Condividi tramite

Configurare i modelli di certificato per i requisiti PEAP ed EAP

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Tutti i certificati usati per l'autenticazione di accesso alla rete con Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) e PEAP-Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2) devono soddisfare i requisiti per i certificati X.509 e per le connessioni che usano Secure Socket Layer/Transport Level Security (SSL/TLS). I certificati client e server hanno requisiti aggiuntivi, descritti di seguito.

Importante

In questo argomento vengono fornite istruzioni per la configurazione dei modelli di certificato. Per usare queste istruzioni, è necessario aver distribuito la propria infrastruttura a chiave pubblica (PKI) con Active Directory Certificate Services (AD CS).

Requisiti minimi dei certificati server

Con PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS come metodo di autenticazione, il server dei criteri di rete deve usare un certificato server che soddisfi i requisiti minimi del certificato del server.

I computer client possono essere configurati per convalidare i certificati server usando l'opzione Convalida certificato server nel computer client o in Criteri di gruppo.

Il computer client accetta il tentativo di autenticazione del server quando il certificato del server soddisfa i requisiti seguenti:

  • Il nome soggetto contiene un valore. Se si rilascia un certificato al server che esegue Server dei criteri di rete (NPS) con un nome soggetto vuoto, il certificato non è disponibile per l'autenticazione del server dei criteri di rete. Per configurare il modello di certificato con un nome soggetto:

    1. Aprire Modelli di certificato.
    2. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sul modello dei certificato che si desidera modificare, quindi fare clic su Proprietà
    3. Fare clic sulla scheda Nome oggetto, selezionare Crea in base alle informazioni di Active Directory.
    4. In Formato nome soggetto, selezionare un valore diverso da Nessuno.

  • Certificato del computer nel server:

    • Catene a un'autorità di certificazione radice (CA) attendibile,
    • include lo Server Authentication scopo nelle estensioni EKU (l'identificatore dell'oggetto (OID) per Server Authentication è 1.3.6.1.5.5.7.3.1),
    • e passa:
      • i controlli eseguiti da CryptoAPI e
      • i controlli specificati nei criteri di accesso remoto o nei criteri di rete

  • Configurare il certificato del server con l'impostazione di crittografia necessaria:

    1. Aprire Modelli di certificato.
    2. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sul modello dei certificato che si desidera modificare, quindi fare clic su Proprietà.
    3. Fare clic sulla scheda Crittografia e assicurarsi di configurare quanto segue:
      • Categoria del provider: ad esempio, Provider archiviazione chiavi
      • Nome algoritmo: ad esempio, RSA
      • Provider: ad esempio, Provider archiviazione chiavi software Microsoft
      • Dimensioni minime della chiave: ad esempio, 2048
      • Algoritmo hash: ad esempio, SHA256
    4. Fare clic su Avanti.

  • L'estensione Subject Alternative Name (SubjectAltName), se usata, deve contenere il nome DNS del server. Per configurare il modello di certificato con il nome DNS (Domain Name System) del server di registrazione:

    1. Aprire Modelli di certificato.
    2. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sul modello dei certificato che si desidera modificare, quindi fare clic su Proprietà
    3. Fare clic sulla scheda Nome oggetto, selezionare Crea in base alle informazioni di Active Directory.
    4. In Includi queste informazioni nel nome soggetto alternativo, selezionare Nome DNS.

Quando si usa PEAP e EAP-TLS, NPS visualizza un elenco di tutti i certificati installati nell'archivio certificati del computer, con le eccezioni seguenti:

  • I certificati che non contengono lo scopo Server Authentication nelle estensioni EKU non vengono visualizzati.

  • I certificati che non contengono un nome soggetto non vengono visualizzati.

  • I certificati basati sul Registro di sistema e sull'accesso tramite smart card non vengono visualizzati.

Per maggiori informazioni, consultare la sezione Distribuzione di certificati server per distribuzioni cablate e wireless 802.1X.

Requisiti minimi per i certificati client

Con EAP-TLS o PEAP-TLS, il server accetta il tentativo di autenticazione client quando il certificato soddisfa i requisiti seguenti:

  • Il certificato client viene rilasciato da una CA aziendale o mappato a un account utente o computer in Active Directory Domain Services (AD DS).

  • Il certificato utente o computer nel client:

    • si concatena a una CA radice attendibile,
    • include lo scopo Client Authentication nelle estensioni EKU (OID per Client Authentication è 1.3.6.1.5.5.7.3.2),
    • e passa:
      • i controlli eseguiti da CryptoAPI,
      • i controlli specificati nei criteri di accesso remoto o nei criteri di rete e
      • l'identificatore dell'oggetto certificato verifica che vengono specificati nei criteri di rete NPS.

  • Il client 802.1X non usa certificati basati sul registro che sono certificati con accesso tramite smart card o certificati protetti da password.

  • Per i certificati utente, l'estensione Subject Alternative Name (SubjectAltName) nel certificato contiene il nome dell'entità utente (UPN). Per configurare l'UPN in un modello di certificato:

    1. Aprire Modelli di certificato.
    2. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sul modello dei certificato che si desidera modificare, quindi fare clic su Proprietà.
    3. Fare clic sulla scheda Nome oggetto, selezionare Crea in base alle informazioni di Active Directory.
    4. In Includi queste informazioni nel nome soggetto alternativo, selezionare Nome entità utente (UPN).

  • Per i certificati computer, l'estensione Subject Alternative Name (SubjectAltName) nel certificato deve contenere il nome di dominio completo (FQDN) del client, detto anche Nome DNS. Per configurare questo nome nel modello di certificato:

    1. Aprire Modelli di certificato.
    2. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sul modello dei certificato che si desidera modificare, quindi fare clic su Proprietà.
    3. Fare clic sulla scheda Nome oggetto, selezionare Crea in base alle informazioni di Active Directory.
    4. In Includi queste informazioni nel nome soggetto alternativo, selezionare Nome DNS.

Con PEAP-TLS e EAP-TLS, i client visualizzano un elenco di tutti i certificati installati nello snap-in Certificati, con le eccezioni seguenti:

  • I client wireless non visualizzano certificati di accesso basati sul registro e smart card.

  • I client wireless e i client VPN non visualizzano certificati protetti da password.

  • I certificati che non contengono lo scopo Client Authentication nelle estensioni EKU non vengono visualizzati.

Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).

Per maggiori informazioni su EAP, consultare la sezione Extensible Authentication Protocol (EAP) per l'accesso alla rete.

Per maggiori informazioni sulla risoluzione dei problemi dei certificati con Server dei criteri di rete, consultare la sezione Requisiti dei certificati quando si usa EAP-TLS o PEAP con EAP-TLS