Wszystkie certyfikaty używane do uwierzytelniania dostępu do sieci za pomocą protokołów EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) i PEAP-MS-CHAP (PEAP-Microsoft Challenge Handshake Authentication Protocol) w wersji 2 muszą spełniać wymagania dla certyfikatów X.509 i działać z połączeniami, które korzystają z protokołów SSL/TLS (Secure Socket Layer/Transport Level Security). Certyfikaty klienta i serwera mają dodatkowe wymagania.
Minimalne wymagania certyfikatu serwera
W przypadku metody uwierzytelniania za pomocą protokołu PEAP-MS-CHAP w wersji 2, PEAP-TLS lub EAP-TLS serwer NPS musi używać certyfikatu serwera spełniającego minimalne wymagania dotyczące certyfikatu serwera.
Komputery klienckie można skonfigurować w celu sprawdzania poprawności certyfikatów serwera, używając opcji Weryfikuj certyfikat serwera na komputerze klienckim lub w zasadach grupy.
Komputer kliencki akceptuje próbę uwierzytelniania serwera, gdy certyfikat serwera spełnia następujące wymagania:
-
Nazwa podmiotu została określona. Jeśli certyfikat zostanie wydany dla serwera NPS z pustym polem Podmiot, certyfikat taki nie będzie dostępny do uwierzytelniania serwera NPS. Aby skonfigurować szablon certyfikatu z nazwą podmiotu:
-
Otwórz przystawkę Szablony certyfikatów.
-
W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
-
Kliknij kartę Nazwa podmiotu, a następnie kliknij pozycję Konstruuj z tej informacji usługi Active Directory.
-
W pozycji Format nazwy podmiotu zaznacz wartość inną niż Brak.
-
Otwórz przystawkę Szablony certyfikatów.
-
Certyfikat komputera na serwerze jest połączony z zaufanym głównym urzędem certyfikacji (CA) i nie kończy niepowodzeniem żadnych testów, które zostały wykonane przez interfejs CryptoAPI i określone w zasadach dostępu zdalnego lub w zasadach sieciowych.
-
Certyfikat komputera dla serwera NPS lub serwera VPN został skonfigurowany celem uwierzytelniania serwera w rozszerzeniach Ulepszone użycie klucza (identyfikator obiektu dla uwierzytelniania serwera to 1.3.6.1.5.5.7.3.1).
-
Certyfikat serwera jest skonfigurowany z wymaganą wartością algorytmu RSA. Aby skonfigurować wymagane ustawienie szyfrowania:
-
Otwórz przystawkę Szablony certyfikatów.
-
W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
-
Kliknij kartę Kryptografia. W polu Nazwa algorytmu kliknij pozycję RSA. Upewnij się, że w pozycji Minimalny rozmiar klucza ustawiono wartość 2048.
-
Otwórz przystawkę Szablony certyfikatów.
-
Jeśli jest używane rozszerzenie Alternatywna nazwa podmiotu (SubjectAltName), musi ono zawierać nazwę DNS serwera. Aby skonfigurować szablon certyfikatu z nazwą DNS (Domain Name System) serwera rejestrującego:
-
Otwórz przystawkę Szablony certyfikatów.
-
W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
-
Kliknij kartę Nazwa podmiotu, a następnie kliknij pozycję Konstruuj z tej informacji usługi Active Directory.
-
W polu Dołącz tę informację do alternatywnej nazwy podmiotu zaznacz pozycję Nazwa DNS.
-
Otwórz przystawkę Szablony certyfikatów.
W przypadku protokołów PEAP i EAP-TLS serwery NPS wyświetlają listę wszystkich zainstalowanych certyfikatów w magazynie certyfikatów komputera z następującymi wyjątkami:
-
Certyfikaty, które nie zawierają celu uwierzytelniania serwera w rozszerzeniach EKU, nie są wyświetlane.
-
Certyfikaty, które nie zawierają nazwy podmiotu, nie są wyświetlane.
-
Certyfikaty oparte na rejestrze ani certyfikaty logowania karty inteligentnej nie są wyświetlane.
Minimalne wymagania certyfikatu klienta
W przypadku protokołu EAP-TLS lub PEAP-TLS serwer akceptuje próbę uwierzytelnienia klienta, gdy certyfikat spełnia następujące wymagania:
-
Certyfikat klienta został wydany przez urząd certyfikacji przedsiębiorstwa lub zamapowany na konto użytkownika bądź komputera w usługach domenowych w usłudze Active Directory (AD DS).
-
Certyfikat użytkownika lub komputera na kliencie, który jest połączony z zaufanym głównym urzędem certyfikacji, zawiera cel uwierzytelniania klienta w rozszerzeniach EKU (identyfikator obiektu dla uwierzytelniania klienta to 1.3.6.1.5.5.7.3.2) i nie kończy niepowodzeniem żadnych testów, które są wykonywane przez interfejs CryptoAPI i określone w zasadach dostępu zdalnego lub w zasadach sieciowych, ani testów identyfikatora obiektu certyfikatu określonych w zasadach dostępu zdalnego usługi IAS lub zasadach sieciowych serwera NPS.
-
Klient 802.1X nie korzysta z certyfikatów opartych na rejestrze, które są certyfikatami logowania karty inteligentnej lub certyfikatami chronionymi hasłem.
-
W przypadku certyfikatów użytkownika rozszerzenie Alternatywna nazwa podmiotu (SubjectAltName) w certyfikacie zawiera główną nazwę użytkownika (UPN). Aby skonfigurować główną nazwę użytkownika w szablonie certyfikatu:
-
Otwórz przystawkę Szablony certyfikatów.
-
W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
-
Kliknij kartę Nazwa podmiotu, a następnie kliknij pozycję Konstruuj z tej informacji usługi Active Directory.
-
W polu Dołącz tę informację do alternatywnej nazwy podmiotu zaznacz pozycję Główna nazwa użytkownika (UPN).
-
Otwórz przystawkę Szablony certyfikatów.
-
W przypadku certyfikatów komputera rozszerzenie Alternatywna nazwa podmiotu (SubjectAltName) w certyfikacie musi zawierać w pełni kwalifikowaną nazwę domeny (FQDN) klienta, zwaną także nazwą DNS. Aby skonfigurować tę nazwę w szablonie użytkownika:
-
Otwórz przystawkę Szablony certyfikatów.
-
W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
-
Kliknij kartę Nazwa podmiotu, a następnie kliknij pozycję Konstruuj z tej informacji usługi Active Directory.
-
W polu Dołącz tę informację do alternatywnej nazwy podmiotu zaznacz pozycję Nazwa DNS.
-
Otwórz przystawkę Szablony certyfikatów.
W przypadku protokołów PEAP-TLS i EAP-TLS klienci wyświetlają listę wszystkich zainstalowanych certyfikatów w przystawce Certyfikaty z następującymi wyjątkami:
-
Klienci bezprzewodowi nie wyświetlają certyfikatów opartych na rejestrze ani certyfikatów logowania karty inteligentnej.
-
Klienci bezprzewodowi i klienci sieci VPN nie wyświetlają certyfikatów chronionych hasłem.
-
Certyfikaty, które nie zawierają celu uwierzytelniania klienta w rozszerzeniach EKU, nie są wyświetlane.