用於透過可延伸的驗證通訊協定-傳輸層安全性 (EAP-TLS)、受保護的可延伸驗證通訊協定-傳輸層安全性 (PEAP-TLS) 以及 PEAP-Microsoft Challenge Handshake 驗證通訊協定第 2 版 (MS-CHAP v2) 進行網路存取驗證的所有憑證,都必須符合 X.509 憑證的需求,並且可用於使用安全通訊端層/傳輸層安全性 (SSL/TLS) 的連線。用戶端與伺服器憑證都有其他需求。

伺服器憑證的最低需求

透過將 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 做為驗證方法,NPS 伺服器必須使用符合伺服器憑證最低需求的伺服器憑證:

透過使用用戶端電腦上或群組原則中的 [確認伺服器憑證] 選項,可以設定用戶端電腦以驗證伺服器憑證。

當伺服器憑證符合下列需求時,用戶端電腦會接受伺服器的驗證嘗試:

  • 主體名稱包含值。如果您將憑證簽發給具有空白主體名稱且執行網路原則伺服器 (NPS) 的伺服器,便無法使用憑證驗證 NPS 伺服器。使用主體名稱設定憑證範本:

    1. 開啟憑證範本。

    2. 在詳細資料窗格中,在您要變更的憑證範本上按一下滑鼠右鍵,然後按一下 [內容]

    3. 按一下 [主體名稱] 索引標籤,然後按一下 [用這項 Active Directory 資訊來建立]

    4. [主體名稱格式] 中,選取 [無] 以外的值。

  • 伺服器電腦憑證會鏈結到受信任的根憑證授權單位 (CA),而且不會使 CryptoAPI 執行的任何檢查以及在遠端存取原則或網路原則中指定的任何檢查失敗。

  • NPS 伺服器或 VPN 伺服器的電腦憑證是以擴充金鑰使用方法 (EKU) 延伸中的伺服器驗證目的所設定 (伺服器驗證的物件識別碼為 1.3.6.1.5.5.7.3.1)。

  • 伺服器憑證是以必要的 RSA 演算法值設定。設定所需的加密編譯設定:

    1. 開啟憑證範本。

    2. 在詳細資料窗格中,在您要變更的憑證範本上按一下滑鼠右鍵,然後按一下 [內容]

    3. 按一下 [加密編譯] 索引標籤。在 [演算法名稱] 中,按一下 RSA。請確定 [最小金鑰大小] 設定為 2048。

  • 如果使用主體別名 (SubjectAltName) 延伸,必須包含伺服器的 DNS 名稱。使用註冊伺服器的網域名稱系統 (DNS) 名稱來設定憑證範本:

    1. 開啟憑證範本。

    2. 在詳細資料窗格中,在您要變更的憑證範本上按一下滑鼠右鍵,然後按一下 [內容]

    3. 按一下 [主體名稱] 索引標籤,然後按一下 [用這項 Active Directory 資訊來建立]

    4. [在次要主體名稱中包含這些資訊] 中,選取 [DNS 名稱]

使用 PEAP 與 EAP-TLS 時,NPS 伺服器會顯示電腦憑證存放區中所有已安裝憑證的清單,但是下列狀況例外:

  • 不會顯示在 EKU 延伸中不包含伺服器驗證目的之憑證。

  • 不會顯示不包含主體名稱的憑證。

  • 不會顯示已登錄的憑證以及智慧卡登入憑證。

用戶端憑證的最低需求

透過 EAP-TLS 或 PEAP-TLS,當憑證符合下列需求時,伺服器會接受用戶端驗證嘗試:

  • 用戶端憑證是由企業 CA 所發行,或者對應到 Active Directory(R) 網域服務 (AD DS) 中的使用者或電腦帳戶。

  • 用戶端的使用者或電腦憑證會鏈結到信任的根 CA,包括在 EKU 延伸 (用戶端驗證的物件識別碼是 1.3.6.1.5.5.7.3.2) 中的用戶端驗證目的,並且不會使 CryptoAPI 執行的檢查以及在遠端存取原則或網路原則中指定的檢查失敗,也不會使在 IAS 遠端存取原則或 NPS 網路原則中指定的憑證物件識別碼檢查失敗。

  • 802.1X 用戶端不會使用已登錄的憑證,它們包括智慧卡登入憑證或是受密碼保護的憑證。

  • 針對使用者憑證,憑證中的主體別名 (SubjectAltName) 延伸包含使用者主要名稱 (UPN)。在憑證範本中設定 UPN:

    1. 開啟憑證範本。

    2. 在詳細資料窗格中,在您要變更的憑證範本上按一下滑鼠右鍵,然後按一下 [內容]

    3. 按一下 [主體名稱] 索引標籤,然後按一下 [用這項 Active Directory 資訊來建立]

    4. [在次要主體名稱中包含這些資訊] 中,選取 [使用者主體名稱 (UPN)]

  • 針對電腦憑證,憑證中的主體別名 (SubjectAltName) 延伸必須包含用戶端的完整網域名稱 (FQDN),又稱為「DNS 名稱」。在憑證範本中設定此名稱:

    1. 開啟憑證範本。

    2. 在詳細資料窗格中,在您要變更的憑證範本上按一下滑鼠右鍵,然後按一下 [內容]

    3. 按一下 [主體名稱] 索引標籤,然後按一下 [用這項 Active Directory 資訊來建立]

    4. [在次要主體名稱中包含這些資訊] 中,選取 [DNS 名稱]

透過 PEAP-TLS 與 EAP-TLS,用戶端會顯示在 [憑證] 嵌入式管理單元中的所有已安裝憑證清單,但是下列狀況例外:

  • 無線用戶端不會顯示已登錄的憑證以及智慧卡登入憑證。

  • 無線用戶端與 VPN 用戶端不會顯示受密碼保護的憑證。

  • 不會顯示在 EKU 延伸中不包含用戶端驗證目的之憑證。

目錄