Todos os certificados utilizados para fins de autenticação do acesso à rede com EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) e PEAP-MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) têm de cumprir os requisitos para certificados X.509 e funcionar para ligações que utilizem SSL/TLS (Secure Socket Layer/Transport Level Security). Ambos os certificados de cliente e servidor têm requisitos adicionais.

Requisitos mínimos de certificado de servidor

Tendo PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS como método de autenticação, o servidor NPS tem de utilizar um certificado de servidor que cumpra os requisitos mínimos de certificado de servidor:

Os computadores cliente podem ser configurados para validar os certificados de servidor através da opção Validar certificado do servidor no computador cliente ou na Política de Grupo.

O computador cliente aceita a tentativa de autenticação do servidor quando o certificado de servidor cumpre os seguintes requisitos:

  • O nome do Requerente contém um valor. Se emitir um certificado para o servidor com o NPS (Servidor de Políticas de Rede) e o nome de Requerente estiver em branco, o certificado não ficará disponível para autenticar o servidor NPS. Para configurar o modelo de certificado com um nome de Requerente:

    1. Abra os Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, clique em Propriedades.

    3. Clique no separador Nome do Requerente e, em seguida, clique em Incorporar a partir destas informações do Active Directory.

    4. Em Formato de nome do requerente:, seleccione um valor diferente de Nenhum.

  • O certificado de computador no servidor é associado a uma autoridade de certificação (AC) de raiz fidedigna e não falha nenhuma das verificações executadas pela CryptoAPI e especificadas na política de acesso remoto ou política de rede.

  • O certificado de computador para o servidor NPS ou servidor VPN é configurado para fins de Autenticação de Servidor nas extensões EKU (utilização alargada da chave). (O identificador de objecto para Autenticação de Servidor é 1.3.6.1.5.5.7.3.1.)

  • O certificado de servidor é configurado com um valor de algoritmo necessário de RSA. Para configurar a definição de criptografia necessária:

    1. Abra os Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, clique em Propriedades.

    3. Clique no separador Criptografia. Em Nome do algoritmo, clique em RSA. Certifique-se de que Tamanho mínimo da chave está definido como 2048.

  • A extensão Nome Alternativo do Requerente (SubjectAltName), se utilizada, tem de conter o nome DNS do servidor. Para configurar o modelo de certificado com o nome DNS (Sistema de Nomes de Domínio) do servidor de inscrição:

    1. Abra os Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, clique em Propriedades.

    3. Clique no separador Nome do Requerente e, em seguida, clique em Incorporar a partir destas informações do Active Directory.

    4. Em Incluir estas informações no nome do requerente alternativo, seleccione Nome de DNS.

Quando utilizam PEAP e EAP-TLS, os servidores NPS apresentam uma lista de todos os certificados instalados no arquivo de certificados do computador, com as seguintes excepções:

  • Os certificados que não contêm o objectivo de Autenticação de Servidor nas extensões EKU não são apresentados.

  • Os certificados que não contêm um Nome de requerente não são apresentados.

  • Os certificados baseados no Registo e de início de sessão de smart card não são apresentados.

Requisitos mínimos de certificado de cliente

Com EAP-TLS ou PEAP-TLS, o servidor aceita a tentativa de autenticação de cliente quando o certificado satisfaz os seguintes requisitos:

  • O certificado de cliente é emitido por uma AC empresarial ou mapeado para uma conta de utilizador ou computador no AD DS (Active Directory® Domain Services).

  • O certificado de utilizador ou computador no cliente é associado a uma AC de raiz fidedigna, inclui o objectivo de Autenticação de Cliente nas extensões EKU (o identificador de objecto para a Autenticação de Cliente é 1.3.6.1.5.5.7.3.2) e não falha nenhuma verificação executada por CryptoAPI e especificada na política de acesso remoto ou política de rede nem as verificações de identificador de objecto de Certificado especificadas na política de acesso remoto IAS ou na política de rede NPS.

  • O cliente 802.1X não utiliza certificados baseados no Registo que sejam certificados de início de sessão smart card ou protegidos por palavra-passe.

  • Para certificados de utilizador, a extensão Nome Alternativo do Requerente (SubjectAltName) no certificado contém o UPN (User Principal Name). Para configurar o UPN num modelo de certificado:

    1. Abra os Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, clique em Propriedades.

    3. Clique no separador Nome do Requerente e, em seguida, clique em Incorporar a partir destas informações do Active Directory.

    4. Em Incluir estas informações no nome do requerente alternativo, seleccione UPN (User Principal Name).

  • Para os certificados de computador, a extensão Nome Alternativo do Requerente (SubjectAltName) do certificado tem de conter o FQDN (Nome de Domínio Completamente Qualificado) do cliente, também desgnado por nome DNS. Para configurar este nome no modelo de certificado:

    1. Abra os Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, clique em Propriedades.

    3. Clique no separador Nome do Requerente e, em seguida, clique em Incorporar a partir destas informações do Active Directory.

    4. Em Incluir estas informações no nome do requerente alternativo, seleccione Nome DNS.

Com PEAP e EAP-TLS, os clientes apresentam uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes excepções:

  • Os clientes sem fios não apresentam certificados baseados no Registo e início de sessão de smart card.

  • Os clientes sem fios e os clientes VPN não apresentam certificados protegidos por palavra-passe.

  • Os certificados que não contêm o objectivo de Autenticação de Cliente nas extensões EKU não são apresentados.

Sumário