Alle Zertifikate, die für die Authentifizierung des Netzwerkzugriffs mit EAP-TLS (Extensible Authentication-Protokoll-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication-Protokoll-Transport Layer Security) und PEAP-MS-CHAP v2 (Microsoft Challenge Handshake Authentication-Protokoll, Version 2) verwendet werden, müssen den Anforderungen für X.509-Zertifikate entsprechen und für Verbindungen geeignet sein, bei denen SSL/TLS (Secure Socket Layer/Transport Level Security) verwendet wird. Für Client- und Serverzertifikate gibt es zusätzliche Anforderungen.

Mindestanforderungen für Serverzertifikate

Bei den Authentifizierungsmethoden PEAP-MS-CHAP v2, PEAP-TLS und EAP-TLS muss vom Netzwerkrichtlinienserver ein Serverzertifikat verwendet werden, dass den Mindestanforderungen für Serverzertifikate entspricht.

Clientcomputer können mithilfe der Option Serverzertifikat überprüfen auf dem Clientcomputer oder in den Gruppenrichtlinien für die Überprüfung von Serverzertifikaten konfiguriert werden.

Der Clientcomputer akzeptiert den Authentifizierungsversuch des Servers, wenn das Serverzertifikat den folgenden Anforderungen entspricht:

  • Der Antragstellername enthält einen Wert. Wenn Sie für den Netzwerkrichtlinienserver (Network Policy Server, NPS) ein Zertifikat mit leerem Antragstellernamen ausstellen, ist das Zertifikat nicht für die Authentifizierung des Netzwerkrichtlinienservers verfügbar. So konfigurieren Sie für die Zertifikatvorlage einen Antragsteller:

    1. Öffnen Sie die Zertifikatvorlagen.

    2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf die Registerkarte Antragstellername, und klicken Sie dann auf Aus diesen Informationen in Active Directory erstellen.

    4. Wählen Sie unter Format des Antragstellernamen einen anderen Wert als Kein aus.

  • Das Computerzertifikat auf dem Server ist mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet und besteht alle Überprüfungen, die von der CryptoAPI-Funktion ausgeführt werden und in der RAS-Richtlinie oder Netzwerkrichtlinie angegeben sind.

  • Das Computerzertifikat für den Netzwerkrichtlinienserver oder VPN-Server ist in den EKU-Erweiterungen (Extended Key Usage, erweiterte Schlüsselverwendung) mit dem Zweck Serverauthentifizierung konfiguriert. (Die Objekt-ID für Serverauthentifizierung lautet 1.3.6.1.5.5.7.3.1.)

  • Für das Serverzertifikat wird der erforderliche Algorithmuswert RSA konfiguriert. So konfigurieren Sie die erforderliche Kryptografieeinstellung:

    1. Öffnen Sie die Zertifikatvorlagen.

    2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf die Registerkarte Kryptografie. Klicken Sie unter Name des Algorithmus auf RSA. Stellen Sie sicher, dass Minimale Schlüsselgröße auf 2048 festgelegt ist.

  • Die Erweiterung für den alternativen Antragstellernamen (SubjectAltName) muss, falls sie verwendet wird, den DNS-Namen des Servers enthalten. So konfigurieren Sie für die Zertifikatvorlage den DNS-Namen des Registrierungsservers:

    1. Öffnen Sie die Zertifikatvorlagen.

    2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf die Registerkarte Antragstellername, und klicken Sie dann auf Aus diesen Informationen in Active Directory erstellen.

    4. Wählen Sie unter Informationen im alternativen Antragstellernamen einbeziehen die Option DNS-Name aus.

Bei Verwendung von PEAP und EAP-TLS zeigen Netzwerkrichtlinienserver eine Liste aller im Computerzertifikatspeicher installierten Zertifikate an, mit Ausnahme der folgenden Zertifikate:

  • Zertifikate ohne den Zweck der Serverauthentifizierung in den EKU-Erweiterungen werden nicht angezeigt.

  • Zertifikate ohne einen Antragstellernamen werden nicht angezeigt.

  • Registrierungsbasierte und Smartcard-Anmeldezertifikate werden nicht angezeigt.

Mindestanforderungen für Clientzertifikate

Mit EAP-TLS oder PEAP-TLS akzeptiert der Client den Authentifizierungsversuch des Clients, wenn das Zertifikat die folgenden Anforderungen erfüllt:

  • Das Clientzertifikat wurde von einer Unternehmenszertifizierungsstelle ausgestellt oder ist einem Benutzer- oder Computerkonto in Active Directory®-Domänendienste (Active Directory Domain Services, AD DS) zugeordnet.

  • Das Benutzer- oder Computerzertifikat auf dem Client ist mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet, enthält den Zweck der Clientauthentifizierung in den EKU-Erweiterungen (die Objektkennung für die Clientauthentifizierung lautet 1.3.6.1.5.5.7.3.2) und besteht sowohl die Überprüfungen, die von der CryptoAPI-Funktion ausgeführt werden und die in der RAS-Richtlinie oder Netzwerkrichtlinie angegeben sind, als auch die Überprüfungen der Zertifikatobjektkennung, die in der IAS-RAS-Richtlinie oder NPS-Netzwerkrichtlinie angegeben sind.

  • Der 802.1X-Client verwendet keine registrierungsbasierten Zertifikate, bei denen es sich um Smartcard-Anmeldezertifikate oder kennwortgeschützte Zertifikate handelt.

  • Für Benutzerzertifikate enthält die Erweiterung für den alternativen Antragstellernamen (SubjectAltName) im Zertifikat den Benutzerprinzipalnamen (User Principal Name, UPN). So konfigurieren Sie den UPN in einer Zertifikatvorlage:

    1. Öffnen Sie die Zertifikatvorlagen.

    2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf die Registerkarte Antragstellername, und klicken Sie dann auf Aus diesen Informationen in Active Directory erstellen.

    4. Wählen Sie unter Informationen im alternativen Antragstellernamen einbeziehen die Option Benutzerprinzipalnamen (UPN) aus.

  • Für Computerzertifikate muss die Erweiterung für den alternativen Antragstellernamen (SubjectAltName) im Zertifikat den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Clients enthalten, der auch als DNS-Name bezeichnet wird. So konfigurieren Sie diesen Namen in der Zertifikatvorlage:

    1. Öffnen Sie die Zertifikatvorlagen.

    2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf die Registerkarte Antragstellername, und klicken Sie dann auf Aus diesen Informationen in Active Directory erstellen.

    4. Wählen Sie unter Informationen im alternativen Antragstellernamen einbeziehen die Option DNS-Name aus.

Bei PEAP-TLS und EAP-TLS zeigen Clients eine Liste aller im Zertifikate-Snap-In installierten Zertifikate an, mit Ausnahme der folgenden Zertifikate:

  • Registrierungsbasierte und Smartcard-Anmeldezertifikate werden von Drahtlosclients nicht angezeigt.

  • Drahtlosclients und VPN-Clients zeigen keine kennwortgeschützten Zertifikate an.

  • Zertifikate ohne den Zweck der Clientauthentifizierung in den EKU-Erweiterungen werden nicht angezeigt.

Inhaltsverzeichnis