Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği (EAP-TLS), Korumalı Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği (PEAP-TLS) ve PEAP-Microsoft Karşılıklı Kimlik Doğrulama Protokolü sürüm 2 (MS-CHAP v2) ile ağ erişimi kimlik doğrulaması için kullanılan tüm sertifikaların X.509 sertifikalarının gereksinimlerini karşılamaları ve Güvenli Yuva Katmanı/Aktarım Düzeyi Güvenliği (SSL/TLS) kullanılan bağlantılar için kullanılabilmeleri gerekir. Hem istemci hem de sunucu sertifikalarının ek gereksinimleri vardır.

En düşük sunucu sertifikası gereksinimleri

Kimlik doğrulama yöntemi olarak PEAP-MS-CHAP v2, PEAP-TLS veya EAP-TLS ile, NPS sunucusunun minimum sunucu sertifikası gereksinimlerini karşılayan bir sunucu sertifikası kullanması gerekir.

İstemci bilgisayarlar, istemci bilgisayarda veya Grup İlkesi'nde Sunucu sertifikasını doğrula seçeneği kullanılarak sunucu sertifikalarını doğrulamak için yapılandırılabilir.

Sunucu sertifikası aşağıdaki gereksinimleri karşıladığında, istemci bilgisayar sunucunun kimlik doğrulama girişimini kabul eder:

  • Konu adı bir değer içerir. Ağ İlkesi Sunucusu (NPS) çalışan sunucunuza boş bir Konu adı içeren bir sertifika yayımlarsanız, bu sertifika, NPS sunucunuzda kimlik doğrulaması için kullanılamaz. Sertifika şablonunu bir Konu adıyla yapılandırmak için:

    1. Sertifika Şablonları'nı açın.

    2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.

    3. Konu Adı sekmesini ve sonra da Bu Active Directory bilgisinden oluştur'u tıklatın.

    4. Konu adı biçimi alanında, Yok dışında bir değer seçin.

  • Sunucudaki bilgisayar sertifikası bir güvenilen kök sertifika yetkilisi (CA) ile zincir oluşturur ve CryptoAPI tarafından gerçekleştirilen ve uzaktan erişim ilkesinde veya ağ ilkesinde belirtilen tüm denetimleri geçer.

  • NPS sunucusunun veya VPN sunucusunun bilgisayar sertifikası, Genişletilmiş Anahtar Kullanımı (EKU) uzantılarında Sunucu Kimlik Doğrulaması amacıyla yapılandırılır. (Sunucu Kimlik Doğrulaması için nesne tanımlayıcısı, 1.3.6.1.5.5.7.3.1 şeklindedir.)

  • Sunucu sertifikası RSA için gerekli bir algoritma değeriyle yapılandırılmıştır. Gerekli şifreleme ayarını yapılandırmak için:

    1. Sertifika Şablonları'nı açın.

    2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.

    3. Şifreleme sekmesini tıklatın. Algoritma adı alanında RSA'yı tıklatın. En az anahtar boyutu değerinin 2048 olarak ayarlandığından emin olun.

  • Konu Diğer Adı (SubjectAltName) uzantısı kullanılmışsa, sunucunun DNS adını içermelidir. Sertifika şablonunu kaydolunan sunucunun Etki Alanı Adı Sistemi (DNS) adıyla yapılandırmak için:

    1. Sertifika Şablonları'nı açın.

    2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.

    3. Konu Adı sekmesini ve sonra da Bu Active Directory bilgisinden oluştur'u tıklatın.

    4. Diğer ilgili adı için bu bilgiyi içer alanında DNS adı'nı seçin.

PEAP ve EAP-TLS kullanırken, NPS sunucuları aşağıdaki özel durumlar dışında bilgisayarın sertifika deposundaki tüm yüklü sertifikaların listesini görüntüler:

  • EKU uzantılarında Sunucu Kimlik Doğrulaması amacını içermeyen sertifikalar görüntülenmez.

  • Konu adı içermeyen sertifikalar görüntülenmez.

  • Kayıt defteri tabanlı ve akıllı kart oturumu açma sertifikaları görüntülenmez.

En düşük istemci sertifikası gereksinimleri

EAP-TLS veya PEAP-TLS kullanıldığında, sertifika aşağıdaki gereksinimleri karşılıyorsa sunucu istemcinin kimlik doğrulama girişimini kabul eder:

  • İstemci sertifikası bir kuruluş CA'sı tarafından yayımlanmış veya Active Directory® Etki Alanı Hizmetleri'ndeki (AD DS) bir kullanıcı veya bilgisayar hesabıyla eşleştirilmiştir.

  • İstemcideki kullanıcı veya bilgisayar sertifikası güvenilen bir kök CA ile zincir oluşturur, EKU uzantılarında İstemci Kimlik Doğrulaması amacını içerir (İstemci Kimlik Doğrulaması için nesne tanımlayıcısı 1.3.6.1.5.5.7.3.2'dir) ve CryptoAPI tarafından gerçekleştirilen ve uzaktan erişim ilkesinde veya ağ ilkesinde belirtilen denetimlerini ya da IAS uzaktan erişim ilkesinde veya NPS ağ ilkesinde belirtilen Sertifika nesne tanımlayıcısı denetimlerini geçer.

  • 802.1X istemcisi akıllı kart oturumu açma veya parola korumalı sertifikalar olan kayıt defteri tabanlı sertifikaları kullanmaz.

  • Kullanıcı sertifikaları için, sertifikadaki Konu Diğer Adı (SubjectAltName) uzantısı, kullanıcı asıl adını (UPN) içerir. Sertifika şablonunda UPN'yi yapılandırmak için:

    1. Sertifika Şablonları'nı açın.

    2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.

    3. Konu Adı sekmesini ve sonra da Bu Active Directory bilgisinden oluştur'u tıklatın.

    4. Diğer ilgili adı için bu bilgiyi içer alanında Kullanıcı asıl adı (UPN) seçeneğini belirleyin.

  • Bilgisayar sertifikaları için, sertifikadaki Konu Diğer Adı (SubjectAltName) uzantısı, istemcinin DNS adı olarak da bilinen tam etki alanı adını (FQDN) içermelidir. Sertifika şablonunda bu adı yapılandırmak için:

    1. Sertifika Şablonları'nı açın.

    2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.

    3. Konu Adı sekmesini ve sonra da Bu Active Directory bilgisinden oluştur'u tıklatın.

    4. Diğer ilgili adı için bu bilgiyi içer alanında DNS adı'nı seçin.

PEAP-TLS ve EAP-TLS kullanıldığında, istemciler aşağıdaki özel durumlar dışında Sertifikalar ek bileşenindeki tüm yüklü sertifikaların listesini görüntüler:

  • Kablosuz istemciler kayıt defteri tabanlı ve akıllı kart oturumu açma sertifikalarını görüntülemez.

  • Kablosuz istemciler ve VPN istemciler parola korumalı sertifikaları görüntülemez.

  • EKU uzantılarında İstemci Kimlik Doğrulaması amacını içermeyen sertifikalar görüntülenmez.


İçindekiler