Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque vous utilisez le protocole EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ou le protocole PEAP (Protected Extensible Authentication Protocol) avec EAP-TLS, vos certificats client et serveur doivent répondre à certaines exigences.
S’applique à : Windows 11, Windows 10
Numéro de base de connaissances d’origine : 814394
Résumé
Lorsque vous utilisez EAP avec un type EAP fort, tel que TLS avec des cartes à puce ou TLS avec des certificats, le client et le serveur utilisent des certificats pour vérifier les identités entre elles. Les certificats doivent répondre à des exigences spécifiques sur le serveur et le client pour une authentification réussie.
Le certificat doit être configuré avec un ou plusieurs objectifs dans les extensions EKU (Extended Key Usage) qui correspondent à l’utilisation du certificat. Par exemple, un certificat utilisé pour l’authentification d’un client sur un serveur doit être configuré à l’aide de l’objectif d’authentification du client. Ou un certificat utilisé pour l’authentification d’un serveur doit être configuré à l’aide de l’objectif d’authentification du serveur. Lorsque les certificats sont utilisés pour l’authentification, l’authentificateur examine le certificat client et recherche l’identificateur d’objet (OID) approprié dans les extensions de référence EKU. Par exemple, l’OID pour l’authentificationclient est 1.3.6.1.5.5.7.3.2, et l’OID pour l’authentification serveur est 1.3.6.1.5.5.7.3.1.
Configuration minimale requise pour les certificats
Tous les certificats utilisés pour l’authentification d’accès réseau doivent répondre aux exigences des certificats X.509. Ils doivent également répondre aux exigences relatives aux connexions qui utilisent le chiffrement SSL (Secure Sockets Layer) et le chiffrement TLS (Transport Level Security). Une fois ces exigences minimales remplies, les certificats clients et les certificats serveur doivent répondre aux exigences supplémentaires suivantes.
Conditions requises pour les certificats clients
Avec EAP-TLS ou PEAP avec EAP-TLS, le serveur accepte l’authentification du client lorsque le certificat répond aux exigences suivantes :
Le certificat client est émis par une autorité de certification d’entreprise. Ou il est mappé à un compte d’utilisateur ou à un compte d’ordinateur dans le service d’annuaire Active Directory.
L’utilisateur ou le certificat d’ordinateur sur le client chaîne à une autorité de certification racine approuvée.
L’utilisateur ou le certificat d’ordinateur sur le client inclut l’objectif d’authentification du client.
L’utilisateur ou le certificat d’ordinateur n’échoue pas à l’une des vérifications effectuées par le magasin de certificats CryptoAPI. Et le certificat passe les exigences dans la stratégie d’accès à distance.
L’utilisateur ou le certificat d’ordinateur n’échoue pas à l’une des vérifications OID de certificat spécifiées dans la stratégie d’accès à distance npS (Network Policy Server).
Le client 802.1X n’utilise pas de certificats basés sur le Registre qui sont des certificats de carte à puce ou des certificats protégés par un mot de passe.
L’extension Subject Alternative Name (SubjectAltName) dans le certificat contient le nom d’utilisateur principal (UPN) de l’utilisateur.
Lorsque les clients utilisent EAP-TLS ou PEAP avec l’authentification EAP-TLS, une liste de tous les certificats installés s’affiche dans le composant logiciel enfichable Certificats, avec les exceptions suivantes :
- Les clients sans fil n’affichent pas de certificats basés sur le Registre et de certificats d’ouverture de session de carte à puce.
- Les clients sans fil et les clients de réseau privé virtuel (VPN) n’affichent pas de certificats protégés par un mot de passe.
- Les certificats qui ne contiennent pas l’objectif d’authentification du client dans les extensions EKU ne sont pas affichés.
Exigences des certificats de serveur
Vous pouvez configurer des clients pour valider des certificats de serveur à l’aide de l’option Valider le certificat de serveur. Cette option se trouve sous l’onglet Authentification dans les propriétés de connexion réseau. Lorsqu’un client utilise l’authentification PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) version 2, PEAP avec l’authentification EAP-TLS ou l’authentification EAP-TLS, le client accepte le certificat du serveur lorsque le certificat répond aux exigences suivantes :
Le certificat d’ordinateur sur le serveur est lié à l’une des autorités de certification suivantes :
Autorité de certification racine Microsoft approuvée.
Une autorité de certification racine autonome Microsoft ou une autorité de certification racine tierce dans un domaine Active Directory disposant d’un magasin NTAuthCertificates qui contient le certificat racine publié. Pour plus d’informations sur l’importation de certificats d’autorité de certification tiers, consultez Comment importer des certificats d’autorité de certification tierce dans le magasin Enterprise NTAuth.
Le certificat d’ordinateur serveur NPS ou VPN est configuré avec l’objectif d’authentification du serveur. L’OID pour l’authentification serveur est
1.3.6.1.5.5.7.3.1.Le certificat d’ordinateur n’échoue pas à l’une des vérifications effectuées par le magasin de certificats CryptoAPI. Il n’échoue pas à l’une des exigences de la stratégie d’accès à distance.
Le nom dans la ligne Objet du certificat de serveur correspond au nom configuré sur le client pour la connexion.
Pour les clients sans fil, l’extension Subject Alternative Name (SubjectAltName) contient le nom de domaine complet (FQDN) du serveur.
Si le client est configuré pour approuver un certificat de serveur avec un nom spécifique, l’utilisateur est invité à décider d’approuver un certificat avec un autre nom. Si l’utilisateur rejette le certificat, l’authentification échoue. Si l’utilisateur accepte le certificat, le certificat est ajouté au magasin de certificats racine approuvé de l’ordinateur local.
Note
Avec l’authentification PEAP ou EAP-TLS, les serveurs affichent la liste de tous les certificats installés dans le composant logiciel enfichable Certificats. Toutefois, seuls les certificats qui contiennent l’objectif d’authentification du serveur dans les extensions EKU sont affichés.