Certificaatvereisten voor PEAP en EAP

Met de verificatiemethode PEAP-MS-CHAP v2, PEAP-TLS of EAP-TLS moet op de NPS-server een servercertificaat worden gebruikt die aan de minimale vereisten voor servercertificaten voldoet:

Met de optie Servercertificaat verifiëren op de client of in Groepsbeleid kunt u clients configureren voor het verifiëren van servercertificaten.

Op de client wordt de verificatiepoging van de server geaccepteerd als het servercertificaat aan de volgende vereisten voldoet:

• De objectnaam bevat een waarde. Als u een certificaat zonder object aan de NPS-server (Network Policy Server) verstrekt, is het certificaat niet beschikbaar voor verificatie van de NPS-server. Ga als volgt te werk om de certificaatsjabloon te configureren met een objectnaam:
  
  
  1. Open Certificaatsjablonen.
     
     
  2. Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
     
     
  3. Klik op het tabblad Objectnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
     
     
  4. Selecteer in Indeling van de objectnaam een andere waarde dan Geen.
     
     
• Het computercertificaat op de server is gekoppeld aan een vertrouwde basiscertificeringsinstantie (CA) en alle controles van CryptoAPI die in het RAS-beleid of netwerkbeleid zijn opgegeven, zijn geslaagd.
  
  
• Het computercertificaat voor de NPS- of VPN-server is geconfigureerd met het doel Serververificatie in de EKU-extensies (Extended Key Usage). (De object-id voor Serververificatie is 1.3.6.1.5.5.7.3.1.)
  
  
• Het servercertificaat is geconfigureerd met de vereiste algoritmewaarde RSA. Ga als volgt te werk om de vereiste cryptografie-instelling te configureren:
  
  
  1. Open Certificaatsjablonen.
     
     
  2. Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
     
     
  3. Klik op het tabblad Cryptografie. Klik in Naam van algoritme op RSA. Stel Minimale sleutelgrootte in op 2048.
     
     
• De extensie Alternatieve naam voor onderwerp (SubjectAltName), indien gebruikt, moet de DNS-naam van de server bevatten. Ga als volgt te werk om de certificaatsjabloon te configureren met de DNS-naam (Domain Name System) van de inschrijvende server:
  
  
  1. Open Certificaatsjablonen.
     
     
  2. Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
     
     
  3. Klik op het tabblad Objectnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
     
     
  4. Selecteer bij De volgende informatie in de alternatieve objectnaam opnemen de optie DNS-naam.
     
     

Met PEAP en EAP-TLS geven NPS-servers een lijst weer met alle geïnstalleerde certificaten in de opslaglocatie voor computercertificaten, met de volgende uitzonderingen:

• Certificaten zonder het doel Serververificatie in EKU-extensies worden niet weergegeven.
  
  
• Certificaten zonder objectnaam worden niet weergegeven.
  
  
• Certificaten op registerbasis en met smartcardaanmelding worden niet weergegeven.
  
  

Met EAP-TLS of PEAP-TLS wordt de verificatiepoging van de client door de server geaccepteerd als het certificaat aan de volgende vereisten voldoet:

• Het clientcertificaat is verstrekt door een ondernemingscertificeringsinstantie of is gekoppeld aan een gebruikers- of computeraccount in Active Directory® Domain Services (AD DS).
  
  
• Het gebruikers- of computercertificaat op de client is gekoppeld aan een vertrouwde basiscertificeringsinstantie en bevat het doel Clientverificatie in EKU-extensies (de object-id voor clientverificatie is 1.3.6.1.5.5.7.3.2). Ook alle controles van CryptoAPI die in het RAS-beleid of netwerkbeleid zijn opgegeven, en de controles van de certificaatobject-id die in het IAS RAS-beleid of NPS-netwerkbeleid zijn opgegeven, zijn geslaagd.
  
  
• De 802.1x-client maakt geen gebruik van certificaten op registerbasis met smartcardaanmelding of wachtwoordbeveiliging.
  
  
• Voor gebruikerscertificaten bevat de extensie Alternatieve naam voor onderwerp (SubjectAltName) de UPN (User Principal Name). Ga als volgt te werk om de UPN in een certificaatsjabloon te configureren:
  
  
  1. Open Certificaatsjablonen.
     
     
  2. Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
     
     
  3. Klik op het tabblad Objectnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
     
     
  4. Selecteer bij De volgende informatie in de alternatieve objectnaam opnemen de optie UPN-naam (User Principal Name).
     
     
• Voor computercertificaten moet de extensie Alternatieve naam voor onderwerp (SubjectAltName) in het certificaat de FQDN-naam (Fully Qualified Domain Name) van de client bevatten. Dit wordt ook wel de DNS-naam genoemd. Ga als volgt te werk om deze naam in de certificaatsjabloon te configureren:
  
  
  1. Open Certificaatsjablonen.
     
     
  2. Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
     
     
  3. Klik op het tabblad Objectnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
     
     
  4. Selecteer bij De volgende informatie in de alternatieve objectnaam opnemen de optie DNS-naam.
     
     

Met PEAP-TLS en EAP-TLS geven clients een lijst weer met alle geïnstalleerde certificaten in de module Certificaten, met de volgende uitzonderingen:

• Draadloze clients geven geen certificaten op registerbasis en met smartcardaanmelding weer.
  
  
• Draadloze clients en VPN-clients geven geen certificaten met wachtwoordbeveiliging weer.
  
  
• Certificaten zonder het doel Clientverificatie in EKU-extensies worden niet weergegeven.