Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Alle Zertifikate, die für die Netzwerkzugriffsauthentifizierung mit EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) und PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) verwendet werden, müssen die Anforderungen für X.509-Zertifikate erfüllen und für Verbindungen funktionieren, die Secure Socket Layer/Transport Level Security (SSL/TLS) verwenden. Sowohl Client- als auch Serverzertifikate haben zusätzliche Anforderungen.
Wichtig
Dieser Artikel enthält Anweisungen zum Konfigurieren von Zertifikatvorlagen. Um diese Anweisungen zu verwenden, müssen Sie ihre eigene Public Key-Infrastruktur (PKI) nach Bedarf mit Active Directory-Zertifikatdiensten (AD CS) bereitstellen.
Mindestanforderungen für Serverzertifikate
Mit PEAP-MS-CHAP v2, PEAP-TLS oder EAP-TLS als Authentifizierungsmethode muss der NPS ein Serverzertifikat verwenden, das die Mindestanforderungen für Serverzertifikate erfüllt.
Clientcomputer können so konfiguriert werden, dass Serverzertifikate mithilfe der Option Serverzertifikat überprüfen auf dem Clientcomputer oder in einer Gruppenrichtlinie überprüft werden.
Der Clientcomputer akzeptiert den Authentifizierungsversuch des Servers, wenn das Serverzertifikat die folgenden Anforderungen erfüllt:
Der Antragstellername enthält einen Wert. Wenn Sie für Ihren Server, auf dem der Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird, ein Zertifikat ausstellen, das einen leeren Antragstellernamen aufweist, steht das Zertifikat nicht für die Authentifizierung Ihres Netzwerkrichtlinienservers zur Verfügung. So konfigurieren Sie die Zertifikatvorlage mit einem Antragstellernamen:
- Öffnen Sie Zertifikatvorlagen.
- Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
- Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus.
- Wählen Sie im Format des Antragstellernamens einen anderen Wert als None aus.
Das Computerzertifikat auf dem Server:
Kettet an eine vertrauenswürdige Stammzertifizierungsstelle (CA), die den
Server Authentication
-Zweck in EKU-Erweiterungen (der Objektbezeichner (OID) fürServer Authentication
ist1.3.6.1.5.5.7.3.1
) enthält und Folgendes übergibt:- Die von CryptoAPI durchgeführten Prüfungen
- Die in der Remotezugriffsrichtlinie oder Netzwerkrichtlinie angegebenen Prüfungen
Konfigurieren Sie das Serverzertifikat mit der erforderlichen Kryptografieeinstellung:
- Öffnen Sie Zertifikatvorlagen.
- Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
- Wählen Sie die Registerkarte "Kryptografie " aus, und stellen Sie sicher, dass Sie Folgendes konfigurieren:
- Anbieterkategorie: z. B. Schlüsselspeicheranbieter
- Algorithmusname: z. B. RSA
- Anbieter: z. B. Softwareschlüsselspeicher-Anbieter von Microsoft
- Mindestschlüsselgröße: z. B. 2048
- Hashalgorithmus: z. B. SHA256
- Wählen Sie Weiteraus.
Die Erweiterung Alternativer Antragstellername (SubjectAltName) muss, sofern verwendet, den DNS-Namen des Servers enthalten. So konfigurieren Sie die Zertifikatvorlage mit dem DNS-Namen (Domain Name System) des registrierenden Servers:
- Öffnen Sie Zertifikatvorlagen.
- Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
- Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus.
- Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen DNS-Name aus.
Wenn Benutzer PEAP und EAP-TLS verwenden, zeigt NPS eine Liste aller installierten Zertifikate im Computerzertifikatspeicher mit den folgenden Ausnahmen an:
Zertifikate, die den
Server Authentication
-Zweck in EKU-Erweiterungen nicht enthalten, werden nicht angezeigt.Zertifikate, die keinen Antragstellernamen enthalten, werden nicht angezeigt.
Registrierungsbasierte Zertifikate und Smartcard-Anmeldezertifikate werden nicht angezeigt.
Weitere Informationen finden Sie unter Bereitstellen von Serverzertifikaten für drahtgebundene und drahtlose 802.1X-Bereitstellungen.
Mindestanforderungen für Clientzertifikate
Bei EAP-TLS oder PEAP-TLS akzeptiert der Server den Clientauthentifizierungsversuch, wenn das Zertifikat die folgenden Anforderungen erfüllt:
Das Clientzertifikat wurde von einer Unternehmenszertifizierungsstelle ausgestellt oder ist einem Benutzer- oder Computerkonto in Active Directory Domain Services (AD DS) zugeordnet.
Das Benutzer- oder Computerzertifikat auf dem Client:
Kettet an eine vertrauenswürdige Stammzertifizierungsstelle, die den
Client Authentication
-Zweck in EKU-Erweiterungen (der OID fürClient Authentication
ist1.3.6.1.5.5.7.3.2
) enthält und Folgendes übergibt:Die von CryptoAPI durchgeführten Prüfungen
Die in der Remotezugriffsrichtlinie oder Netzwerkrichtlinie angegebenen Prüfungen
Überprüfungen der Zertifikatobjektbezeichner, die in der NPS-Netzwerkrichtlinie angegeben sind.
Der 802.1X-Client verwendet keine registrierungsbasierten Zertifikate, bei denen es sich entweder um Smartcard-Anmeldezertifikate oder kennwortgeschützte Zertifikate handelt.
Für Benutzerzertifikate enthält die Erweiterung Alternativer Antragstellername (SubjectAltName) im Zertifikat den Benutzerprinzipalnamen (UPN). So konfigurieren Sie den UPN in einer Zertifikatvorlage:
- Öffnen Sie Zertifikatvorlagen.
- Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
- Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus.
- Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen Benutzerprinzipalname (UPN) aus.
Bei Computerzertifikaten muss die Erweiterung Alternativer Antragstellername (SubjectAltName) im Zertifikat den vollqualifizierten Domänennamen (FQDN) des Clients enthalten, der auch als DNS-Name bezeichnet wird. So konfigurieren Sie diesen Namen in der Zertifikatvorlage:
- Öffnen Sie Zertifikatvorlagen.
- Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
- Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus.
- Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen DNS-Name aus.
Mit PEAP-TLS und EAP-TLS zeigen Clients eine Liste aller installierten Zertifikate im Zertifikate-Snap-In an, mit den folgenden Ausnahmen:
Auf drahtlosen Clients werden keine registrierungsbasierten Zertifikate und Smartcard-Anmeldezertifikate angezeigt.
Auf drahtlosen Clients und VPN-Clients werden keine kennwortgeschützten Zertifikate angezeigt.
Zertifikate, die den
Client Authentication
-Zweck in EKU-Erweiterungen nicht enthalten, werden nicht angezeigt.