В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Сертификат требования при использовании EAP-TLS или PEAP с EAP-TLS

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:814394
ВВЕДЕНИЕ
В данной статье описаны требования, клиентские сертификаты и серверные сертификаты должны удовлетворять при использовании расширенной проверки подлинности протокола-защиты транспортного уровня (EAP-TLS) или защищенный расширяемого протокола аутентификации (PEAP) с протоколом EAP-TLS.
Дополнительная информация
При использовании строгого типа EAP, например, TLS со смарт-картами или TLS с сертификатами, клиент и сервер используют сертификаты для подтверждения подлинности друг. Сертификаты должны соответствовать определенным требованиям, как на сервере, так и на стороне клиента для успешной проверки подлинности.

Одно требование — что сертификат должен быть настроен с одной или нескольких целей в расширениях расширенного использования ключа (EKU), которые соответствуют использования сертификатов. Например сертификат, используемый для проверки подлинности клиента на сервере должен быть настроен с помощью проверки подлинности клиента. Или сертификат, используемый для проверки подлинности сервера должны быть настроены с целью проверки подлинности сервера. При использовании сертификатов для проверки подлинности устройством проверки подлинности проверяет сертификат клиента и производит поиск идентификатора объекта цели в расширениях «Улучшенный ключ». Например идентификатор объекта для проверки подлинности клиента — 1.3.6.1.5.5.7.3.2.

Минимальные требования к сертификатам

Все сертификаты, используемые для проверки подлинности доступа к сети должны отвечать требованиям сертификаты X.509, и они также должны отвечать требованиям для подключений, использующих шифрование Secure Sockets Layer (SSL) и шифрование безопасности транспортного уровня (TLS). После выполняются следующие минимальные требования, клиентские сертификаты и сертификаты сервера должны соответствовать следующие дополнительные требования.

Требования к сертификату клиента

Протокол EAP-TLS или PEAP с EAP-TLS, сервер принимает проверку подлинности клиента при соблюдении следующих требований:
  • Клиентский сертификат выдан центром сертификации предприятия (ЦС) или сопоставляет учетную запись пользователя или учетную запись компьютера в службе каталогов Active Directory.
  • Пользователь или компьютер сертификат восходит к доверенному корневому ЦС.
  • Пользователя или сертификат компьютера на клиентском компьютере включает проверки подлинности клиента.
  • Сертификат компьютера или пользователя проходит любой из проверок, выполняемых в хранилище сертификатов CryptoAPI и передает сертификат требования в политике удаленного доступа.
  • Сертификат компьютера или пользователя проходит один из проверки идентификатора объекта сертификата, указанным в политике удаленного доступа службы проверки подлинности в Интернете (IAS).
  • 802. 1x клиент не использует сертификаты на основе реестра, сертификаты смарт-карты или сертификаты, защищенные паролем.
  • Расширение имени субъекта (SubjectAltName) сертификата содержит основного имени пользователя (UPN) пользователя.
  • Когда клиенты используют протокол EAP-TLS или PEAP с EAP-TLS-аутентификации, список всех установленных сертификатов отображается в оснастке Сертификаты, со следующими исключениями:
    • Беспроводные клиенты не отображают сертификаты на основе реестра и сертификаты для входа со смарт-картой.
    • Беспроводных клиентов и клиентов виртуальных частных сетей (VPN) не отображаются сертификаты, защищенные паролем.
    • Не отображаются сертификаты, не содержащие в расширениях «Улучшенный ключ» цель проверки подлинности клиента.

Требования к сертификату сервера

Настройка клиентов для проверки сертификатов сервера с помощью Проверить сертификат сервера параметр на Проверка подлинности на вкладке Свойства сетевого подключения. Когда клиент использует проверку подлинности PEAP-EAP-MS-запрос подтверждения подлинности протокола CHAP версии 2, протокол PEAP с EAP-TLS, или проверки подлинности EAP-TLS, клиент принимает сертификат сервера при соблюдении следующих требований:
  • Сертификат компьютера на сервере привязан к одному из следующих действий:
    • В Microsoft корневом ЦС.
    • Изолированный корень корпорации Майкрософт или стороннего корневого центра сертификации в домене Active Directory, который содержит NTAuthCertificates хранилище, которое содержит опубликованные корневого сертификата.Для получения дополнительных сведений о том, как импортировать сертификаты стороннего центра сертификации щелкните следующий номер статьи базы знаний Майкрософт:
      295663Импорт сертификатов центра сертификации независимых производителей в хранилище NTAuth предприятия
  • Сертификат сервера VPN или IAS настроен с целью проверки подлинности сервера. Идентификатор объекта для проверки подлинности сервера-1.3.6.1.5.5.7.3.1.
  • Сертификат компьютера проходит любой из проверок, выполняемых в хранилище сертификатов CryptoAPI и он проходит один требований в политике удаленного доступа.
  • Имя в поле темы сертификата сервера соответствует имени, которое настроено на стороне клиента для подключения.
  • Для беспроводных клиентов расширение имени субъекта (SubjectAltName) содержит полное доменное имя сервера (FQDN).
  • Если клиент настроен доверять сертификату сервера с определенным именем, пользователю предлагается принять решение о доверия сертификатов с другим именем. Если пользователь отклоняет сертификата, проверка подлинности завершается неудачно. Если пользователь принимает сертификат, сертификат добавляется в хранилище доверенных корневых сертификатов локального компьютера.
Примечание С PEAP или EAP-TLS-аутентификации серверы отображают список всех установленных сертификатов в оснастке Сертификаты. Тем не менее не отображаются сертификаты, содержащие в расширениях «Улучшенный ключ» цели проверки подлинности сервера.
Ссылки
Для получения дополнительных сведений о технологии беспроводных сетей посетите следующий веб-узел корпорации Майкрософт: Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
313242Устранение неполадок подключения к беспроводной сети в Windows XP

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 814394 — последний просмотр: 06/14/2011 12:05:00 — редакция: 4.0

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbwinservds kbactivedirectory kbinfo kbmt KB814394 KbMtru
Отзывы и предложения
mp;t=">