当您使用 EAP-TLS 或 PEAP 使用 EAP-TLS 的证书要求

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 814394
简介
本文介绍了使用 EAP-TLS 的使用可扩展身份验证协议-传输层安全性 (EAP-TLS) 或受保护的可扩展身份验证协议 (PEAP) 时,您的客户端证书和您的服务器证书必须满足的要求。
更多信息
如使用智能卡的 TLS 或 TLS 使用证书,一个强大的 EAP 类型上使用 EAP,则客户端和服务器以验证其身份彼此使用证书。证书必须满足特定要求在服务器和客户端进行身份验证成功。

一个要求是证书必须配置有匹配的证书使用的扩展密钥用法 (EKU) 扩展中的一个或多个目的。例如对于用于客户端到服务器的身份验证的证书必须同客户端身份验证目的一同配置。或用于服务器的身份验证的证书必须同服务器身份验证目的一同配置。当证书用于身份验证时,身份验证者检查客户端证书,并查找在 EKU 扩展中的正确的目的对象标识符。例如对于有关客户端身份验证目的对象标识符是 1.3.6.1.5.5.7.3.2。

最小证书要求

所有用于网络访问身份验证的证书必须满足 X.509 证书的要求,它们还必须符合要求,以使用安全套接字层 (SSL) 加密和传输级别安全 (TLS) 加密的连接。满足这些最低要求之后,客户端证书和服务器证书都必须满足以下附加要求。

客户端证书要求

使用 EAP-TLS 或使用 EAP-TLS 的 PEAP,服务器接受客户端的身份验证时证书满足以下要求:
  • 客户端证书由企业证书颁发机构 (CA) 颁发,或它映射到用户帐户或计算机帐户在 Active Directory 目录服务中。
  • 用户或在客户端链接到受信任的根 CA 上的计算机证书。
  • 用户或客户端上的计算机证书包括客户端身份验证目的。
  • 用户或计算机证书不会失败都由 CryptoAPI 证书存储区中,执行的任何的检查一个,并将证书在 $ 远程访问策略中传递要求。
  • 用户或计算机证书不会失败证书对象标识符检查在 Internet 验证服务 (IAS) 远程访问策略中指定的任何的一个。
  • 在 802.1 x 客户端不使用智能卡证书或证书的使用密码保护的基于注册表的证书。
  • 在 $ 证书中的,扩展名为者备用名称 (SubjectAltName) 包含用户的用户的主体名称 (UPN)。
  • 当客户端使用 EAP-TLS 或 PEAP 与 EAP-TLS 身份验证时,所有已安装的证书的列表显示在证书管理单元中,但以下情况除外:
    • 无线客户端并不显示基于注册表的证书和智能卡登录证书。
    • 无线客户端和虚拟专用网络 (VPN) 客户端并不显示用密码保护的证书。
    • 不显示不包含客户端身份验证目的,在 EKU 扩展中的证书。

服务器证书要求

您可以配置客户端可以通过在 身份验证 选项卡上的 验证服务器证书 选项使用网络连接属性中验证服务器证书。当客户端使用 PEAP EAP MS 质询握手身份验证协议 (CHAP) 版本 2 身份验证时,PEAP 与 EAP-TLS 的身份验证或客户端上的 EAP-TLS 身份验证将接受服务器的证书时证书满足以下要求:
  • 在该服务器链接到下列计算机证书:
    • 受信任的 Microsoft 根 CA。
    • Microsoft 独立的根目录或第三方根 CA 中具有一个 NTAuthCertificates 存储包含已发布的根证书的 Active Directory 域中。有关如何导入第三方 CA 证书的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      295663如何导入企业 NTAuth 存储区的第三方证书颁发机构 (CA) 证书
  • IAS 或 VPN 服务器计算机证书是同服务器身份验证目的一同配置。服务器身份验证的对象标识符为 1.3.6.1.5.5.7.3.1。
  • 计算机证书不会失败都由 CryptoAPI 证书存储区中,执行的任何的检查一个,它不会失败的远程访问策略中要求的任何一个。
  • 在主题行中的服务器证书名称与连接的客户端上配置的名称相匹配。
  • 对于无线的客户端者备用名称 (SubjectAltName) 扩展名包含服务器的完全限定的域名 (FQDN)。
  • 如果客户端被配置为信任具有特定名称的服务器证书,用户是系统提示您做出有关信任一个证书使用不同的名称。如果用户拒绝证书,身份验证将失败。如果用户接受证书,到本地计算机受信任的根证书存储区添加证书。
注意PEAP 或使用 EAP-TLS 身份验证,服务器将显示在证书管理单元中的所有已安装的证书的列表。但是,不会显示包含服务器身份验证目的,在 EKU 扩展中的证书。
参考
有关无线网络技术的详细信息,请访问下面的 Microsoft 网站:有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
313242如何排查 Windows XP 中的无线网络连接

警告:本文已自动翻译

属性

文章 ID:814394 - 上次审阅时间:10/30/2006 21:31:59 - 修订版本: 3.4

Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbmt kbwinservds kbactivedirectory kbinfo KB814394 KbMtzh
反馈