Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Alle Zertifikate, die für die Netzwerkzugriffsauthentifizierung mit EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) und PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) verwendet werden, müssen die Anforderungen für X.509-Zertifikate erfüllen und für Verbindungen funktionieren, die Secure Socket Layer/Transport Level Security (SSL/TLS) verwenden. Sowohl für Client- als auch für Serverzertifikate gelten zusätzliche Anforderungen. Ausführliche Informationen finden Sie im Anschluss.

Wichtig

Dieses Thema enthält Anweisungen zum Konfigurieren von Zertifikatvorlagen. Damit Sie diese Anweisungen verwenden können, ist es erforderlich, dass Sie Ihre eigene Public Key-Infrastruktur (PKI) mit Active Directory Certificate Services (AD CS) bereitgestellt haben.

Mindestanforderungen für Serverzertifikate

Mit PEAP-MS-CHAP v2, PEAP-TLS oder EAP-TLS als Authentifizierungsmethode muss der NPS ein Serverzertifikat verwenden, das die Mindestanforderungen für Serverzertifikate erfüllt.

Clientcomputer können so konfiguriert werden, dass Serverzertifikate mithilfe der Option Serverzertifikat überprüfen auf dem Clientcomputer oder in einer Gruppenrichtlinie überprüft werden.

Der Clientcomputer akzeptiert den Authentifizierungsversuch des Servers, wenn das Serverzertifikat die folgenden Anforderungen erfüllt:

• Der Antragstellername enthält einen Wert. Wenn Sie für Ihren Server, auf dem der Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird, ein Zertifikat ausstellen, das einen leeren Antragstellernamen aufweist, steht das Zertifikat nicht für die Authentifizierung Ihres Netzwerkrichtlinienservers zur Verfügung. So konfigurieren Sie die Zertifikatvorlage mit einem Antragstellernamen:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf der Registerkarte auf Antragstellername und dann auf die Option Aus diesen Informationen in Active Directory erstellen.
  4. Wählen Sie im Format des Antragstellernamens einen anderen Wert als None aus.

• Das Computerzertifikat auf dem Server:

  • ist mit einer vertrauenswürdigen Zertifizierungsstelle verkettet
  • enthält den Server Authentication-Zweck in EKU-Erweiterungen (Objektbezeichner (OID) für Server Authentication ist 1.3.6.1.5.5.7.3.1)
  • und übergibt Folgendes:
    • von CryptoAPI durchgeführte Überprüfungen und
    • Überprüfungen, die in der RAS- oder Netzwerkrichtlinie angegeben sind

• Konfigurieren Sie das Serverzertifikat mit der erforderlichen Kryptografieeinstellung:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Kryptografie, und konfigurieren Sie Folgendes:
     • Anbieterkategorie: z. B. Schlüsselspeicheranbieter
     • Algorithmusname: z. B. RSA
     • Anbieter: z. B. Softwareschlüsselspeicher-Anbieter von Microsoft
     • Mindestschlüsselgröße: z. B. 2048
     • Hashalgorithmus: z. B. SHA256
  4. Klicken Sie auf Weiter.

• Die Erweiterung Alternativer Antragstellername (SubjectAltName) muss, sofern verwendet, den DNS-Namen des Servers enthalten. So konfigurieren Sie die Zertifikatvorlage mit dem DNS-Namen (Domain Name System) des registrierenden Servers:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf der Registerkarte auf Antragstellername und dann auf die Option Aus diesen Informationen in Active Directory erstellen.
  4. Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen DNS-Name aus.

Bei Verwendung von PEAP und EAP-TLS zeigen Netzwerkrichtlinienserver eine Liste aller installierten Zertifikate im Computerzertifikatspeicher an, mit folgenden Ausnahmen:

• Zertifikate, die den Server Authentication-Zweck in EKU-Erweiterungen nicht enthalten, werden nicht angezeigt.

• Zertifikate, die keinen Antragstellernamen enthalten, werden nicht angezeigt.

• Registrierungsbasierte Zertifikate und Smartcard-Anmeldezertifikate werden nicht angezeigt.

Weitere Informationen finden Sie unter Bereitstellen von Serverzertifikaten für drahtgebundene und drahtlose 802.1X-Bereitstellungen.

Mindestanforderungen für Clientzertifikate

Bei EAP-TLS oder PEAP-TLS akzeptiert der Server den Clientauthentifizierungsversuch, wenn das Zertifikat die folgenden Anforderungen erfüllt:

• Das Clientzertifikat wurde von einer Unternehmenszertifizierungsstelle ausgestellt oder ist einem Benutzer- oder Computerkonto in Active Directory Domain Services (AD DS) zugeordnet.

• Das Benutzer- oder Computerzertifikat auf dem Client:

  • ist mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet
  • enthält den Client Authentication-Zweck in EKU-Erweiterungen (die OID für Client Authentication ist 1.3.6.1.5.5.7.3.2)
  • und übergibt Folgendes:
    • von CryptoAPI durchgeführte Überprüfungen
    • Überprüfungen, die in der RAS- oder Netzwerkrichtlinie angegeben sind
    • Überprüfungen der Zertifikatobjektbezeichner, die in der NPS-Netzwerkrichtlinie angegeben sind

• Der 802.1X-Client verwendet keine registrierungsbasierten Zertifikate, bei denen es sich entweder um Smartcard-Anmeldezertifikate oder kennwortgeschützte Zertifikate handelt.

• Für Benutzerzertifikate enthält die Erweiterung Alternativer Antragstellername (SubjectAltName) im Zertifikat den Benutzerprinzipalnamen (UPN). So konfigurieren Sie den UPN in einer Zertifikatvorlage:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf der Registerkarte auf Antragstellername und dann auf die Option Aus diesen Informationen in Active Directory erstellen.
  4. Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen Benutzerprinzipalname (UPN) aus.

• Bei Computerzertifikaten muss die Erweiterung Alternativer Antragstellername (SubjectAltName) im Zertifikat den vollqualifizierten Domänennamen (FQDN) des Clients enthalten, der auch als DNS-Name bezeichnet wird. So konfigurieren Sie diesen Namen in der Zertifikatvorlage:

  1. Öffnen Sie Zertifikatvorlagen.
  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf der Registerkarte auf Antragstellername und dann auf die Option Aus diesen Informationen in Active Directory erstellen.
  4. Wählen Sie in Informationen im alternativen Antragstellernamen einbeziehen das Kontrollkästchen DNS-Name aus.

Mit PEAP-TLS und EAP-TLS zeigen Clients eine Liste aller installierten Zertifikate im Zertifikate-Snap-In an, mit den folgenden Ausnahmen:

• Auf drahtlosen Clients werden keine registrierungsbasierten Zertifikate und Smartcard-Anmeldezertifikate angezeigt.

• Auf drahtlosen Clients und VPN-Clients werden keine kennwortgeschützten Zertifikate angezeigt.

• Zertifikate, die den Client Authentication-Zweck in EKU-Erweiterungen nicht enthalten, werden nicht angezeigt.

Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).

Weitere Informationen zu EAP finden Sie unter Extensible Authentication-Protokoll (EAP) für den Netzwerkzugriff.

Weitere Informationen zur Behandlung von Zertifikatproblemen mit NPS finden Sie unter Certificate requirements when you use EAP-TLS or PEAP with EAP-TLS (Zertifikatanforderungen bei Verwendung von EAP-TLS oder PEAP mit EAP-TLS).