Requisitos de certificados quando utilizar EAP-TLS ou PEAP com EAP-TLS

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de Abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 814394
INTRODUÇÃO
Este artigo descreve os requisitos de certificados de cliente e os certificados de servidor têm de cumprir quando utiliza o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ou protegido Extensible Authentication Protocol (PEAP) com EAP-TLS.
Mais Informação
Quando utilizar EAP com um tipo de EAP forte, tal como TLS com cartões Smart Card ou TLS com certificados, o cliente e o servidor utilizam certificados para verificar as suas identidades entre si. Certificados devem cumprir requisitos específicos no servidor e no cliente de autenticação com êxito.

Um requisito é que o certificado deve ser configurado com um ou mais objectivos nas extensões de utilização de chaves expandida (EKU) que correspondem a utilização de certificados. Por exemplo, um certificado utilizado para a autenticação de um cliente a um servidor deve ser configurado com o objectivo de autenticação de cliente. Ou, um certificado utilizado para a autenticação de um servidor deve ser configurado com o objectivo de autenticação de servidor. Quando os certificados são utilizados para autenticação, o autenticador examina o certificado de cliente e procura o identificador de objecto do objectivo correcto nas extensões EKU. Por exemplo, o identificador de objecto para o objectivo autenticação de cliente é 1.3.6.1.5.5.7.3.2.

Requisitos mínimos de certificados

Todos os certificados são utilizados para autenticação de acesso à rede devem cumprir os requisitos para certificados X.509 e tem também cumprem os requisitos para ligações que utilizam codificação Secure Sockets Layer (SSL) e encriptação TLS (Transport Level Security). Depois destes requisitos mínimos forem cumpridos, os certificados de cliente e os certificados de servidor tem de cumprir os seguintes requisitos adicionais.

Requisitos de certificados de cliente

Com EAP-TLS ou PEAP com EAP-TLS, o servidor aceita a autenticação do cliente quando o certificado cumpre os seguintes requisitos:
  • O certificado de cliente é emitido por uma autoridade de certificação (AC) empresarial ou mapeia para uma conta de utilizador ou para uma conta de computador no serviço de directório do Active Directory.
  • O utilizador ou o certificado de computador nas cadeias de cliente para uma AC de raiz fidedigna.
  • O utilizador ou o certificado de computador no cliente inclui o objectivo autenticação de cliente.
  • O utilizador ou o certificado de computador não falha nenhuma das verificações que são executadas por arquivo de certificados CryptoAPI e o certificado transmite requisitos na política de acesso remoto.
  • O utilizador ou o certificado de computador não falha nenhuma das verificações de identificador de objecto de certificado que são especificadas na política de acesso remoto serviço de autenticação da Internet (IAS).
  • O cliente 802.1X x não utiliza certificados baseados no registo que são certificados de cartões Smart Card ou certificados que estão protegidos com uma palavra-passe.
  • A extensão de nome alternativo do requerente (SubjectAltName) no certificado contém o nome principal do utilizador utilizador (UPN).
  • Quando os clientes utilizam o EAP-TLS ou PEAP com EAP-TLS autenticação, é apresentada uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes excepções:
    • Os clientes sem fios não apresentam certificados baseados no registo e certificados de início de sessão de smart card.
    • Clientes sem fios e clientes de rede privada virtual (VPN) não apresentam certificados protegidos com uma palavra-passe.
    • Os certificados que não contêm o objectivo de autenticação de cliente nas extensões EKU não são apresentados.

Requisitos de certificados de servidor

Pode configurar clientes para validar certificados de servidor utilizando a opção de Validar certificado do servidor no separador autenticação nas propriedades de ligação de rede. Quando um cliente utiliza a autenticação do protocolo de autenticação PEAP-EAP-MS-Challenge Handshake (CHAP) versão 2, o PEAP com autenticação EAP-TLS ou EAP-TLS autenticação, o cliente aceita o certificado do servidor quando o certificado cumpre os seguintes requisitos:
  • O certificado de computador no cadeias de servidor para um dos seguintes procedimentos:
    • Microsoft AC de raiz fidedigna.
    • Uma raiz autónoma do Microsoft ou AC num domínio do Active Directory que tenha um arquivo CertificadosAutNT que contém o certificado raiz publicado de raiz de terceiros.Para obter mais informações sobre como importar certificados de AC de outros fabricantes, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
      295663Como importar certificados de autoridade de certificação (AC) de certificação de terceiros para o arquivo NTAuth Enterprise
  • O IAS ou o certificado de computador do servidor de VPN é configurado com o objectivo autenticação de servidor. O identificador de objecto para autenticação de servidor é 1.3.6.1.5.5.7.3.1.
  • O certificado de computador não falha nenhuma das verificações que são executadas por arquivo de certificados CryptoAPI e não falha nenhuma dos requisitos de política de acesso remoto.
  • O nome na linha de assunto do certificado de servidor corresponde ao nome que é configurado no cliente para a ligação.
  • Para clientes sem fios, a extensão de nome alternativo do requerente (SubjectAltName) contém o nome do servidor domínio totalmente qualificado (FQDN, Fully Qualified Domain Name).
  • Se o cliente estiver configurado para confiar um certificado de servidor com um nome específico, é pedido ao utilizador que tomar uma decisão sobre confiar um certificado com um nome diferente. Se o utilizador rejeita o certificado, a autenticação falha. Se o utilizador aceitar o certificado, o certificado é adicionado ao arquivo de certificados de raiz fidedigna do computador local.
Nota Com PEAP ou com a autenticação EAP-TLS, servidores de apresentam uma lista de todos os certificados instalados no snap-in Certificados. No entanto, os certificados que contêm o objectivo de autenticação de servidor nas extensões EKU não são apresentados.
Referências
Para obter mais informações sobre tecnologias de rede sem fios, visite o seguinte Web site da Microsoft: Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
313242Como resolver problemas de ligações de rede sem fios no Windows XP

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 814394 - Última Revisão: 10/30/2006 21:31:59 - Revisão: 3.4

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtpt
Comentários