Všechny certifikáty používané pro ověřování přístupu k síti protokoly EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) a PEAP-MS-CHAP v2 (PEAP Microsoft Challenge Handshake Authentication Protocol verze 2) musí splňovat požadavky na certifikáty standardu X.509 a musí fungovat v připojeních využívajících protokol SSL/TLS (Secure Sockets Layer-Transport Level Security). Pro certifikát serveru i klientského počítače existují další požadavky.
Minimální požadavky na certifikát serveru
Při použití protokolů PEAP-MS-CHAP v2, PEAP-TLS nebo EAP-TLS jako metody ověřování musí server NPS požívat certifikát serveru, který splňuje minimální požadavky na certifikát serveru.
Klientské počítače lze nakonfigurovat tak, aby ověřovaly certifikáty serveru, pomocí možnosti Ověřit certifikát serveru v klientském počítači nebo v zásadách skupiny.
Klientský počítač přijme pokus o ověření v případě, že certifikát serveru splňuje následující požadavky:
-
Název subjektu obsahuje hodnotu. Jestliže vystavíte serveru, na kterém je spuštěn server NPS (Network Policy Server) certifikát bez názvu Subjekt, nemůže být server NPS pomocí tohoto certifikátu ověřován. Konfigurace šablony certifikátu s názvem subjektu:
-
Spusťte modul snap-in Šablony certifikátů.
-
V podokně podrobností klikněte pravým tlačítkem myši na šablonu certifikátu, kterou chcete změnit, a potom klikněte na příkaz Vlastnosti.
-
Klikněte na kartu Název subjektu a poté na přepínač Sestaven z těchto informací v adresáři Active Directory.
-
V seznamu Formát názvu subjektu vyberte jinou hodnotu než Žádný.
-
Spusťte modul snap-in Šablony certifikátů.
-
Certifikát počítače na serveru je zřetězen s důvěryhodnou kořenovou certifikační autoritou (CA) a projde úspěšně všemi testy prováděnými rozhraním CryptoAPI stanovenými v zásadách pro vzdálený přístup nebo v zásadách sítě.
-
Certifikát počítače serveru NPS nebo VPN má v rozšíření EKU (Extended Key Usage) konfigurován účel Ověření serveru. (Identifikátor objektu Ověření serveru je 1.3.6.1.5.5.7.3.1.)
-
Certifikát serveru má nakonfigurovánu požadovanou hodnotu algoritmu RSA. Konfigurace požadovaného nastavení kryptografie:
-
Spusťte modul snap-in Šablony certifikátů.
-
V podokně podrobností klikněte pravým tlačítkem myši na šablonu certifikátu, kterou chcete změnit, a potom klikněte na příkaz Vlastnosti.
-
Klikněte na kartu Kryptografie. V poli Název algoritmu klikněte na možnost RSA. Zkontrolujte, že v poli Minimální velikost klíče je nastavena hodnota 2048.
-
Spusťte modul snap-in Šablony certifikátů.
-
Je-li použito rozšíření Alternativní název předmětu (SubjectAltName), musí obsahovat název DNS serveru. Konfigurace šablony certifikátu s názvem DNS (Domain Name System) zapisovaného serveru:
-
Spusťte modul snap-in Šablony certifikátů.
-
V podokně podrobností klikněte pravým tlačítkem myši na šablonu certifikátu, kterou chcete změnit, a potom klikněte na příkaz Vlastnosti.
-
Klikněte na kartu Název subjektu a poté na přepínač Sestaven z těchto informací v adresáři Active Directory.
-
V seznamu Zahrnout tyto informace v alternativním názvu subjektu vyberte položku Název DNS.
-
Spusťte modul snap-in Šablony certifikátů.
Při použití protokolů PEAP a EAP-TLS zobrazí servery NPS seznam všech nainstalovaných certifikátů v úložišti certifikátů počítače s následujícími výjimkami:
-
Nezobrazí se certifikáty, které v rozšíření EKU neobsahují účel Ověření serveru.
-
Nezobrazí se certifikáty, které neobsahují název subjektu.
-
Nezobrazí se certifikáty založené na registru a certifikáty pro přihlášení pomocí čipových karet.
Minimální požadavky na certifikát klientského počítače
Při připojení pomocí protokolů EAP-TLS nebo PEAP-TLS přijme server pokus klientského počítače o ověření, jestliže certifikát splňuje následující požadavky:
-
Certifikát klientského počítače je vydán certifikační autoritou nebo je namapován na uživatelský účet nebo účet počítače v adresáři služby AD DS (Active Directory® Domain Services).
-
Uživatelský certifikát nebo certifikát počítače v klientském počítači je zřetězen s důvěryhodnou kořenovou certifikační autoritou, obsahuje v rozšíření EKU účel Ověření klienta (identifikátor objektu Ověření klienta je 1.3.6.1.5.5.7.3.2) a projde úspěšně jak testy prováděnými rozhraním CryptoAPI a stanovenými v zásadách pro vzdálený přístup nebo v zásadách sítě, tak i testy Identifikátoru objektu Certifikát stanovenými v zásadách služby IAS pro vzdálený přístup nebo v zásadách sítě serveru NPS.
-
Klientský počítač s protokolem 802.1X nepoužívá certifikáty založené na registru, které jsou buď určené pro přihlašování pomocí čipových karet nebo chráněné heslem.
-
Rozšíření Alternativní název předmětu (SubjectAltName) uživatelského certifikátu obsahuje hlavní uživatelské jméno (UPN). Konfigurace hlavního uživatelského jména (UPN) v šabloně certifikátu:
-
Spusťte modul snap-in Šablony certifikátů.
-
V podokně podrobností klikněte pravým tlačítkem myši na šablonu certifikátu, kterou chcete změnit, a potom klikněte na příkaz Vlastnosti.
-
Klikněte na kartu Název subjektu a poté na přepínač Sestaven z těchto informací v adresáři Active Directory.
-
V seznamu Zahrnout tyto informace v alternativním názvu subjektu vyberte položku Hlavní uživatelské jméno (UPN).
-
Spusťte modul snap-in Šablony certifikátů.
-
Rozšíření Alternativní název předmětu (SubjectAltName) v certifikátech počítačů musí obsahovat úplný název domény (FQDN) klienta, označovaný také jako název DNS. Konfigurace tohoto názvu v šabloně certifikátu:
-
Spusťte modul snap-in Šablony certifikátů.
-
V podokně podrobností klikněte pravým tlačítkem myši na šablonu certifikátu, kterou chcete změnit, a potom klikněte na příkaz Vlastnosti.
-
Klikněte na kartu Název subjektu a poté na přepínač Sestaven z těchto informací v adresáři Active Directory.
-
V seznamu Zahrnout tyto informace v alternativním názvu subjektu vyberte položku Název DNS.
-
Spusťte modul snap-in Šablony certifikátů.
Při používání protokolů PEAP-TLS a EAP-TLS zobrazí klientské počítače v modulu snap-in Certifikáty seznam všech nainstalovaných certifikátů s následujícími výjimkami:
-
V klientských počítačích s bezdrátovým připojením se nezobrazí certifikáty založené na registru ani certifikáty pro přihlášení pomocí čipových karet.
-
V klientských počítačích s bezdrátovým připojením a klientských počítačích sítě VPN se nezobrazí certifikáty chráněné heslem.
-
Nezobrazí se certifikáty, které v rozšíření EKU neobsahují účel Ověření klienta.