當您搭配 EAP-TLS 使用 EAP-TLS 或 PEAP 時的憑證需求

當您使用可延伸驗證 Protocol-Transport 層安全性 (EAP-TLS) 或受保護的可延伸驗證通訊協定 (PEAP) 與 EAP-TLS 時，您的用戶端和伺服器憑證必須符合特定需求。

適用於：Windows 11、Windows 10
原始 KB 編號： 814394

摘要

當您使用 EAP 搭配強式 EAP 類型，例如 TLS 搭配智慧卡，或 TLS 搭配憑證時，用戶端和伺服器都會使用憑證來驗證彼此的身分識別。 憑證必須符合伺服器和用戶端上的特定需求，才能成功驗證。

憑證必須在擴充密鑰使用方式 (EKU) 符合憑證使用的延伸模組中設定一或多個用途。 例如，用於向伺服器驗證客戶端的憑證必須設定客戶端 驗證 用途。 或者，用於伺服器驗證的憑證必須設定伺服器 驗證 用途。 當憑證用於驗證時，驗證器會檢查客戶端憑證，並尋找EKU擴充功能中 OID) (正確目的物件識別符。 例如， 客戶端驗證 用途的 OID 是 1.3.6.1.5.5.7.3.2，而 伺服器驗證 的 OID 是 1.3.6.1.5.5.7.3.1。

最低憑證需求

用於網路存取驗證的所有憑證都必須符合 X.509 憑證的需求。 它們也必須符合使用安全套接字層 (SSL) 加密和傳輸層級安全性 (TLS) 加密的連線需求。 符合這些最低需求之後，客戶端憑證和伺服器憑證都必須符合下列額外需求。

用戶端憑證需求

透過 EAP-TLS 或 PEAP 搭配 EAP-TLS，當憑證符合下列需求時，伺服器會接受客戶端的驗證：

• 客戶端憑證是由企業證書頒發機構單位 (CA) 所發行。 或者，它會對應至 Active Directory 目錄服務中的使用者帳戶或電腦帳戶。

• 用戶端上的使用者或計算機憑證會鏈結至受信任的根 CA。

• 用戶端上的使用者或計算機憑證包含客戶端 驗證 用途。

• 使用者或計算機憑證不會對 CryptoAPI 證書儲存所執行的任何檢查失敗。 憑證會通過遠端訪問原則中的需求。

• 用戶或計算機憑證不會對網路原則伺服器中指定的任何憑證 OID 檢查失敗， (NPS) 遠端訪問原則。

• 802.1X 用戶端不會使用以登錄為基礎的憑證，這些憑證是智慧卡憑證或使用密碼保護的憑證。

• 憑證中 SubjectAltName) 擴展名 (主體別名包含使用者的 UPN) (用戶主體名稱。

• 當用戶端搭配 EAP-TLS 驗證使用 EAP-TLS 或 PEAP 時，所有已安裝憑證的清單都會顯示在 [憑證] 嵌入式管理單元中，但下列例外狀況：

  • 無線用戶端不會顯示登錄型憑證和智慧卡登入憑證。
  • 無線用戶端和虛擬專用網 (VPN) 用戶端不會顯示使用密碼保護的憑證。
  • 不會顯示EKU擴充功能中未包含 客戶端驗證 用途的憑證。

伺服器證書需求

您可以使用 [驗證伺服器證書] 選項，將客戶端設定為 驗證伺服器證書 。 此選項位於 [網路連線] 屬性的 [ 驗證 ] 索引標籤上。 當用戶端使用PEAP-EAP-MS-Challenge 交握驗證通訊協定 (CHAP) 第 2 版驗證、PEAP 搭配 EAP-TLS 驗證或 EAP-TLS 驗證時，當憑證符合下列需求時，用戶端會接受伺服器的憑證：

• 伺服器上的電腦憑證會鏈結至下列其中一個 CA：

  • 受信任的 Microsoft 根 CA。

  • Active Directory 網域中具有 NTAuthCertificates 存放區且包含已發佈跟證書的 Microsoft 獨立根目錄或第三方根 CA。 如需如何匯入第三方 CA 憑證的詳細資訊，請參閱 如何將第三方證書頒發機構單位 (CA) 憑證匯入 Enterprise NTAuth 存放區。

• NPS 或 VPN 伺服器電腦憑證是以 伺服器驗證 用途設定。 伺服器 驗證 的 OID 是 1.3.6.1.5.5.7.3.1。

• 計算機憑證不會對 CryptoAPI 證書存儲所執行的任何檢查失敗。 而且不會讓遠端訪問原則中的任何一項需求失敗。

• 伺服器證書主體行中的名稱符合用戶端上為連線設定的名稱。

• 針對無線用戶端，SubjectAltName (SubjectAltName) 延伸模組包含伺服器的完整域名 (FQDN) 。

• 如果客戶端設定為信任具有特定名稱的伺服器證書，系統會提示使用者決定信任具有不同名稱的憑證。 如果使用者拒絕憑證，驗證就會失敗。 如果使用者接受憑證，憑證會新增至本機計算機受信任的跟證書存儲。

其他相關資訊

• 適用於網路存取的可延伸驗證通訊協定 (EAP)
• 設定適用於PEAP的證書範本和NPS的EAP需求