Wymagania certyfikatu w przypadku protokołów PEAP i EAP

W przypadku metody uwierzytelniania za pomocą protokołu PEAP-MS-CHAP w wersji 2, PEAP-TLS lub EAP-TLS serwer NPS musi używać certyfikatu serwera spełniającego minimalne wymagania dotyczące certyfikatu serwera.

Komputery klienckie można skonfigurować w celu sprawdzania poprawności certyfikatów serwera, używając opcji Weryfikuj certyfikat serwera na komputerze klienckim lub w zasadach grupy.

Komputer kliencki akceptuje próbę uwierzytelniania serwera, gdy certyfikat serwera spełnia następujące wymagania:

• Nazwa podmiotu została określona. Jeśli certyfikat zostanie wydany dla serwera NPS z pustym polem Podmiot, certyfikat taki nie będzie dostępny do uwierzytelniania serwera NPS. Aby skonfigurować szablon certyfikatu z nazwą podmiotu:
  
  
  1. Otwórz przystawkę Szablony certyfikatów.
     
     
  2. W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
     
     
  3. Kliknij kartę Nazwa podmiotu, a następnie kliknij pozycję Konstruuj z tej informacji usługi Active Directory.
     
     
  4. W pozycji Format nazwy podmiotu zaznacz wartość inną niż Brak.
     
     
• Certyfikat komputera na serwerze jest połączony z zaufanym głównym urzędem certyfikacji (CA) i nie kończy niepowodzeniem żadnych testów, które zostały wykonane przez interfejs CryptoAPI i określone w zasadach dostępu zdalnego lub w zasadach sieciowych.
  
  
• Certyfikat komputera dla serwera NPS lub serwera VPN został skonfigurowany celem uwierzytelniania serwera w rozszerzeniach Ulepszone użycie klucza (identyfikator obiektu dla uwierzytelniania serwera to 1.3.6.1.5.5.7.3.1).
  
  
• Certyfikat serwera jest skonfigurowany z wymaganą wartością algorytmu RSA. Aby skonfigurować wymagane ustawienie szyfrowania:
  
  
  1. Otwórz przystawkę Szablony certyfikatów.
     
     
  2. W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
     
     
  3. Kliknij kartę Kryptografia. W polu Nazwa algorytmu kliknij pozycję RSA. Upewnij się, że w pozycji Minimalny rozmiar klucza ustawiono wartość 2048.
     
     
• Jeśli jest używane rozszerzenie Alternatywna nazwa podmiotu (SubjectAltName), musi ono zawierać nazwę DNS serwera. Aby skonfigurować szablon certyfikatu z nazwą DNS (Domain Name System) serwera rejestrującego:
  
  
  1. Otwórz przystawkę Szablony certyfikatów.
     
     
  2. W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
     
     
  3. Kliknij kartę Nazwa podmiotu, a następnie kliknij pozycję Konstruuj z tej informacji usługi Active Directory.
     
     
  4. W polu Dołącz tę informację do alternatywnej nazwy podmiotu zaznacz pozycję Nazwa DNS.
     
     

W przypadku protokołów PEAP i EAP-TLS serwery NPS wyświetlają listę wszystkich zainstalowanych certyfikatów w magazynie certyfikatów komputera z następującymi wyjątkami:

• Certyfikaty, które nie zawierają celu uwierzytelniania serwera w rozszerzeniach EKU, nie są wyświetlane.
  
  
• Certyfikaty, które nie zawierają nazwy podmiotu, nie są wyświetlane.
  
  
• Certyfikaty oparte na rejestrze ani certyfikaty logowania karty inteligentnej nie są wyświetlane.
  
  

W przypadku protokołu EAP-TLS lub PEAP-TLS serwer akceptuje próbę uwierzytelnienia klienta, gdy certyfikat spełnia następujące wymagania:

• Certyfikat klienta został wydany przez urząd certyfikacji przedsiębiorstwa lub zamapowany na konto użytkownika bądź komputera w usługach domenowych w usłudze Active Directory (AD DS).
  
  
• Certyfikat użytkownika lub komputera na kliencie, który jest połączony z zaufanym głównym urzędem certyfikacji, zawiera cel uwierzytelniania klienta w rozszerzeniach EKU (identyfikator obiektu dla uwierzytelniania klienta to 1.3.6.1.5.5.7.3.2) i nie kończy niepowodzeniem żadnych testów, które są wykonywane przez interfejs CryptoAPI i określone w zasadach dostępu zdalnego lub w zasadach sieciowych, ani testów identyfikatora obiektu certyfikatu określonych w zasadach dostępu zdalnego usługi IAS lub zasadach sieciowych serwera NPS.
  
  
• Klient 802.1X nie korzysta z certyfikatów opartych na rejestrze, które są certyfikatami logowania karty inteligentnej lub certyfikatami chronionymi hasłem.
  
  
• W przypadku certyfikatów użytkownika rozszerzenie Alternatywna nazwa podmiotu (SubjectAltName) w certyfikacie zawiera główną nazwę użytkownika (UPN). Aby skonfigurować główną nazwę użytkownika w szablonie certyfikatu:
  
  
  1. Otwórz przystawkę Szablony certyfikatów.
     
     
  2. W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
     
     
  3. Kliknij kartę Nazwa podmiotu, a następnie kliknij pozycję Konstruuj z tej informacji usługi Active Directory.
     
     
  4. W polu Dołącz tę informację do alternatywnej nazwy podmiotu zaznacz pozycję Główna nazwa użytkownika (UPN).
     
     
• W przypadku certyfikatów komputera rozszerzenie Alternatywna nazwa podmiotu (SubjectAltName) w certyfikacie musi zawierać w pełni kwalifikowaną nazwę domeny (FQDN) klienta, zwaną także nazwą DNS. Aby skonfigurować tę nazwę w szablonie użytkownika:
  
  
  1. Otwórz przystawkę Szablony certyfikatów.
     
     
  2. W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.
     
     
  3. Kliknij kartę Nazwa podmiotu, a następnie kliknij pozycję Konstruuj z tej informacji usługi Active Directory.
     
     
  4. W polu Dołącz tę informację do alternatywnej nazwy podmiotu zaznacz pozycję Nazwa DNS.
     
     

W przypadku protokołów PEAP-TLS i EAP-TLS klienci wyświetlają listę wszystkich zainstalowanych certyfikatów w przystawce Certyfikaty z następującymi wyjątkami:

• Klienci bezprzewodowi nie wyświetlają certyfikatów opartych na rejestrze ani certyfikatów logowania karty inteligentnej.
  
  
• Klienci bezprzewodowi i klienci sieci VPN nie wyświetlają certyfikatów chronionych hasłem.
  
  
• Certyfikaty, które nie zawierają celu uwierzytelniania klienta w rozszerzeniach EKU, nie są wyświetlane.