在使用可扩展身份验证协议-传输层安全 (EAP-TLS)、受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS) 和 PEAP-Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 进行网络访问身份验证时,使用的所有证书均须满足 X.509 证书的要求,并适用于使用安全套接字层/传输层安全 (SSL/TLS) 的连接。客户端和服务器证书均有额外要求。

最小服务器证书要求

使用 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 作为身份验证方法时,NPS 服务器必须使用满足最低服务器证书要求的服务器证书。

通过使用客户端计算机或组策略中的“验证服务器证书”选项,可以将客户端计算机配置为验证服务器证书。

当服务器证书满足以下要求时,客户端计算机接受服务器的身份验证尝试:

  • 使用者名称包含一个值。如果将证书颁发到具有空白使用者名称的运行网络策略服务器 (NPS) 的服务器,则无法将此证书用于验证 NPS 服务器。通过使用者名称配置证书模板的步骤:

    1. 打开“证书模板”。

    2. 在细节窗格中,右键单击要更改的证书模板,然后单击“属性”

    3. 单击“使用者名称”选项卡,然后单击“用 Active Directory 中的信息生成”

    4. “使用者名称格式”中,选择除“无”之外的某个值。

  • 服务器上的计算机证书链接到受信任的根证书颁发机构 (CA),因而不会使由 CryptoAPI 执行以及在远程访问策略或网络策略中指定的任何检查失败。

  • NPS 服务器或 VPN 服务器的计算机证书配置用于扩展密钥用法 (EKU) 扩展中的服务器身份验证。(服务器身份验证的对象标识符为 1.3.6.1.5.5.7.3.1。)

  • 使用 RSA 的所需算法值配置服务器证书。配置所需加密设置的步骤:

    1. 打开“证书模板”。

    2. 在细节窗格中,右键单击要更改的证书模板,然后单击“属性”

    3. 单击“加密”选项卡。在“算法名称”中,单击 RSA。确保“最小密钥大小”设置为 2048。

  • 使用者备用名称 (SubjectAltName) 扩展(如果使用)必须包含服务器的 DNS 名称。使用注册服务器的域名系统 (DNS) 名称配置证书模板的步骤:

    1. 打开“证书模板”。

    2. 在细节窗格中,右键单击要更改的证书模板,然后单击“属性”

    3. 单击“使用者名称”选项卡,然后单击“用 Active Directory 中的信息生成”

    4. “将这个信息包括在另一个使用者名称中”中,选中“DNS 名称”

在使用 PEAP 和 EAP-TLS 时,NPS 服务器显示一个计算机证书存储中全部已安装证书的列表,但以下情况例外:

  • 不显示不包含 EKU 扩展中的服务器身份验证用途的证书。

  • 不显示不包含使用者名称的证书。

  • 不显示基于注册表的登录证书和智能卡登录证书。

最低客户端证书要求

使用 EAP-TLS 或者 PEAP-TLS,当证书符合以下要求时,服务器将接受客户端身份验证尝试:

  • 客户端证书由企业 CA 颁发或映射到 Active Directory(R) 域服务 (AD DS) 中的用户或计算机帐户。

  • 客户端上的用户或计算机证书链接到一个受信任的根 CA,包括 EKU 扩展中的客户端身份验证用途(客户端身份验证的对象标识符为 1.3.6.1.5.5.7.3.2),在由 CryptoAPI 执行和在远程访问策略或网络策略中指定的检查中,以及在 IAS 远程访问策略或 NPS 网络策略中指定的证书对象标识符检查中,均未失败。

  • 802.1X 客户端不使用智能卡登录或密码保护证书的基于注册表的证书。

  • 对于用户证书,证书中的使用者备用名称 (SubjectAltName) 扩展包括用户主体名称 (UPN)。配置证书模板中的 UPN 的步骤:

    1. 打开“证书模板”。

    2. 在细节窗格中,右键单击要更改的证书模板,然后单击“属性”

    3. 单击“使用者名称”选项卡,然后单击“用 Active Directory 中的信息生成”

    4. “将这个信息包括在另一个使用者名称中”中,选中“用户主体名称(UPN)”

  • 对于计算机证书,证书中的使用者备用名称 (SubjectAltName) 扩展必须包含客户端的完全限定的域名 (FQDN),也称为“DNS 名称”。配置证书模板中此名称的步骤:

    1. 打开“证书模板”。

    2. 在细节窗格中,右键单击要更改的证书模板,然后单击“属性”

    3. 单击“使用者名称”选项卡,然后单击“用 Active Directory 中的信息生成”

    4. “将这个信息包括在另一个使用者名称中”中,选中“DNS 名称”

使用 PEAP-TLS 和 EAP-TLS,客户端可以显示证书管理单元中全部已安装证书的列表,但以下情况例外:

  • 无线客户端不显示基于注册表的登录证书和智能卡登录证书。

  • 无线客户端和 VPN 客户端不显示密码保护证书。

  • 不显示不包括 EKU 扩展中客户端身份验证用途的证书。


目录