Requisitos de certificados quando você usa o EAP-TLS ou PEAP com EAP-TLS

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 814394
INTRODUÇÃO
Este artigo descreve os requisitos que os certificados de cliente e seus certificados de servidor devem atender ao usar o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ou PEAP (Protected Extensible Authentication Protocol) com EAP-TLS.
Mais Informações
Ao usar o EAP com um tipo EAP de alta segurança, como TLS com cartões inteligentes ou TLS com certificados, o cliente e o servidor usam certificados para verificar suas identidades uns aos outros. Certificados devem atender requisitos específicos no servidor e no cliente para autenticação bem-sucedida.

Um requisito é que o certificado deve ser configurado com um ou mais finalidades em extensões EKU (uso estendido de chave) que coincidem com o uso de certificado. Por exemplo, um certificado que é usado para a autenticação de um cliente para um servidor deve ser configurado com a finalidade Autenticação do cliente. Ou, um certificado que é usado para a autenticação de um servidor deve ser configurado com a finalidade Autenticação do servidor. Quando certificados são usados para autenticação, o autenticador examina o certificado de cliente e procura o identificador de objeto finalidade correta em extensões EKU. Por exemplo, o identificador de objeto para a finalidade Autenticação do cliente é 1.3.6.1.5.5.7.3.2.

Requisitos mínimos de certificado

Todos os certificados que são usados para autenticação de acesso à rede devem atender aos requisitos de certificados X.509, e eles também devem atender aos requisitos para conexões que usam criptografia SSL (Secure Sockets LAYER) e criptografia de segurança da camada de transporte (TLS). Depois que esses requisitos mínimos são atendidos, tanto os certificados de cliente e os certificados do servidor devem atender aos seguintes adicionais requisitos.

Requisitos de certificado de cliente

Com EAP-TLS ou PEAP com EAP-TLS, o servidor aceita autenticação do cliente quando o certificado atende aos seguintes requisitos:
  • O certificado de cliente é emitido por uma autoridade de certificação corporativa (CA), ou ele mapeia para uma conta de usuário ou para uma conta de computador no serviço de diretório do Active Directory.
  • O usuário ou o certificado de computador as cadeias de cliente para uma CA raiz confiável.
  • O usuário ou o certificado de computador no cliente inclui a finalidade Autenticação do cliente.
  • O usuário ou o certificado de computador não falha qualquer um das verificações são realizadas pelo armazenamento de certificados CryptoAPI e o certificado passa requisitos na diretiva de acesso remoto.
  • O usuário ou o certificado de computador não falha qualquer um das verificações de identificador de objeto certificado especificadas na diretiva de acesso remoto (IAS).
  • O cliente 802, 1 x não usa certificados baseados em registro que são certificados de cartões inteligentes ou certificados que são protegidos com uma senha.
  • A extensão de nome alternativo para a entidade (SubjectAltName) no certificado contém o nome principal de usuário (UPN) do usuário.
  • Quando os clientes usam EAP-TLS ou PEAP com EAP-TLS autenticação, é exibida uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes exceções:
    • Os clientes sem fio não exibem certificados com base no registro e certificados de logon de cartão inteligente.
    • Clientes sem fio e clientes de rede virtual privada (VPN) não exibem certificados protegidos com uma senha.
    • Não são exibidos certificados que não contêm a finalidade de autenticação de cliente em extensões EKU.

Requisitos de certificado do servidor

Você pode configurar clientes para validar certificados de servidor usando a opção de Validar certificado do servidor na guia autenticação nas propriedades de conexão de rede. Quando um cliente usa autenticação do PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) versão 2, o PEAP com EAP-TLS autenticação ou autenticação EAP-TLS, o cliente aceita o certificado do servidor quando o certificado atende aos seguintes requisitos:
  • O certificado de computador as cadeias de servidor a um dos seguintes:
    • Uma Microsoft CA raiz confiável.
    • Uma raiz autônoma do Microsoft ou raiz de terceiros autoridade de certificação em um domínio do Active Directory que tenha um armazenamento de CertificadosAutentNT que contém o certificado raiz publicada.Para obter mais informações sobre como importar certificados de autoridade de certificação de terceiros, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
      295663Como importar certificados de autoridade (CA) de certificação de terceiros para a empresa no armazenamento NTAuth
  • O IAS ou o certificado de computador do servidor VPN está configurado com a finalidade Autenticação do servidor. O identificador de objeto para autenticação de servidor é 1.3.6.1.5.5.7.3.1.
  • O certificado de computador não falha qualquer um das verificações são realizadas pelo armazenamento de certificados CryptoAPI e não falha qualquer um dos requisitos a diretiva de acesso remoto.
  • O nome na linha assunto do certificado do servidor corresponde ao nome configurado no cliente para a conexão.
  • Para clientes sem fio, a extensão de nome alternativo para a entidade (SubjectAltName) contém nome de domínio totalmente qualificado do servidor (FQDN).
  • Se o cliente estiver configurado para confiar em um certificado de servidor com um nome específico, o usuário é solicitado a tomar uma decisão sobre confiar em um certificado com um nome diferente. Se o usuário rejeita o certificado, a autenticação falhará. Se o usuário aceitar o certificado, o certificado é adicionado no armazenamento de certificado de raiz confiável do computador local.
Observação Com PEAP ou com autenticação EAP-TLS, servidores exibem uma lista de todos os certificados instalados no snap-in de certificados. No entanto, os certificados que contenham a finalidade Autenticação do servidor em extensões EKU não são exibidos.
Referências
Para obter mais informações sobre tecnologias de rede sem fio, visite o seguinte site: Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
313242Como solucionar problemas de conexões de rede sem fio no Windows XP

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 814394 - Última Revisão: 10/30/2006 21:31:59 - Revisão: 3.4

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtpt
Comentários