Alle certificaten die voor de verificatie van netwerktoegang met EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) en MS-CHAP v2 (PEAP-Microsoft Challenge Handshake Authentication Protocol version 2) worden gebruikt, moeten voldoen aan de vereisten voor X.509-certificaten en moeten functioneren voor verbindingen waarbij SSL/TLS (Secure Sockets Layer-Transport Level Security) wordt gebruikt. Zowel clientcertificaten als servercertificaten hebben aanvullende vereisten.
Minimale vereisten voor servercertificaten
Met de verificatiemethode PEAP-MS-CHAP v2, PEAP-TLS of EAP-TLS moet op de NPS-server een servercertificaat worden gebruikt die aan de minimale vereisten voor servercertificaten voldoet:
Met de optie Servercertificaat verifiëren op de client of in Groepsbeleid kunt u clients configureren voor het verifiëren van servercertificaten.
Op de client wordt de verificatiepoging van de server geaccepteerd als het servercertificaat aan de volgende vereisten voldoet:
-
De objectnaam bevat een waarde. Als u een certificaat zonder object aan de NPS-server (Network Policy Server) verstrekt, is het certificaat niet beschikbaar voor verificatie van de NPS-server. Ga als volgt te werk om de certificaatsjabloon te configureren met een objectnaam:
-
Open Certificaatsjablonen.
-
Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
-
Klik op het tabblad Objectnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
-
Selecteer in Indeling van de objectnaam een andere waarde dan Geen.
-
Open Certificaatsjablonen.
-
Het computercertificaat op de server is gekoppeld aan een vertrouwde basiscertificeringsinstantie (CA) en alle controles van CryptoAPI die in het RAS-beleid of netwerkbeleid zijn opgegeven, zijn geslaagd.
-
Het computercertificaat voor de NPS- of VPN-server is geconfigureerd met het doel Serververificatie in de EKU-extensies (Extended Key Usage). (De object-id voor Serververificatie is 1.3.6.1.5.5.7.3.1.)
-
Het servercertificaat is geconfigureerd met de vereiste algoritmewaarde RSA. Ga als volgt te werk om de vereiste cryptografie-instelling te configureren:
-
Open Certificaatsjablonen.
-
Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
-
Klik op het tabblad Cryptografie. Klik in Naam van algoritme op RSA. Stel Minimale sleutelgrootte in op 2048.
-
Open Certificaatsjablonen.
-
De extensie Alternatieve naam voor onderwerp (SubjectAltName), indien gebruikt, moet de DNS-naam van de server bevatten. Ga als volgt te werk om de certificaatsjabloon te configureren met de DNS-naam (Domain Name System) van de inschrijvende server:
-
Open Certificaatsjablonen.
-
Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
-
Klik op het tabblad Objectnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
-
Selecteer bij De volgende informatie in de alternatieve objectnaam opnemen de optie DNS-naam.
-
Open Certificaatsjablonen.
Met PEAP en EAP-TLS geven NPS-servers een lijst weer met alle geïnstalleerde certificaten in de opslaglocatie voor computercertificaten, met de volgende uitzonderingen:
-
Certificaten zonder het doel Serververificatie in EKU-extensies worden niet weergegeven.
-
Certificaten zonder objectnaam worden niet weergegeven.
-
Certificaten op registerbasis en met smartcardaanmelding worden niet weergegeven.
Minimale vereisten voor clientcertificaten
Met EAP-TLS of PEAP-TLS wordt de verificatiepoging van de client door de server geaccepteerd als het certificaat aan de volgende vereisten voldoet:
-
Het clientcertificaat is verstrekt door een ondernemingscertificeringsinstantie of is gekoppeld aan een gebruikers- of computeraccount in Active Directory® Domain Services (AD DS).
-
Het gebruikers- of computercertificaat op de client is gekoppeld aan een vertrouwde basiscertificeringsinstantie en bevat het doel Clientverificatie in EKU-extensies (de object-id voor clientverificatie is 1.3.6.1.5.5.7.3.2). Ook alle controles van CryptoAPI die in het RAS-beleid of netwerkbeleid zijn opgegeven, en de controles van de certificaatobject-id die in het IAS RAS-beleid of NPS-netwerkbeleid zijn opgegeven, zijn geslaagd.
-
De 802.1x-client maakt geen gebruik van certificaten op registerbasis met smartcardaanmelding of wachtwoordbeveiliging.
-
Voor gebruikerscertificaten bevat de extensie Alternatieve naam voor onderwerp (SubjectAltName) de UPN (User Principal Name). Ga als volgt te werk om de UPN in een certificaatsjabloon te configureren:
-
Open Certificaatsjablonen.
-
Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
-
Klik op het tabblad Objectnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
-
Selecteer bij De volgende informatie in de alternatieve objectnaam opnemen de optie UPN-naam (User Principal Name).
-
Open Certificaatsjablonen.
-
Voor computercertificaten moet de extensie Alternatieve naam voor onderwerp (SubjectAltName) in het certificaat de FQDN-naam (Fully Qualified Domain Name) van de client bevatten. Dit wordt ook wel de DNS-naam genoemd. Ga als volgt te werk om deze naam in de certificaatsjabloon te configureren:
-
Open Certificaatsjablonen.
-
Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
-
Klik op het tabblad Objectnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
-
Selecteer bij De volgende informatie in de alternatieve objectnaam opnemen de optie DNS-naam.
-
Open Certificaatsjablonen.
Met PEAP-TLS en EAP-TLS geven clients een lijst weer met alle geïnstalleerde certificaten in de module Certificaten, met de volgende uitzonderingen:
-
Draadloze clients geven geen certificaten op registerbasis en met smartcardaanmelding weer.
-
Draadloze clients en VPN-clients geven geen certificaten met wachtwoordbeveiliging weer.
-
Certificaten zonder het doel Clientverificatie in EKU-extensies worden niet weergegeven.