Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen

Alle Zertifikate, die für die Netzwerkzugriffsauthentifizierung mit EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) und PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) verwendet werden, müssen die Anforderungen für X.509-Zertifikate erfüllen und für Verbindungen funktionieren, die Secure Socket Layer/Transport Level Security (SSL/TLS) verwenden. Sowohl Client- als auch Serverzertifikate haben zusätzliche Anforderungen.

Wichtig

Dieser Artikel enthält Anweisungen zum Konfigurieren von Zertifikatvorlagen. Um diese Anweisungen zu verwenden, müssen Sie ihre eigene Public Key-Infrastruktur (PKI) nach Bedarf mit Active Directory-Zertifikatdiensten (AD CS) bereitstellen.

Mindestanforderungen für Serverzertifikate

Mit PEAP-MS-CHAP v2, PEAP-TLS oder EAP-TLS als Authentifizierungsmethode muss der NPS ein Serverzertifikat verwenden, das die Mindestanforderungen für Serverzertifikate erfüllt.

Clientcomputer können so konfiguriert werden, dass Serverzertifikate mithilfe der Option Serverzertifikat überprüfen auf dem Clientcomputer oder in einer Gruppenrichtlinie überprüft werden.

Der Clientcomputer akzeptiert den Authentifizierungsversuch des Servers, wenn das Serverzertifikat die folgenden Anforderungen erfüllt:

• Der Antragstellername enthält einen Wert. Wenn Sie für Ihren Server, auf dem der Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird, ein Zertifikat ausstellen, das einen leeren Antragstellernamen aufweist, steht das Zertifikat nicht für die Authentifizierung Ihres Netzwerkrichtlinienservers zur Verfügung. So konfigurieren Sie die Zertifikatvorlage mit einem Antragstellernamen:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
  3. Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus.
  4. Wählen Sie im Format des Antragstellernamens einen anderen Wert als None aus.

• Das Computerzertifikat auf dem Server:

  • Kettet an eine vertrauenswürdige Stammzertifizierungsstelle (CA), die den Server Authentication-Zweck in EKU-Erweiterungen (der Objektbezeichner (OID) für Server Authentication ist 1.3.6.1.5.5.7.3.1) enthält und Folgendes übergibt:

    • Die von CryptoAPI durchgeführten Prüfungen
    • Die in der Remotezugriffsrichtlinie oder Netzwerkrichtlinie angegebenen Prüfungen

• Konfigurieren Sie das Serverzertifikat mit der erforderlichen Kryptografieeinstellung:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
  3. Wählen Sie die Registerkarte "Kryptografie " aus, und stellen Sie sicher, dass Sie Folgendes konfigurieren:
     • Anbieterkategorie: z. B. Schlüsselspeicheranbieter
     • Algorithmusname: z. B. RSA
     • Anbieter: z. B. Softwareschlüsselspeicher-Anbieter von Microsoft
     • Mindestschlüsselgröße: z. B. 2048
     • Hashalgorithmus: z. B. SHA256
  4. Wählen Sie Weiteraus.

• Die Erweiterung Alternativer Antragstellername (SubjectAltName) muss, sofern verwendet, den DNS-Namen des Servers enthalten. So konfigurieren Sie die Zertifikatvorlage mit dem DNS-Namen (Domain Name System) des registrierenden Servers:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
  3. Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus.
  4. Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen DNS-Name aus.

Wenn Benutzer PEAP und EAP-TLS verwenden, zeigt NPS eine Liste aller installierten Zertifikate im Computerzertifikatspeicher mit den folgenden Ausnahmen an:

• Zertifikate, die den Server Authentication-Zweck in EKU-Erweiterungen nicht enthalten, werden nicht angezeigt.

• Zertifikate, die keinen Antragstellernamen enthalten, werden nicht angezeigt.

• Registrierungsbasierte Zertifikate und Smartcard-Anmeldezertifikate werden nicht angezeigt.

Weitere Informationen finden Sie unter Bereitstellen von Serverzertifikaten für drahtgebundene und drahtlose 802.1X-Bereitstellungen.

Mindestanforderungen für Clientzertifikate

Bei EAP-TLS oder PEAP-TLS akzeptiert der Server den Clientauthentifizierungsversuch, wenn das Zertifikat die folgenden Anforderungen erfüllt:

• Das Clientzertifikat wurde von einer Unternehmenszertifizierungsstelle ausgestellt oder ist einem Benutzer- oder Computerkonto in Active Directory Domain Services (AD DS) zugeordnet.

• Das Benutzer- oder Computerzertifikat auf dem Client:

  • Kettet an eine vertrauenswürdige Stammzertifizierungsstelle, die den Client Authentication-Zweck in EKU-Erweiterungen (der OID für Client Authentication ist 1.3.6.1.5.5.7.3.2) enthält und Folgendes übergibt:

    • Die von CryptoAPI durchgeführten Prüfungen

    • Die in der Remotezugriffsrichtlinie oder Netzwerkrichtlinie angegebenen Prüfungen

    • Überprüfungen der Zertifikatobjektbezeichner, die in der NPS-Netzwerkrichtlinie angegeben sind.

• Der 802.1X-Client verwendet keine registrierungsbasierten Zertifikate, bei denen es sich entweder um Smartcard-Anmeldezertifikate oder kennwortgeschützte Zertifikate handelt.

• Für Benutzerzertifikate enthält die Erweiterung Alternativer Antragstellername (SubjectAltName) im Zertifikat den Benutzerprinzipalnamen (UPN). So konfigurieren Sie den UPN in einer Zertifikatvorlage:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
  3. Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus.
  4. Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen Benutzerprinzipalname (UPN) aus.

• Bei Computerzertifikaten muss die Erweiterung Alternativer Antragstellername (SubjectAltName) im Zertifikat den vollqualifizierten Domänennamen (FQDN) des Clients enthalten, der auch als DNS-Name bezeichnet wird. So konfigurieren Sie diesen Namen in der Zertifikatvorlage:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage, die Sie ändern möchten, und wählen Sie dann "Eigenschaften" aus.
  3. Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen aus.
  4. Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen DNS-Name aus.

Mit PEAP-TLS und EAP-TLS zeigen Clients eine Liste aller installierten Zertifikate im Zertifikate-Snap-In an, mit den folgenden Ausnahmen:

• Auf drahtlosen Clients werden keine registrierungsbasierten Zertifikate und Smartcard-Anmeldezertifikate angezeigt.

• Auf drahtlosen Clients und VPN-Clients werden keine kennwortgeschützten Zertifikate angezeigt.

• Zertifikate, die den Client Authentication-Zweck in EKU-Erweiterungen nicht enthalten, werden nicht angezeigt.

Siehe auch

• Netzwerkrichtlinienserver (Network Policy Server, NPS)

• Extensible Authentication Protocol (EAP) für den Netzwerkzugriff.

• Zertifikatanforderungen, wenn Sie EAP-TLS oder PEAP mit EAP-TLS verwenden