Todos os certificados que forem usados para autenticação de acesso à rede com EAP-TLS, PEAP-TLS e MS-CHAP v2 (PEAP-Microsoft Challenge Handshake Authentication Protocol versão 2), devem atender aos requisitos de certificados X.509 e trabalhar para conexões que usem SSL/TLS (Secure Socket Layer/Transport Level Security). Tanto os certificados de cliente quanto de servidor possuem requisitos adicionais.

Requisitos mínimos de certificado de servidor

Com PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS como método de autenticação, o servidor NPS deve usar um certificado de servidor que atenda aos requisitos mínimos do certificado do servidor.

Computadores cliente podem ser configurados para validar certificados de servidor usando a opção Validar certificado do servidor no computador cliente ou na Diretiva de Grupo.

O computador cliente aceita a tentativa de autenticação do servidor quando o certificado de servidor atender aos seguintes requisitos:

  • O nome do requerente contém um valor. Se você emitir um certificado para o servidor NPS que possua um Assunto em branco, o certificado não estará disponível para autenticar o servidor NPS. Para configurar o modelo de certificado com um nome de entidade:

    1. Abra Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que deseja configurar e clique em Propriedades.

    3. Clique na guia Nome do Requerente e, em seguida, em Criar com base nas informações do Active Directory.

    4. Em Formato de nome de entidade, selecione um valor diferente de Nenhum.

  • O certificado do computador no servidor está vinculado a uma autoridade de certificação raiz confiável e não apresenta falhas nas verificações realizadas por CryptoAPI e especificadas na diretiva de acesso remoto ou na diretiva de rede.

  • O certificado do computador para o servidor NPS ou VPN é configuraco com a finalidade de Autenticação do Servidor em extensões EKU (Uso Estendido da Chave). (O identificador do objeto para a Autenticação do Servidor é 1.3.6.1.5.5.7.3.1.)

  • O certificado de servidor é configurado com um valor de algoritmo obrigatório de RSA. Para definir a configuração de criptografia obrigatória:

    1. Abra Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que deseja configurar e clique em Propriedades.

    3. Clique na guia Criptografia. Em Nome do algoritmo, clique em RSA. Certifique-se de que o Tamanho mínimo da chave esteja definido como 2048.

  • A extensão Nome Alternativo da Entidade (SubjectAltName), se usada, deve conter o nome DNS do servidor. Para configurar o modelo de certificado com o nome DNS do servidor que está sendo registrado:

    1. Abra Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que deseja configurar e clique em Propriedades.

    3. Clique na guia Nome do Requerente e, em seguida, em Criar com base nas informações do Active Directory.

    4. Em Incluir esta informação no nome de entidade alternativo, selecione Nome DNS.

Com PEAP e EAP-TLS, os servidores NPS exibem uma lista de todos os certificados instalados no armazenamento de certificados do computador, com as seguintes exceções:

  • Os certificados que não contenham a finalidade de Autenticação de Servidor em extensões EKU não serão exibidos.

  • Os certificados que não contenham um nome de entidade não serão exibidos.

  • Os certificados de logon de cartão inteligente e com base no Registro não serão exibidos.

Requisitos mínimos de certificado de cliente

Com EAP-TLS ou PEAP-TLS, o servidor aceita a tentativa de autenticação do cliente quando o certificado atende aos seguintes requisitos:

  • O certificado do cliente é emitido por uma autoridade de certificação corporativa ou mapeado para uma conta de usuário ou computador nos Serviços de Domínio Active Directory® (AD DS).

  • O certificado de usuário ou computador no cliente está vinculado a uma autoridade de certificação raiz confiável, inclui a finalidade de Autenticação de Cliente em extensões EKU (o identificador de objeto para a Autenticação de Cliente é 1.3.6.1.5.5.7.3.2), e não apresenta falhas nas verificações realizadas por CryptoAPI e especificadas na diretiva de acesso remoto ou diretiva de rede nem nas verificações do identificador de objeto de Certificado especificadas na diretiva de acesso remoto do IAS ou na diretiva de rede do NPS.

  • O cliente 802.1X não usa certificados baseados no Registro que sejam certificados de logon de cartão inteligente ou protegidos por senha.

  • Em certificados de usuário, a extensão Nome Alternativo da Entidade (SubjectAltName) no certificado contém o nome principal do usuário (UPN). Para configurar o UPN em um modelo de certificado:

    1. Abra Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que deseja configurar e clique em Propriedades.

    3. Clique na guia Nome do Requerente e, em seguida, em Criar com base nas informações do Active Directory.

    4. Em Incluir esta informação no nome de entidade alternativo, selecione Nome UPN.

  • Em certificados de computador, a extensão Nome Alternativo da Entidade (SubjectAltName) no certificado deve conter o nome de domínio totalmente qualificado (FQDN) do cliente, que também é chamado de nome DNS. Para configurar este nome no modelo de certificado:

    1. Abra Modelos de Certificado.

    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que deseja configurar e clique em Propriedades.

    3. Clique na guia Nome do Requerente e, em seguida, em Criar com base nas informações do Active Directory.

    4. Em Incluir esta informação no nome do requerente alternativo, selecione Nome DNS.

Com PEAP-TLS e EAP-TLS, os clientes exibem uma lista de todos os certificados instalados no snap-in de Certificados, com as seguintes exceções:

  • Os clientes sem fio não exibem certificados baseados no Registro e de logon de cartão inteligente.

  • Os clientes sem fio e os clientes VPN não exibem certificados protegidos por senha.

  • Os certificados que não contenham a finalidade de Autenticação de Cliente em extensões EKU não serão exibidos.


Sumário