Tous les certificats qui sont utilisés pour l’authentification de l’accès réseau avec EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) et PEAP-MS-CHAP v2 (PEAP-Microsoft Challenge Handshake Authentication Protocol version 2) doivent respecter la norme de certificats X.509 et fonctionner pour des connexions qui utilisent SSL/TLS (Secure Sockets Layer-Transport Level Security). En outre, il existe des contraintes supplémentaires pour les certificats de client et de serveur.

Conditions minimales requises pour les certificats de serveur

Avec les méthodes d’authentification PEAP-MS-CHAP v2, PEAP-TLS et EAP-TLS, le serveur NAP doit utiliser un certificat de serveur qui remplit les conditions minimales requises pour les certificats de serveur.

Les ordinateurs clients peuvent être configurés pour valider des certificats de serveur à l’aide de l’option Valider le certificat du serveur sur l’ordinateur client ou dans la stratégie de groupe.

L’ordinateur client accepte la tentative d’authentification du serveur lorsque le certificat de serveur remplit les conditions suivantes :

  • Le nom du sujet contient une valeur. Si vous délivrez à votre serveur exécutant NPS (Network Policy Server) un certificat dont le sujet est vide, ce certificat n’est pas disponible pour authentifier votre serveur NPS. Pour configurer le modèle de certificat avec un nom de sujet :

    1. Ouvrez les Modèles de certificats.

    2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis cliquez sur Propriétés.

    3. Cliquez sur l’onglet Nom du sujet, puis cliquez sur Construire à partir de ces informations Active Directory.

    4. Dans Format du nom du sujet, sélectionnez une valeur autre que Aucun.

  • Le certificat d’ordinateur sur le serveur provient d’une autorité de certification racine de confiance et n’échoue à aucun des contrôles qui sont effectués par l’interface de programmation d’application de chiffrement (CryptoAPI) et qui sont spécifiés dans la stratégie d’accès à distance ou dans la stratégie réseau.

  • Le certificat d’ordinateur du serveur NPS ou VPN est configuré avec le rôle Authentification du serveur dans les extensions d’utilisation améliorée de la clé. (L’identificateur d’objet du rôle Authentification du serveur est 1.3.6.1.5.5.7.3.1.)

  • Le certificat du serveur est configuré avec une valeur d’algorithme requis de RSA. Pour configurer le paramètre de chiffrement requis :

    1. Ouvrez les Modèles de certificats.

    2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis cliquez sur Propriétés.

    3. Cliquez sur l’onglet Chiffrement. Dans Nom de l’algorithme, cliquez sur RSA. Vérifiez que Taille de clé minimale a la valeur 2048.

  • L’extension SubjectAltName (Subject Alternative Name), si elle est utilisée, doit contenir le nom DNS du serveur. Pour configurer le modèle de certificat avec le nom DNS (Domain Name System) du serveur d’inscription :

    1. Ouvrez les Modèles de certificats.

    2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis cliquez sur Propriétés.

    3. Cliquez sur l’onglet Nom du sujet, puis cliquez sur Construire à partir de ces informations Active Directory.

    4. Dans Inclure cette information dans le nom de substitution du sujet, sélectionnez Nom DNS.

Lorsqu’ils utilisent PEAP et EAP-TLS, les serveurs NPS affichent une liste de tous les certificats installés dans leur magasin de certificats, à l’exception des certificats suivants :

  • Les certificats qui ne contiennent pas le rôle Authentification du serveur dans leurs extensions d’utilisation améliorée de la clé.

  • Les certificats qui ne contiennent pas un nom de sujet.

  • Les certificats basés sur le Registre et les certificats d’ouverture de session de carte à puce.

Conditions minimales requises pour les certificats de client

Avec EAP-TLS ou PEAP-TLS, le serveur accepte la tentative d’authentification du client si le certificat remplit les conditions suivantes :

  • Le certificat du client a été délivré par une autorité de certification d’entreprise ou est mappé à un compte d’utilisateur ou d’ordinateur dans les services de domaine Active Directory®.

  • Le certificat d’utilisateur ou d’ordinateur sur le client provient d’une autorité de certification racine de confiance, contient le rôle Authentification du client dans les extensions d’utilisation améliorée de la clé (l’identificateur d’objet du rôle Authentification du client est 1.3.6.1.5.5.7.3.2) et n’échoue ni aux contrôles qui sont effectués par CryptoAPI et qui sont spécifiés dans la stratégie d’accès à distance ou la stratégie réseau, ni aux vérifications de l’identificateur d’objet Certificat qui sont spécifiées dans la stratégie d’accès à distance IAS ou la stratégie réseau NPS.

  • Le client 802.1X n’utilise pas de certificats basés sur le Registre qu’il s’agisse de certificats d’ouverture de session de carte à puce ou de certificats protégés par mot de passe.

  • Pour les certificats d’utilisateur, l’extension SubjectAltName (Subject Alternative Name) du certificat contient le nom d’utilisateur principal (UPN, User Principal Name). Pour configurer le nom d’utilisateur principal dans un modèle de certificat :

    1. Ouvrez les Modèles de certificats.

    2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis cliquez sur Propriétés.

    3. Cliquez sur l’onglet Nom du sujet, puis cliquez sur Construire à partir de ces informations Active Directory.

    4. Dans Inclure cette information dans le nom de substitution du sujet, sélectionnez Nom d’utilisateur principal (UPN).

  • Pour les certificats d’ordinateur, l’extension SubjectAltName (Subject Alternative Name) du certificat doit contenir le nom de domaine complet (FQDN, Fully Qualified Domain Name) du client, qui est également appelé nom DNS. Pour configurer ce nom dans le modèle de certificat :

    1. Ouvrez les Modèles de certificats.

    2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis cliquez sur Propriétés.

    3. Cliquez sur l’onglet Nom du sujet, puis cliquez sur Construire à partir de ces informations Active Directory.

    4. Dans Inclure cette information dans le nom de substitution du sujet, sélectionnez Nom DNS.

Avec PEAP et EAP-TLS, les clients affichent une liste de tous les certificats installés dans le composant logiciel enfichable Certificats, à l’exception des certificats suivants :

  • Les certificats basés sur le Registre et les certificats d’ouverture de session de carte à puce sur les clients sans fil.

  • Les certificats protégés par mot de passe sur les clients sans fil et VPN.

  • Les certificats qui ne contiennent pas le rôle Authentification du client dans leurs extensions d’utilisation améliorée de la clé.


Table des matières