Configurer des modèles de certificats pour répondre aux besoins PEAP et EAP
Tous les certificats utilisés pour l’authentification d’accès réseau avec les protocoles EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) et PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) doivent répondre aux exigences des certificats X.509 et fonctionner pour les connexions qui utilisent SSL/TLS (Secure Socket Layer/Transport Level Security). Les certificats de client et de serveur ont des exigences supplémentaires, détaillées ci-dessous.
Important
Cette rubrique fournit des instructions pour la configuration des modèles de certificat. Pour utiliser ces instructions, il est nécessaire de déployer votre propre infrastructure à clé publique (PKI) avec les services de certificats Active Directory.
Conditions minimales requises pour le certificat de serveur
Avec PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS comme méthode d’authentification, le serveur NPS doit utiliser un certificat de serveur qui répond aux conditions minimales requises pour le certificat de serveur.
Les ordinateurs clients peuvent être configurés pour valider les certificats de serveur à l’aide de l’option Valider le certificat de serveur sur l’ordinateur client ou dans la stratégie de groupe.
L’ordinateur client accepte la tentative d’authentification du serveur lorsque le certificat du serveur répond aux conditions requises suivantes :
Le nom de l’objet contient une valeur. Si vous émettez un certificat vers votre serveur exécutant le serveur NPS (Network Policy Server) qui a un nom d’Objet vide, alors le certificat n’est pas disponible pour authentifier votre NPS. Pour configurer le modèle de certificat avec un nom d’objet :
- Ouvrez Modèles de certificats.
- Dans le volet Détails, cliquez avec le bouton droit sur le modèle de certificat que vous souhaitez modifier, puis cliquez sur Propriétés.
- Cliquez sur l'onglet Nom d'objet et sélectionnez Construire à partir de ces informations Active Directory.
- Dans Format du nom de l’objet, sélectionnez une valeur autre que Aucun.
Le certificat d’ordinateur sur le serveur :
- chaînes à une autorité de certification (CA) racine approuvée,
- inclut l’objectif
Server Authentication
dans les extensions EKU (l’identificateur d’objet (OID) pourServer Authentication
est1.3.6.1.5.5.7.3.1
), - et passe :
- les vérifications effectuées par CryptoAPI, et
- les vérifications spécifiées dans la stratégie d’accès à distance ou la stratégie réseau
Configurez le certificat de serveur avec le paramètre de chiffrement requis :
- Ouvrez Modèles de certificats.
- Dans le volet Détails, cliquez avec le bouton droit sur le modèle de certificat que vous souhaitez modifier, puis cliquez sur Propriétés.
- Cliquez sur l’onglet Chiffrement et veillez à configurer les éléments suivants :
- Catégorie de fournisseur : par exemple, Fournisseur de stockage de clés
- Nom de l’algorithme : par exemple, RSA
- Fournisseurs : par exemple, Fournisseur de stockage de clés logicielles Microsoft
- Taille de clé minimale : par exemple, 2048
- Algorithme de hachage : par exemple, SHA256
- Cliquez sur Suivant.
L’extension Autre nom de l'objet (SubjectAltName), si elle est utilisée, doit contenir le nom DNS du serveur. Pour configurer le modèle de certificat avec le nom DNS (Domain Name System) du serveur d’inscription :
- Ouvrez Modèles de certificats.
- Dans le volet Détails, cliquez avec le bouton droit sur le modèle de certificat que vous souhaitez modifier, puis cliquez sur Propriétés.
- Cliquez sur l'onglet Nom d'objet et sélectionnez Construire à partir de ces informations Active Directory.
- Dans Inclure cette information dans le nom de substitution du sujet, sélectionnez Nom DNS.
Lors de l’utilisation de PEAP et EAP-TLS, le serveur NPS affiche une liste de tous les certificats installés dans le magasin de certificats de l’ordinateur, avec les exceptions suivantes :
Les certificats qui ne contiennent pas l’objectif
Server Authentication
dans les extensions EKU ne sont pas affichés.Les certificats qui ne contiennent pas de nom d’Objet ne sont pas affichés.
Les certificats basés sur le registre et l’ouverture de session par carte à puce ne sont pas affichés.
Pour plus d’informations, consultez Déployer des certificats de serveur pour des déploiements câblés et sans fil 802.1X.
Conditions minimales requises pour les certificats client
Avec EAP-TLS ou PEAP-TLS, le serveur accepte la tentative d’authentification du client lorsque le certificat répond aux exigences suivantes :
Le certificat client est émis par une autorité de certification d’entreprise ou mappé à un compte d’utilisateur ou d’ordinateur dans Active Directory Domain Services (AD DS).
Le certificat d’utilisateur ou d’ordinateur sur le client :
- chaînes à une autorité de certification racine approuvée,
- inclut l’objectif
Client Authentication
dans les extensions EKU (l’OID pourClient Authentication
est1.3.6.1.5.5.7.3.2
), - et passe :
- les vérifications effectuées par CryptoAPI,
- les vérifications spécifiées dans la stratégie d’accès à distance ou la stratégie réseau et,
- l’identificateur d’objet de certificat vérifie que sont spécifiés dans la stratégie réseau NPS.
Le client 802.1X n’utilise pas de certificats basés sur le registre qui sont des certificats d’ouverture de session par carte à puce ou protégés par mot de passe.
Pour les certificats utilisateur, l’extension Autre nom de l'objet (SubjectAltName) dans le certificat contient le nom d’utilisateur principal (UPN). Pour configurer l’UPN dans le modèle de certificat :
- Ouvrez Modèles de certificats.
- Dans le volet Détails, cliquez avec le bouton droit sur le modèle de certificat que vous souhaitez modifier, puis cliquez sur Propriétés.
- Cliquez sur l'onglet Nom d'objet et sélectionnez Construire à partir de ces informations Active Directory.
- Dans Inclure ces informations dans un autre nom d’objet, sélectionnez Nom d’utilisateur principal (UPN).
Pour les certificats d’ordinateur, l’extension Autre nom de l'objet (SubjectAltName) dans le certificat doit contenir le nom de domaine complet (FQDN) du client, également appelé nom DNS. Pour configurer ce nom dans le modèle de certificat :
- Ouvrez Modèles de certificats.
- Dans le volet Détails, cliquez avec le bouton droit sur le modèle de certificat que vous souhaitez modifier, puis cliquez sur Propriétés.
- Cliquez sur l'onglet Nom d'objet et sélectionnez Construire à partir de ces informations Active Directory.
- Dans Inclure cette information dans le nom de substitution du sujet, sélectionnez Nom DNS.
Avec PEAP-TLS et EAP-TLS, les clients affichent la liste de tous les certificats installés dans le composant logiciel enfichable Certificats, avec les exceptions suivantes :
Les clients sans fil n’affichent pas les certificats basés sur le registre et l’ouverture de session par carte à puce.
Les clients sans fil et les clients VPN n’affichent pas de certificats protégés par mot de passe.
Les certificats qui ne contiennent pas l’objectif
Client Authentication
dans les extensions EKU ne sont pas affichés.
Pour plus d’informations sur le serveur NPS (Network Policy Server), consultez Serveur NPS (Network Policy Server).
Pour plus d’informations sur EAP, consultez Protocole d’authentification extensible (EAP) pour l’accès réseau.
Pour plus d’informations sur la résolution des problèmes de certificat avec NPS, consultez Exigences relatives aux certificats lorsque vous utilisez EAP-TLS ou PEAP avec EAP-TLS.