Настройка шаблонов сертификатов для требований PEAP и EAP

Все сертификаты, используемые для проверки подлинности сетевого доступа с помощью протокола расширяемой проверки подлинности протокол-транспортный уровень безопасности (EAP-TLS), защищенных протоколов расширенной проверки подлинности (PEAP-TLS) и PEAP-Microsoft Challenge Handshake Authentication Protocol версии 2 (MS-CHAP версии 2) должны соответствовать требованиям для сертификатов X.509 и работать для подключений, использующих протокол SSL/TLS. Сертификаты клиента и сервера имеют дополнительные требования.

Important

В этой статье приведены инструкции по настройке шаблонов сертификатов. Чтобы использовать эти инструкции, необходимо развернуть собственную инфраструктуру открытых ключей (PKI) с помощью служб сертификатов Active Directory (AD CS) по мере необходимости.

Минимальные требования к сертификату сервера

При использовании PEAP-MS-CHAP версии 2, PEAP-TLS или EAP-TLS в качестве метода проверки подлинности NPS должен использовать сертификат сервера, соответствующий минимальным требованиям к сертификату сервера.

Клиентские компьютеры можно настроить для проверки сертификатов сервера с помощью параметра "Проверка сертификата сервера" на клиентском компьютере или в групповой политике.

Клиентский компьютер принимает попытку проверки подлинности сервера, если сертификат сервера соответствует следующим требованиям:

• Имя субъекта содержит значение. Если вы выдаете сертификат серверу, на котором запущен сервер политики сети (NPS), имеющий пустое имя субъекта, сертификат недоступен для проверки подлинности NPS. Чтобы настроить шаблон сертификата с именем субъекта, выполните следующие действия.

  1. Откройте шаблоны сертификатов.
  2. In the details pane, right-click the certificate template that you want to change, and then select Properties .
  3. Select the Subject Name tab, and then select Build from this Active Directory information.
  4. В формате имени субъекта выберите значение, отличное от None.

• Сертификат компьютера на сервере:

  • Цепочки к доверенному корневому центру сертификации (ЦС), который включает назначение Server Authentication в расширениях EKU (идентификатор объекта (OID) для Server Authentication — 1.3.6.1.5.5.7.3.1), и проходит проверку:

    • Проверки, выполненные CryptoAPI
    • Проверки, указанные в политике удаленного доступа или политике сети

• Настройте сертификат сервера с необходимым параметром шифрования:

  1. Откройте шаблоны сертификатов.
  2. In the details pane, right-click the certificate template that you want to change, and then select Properties.
  3. Select the Cryptography tab and make sure to configure the following:
     • Provider Category: for example, Key Storage Provider
     • Algorithm Name: for example, RSA
     • Providers: for example, Microsoft Software Key Storage Provider
     • Минимальный размер ключа: например, 2048
     • Hash Algorithm: for example, SHA256
  4. Select Next.

• Расширение "Альтернативное имя субъекта" (SubjectAltName), если используется, должно содержать DNS-имя сервера. Чтобы настроить шаблон сертификата с dns-именем сервера регистрации, выполните следующие действия.

  1. Откройте шаблоны сертификатов.
  2. In the details pane, right-click the certificate template that you want to change, and then select Properties .
  3. Select the Subject Name tab, and then select Build from this Active Directory information.
  4. В поле "Включить эти сведения" в альтернативное имя субъекта выберите DNS-имя.

Когда пользователи используют PEAP и EAP-TLS, NPS отображает список всех установленных сертификатов в хранилище сертификатов компьютера со следующими исключениями:

• Сертификаты, которые не содержат Server Authentication назначения в расширениях EKU, не отображаются.

• Сертификаты, не содержащие имя субъекта, не отображаются.

• Сертификаты входа в систему на основе реестра и смарт-карты не отображаются.

Дополнительные сведения см. в разделе "Развертывание сертификатов сервера" для проводных и беспроводных развертываний 802.1X.

Минимальные требования к сертификату клиента

При использовании протокола EAP-TLS или PEAP-TLS сервер принимает попытку проверки подлинности клиента, когда сертификат соответствует следующим требованиям:

• Сертификат клиента выдан корпоративным ЦС или сопоставлен с учетной записью пользователя или компьютера в службах домен Active Directory (AD DS).

• Сертификат пользователя или компьютера на клиенте:

  • Цепочки к доверенному корневому ЦС, который включает назначение Client Authentication в расширениях EKU (OID для Client Authentication1.3.6.1.5.5.7.3.2), и передает:

    • Проверки, выполненные CryptoAPI

    • Проверки, указанные в политике удаленного доступа или политике сети

    • Проверка идентификатора объекта сертификата, указанного в политике сети NPS.

• Клиент 802.1X не использует сертификаты на основе реестра, которые являются сертификатами, защищенными смарт-картой или паролем.

• Для сертификатов пользователей расширение "Альтернативное имя субъекта" (SubjectAltName) в сертификате содержит имя участника-пользователя (UPN). Чтобы настроить имя участника-участника-участника в шаблоне сертификата, выполните следующие действия.

  1. Откройте шаблоны сертификатов.
  2. In the details pane, right-click the certificate template that you want to change, and then select Properties.
  3. Select the Subject Name tab, and then select Build from this Active Directory information.
  4. Включив эти сведения в альтернативное имя субъекта, выберите имя участника-пользователя (UPN).

• For computer certificates, the Subject Alternative Name (SubjectAltName) extension in the certificate must contain the fully qualified domain name (FQDN) of the client, which is also called the DNS name. Чтобы настроить это имя в шаблоне сертификата, выполните указанные ниже действия.

  1. Откройте шаблоны сертификатов.
  2. In the details pane, right-click the certificate template that you want to change, and then select Properties.
  3. Select the Subject Name tab, and then select Build from this Active Directory information.
  4. В поле "Включить эти сведения" в альтернативное имя субъекта выберите DNS-имя.

При использовании PEAP-TLS и EAP-TLS клиенты отображают список всех установленных сертификатов в оснастке "Сертификаты" со следующими исключениями:

• Беспроводные клиенты не отображают сертификаты входа в реестр и смарт-карты.

• Беспроводные клиенты и VPN-клиенты не отображают сертификаты, защищенные паролем.

• Сертификаты, которые не содержат Client Authentication назначения в расширениях EKU, не отображаются.

See also

• сервер политики сети (NPS).

• расширяемый протокол проверки подлинности (EAP) длясетевого доступа.

• требования к сертификату при использовании EAP-TLS или PEAP с EAP-TLS