EAP-TLS veya PEAP'i EAP-TLS ile kullanırken sertifika gereksinimleri
EAP-TLS ile Genişletilebilir Kimlik Doğrulaması Protocol-Transport Katman Güvenliği (EAP-TLS) veya Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) kullandığınızda, istemci ve sunucu sertifikalarınızın belirli gereksinimleri karşılaması gerekir.
Şunlar için geçerlidir: Windows 11, Windows 10
Özgün KB numarası: 814394
Özet
EAP'yi akıllı kartlarla TLS veya sertifikalı TLS gibi güçlü bir EAP türüyle kullandığınızda, hem istemci hem de sunucu, kimlikleri birbirine doğrulamak için sertifikaları kullanır. Sertifikaların başarılı kimlik doğrulaması için hem sunucu hem de istemci üzerindeki belirli gereksinimleri karşılaması gerekir.
Sertifika, sertifika kullanımıyla eşleşen Genişletilmiş Anahtar Kullanımı (EKU) uzantılarında bir veya daha fazla amaçla yapılandırılmalıdır. Örneğin, bir istemcinin sunucuya kimlik doğrulaması için kullanılan bir sertifika , İstemci Kimlik Doğrulaması amacı ile yapılandırılmalıdır. Ya da bir sunucunun kimlik doğrulaması için kullanılan bir sertifikanın Sunucu Kimlik Doğrulaması amacı ile yapılandırılması gerekir. Kimlik doğrulaması için sertifikalar kullanıldığında, kimlik doğrulayıcı istemci sertifikasını inceler ve EKU uzantılarında doğru amaçlı nesne tanımlayıcısını (OID) arar. Örneğin, İstemci Kimlik Doğrulaması amacı için OID, 1.3.6.1.5.5.7.3.2Sunucu Kimlik Doğrulaması için OID ise şeklindedir1.3.6.1.5.5.7.3.1.
En düşük sertifika gereksinimleri
Ağ erişimi kimlik doğrulaması için kullanılan tüm sertifikaların X.509 sertifikalarının gereksinimlerini karşılaması gerekir. Ayrıca Güvenli Yuva Katmanı (SSL) şifrelemesi ve Aktarım Düzeyi Güvenliği (TLS) şifrelemesi kullanan bağlantıların gereksinimlerini karşılaması gerekir. Bu en düşük gereksinimler karşılandığında, hem istemci sertifikaları hem de sunucu sertifikaları aşağıdaki ek gereksinimleri karşılamalıdır.
İstemci sertifikası gereksinimleri
EAP-TLS veya EAP-TLS ile PEAP ile, sertifika aşağıdaki gereksinimleri karşıladığında sunucu istemcinin kimlik doğrulamasını kabul eder:
İstemci sertifikası bir kuruluş sertifika yetkilisi (CA) tarafından verilir. Veya Active Directory dizin hizmetindeki bir kullanıcı hesabı veya bilgisayar hesabıyla eşler.
İstemcideki kullanıcı veya bilgisayar sertifikası güvenilen bir kök CA'ya zincirler.
kullanıcı veya istemcideki bilgisayar sertifikası İstemci Kimlik Doğrulaması amacını içerir.
Kullanıcı veya bilgisayar sertifikası CryptoAPI sertifika deposu tarafından gerçekleştirilen denetimlerden hiçbirinde başarısız olmaz. Sertifika, uzaktan erişim ilkesindeki gereksinimleri geçirir.
Kullanıcı veya bilgisayar sertifikası, Ağ İlkesi Sunucusu (NPS) uzaktan erişim ilkesinde belirtilen sertifika OID denetimlerinden hiçbirinde başarısız olmaz.
802.1X istemcisi, akıllı kart sertifikaları veya parolayla korunan sertifikalar olan kayıt defteri tabanlı sertifikaları kullanmaz.
Sertifikadaki Konu Alternatif Adı (SubjectAltName) uzantısı, kullanıcının kullanıcı asıl adını (UPN) içerir.
İstemciler EAP-TLS kimlik doğrulamasıyla EAP-TLS veya PEAP kullandığında, sertifikalar ek bileşeninde aşağıdaki özel durumlar dışında tüm yüklü sertifikaların listesi görüntülenir:
- Kablosuz istemciler, kayıt defteri tabanlı sertifikaları ve akıllı kart oturum açma sertifikalarını görüntülemez.
- Kablosuz istemciler ve sanal özel ağ (VPN) istemcileri parolayla korunan sertifikaları görüntülemez.
- EKU uzantılarında İstemci Kimlik Doğrulaması amacını içermeyen sertifikalar görüntülenmez.
Sunucu sertifikası gereksinimleri
Sunucu sertifikasını doğrula seçeneğini kullanarak istemcileri sunucu sertifikalarını doğrulayacak şekilde yapılandırabilirsiniz. Bu seçenek, Ağ Bağlantısı özelliklerindeki Kimlik Doğrulaması sekmesindedir. İstemci PEAP-EAP-MS-Challenge El Sıkışma Kimlik Doğrulama Protokolü (CHAP) sürüm 2 kimlik doğrulamasını, EAP-TLS kimlik doğrulaması ile PEAP veya EAP-TLS kimlik doğrulamasını kullandığında, sertifika aşağıdaki gereksinimleri karşıladığında istemci sunucunun sertifikasını kabul eder:
Sunucudaki bilgisayar sertifikası aşağıdaki CA'lardan birine zincirler:
Güvenilir bir Microsoft kök CA'sı.
Yayımlanan kök sertifikayı içeren bir NTAuthCertificates deposuna sahip bir Active Directory etki alanındaki Microsoft tek başına kök veya üçüncü taraf kök CA'sı. Üçüncü taraf CA sertifikalarını içeri aktarma hakkında daha fazla bilgi için bkz. Üçüncü taraf sertifika yetkilisi (CA) sertifikalarını Enterprise NTAuth deposuna aktarma.
NPS veya VPN sunucusu bilgisayar sertifikası , Sunucu Kimlik Doğrulaması amacı ile yapılandırılır. Sunucu Kimlik Doğrulaması için OID şudur:
1.3.6.1.5.5.7.3.1.Bilgisayar sertifikası CryptoAPI sertifika deposu tarafından gerçekleştirilen denetimlerden hiçbirinde başarısız olmaz. Ayrıca uzaktan erişim ilkesindeki gereksinimlerin hiçbirinde başarısız olmaz.
Sunucu sertifikasının Konu satırındaki ad, bağlantı için istemcide yapılandırılan adla eşleşir.
Kablosuz istemciler için Konu Alternatif Adı (SubjectAltName) uzantısı sunucunun tam etki alanı adını (FQDN) içerir.
İstemci belirli bir ada sahip bir sunucu sertifikasına güvenecek şekilde yapılandırılmışsa, kullanıcıdan farklı bir ada sahip bir sertifikaya güvenmeye karar vermesi istenir. Kullanıcı sertifikayı reddederse, kimlik doğrulaması başarısız olur. Kullanıcı sertifikayı kabul ederse, sertifika yerel bilgisayarın güvenilen kök sertifika deposuna eklenir.
Not
PEAP veya EAP-TLS kimlik doğrulamasıyla sunucular, Sertifikalar ek bileşeninde tüm yüklü sertifikaların listesini görüntüler. Ancak, EKU uzantılarında Sunucu Kimlik Doğrulaması amacını içeren sertifikalar görüntülenmez.
Daha fazla bilgi
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin