Требования к сертификатам при использовании EAP-TLS или PEAP с EAP-TLS
При использовании расширенной проверки подлинности Protocol-Transport уровня безопасности (EAP-TLS) или протокола PEAP с EAP-TLS сертификаты клиента и сервера должны соответствовать определенным требованиям.
Область применения: Windows 11, Windows 10
Исходный номер базы знаний: 814394
Сводка
При использовании EAP со строгим типом EAP, например TLS со смарт-картами или TLS с сертификатами, клиент и сервер используют сертификаты для проверки удостоверений друг другу. Сертификаты должны соответствовать определенным требованиям как на сервере, так и на клиенте для успешной проверки подлинности.
Сертификат должен быть настроен с одной или несколькими целями в расширениях расширенного использования ключей (EKU), которые соответствуют используемому сертификату. Например, сертификат, используемый для проверки подлинности клиента на сервере, должен быть настроен с целью проверки подлинности клиента . Или сертификат, используемый для проверки подлинности сервера, должен быть настроен с целью проверки подлинности сервера . При использовании сертификатов для проверки подлинности средство проверки подлинности проверяет сертификат клиента и ищет правильный идентификатор объекта назначения (OID) в расширениях EKU. Например, OID для цели проверки подлинности клиента — 1.3.6.1.5.5.7.3.2, а OID для проверки подлинности сервера — 1.3.6.1.5.5.7.3.1.
Минимальные требования к сертификатам
Все сертификаты, используемые для проверки подлинности доступа к сети, должны соответствовать требованиям для сертификатов X.509. Они также должны соответствовать требованиям для подключений, использующих шифрование SSL и tls. После выполнения этих минимальных требований сертификаты клиента и сервер должны соответствовать следующим дополнительным требованиям.
Требования к сертификатам клиента
При использовании EAP-TLS или PEAP с EAP-TLS сервер принимает проверку подлинности клиента, если сертификат соответствует следующим требованиям:
Сертификат клиента выдается корпоративным центром сертификации (ЦС). Кроме того, он сопоставляется с учетной записью пользователя или компьютера в службе каталогов Active Directory.
Сертификат пользователя или компьютера в клиенте связан с доверенным корневым ЦС.
Сертификат пользователя или компьютера на клиенте включает назначение проверки подлинности клиента .
Пользователь или сертификат компьютера не завершает ни одну из проверок, выполняемых хранилищем сертификатов CryptoAPI. И сертификат соответствует требованиям в политике удаленного доступа.
Пользователь или сертификат компьютера не сбой ни одной из проверок OID сертификата, указанных в политике удаленного доступа сервера политики сети (NPS).
Клиент 802.1X не использует сертификаты на основе реестра, которые являются сертификатами смарт-карта или сертификатами, защищенными паролем.
Расширение Subject Alternative Name (SubjectAltName) в сертификате содержит имя участника-пользователя (UPN) пользователя.
Если клиенты используют EAP-TLS или PEAP с проверкой подлинности EAP-TLS, в оснастке Сертификаты отображается список всех установленных сертификатов со следующими исключениями:
- Беспроводные клиенты не отображают сертификаты на основе реестра и смарт-карта сертификаты входа.
- Беспроводные клиенты и клиенты виртуальной частной сети (VPN) не отображают сертификаты, защищенные паролем.
- Сертификаты, которые не содержат назначение проверки подлинности клиента в расширениях EKU, не отображаются.
Требования к сертификатам сервера
Вы можете настроить клиенты для проверки сертификатов сервера с помощью параметра Проверить сертификат сервера . Этот параметр находится на вкладке Проверка подлинности в свойствах сетевого подключения. Если клиент использует проверку подлинности PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) версии 2, PEAP с проверкой подлинности EAP-TLS или EAP-TLS, клиент принимает сертификат сервера, если сертификат соответствует следующим требованиям:
Сертификат компьютера на сервере связан с одним из следующих ЦС:
Доверенный корневой ЦС Майкрософт.
Автономный корневой ЦС Майкрософт или сторонний корневой ЦС в домене Active Directory с хранилищем NTAuthCertificates, содержащим опубликованный корневой сертификат. Дополнительные сведения об импорте сертификатов сторонних ЦС см. в статье Импорт сертификатов сторонних центров сертификации (ЦС) в хранилище NTAuth enterprise.
Для NPS или сертификата компьютера VPN-сервера настроено назначение проверки подлинности сервера . OID для проверки подлинности сервера —
1.3.6.1.5.5.7.3.1.Сертификат компьютера не завершает ни одну из проверок, выполняемых хранилищем сертификатов CryptoAPI. И это не соответствует ни одному из требований политики удаленного доступа.
Имя в строке Тема сертификата сервера соответствует имени, настроенному в клиенте для подключения.
Для беспроводных клиентов расширение Subject Alternative Name (SubjectAltName) содержит полное доменное имя сервера (FQDN).
Если клиент настроен на доверие сертификату сервера с определенным именем, пользователю будет предложено решить о доверии сертификату с другим именем. Если пользователь отклоняет сертификат, проверка подлинности завершается ошибкой. Если пользователь принимает сертификат, он добавляется в доверенное корневое хранилище сертификатов на локальном компьютере.
Примечание.
При использовании PEAP или с проверкой подлинности EAP-TLS серверы отображают список всех установленных сертификатов в оснастке Сертификаты. Однако сертификаты, содержащие назначение проверки подлинности сервера в расширениях EKU, не отображаются.
Дополнительная информация
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по