共用方式為

設定符合PEAP和EAP需求的證書範本

用於透過 Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)、Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS)和 PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) 必須符合 X.509 憑證的要求,並且適用於使用 Secure Socket Layer/Transport Level Security (SSL/TLS) 的連線。 用戶端和伺服器憑證都有額外的需求。

Important

本文提供設定證書範本的指示。 若要使用這些指示,您必須視需要部署自己的公鑰基礎結構 (PKI) 與 Active Directory 憑證服務 (AD CS)。

最低伺服器憑證要求

使用 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 作為驗證方法時,NPS 必須使用符合最低伺服器憑證要求的伺服器憑證。

可以使用使用者端電腦上或群組原則中的驗證伺服器憑證選項將使用者端電腦設置為驗證伺服器憑證。

當伺服器憑證符合以下要求時,使用者端電腦接受伺服器的驗證嘗試:

  • 主題名稱包含一個值。 如果您向執行網路原則伺服器 (NPS) 且使用者名稱為空的伺服器發出證書,則該證書無法用於驗證您的 NPS。 若要使用主題名稱設置憑證範本:

    1. 開啟 [憑證範本]。
    2. In the details pane, right-click the certificate template that you want to change, and then select Properties .
    3. Select the Subject Name tab, and then select Build from this Active Directory information.
    4. 主題名稱格式中,選擇無以外的

  • 伺服器上的電腦憑證:

    • 鏈接至信任的根憑證授權單位(CA),其中包含 EKU 延伸模組中的 Server Authentication 用途(Server Authentication 的物件識別符(OID)為 1.3.6.1.5.5.7.3.1),並通過:

      • CryptoAPI 所執行的檢查
      • 遠端訪問原則或網路原則中指定的檢查

  • 使用所需的加密設置來設置伺服器憑證:

    1. 開啟 [憑證範本]。
    2. In the details pane, right-click the certificate template that you want to change, and then select Properties.
    3. Select the Cryptography tab and make sure to configure the following:
      • Provider Category: for example, Key Storage Provider
      • Algorithm Name: for example, RSA
      • Providers: for example, Microsoft Software Key Storage Provider
      • 最小密鑰大小:例如 2048
      • Hash Algorithm: for example, SHA256
    4. Select Next.

  • 主題備用名稱 (SubjectAltName) 擴充功能(如果使用)必須包含伺服器的 DNS 名稱。 若要使用註冊伺服器的網域名稱系統 (DNS) 名稱設置憑證範本:

    1. 開啟 [憑證範本]。
    2. In the details pane, right-click the certificate template that you want to change, and then select Properties .
    3. Select the Subject Name tab, and then select Build from this Active Directory information.
    4. 將此資訊包含在備用使用者名稱中,點選 DNS 名稱

當使用者使用PEAP和EAP-TLS時,NPS 會顯示計算機證書存儲中所有已安裝憑證的清單,但有下列例外狀況:

  • 不顯示 EKU 擴充功能中Server Authentication不包含用途的憑證。

  • 不顯示不包含使用者名稱的憑證。

  • 不顯示基於註冊表的證書和智慧卡登入證書。

更多詳細資訊,請參閱為 802.1X 有線和無線部署部署伺服器憑證

最低客戶端證書要求

使用 EAP-TLS 或 PEAP-TLS,當憑證符合下列要求時,伺服器接受使用者端身份驗證嘗試:

  • 使用者端憑證由企業 CA 核發或對應到 Active Directory 網域服務 (AD DS) 中的使用者或電腦帳戶。

  • 使用者端上的使用者或電腦憑證:

    • 鏈結至信任的根 CA,其中包含 EKU 擴充功能中的 Client Authentication 用途(Client Authentication 的 OID 是 1.3.6.1.5.5.7.3.2),並傳遞:

      • CryptoAPI 所執行的檢查

      • 遠端訪問原則或網路原則中指定的檢查

      • NPS 網路原則中指定的憑證對象識別碼檢查。

  • 802.1X 使用者端不使用基於註冊表的憑證(智慧卡登入憑證或密碼保護憑證)。

  • 對於使用者證書,證書中的使用者備用名稱 (SubjectAltName) 擴充功能包含使用者主體名稱 (UPN)。 若要在憑證範本中設置 UPN:

    1. 開啟 [憑證範本]。
    2. In the details pane, right-click the certificate template that you want to change, and then select Properties.
    3. Select the Subject Name tab, and then select Build from this Active Directory information.
    4. 將此資訊包含在備用使用者名稱中,選擇使用者主體名稱 (UPN)

  • For computer certificates, the Subject Alternative Name (SubjectAltName) extension in the certificate must contain the fully qualified domain name (FQDN) of the client, which is also called the DNS name. 若要在憑證範本中設置此名稱:

    1. 開啟 [憑證範本]。
    2. In the details pane, right-click the certificate template that you want to change, and then select Properties.
    3. Select the Subject Name tab, and then select Build from this Active Directory information.
    4. 將此資訊包含在備用使用者名稱中,點選 DNS 名稱

使用 PEAP-TLS 和 EAP-TLS,使用者端會在憑證管理單元中顯示所有已安裝憑證的列表,但下列情況除外:

  • 無線使用者端不顯示基於註冊表的憑證和智慧卡登入憑證。

  • 無線使用者端和 VPN 使用者端不顯示受密碼保護的憑證。

  • 不顯示 EKU 擴充功能中Client Authentication不包含用途的憑證。

See also