl. Wenn der Benutzer das Zertifikat akzeptiert, wird das Zertifikat dem lokalen Computer-Stammzertifikatspeicher hinzugefügt.

Hinweis

Bei PEAP oder mit EAP-TLS-Authentifizierung zeigen Server eine Liste aller installierten Zertifikate im Zertifikat-Snap-In an. Die Zertifikate, die den Zweck der Serverauthentifizierung in EKU-Erweiterungen enthalten, werden jedoch nicht angezeigt.

Weitere Informationen