Configurer des modèles de certificat pour les exigences PEAP et EAP

Tous les certificats utilisés pour l’authentification d’accès réseau avec les protocoles EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) et PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) doivent répondre aux exigences des certificats X.509 et fonctionner pour les connexions qui utilisent SSL/TLS (Secure Socket Layer/Transport Level Security). Les certificats client et serveur ont des exigences supplémentaires.

Importante

Cet article fournit des instructions pour configurer des modèles de certificat. Pour utiliser ces instructions, vous devez déployer votre propre infrastructure à clé publique (PKI) avec Active Directory Certificate Services (AD CS) si nécessaire.

Conditions minimales requises pour le certificat de serveur

Avec PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS comme méthode d’authentification, le serveur NPS doit utiliser un certificat de serveur qui répond aux conditions minimales requises pour le certificat de serveur.

Les ordinateurs clients peuvent être configurés pour valider les certificats de serveur à l’aide de l’option Valider le certificat de serveur sur l’ordinateur client ou dans la stratégie de groupe.

L’ordinateur client accepte la tentative d’authentification du serveur lorsque le certificat du serveur répond aux conditions requises suivantes :

• Le nom de l’objet contient une valeur. Si vous émettez un certificat vers votre serveur exécutant le serveur NPS (Network Policy Server) avec un nom d’objet vide, le certificat ne pourra pas authentifier le NPS. Pour configurer le modèle de certificat avec un nom d’objet :

  1. Ouvrez Modèles de certificats.
  2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis sélectionnez Propriétés.
  3. Sélectionnez l'onglet Nom du sujet, puis sélectionnez Construire à partir de ces informations Active Directory.
  4. Dans Format du nom de l’objet, sélectionnez une valeur autre que Aucun.

• Le certificat d’ordinateur sur le serveur :

  • Chaînes vers une autorité de certification (CA) racine de confiance qui inclut l'objectif Server Authentication dans les extensions EKU (l'identifiant d'objet (OID) pour Server Authentication est 1.3.6.1.5.5.7.3.1), et réussit :

    • Vérifications effectuées par CryptoAPI
    • Vérifications spécifiées dans la stratégie d’accès à distance ou la stratégie réseau

• Configurez le certificat de serveur avec le paramètre de chiffrement requis :

  1. Ouvrez Modèles de certificats.
  2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis sélectionnez Propriétés.
  3. Sélectionnez l'onglet Cryptographie et assurez-vous de configurer ce qui suit :
     • Catégorie de fournisseur : par exemple, fournisseur de stockage de clés
     • Nom de l’algorithme : par exemple, RSA
     • Fournisseurs : par exemple, fournisseur de stockage de clés logicielles Microsoft
     • Taille de clé minimale : par exemple, 2 048
     • Algorithme de hachage : par exemple, SHA256
  4. Sélectionnez suivant.

• L’extension Autre nom de l'objet (SubjectAltName), si elle est utilisée, doit contenir le nom DNS du serveur. Pour configurer le modèle de certificat avec le nom DNS (Domain Name System) du serveur d’inscription :

  1. Ouvrez Modèles de certificats.
  2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis sélectionnez Propriétés.
  3. Sélectionnez l'onglet Nom du sujet, puis sélectionnez Construire à partir de ces informations Active Directory.
  4. Dans Inclure cette information dans le nom de substitution du sujet, sélectionnez Nom DNS.

Lorsque les utilisateurs utilisent PEAP et EAP-TLS, NPS affiche une liste de tous les certificats installés dans le magasin de certificats d’ordinateur, avec les exceptions suivantes :

• Les certificats qui ne contiennent pas l’objectif Server Authentication dans les extensions EKU ne sont pas affichés.

• Les certificats qui ne contiennent pas de nom d’objet ne sont pas affichés.

• Les certificats basés sur le registre et l’ouverture de session par carte à puce ne sont pas affichés.

Pour plus d’informations, consultez Déployer des certificats de serveur pour des déploiements câblés et sans fil 802.1X.

Conditions minimales requises pour les certificats client

Avec EAP-TLS ou PEAP-TLS, le serveur accepte la tentative d’authentification du client lorsque le certificat répond aux exigences suivantes :

• Le certificat client est émis par une autorité de certification d’entreprise ou mappé à un compte d’utilisateur ou d’ordinateur dans Active Directory Domain Services (AD DS).

• Le certificat d’utilisateur ou d’ordinateur sur le client :

  • Chaine vers une autorité de certification racine de confiance qui inclut l'objectif Client Authentication dans les extensions EKU (l'OID pour Client Authentication est 1.3.6.1.5.5.7.3.2), et réussit :

    • Vérifications effectuées par CryptoAPI

    • Vérifications spécifiées dans la stratégie d’accès à distance ou la stratégie réseau

    • Les vérifications de l'identifiant de l'objet du certificat spécifiées dans la stratégie du réseau NPS.

• Le client 802.1X n’utilise pas de certificats basés sur le registre qui sont des certificats d’ouverture de session par carte à puce ou protégés par mot de passe.

• Pour les certificats utilisateur, l’extension Autre nom de l'objet (SubjectAltName) dans le certificat contient le nom d’utilisateur principal (UPN). Pour configurer l’UPN dans le modèle de certificat :

  1. Ouvrez Modèles de certificats.
  2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis sélectionnez Propriétés.
  3. Sélectionnez l'onglet Nom du sujet, puis sélectionnez Construire à partir de ces informations Active Directory.
  4. Dans Inclure ces informations dans un autre nom d’objet, sélectionnez Nom d’utilisateur principal (UPN).

• Pour les certificats d’ordinateur, l’extension Autre nom de l'objet (SubjectAltName) dans le certificat doit contenir le nom de domaine complet (FQDN) du client, également appelé nom DNS. Pour configurer ce nom dans le modèle de certificat :

  1. Ouvrez Modèles de certificats.
  2. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis sélectionnez Propriétés.
  3. Sélectionnez l'onglet Nom du sujet, puis sélectionnez Construire à partir de ces informations Active Directory.
  4. Dans Inclure cette information dans le nom de substitution du sujet, sélectionnez Nom DNS.

Avec PEAP-TLS et EAP-TLS, les clients affichent la liste de tous les certificats installés dans le composant logiciel enfichable Certificats, avec les exceptions suivantes :

• Les clients sans fil n’affichent pas les certificats basés sur le registre et l’ouverture de session par carte à puce.

• Les clients sans fil et les clients VPN n’affichent pas les certificats protégés par mot de passe.

• Les certificats qui ne contiennent pas l’objectif Client Authentication dans les extensions EKU ne sont pas affichés.

Voir aussi

• Serveur de stratégie réseau (NPS).

• Protocole EAP (Extensible Authentication Protocol) pour l’accès réseau.

• Exigences de certificat lorsque vous utilisez EAP-TLS ou PEAP avec EAP-TLS