Alla certifikat som används för nätverksåtkomstautentisering med EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) och PEAP-MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) måste uppfylla kraven för X.509-certifikat och fungera med anslutningar som använder SSL/TLS (Secure Sockets Layer/Transport Level Security). Både klient- och servercertifikat har ytterligare krav.

Minsta krav på servercertifikat

Med PEAP-MS-CHAP v2, PEAP-TLS och EAP-TLS som autentiseringsmetod måste NPS-servern använda ett servercertifikat som uppfyller minimikraven för servercertifikat.

Klientdatorer kan konfigureras att validera servercertifikat med hjälp av alternativet Bekräfta servercertifikat på klientdatorn eller i Grupprincip.

Klientdatorn accepterar serverns autentiseringsförsök när servercertifikatet uppfyller följande krav:

  • Ämnesnamnet innehåller ett värde. Om du utfärdar ett certifikat utan ämne till servern som kör en nätverksprincipservern (NPS) är inte certifikatet tillgängligt för autentisering av din NPS-server. Så här konfigurerar du certifikatmallen med ett ämnesnamn:

    1. Öppna certifikatmallar.

    2. Högerklicka på den certifikatmall i informationsfönstret du vill ändra och klicka sedan på Egenskaper.

    3. Klicka på fliken Ämnesnamn och sedan på Skapa utifrån följande Active Directory-information.

    4. Välj något annat värde än Inget i Ämnesnamnets format.

  • Datorcertifikatet på servern är länkat till en betrodd rotcertifikatutfärdare och misslyckas inte i några av kontrollerna som utförs av CryptoAPI och som har angetts i fjärråtkomst- eller nätverksprincipen.

  • Datorcertifikatet för NPS- eller VPN-servern är konfigurerat med serverautentiseringssyftet i EKU-tilläggen (Extended Key Usage). (Objektidentifieraren för serverautentisering är 1.3.6.1.5.5.7.3.1.)

  • Servercertifikatet är konfigurerat med ett nödvändigt algoritmvärde av RSA. Så här konfigurerar du den nödvändiga kryptografiinställningen:

    1. Öppna Certifikatmallar.

    2. Högerklicka på certifikatmallen du vill ändra och klicka sedan på Egenskaper.

    3. Klicka på fliken Kryptografi. I Algoritmnamn klickar du på RSA. Kontrollera att Minsta nyckelstorlek har angetts till värdet 2048.

  • Tillägget Alternativt ämnesnamn (SubjectAltName) måste innehålla serverns DNS-namn om det används. Så här konfigurerar du certifikatmallen med registreringsserverns DNS-namn (Domain Name System):

    1. Öppna Certifikatmallar.

    2. Högerklicka på certifikatmallen du vill ändra och klicka sedan på Egenskaper.

    3. Klicka på fliken Ämnesnamn och sedan på Skapa utifrån följande Active Directory-information.

    4. I Inkludera följande information i alternativt ämnesnamn väljer du DNS-namn.

Med hjälp av PEAP och EAP-TLS visar NPS-servrar en lista över alla installerade certifikat i datorns certifikatarkiv, med följande undantag:

  • Certifikat som inte innehåller serverautentiseringssyftet i EKU-tilläggen visas inte.

  • Certifikat som inte innehåller ett Ämnesnamn visas inte.

  • Registerbaserade certifikat och certifikat för inloggning med smartkort visas inte.

Minsta krav på klientcertifikat

Med EAP-TLS eller PEAP-TLS accepterar servern klientens autentiseringsförsök om certifikatet uppfyller följande krav:

  • Klientcertifikatet utfärdas av en företagscertifikatutfärdare eller mappas till ett användar- eller datorkonto i AD DS (Active Directory® Domain Services).

  • Användar- eller datorcertifikatet på klienten länkar till en betrodd rotcertifikatutfärdare och inkluderar klientautentiseringssyftet i EKU-tilläggen (objektidentifieraren för serverautentisering är 1.3.6.1.5.5.7.3.2). Dessutom misslyckas inte certifikatet i kontrollerna som utförs av CryptoAPI, vilka har angetts i fjärråtkomstprincipen eller nätverksprincipen, eller i de kontroller som utförs av certifikatobjektidentifieraren, vilka har angetts i IAS-fjärråtkomstprincipen eller i NPS-nätverksprincipen.

  • 802.1X-klienten använder inte registerbaserade certifikat som är avsedda för inloggning med smartkort eller som är lösenordsskyddade.

  • Användarcertifikat har sitt UPN (User Principal Name) i tillägget Alternativt ämnesnamn (SubjectAltName). Så här konfigurerar du UPN i en certifikatmall:

    1. Öppna Certifikatmallar.

    2. Högerklicka på certifikatmallen du vill ändra och klicka sedan på Egenskaper.

    3. Klicka på fliken Ämnesnamn och sedan på Skapa utifrån följande Active Directory-information.

    4. I Inkludera följande information i alternativt ämnesnamn väljer du UPN-namn.

  • För datorcertifikat måste tillägget Alternativt ämnesnamn (SubjectAltName) i certifikatet innehålla klientens fullständigt kvalificerade domännamn (FQDN), även kallat DNS-namn. Så här konfigurerar du certifikatmallens fullständigt kvalificerade domännamn:

    1. Öppna Certifikatmallar.

    2. Högerklicka på certifikatmallen du vill ändra och klicka sedan på Egenskaper.

    3. Klicka på fliken Ämnesnamn och sedan på Skapa utifrån följande Active Directory-information.

    4. I Inkludera följande information i alternativt ämnesnamn väljer du DNS-namn.

Med PEAP-TLS och EAP-TLS visar klienter en lista över alla installerade certifikat i snapin-modulen för certifikat, med följande undantag:

  • Trådlösa klienter visar inte registerbaserade certifikat eller certifikat för inloggning med smartkort.

  • Trådlösa klienter och VPN-klienter visar inte lösenordsskyddade certifikat.

  • Certifikat som inte innehåller klientautentiseringssyftet i EKU-tilläggen visas inte.

Innehåll