Minden, az EAP-TLS, a PEAP-TLS és a PEAP-MS-CHAP v2 alkalmazásával történő, hálózati hozzáférés hitelesítéséhez használt tanúsítványnak meg kell felelnie az X.509-tanúsítványok követelményeinek, és működniük kell az SSL/TLS protokollokat használó kapcsolatokkal. Az ügyfél- és a kiszolgálótanúsítványoknak is vannak kiegészítő követelményei.

Kiszolgálótanúsítvány minimális követelményei

Ha a hitelesítési mód PEAP-MS-CHAP v2, PEAP-TLS vagy EAP-TLS, a hálózati házirend-kiszolgálónak a kiszolgálói tanúsítványokra vonatkozó minimális követelményeket teljesítő kiszolgálói tanúsítványt kell használnia.

Az ügyfélszámítógépek az ügyfélszámítógépen vagy a csoportházirendben megtalálható Kiszolgálói tanúsítvány érvényesítése funkció használatával konfigurálhatók a kiszolgálói tanúsítványok érvényesítésére.

Az ügyfélszámítógép akkor fogadja el a kiszolgáló hitelesítési kísérletét, ha a kiszolgálói tanúsítvány megfelel a következő követelményeknek:

  • A Tulajdonos neve tartalmaz értéket. Ha a tanúsítványt a hálózati házirend-kiszolgálót futtató kiszolgálóhoz úgy állítja ki, hogy a Tulajdonos mező üres, a tanúsítvány nem érhető el a hálózati házirend-kiszolgáló hitelesítéséhez. Tanúsítványsablon a Tulajdonos név megadásával történő konfigurálásához:

    1. Nyissa meg a Tanúsítványsablonok beépülő modult.

    2. A részleteket tartalmazó ablaktáblán kattintson a jobb gombbal a módosítani kívánt tanúsítványsablonra, majd kattintson a Tulajdonságok parancsra.

    3. Kattintson a Tulajdonos neve fülre, majd kattintson Az Active Directoryból elemre.

    4. A Tulajdonos nevének formátuma mezőben jelöljön ki egy, a Nincs elemtől különböző értéket.

  • A kiszolgálón lévő számítógép-tanúsítvány egy megbízható legfelső szintű hitelesítésszolgáltatóhoz kapcsolódik, és a CryptoAPI által végzett, a távelérési házirendben vagy hálózati házirendben megadott ellenőrzések mindegyike sikeres.

  • A hálózati házirend-kiszolgáló vagy VPN-kiszolgáló számítógép-tanúsítványa kiszolgálóhitelesítési céllal van konfigurálva a kibővített kulcshasználati (EKU) bővítményekben. (A kiszolgálóhitelesítés objektumazonosítója 1.3.6.1.5.5.7.3.1.)

  • A kiszolgáló tanúsítványa a szükséges RSA-algoritmusértékkel van konfigurálva. A szükséges titkosítási beállítás konfigurálása:

    1. Nyissa meg a Tanúsítványsablonok beépülő modult.

    2. A jobb oldali ablaktáblában kattintson a jobb gombbal a módosítani kívánt tanúsítványsablonra, majd kattintson a Tulajdonságok parancsra.

    3. Kattintson a Titkosítás fülre. Az Algoritmus neve területen kattintson az RSA elemre. Ellenőrizze, hogy a Minimális kulcshossz 2048 értékűre legyen állítva.

  • A Tulajdonos alternatív neve bővítménynek, ha használja azt, tartalmaznia kell a kiszolgáló DNS-nevét. A tanúsítványsablon konfigurálása az igénylést benyújtó kiszolgáló DNS-nevével:

    1. Nyissa meg a Tanúsítványsablonok beépülő modult.

    2. A jobb oldali ablaktáblában kattintson a jobb gombbal a módosítani kívánt tanúsítványsablonra, majd kattintson a Tulajdonságok parancsra.

    3. Kattintson a Tulajdonos neve fülre, majd kattintson Az Active Directoryból elemre.

    4. A következő információk belefoglalása az alternatív tulajdonosnévbe: területen jelölje ki a DNS-név elemet.

A PEAP és EAP-TLS használata esetén a hálózati házirend-kiszolgálók megjelenítik a számítógép tanúsítványtárolójában található telepített tanúsítványok listáját, a következők kivételével:

  • Az EKU bővítményekben lévő, kiszolgálóhitelesítési célt nem tartalmazó tanúsítványok nem jelennek meg a listában.

  • A Tulajdonos nevét nem tartalmazó tanúsítványok nem jelennek meg a listában.

  • A beállításjegyzék-alapú és az intelligens kártyát használó bejelentkezési tanúsítványok nem jelennek meg a listában.

Ügyféltanúsítvány minimális követelményei

Az EAP-TLS vagy PEAP-TLS használatával a kiszolgáló akkor fogadja az ügyfél hitelesítési kérelmét, ha az megfelel a következő követelményeknek:

  • Az ügyféltanúsítványt egy vállalati hitelesítésszolgáltató állítja ki, vagy az egy felhasználói vagy számítógépfiókhoz van rendelve az Active Directory® tartományi szolgáltatásokban (AD DS).

  • Az ügyfél felhasználói vagy számítógéptanúsítványa egy megbízható legfelső szintű hitelesítésszolgáltatóhoz kapcsolódik, tartalmazza az ügyfélhitelesítés célját az EKU bővítményekben (az ügyfélhitelesítés objektumazonosítója 1.3.6.1.5.5.7.3.2), és sem a távelérési házirendben vagy hálózati házirendben megadott, a CryptoAPI által elvégzett ellenőrzések, sem az IAS távelérési házirendben vagy a hálózati házirend-kiszolgáló hálózati házirendjében megadott tanúsítványobjektum-azonosító ellenőrzések nem sikertelenek.

  • A 802.1X ügyfél nem használ olyan beállításjegyzék-alapú tanúsítványokat, amelyek intelligens kártyát alkalmazó belépési vagy jelszóval védett tanúsítványok.

  • A felhasználói tanúsítványok esetén a tanúsítvány Tulajdonos alternatív neve bővítménye tartalmazza az egyszerű felhasználónevet (UPN). Az egyszerű felhasználónév a tanúsítványsablonban történő konfigurálásához tegye a következőket:

    1. Nyissa meg a Tanúsítványsablonok beépülő modult.

    2. A jobb oldali ablaktáblában kattintson a jobb gombbal a módosítani kívánt tanúsítványsablonra, majd kattintson a Tulajdonságok parancsra.

    3. Kattintson a Tulajdonos neve fülre, majd kattintson Az Active Directoryból elemre.

    4. A következő információk belefoglalása az alternatív tulajdonosnévbe területen jelölje be az Egyszerű felhasználónév (UPN) lehetőséget.

  • A számítógép-tanúsítványok esetén a tanúsítvány Tulajdonos alternatív neve kiegészítő mezőjének tartalmaznia kell az ügyfél teljes tartománynevét (FQDN), amelyet más néven DNS-névnek is hívnak. Ezen név a tanúsítványsablonban történő konfigurálásához tegye a következőket:

    1. Nyissa meg a Tanúsítványsablonok beépülő modult.

    2. A jobb oldali ablaktáblában kattintson a jobb gombbal a módosítani kívánt tanúsítványsablonra, majd kattintson a Tulajdonságok parancsra.

    3. Kattintson a Tulajdonos neve fülre, majd kattintson Az Active Directoryból elemre.

    4. A következő információk belefoglalása az alternatív tulajdonosnévbe: területen jelölje ki a DNS-név elemet.

A PEAP és EAP-TLS használatával az ügyfelek megjelenítik a Tanúsítványok beépülő modulban található telepített tanúsítványok listáját a következők kivételével:

  • A vezeték nélküli ügyfelek nem jelenítik meg a beállításjegyzék-alapú és az intelligens kártyát alkalmazó tanúsítványokat.

  • A vezeték nélküli és a VPN-ügyfelek nem jelenítik meg a jelszóval védett tanúsítványokat.

  • Az EKU bővítményekben lévő, ügyfélhitelesítési célt nem tartalmazó tanúsítványok nem jelennek meg a listában.

Tartalom