Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du använder Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) eller Protected Extensible Authentication Protocol (PEAP) med EAP-TLS måste klient- och servercertifikaten uppfylla vissa krav.
Gäller för: Windows 11, Windows 10
Ursprungligt KB-nummer: 814394
Sammanfattning
När du använder EAP med en stark EAP-typ, till exempel TLS med smartkort eller TLS med certifikat, använder både klienten och servern certifikat för att verifiera identiteter för varandra. Certifikat måste uppfylla specifika krav både på servern och klienten för lyckad autentisering.
Certifikatet måste konfigureras med ett eller flera syften i EKU-tillägg (Extended Key Usage) som matchar certifikatanvändningen. Till exempel måste ett certifikat som används för autentisering av en klient till en server konfigureras med klientautentiseringssyftet. Eller så måste ett certifikat som används för autentisering av en server konfigureras med serverautentiseringssyftet. När certifikat används för autentisering undersöker autentiseringen klientcertifikatet och letar efter rätt objektidentifierare (OID) i EKU-tillägg. OID för klientautentiseringssyfte är 1.3.6.1.5.5.7.3.2
till exempel , och OID för serverautentisering är 1.3.6.1.5.5.7.3.1
.
Minimikrav för certifikat
Alla certifikat som används för autentisering med nätverksåtkomst måste uppfylla kraven för X.509-certifikat. De måste också uppfylla kraven för anslutningar som använder SSL-kryptering (Secure Sockets Layer) och TLS-kryptering (Transport Level Security). När dessa minimikrav har uppfyllts måste både klientcertifikaten och servercertifikaten uppfylla följande extra krav.
Krav för klientcertifikat
Med antingen EAP-TLS eller PEAP med EAP-TLS accepterar servern klientens autentisering när certifikatet uppfyller följande krav:
Klientcertifikatet utfärdas av en företagscertifikatutfärdare (CA). Eller så mappas det till ett användarkonto eller ett datorkonto i Active Directory-katalogtjänsten.
Användaren eller datorcertifikatet på klienten kedjar till en betrodd rotcertifikatutfärdare.
Användaren eller datorcertifikatet på klienten innehåller klientautentiseringssyftet.
Användaren eller datorcertifikatet misslyckas inte med någon av de kontroller som utförs av CryptoAPI-certifikatarkivet. Och certifikatet uppfyller kraven i fjärråtkomstprincipen.
Användaren eller datorcertifikatet misslyckas inte med någon av certifikatets OID-kontroller som anges i nätverksprincipserverns fjärråtkomstprincip (NPS).
802.1X-klienten använder inte registerbaserade certifikat som antingen är smartkortscertifikat eller certifikat som skyddas med ett lösenord.
Tillägget Alternativt ämnesnamn (SubjectAltName) i certifikatet innehåller användarens huvudnamn (UPN).
När klienter använder EAP-TLS eller PEAP med EAP-TLS-autentisering visas en lista över alla installerade certifikat i snapin-modulen Certifikat, med följande undantag:
- Trådlösa klienter visar inte registerbaserade certifikat och inloggningscertifikat för smartkort.
- Trådlösa klienter och VPN-klienter (virtual private network) visar inte certifikat som skyddas med ett lösenord.
- Certifikat som inte innehåller klientautentiseringssyftet i EKU-tillägg visas inte.
Krav för servercertifikat
Du kan konfigurera klienter för att verifiera servercertifikat med alternativet Verifiera servercertifikat . Det här alternativet finns på fliken Autentisering i egenskaperna Nätverksanslutning. När en klient använder PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) version 2-autentisering, PEAP med EAP-TLS-autentisering eller EAP-TLS-autentisering godkänner klienten serverns certifikat när certifikatet uppfyller följande krav:
Datorcertifikatet på servern kedjar till något av följande certifikatutfärdare:
En betrodd Microsoft-rotcertifikatutfärdare.
En fristående Rot- eller tredjepartsrotcertifikatutfärdare från Microsoft i en Active Directory-domän som har ett NTAuthCertificates-arkiv som innehåller det publicerade rotcertifikatet. Mer information om hur du importerar certifikat från tredje part finns i Så här importerar du certifikat från tredje part (CA) till Enterprise NTAuth-arkivet.
NPS- eller VPN-serverdatorcertifikatet har konfigurerats med serverautentiseringssyftet. OID för serverautentisering är
1.3.6.1.5.5.7.3.1
.Datorcertifikatet misslyckas inte med någon av de kontroller som utförs av CryptoAPI-certifikatarkivet. Och det misslyckas inte något av kraven i fjärråtkomstprincipen.
Namnet på ämnesraden i servercertifikatet matchar namnet som har konfigurerats på klienten för anslutningen.
För trådlösa klienter innehåller tillägget Alternativt ämnesnamn (SubjectAltName) serverns fullständigt kvalificerade domännamn (FQDN).
Om klienten är konfigurerad för att lita på ett servercertifikat med ett specifikt namn uppmanas användaren att bestämma sig för att lita på ett certifikat med ett annat namn. Om användaren avvisar certifikatet misslyckas autentiseringen. Om användaren accepterar certifikatet läggs certifikatet till i den lokala datorns betrodda rotcertifikatarkiv.
Kommentar
Med PEAP eller med EAP-TLS-autentisering visar servrar en lista över alla installerade certifikat i snapin-modulen Certifikat. Men endast de certifikat som innehåller serverautentiseringssyftet i EKU-tillägg visas.