Configurare i modelli di certificato per i requisiti PEAP e EAP

Tutti i certificati usati per l'autenticazione di accesso alla rete con Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) e PEAP-Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2) devono soddisfare i requisiti per i certificati X.509 e per le connessioni che usano Secure Socket Layer/Transport Level Security (SSL/TLS). I certificati client e server hanno requisiti aggiuntivi.

Importante

Questo articolo fornisce istruzioni per la configurazione dei modelli di certificato. Per usare queste istruzioni, è necessario distribuire la propria infrastruttura a chiave pubblica (PKI) con Servizi certificati Active Directory (AD CS) in base alle esigenze.

Requisiti minimi dei certificati server

Con PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS come metodo di autenticazione, il server dei criteri di rete deve usare un certificato server che soddisfi i requisiti minimi del certificato del server.

I computer client possono essere configurati per convalidare i certificati server usando l'opzione Convalida certificato server nel computer client o in Criteri di gruppo.

Il computer client accetta il tentativo di autenticazione del server quando il certificato del server soddisfa i requisiti seguenti:

• Il nome soggetto contiene un valore. Se si rilascia un certificato al server che esegue Server dei criteri di rete (NPS) con un nome soggetto vuoto, il certificato non è disponibile per l'autenticazione del server dei criteri di rete. Per configurare il modello di certificato con un nome soggetto:

  1. Aprire Modelli di certificato.
  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato da modificare e quindi scegliere Proprietà .
  3. Selezionare la scheda Nome soggetto e quindi selezionare Compila da queste informazioni di Active Directory.
  4. In Formato nome soggetto, selezionare un valore diverso da Nessuno.

• Certificato del computer nel server:

  • Si collega a un'autorità di certificazione radice fidata (CA) che include la funzione nelle estensioni EKU (l'identificatore di oggetto (OID) per Server Authentication è Server Authentication), e passa:

    • I controlli eseguiti da CryptoAPI
    • Controlli specificati nei criteri di accesso remoto o nei criteri di rete

• Configurare il certificato del server con l'impostazione di crittografia necessaria:

  1. Aprire Modelli di certificato.
  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato da modificare e quindi scegliere Proprietà.
  3. Selezionare la scheda Crittografia e assicurarsi di configurare quanto segue:
     • Categoria del provider: ad esempio, Provider archiviazione chiavi
     • Nome algoritmo: ad esempio, RSA
     • Provider: ad esempio, Provider archiviazione chiavi software Microsoft
     • Dimensioni minime della chiave: ad esempio, 2048
     • Algoritmo hash: ad esempio, SHA256
  4. Seleziona Avanti.

• L'estensione Subject Alternative Name (SubjectAltName), se usata, deve contenere il nome DNS del server. Per configurare il modello di certificato con il nome DNS (Domain Name System) del server di registrazione:

  1. Aprire Modelli di certificato.
  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato da modificare e quindi scegliere Proprietà .
  3. Selezionare la scheda Nome soggetto e quindi selezionare Compila da queste informazioni di Active Directory.
  4. In Includi queste informazioni nel nome soggetto alternativo, selezionare Nome DNS.

Quando gli utenti utilizzano PEAP e EAP-TLS, NPS visualizza un elenco di tutti i certificati installati nell'archivio certificati del computer, con le eccezioni seguenti:

• I certificati che non contengono lo scopo Server Authentication nelle estensioni EKU non vengono visualizzati.

• I certificati che non contengono un nome soggetto non vengono visualizzati.

• I certificati basati sul Registro di sistema e sull'accesso tramite smart card non vengono visualizzati.

Per maggiori informazioni, consultare la sezione Distribuzione di certificati server per distribuzioni cablate e wireless 802.1X.

Requisiti minimi per i certificati client

Con EAP-TLS o PEAP-TLS, il server accetta il tentativo di autenticazione client quando il certificato soddisfa i requisiti seguenti:

• Il certificato client viene rilasciato da una CA aziendale o mappato a un account utente o computer in Active Directory Domain Services (AD DS).

• Il certificato utente o computer nel client:

  • Concatena a una CA radice attendibile che include lo Client Authentication scopo nelle estensioni EKU (l'OID per Client Authentication è 1.3.6.1.5.5.7.3.2) e passa:

    • I controlli eseguiti da CryptoAPI

    • Controlli specificati nei criteri di accesso remoto o nei criteri di rete

    • L'identificatore dell'oggetto certificato verifica i controlli specificati nei criteri di rete NPS.

• Il client 802.1X non usa certificati basati sul registro che sono certificati con accesso tramite smart card o certificati protetti da password.

• Per i certificati utente, l'estensione Subject Alternative Name (SubjectAltName) nel certificato contiene il nome dell'entità utente (UPN). Per configurare l'UPN in un modello di certificato:

  1. Aprire Modelli di certificato.
  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato da modificare e quindi scegliere Proprietà.
  3. Selezionare la scheda Nome soggetto e quindi selezionare Compila da queste informazioni di Active Directory.
  4. In Includi queste informazioni nel nome soggetto alternativo, selezionare Nome entità utente (UPN).

• Per i certificati computer, l'estensione Subject Alternative Name (SubjectAltName) nel certificato deve contenere il nome di dominio completo (FQDN) del client, detto anche Nome DNS. Per configurare questo nome nel modello di certificato:

  1. Aprire Modelli di certificato.
  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato da modificare e quindi scegliere Proprietà.
  3. Selezionare la scheda Nome soggetto e quindi selezionare Compila da queste informazioni di Active Directory.
  4. In Includi queste informazioni nel nome soggetto alternativo, selezionare Nome DNS.

Con PEAP-TLS e EAP-TLS, i client visualizzano un elenco di tutti i certificati installati nello snap-in Certificati, con le eccezioni seguenti:

• I client wireless non visualizzano certificati di accesso basati sul registro e smart card.

• I client wireless e i client VPN non visualizzano certificati protetti da password.

• I certificati che non contengono lo scopo Client Authentication nelle estensioni EKU non vengono visualizzati.

Vedere anche

• Server dei criteri di rete (Network Policy Server, NPS).

• Extensible Authentication Protocol (EAP) per l'accesso alla rete.

• Requisiti dei certificati quando si usano EAP-TLS o PEAP con EAP-TLS