Freigeben über

Zertifikatanforderungen, wenn Sie EAP-TLS oder PEAP mit EAP-TLS verwenden

  • Artikel

Wenn Sie extensible Authentication Protocol-Transport Layer Security (EAP-TLS) oder Protected Extensible Authentication Protocol (PEAP) mit EAP-TLS verwenden, müssen Ihre Client- und Serverzertifikate bestimmte Anforderungen erfüllen.

Gilt für: Windows 11, Windows 10
Ursprüngliche KB-Nummer: 814394

Zusammenfassung

Wenn Sie EAP mit einem starken EAP-Typ verwenden, z. B. TLS mit Smartcards oder TLS mit Zertifikaten, verwenden sowohl der Client als auch der Server Zertifikate, um Identitäten miteinander zu überprüfen. Zertifikate müssen bestimmte Anforderungen sowohl auf dem Server als auch auf dem Client erfüllen, um eine erfolgreiche Authentifizierung zu erzielen.

Das Zertifikat muss mit mindestens einem Zweck in Erweiterten Schlüsselverwendungserweiterungen (Extended Key Usage, EKU) konfiguriert werden, die der Zertifikatverwendung entsprechen. Beispielsweise muss ein Zertifikat, das für die Authentifizierung eines Clients auf einem Server verwendet wird, mit dem Zweck der Clientauthentifizierung konfiguriert werden. Oder ein Zertifikat, das für die Authentifizierung eines Servers verwendet wird, muss mit dem Zweck der Serverauthentifizierung konfiguriert werden. Wenn Zertifikate für die Authentifizierung verwendet werden, überprüft der Authentifikator das Clientzertifikat und sucht in EKU-Erweiterungen nach dem richtigen Zweckobjektbezeichner (OID). Beispielsweise lautet das OID für den Clientauthentifizierungszweck , und das OID für die Serverauthentifizierung lautet 1.3.6.1.5.5.7.3.1.1.3.6.1.5.5.7.3.2

Mindestzertifikatanforderungen

Alle Zertifikate, die für die Netzwerkzugriffsauthentifizierung verwendet werden, müssen die Anforderungen für X.509-Zertifikate erfüllen. Sie müssen auch die Anforderungen für Verbindungen erfüllen, die SSL-Verschlüsselung (Secure Sockets Layer) und TLS-Verschlüsselung (Transport Level Security) verwenden. Nachdem diese Mindestanforderungen erfüllt sind, müssen sowohl die Clientzertifikate als auch die Serverzertifikate die folgenden zusätzlichen Anforderungen erfüllen.

Clientzertifikatanforderungen

Bei EAP-TLS oder PEAP mit EAP-TLS akzeptiert der Server die Authentifizierung des Clients, wenn das Zertifikat die folgenden Anforderungen erfüllt:

  • Das Clientzertifikat wird von einer Zertifizierungsstelle für Unternehmen ausgestellt. Oder es wird einem Benutzerkonto oder einem Computerkonto im Active Directory-Verzeichnisdienst zugeordnet.

  • Der Benutzer oder das Computerzertifikat auf dem Client wird mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet.

  • Der Benutzer oder das Computerzertifikat auf dem Client umfasst den Zweck der Clientauthentifizierung .

  • Der Benutzer oder das Computerzertifikat schlägt keine der Prüfungen fehl, die vom CryptoAPI-Zertifikatspeicher ausgeführt werden. Und das Zertifikat übergibt anforderungen in der Remotezugriffsrichtlinie.

  • Der Benutzer oder das Computerzertifikat schlägt keine der Zertifikat-OID-Prüfungen fehl, die in der Richtlinie für den Netzwerkrichtlinienserver (Network Policy Server, NPS) angegeben sind.

  • Der 802.1X-Client verwendet keine registrierungsbasierten Zertifikate, die entweder Smartcardzertifikate oder Zertifikate sind, die mit einem Kennwort geschützt sind.

  • Die Erweiterung "Subject Alternative Name" (SubjectAltName) im Zertifikat enthält den Benutzerprinzipalnamen (UPN) des Benutzers.

  • Wenn Clients EAP-TLS oder PEAP mit EAP-TLS-Authentifizierung verwenden, wird eine Liste aller installierten Zertifikate im Zertifikat-Snap-In mit den folgenden Ausnahmen angezeigt:

    • Drahtlose Clients zeigen keine registrierungsbasierten Zertifikate und Smartcard-Anmeldezertifikate an.
    • Drahtlose Clients und VPN-Clients (Virtual Private Network) zeigen keine Zertifikate an, die mit einem Kennwort geschützt sind.
    • Zertifikate, die nicht den Zweck der Clientauthentifizierung in EKU-Erweiterungen enthalten, werden nicht angezeigt.

Anforderungen für Serverzertifikate

Sie können Clients so konfigurieren, dass Serverzertifikate mithilfe der Option "Serverzertifikat überprüfen " überprüft werden. Diese Option befindet sich auf der Registerkarte "Authentifizierung " in den Netzwerkverbindungseigenschaften. Wenn ein Client PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) Version 2 Authentifizierung, PEAP mit EAP-TLS-Authentifizierung oder EAP-TLS-Authentifizierung verwendet, akzeptiert der Client das Zertifikat des Servers, wenn das Zertifikat die folgenden Anforderungen erfüllt:

  • Das Computerzertifikat auf dem Server wird mit einer der folgenden Zertifizierungsstellen verkettet:

  • Das NPS- oder VPN-Servercomputerzertifikat wird mit dem Zweck der Serverauthentifizierung konfiguriert. Das OID für die Serverauthentifizierung lautet 1.3.6.1.5.5.7.3.1.

  • Das Computerzertifikat schlägt keine der Prüfungen fehl, die vom CryptoAPI-Zertifikatspeicher ausgeführt werden. Und es schlägt keine der Anforderungen in der Richtlinie für den Remotezugriff fehl.

  • Der Name in der Betreffzeile des Serverzertifikats entspricht dem Namen, der auf dem Client für die Verbindung konfiguriert ist.

  • Für drahtlose Clients enthält die Erweiterung "Subject Alternative Name" (SubjectAltName) den vollqualifizierten Domänennamen (FQDN) des Servers.

  • Wenn der Client für das Vertrauen eines Serverzertifikats mit einem bestimmten Namen konfiguriert ist, wird der Benutzer aufgefordert, ein Zertifikat mit einem anderen Namen zu vertrauen. Wenn der Benutzer das Zertifikat ablehnt, schlägt die Authentifizierung fehl. Wenn der Benutzer das Zertifikat akzeptiert, wird das Zertifikat dem vertrauenswürdigen Stammzertifikatspeicher des lokalen Computers hinzugefügt.

Notiz

Bei PEAP oder mit EAP-TLS-Authentifizierung zeigen Server eine Liste aller installierten Zertifikate im Zertifikat-Snap-In an. Die Zertifikate, die den Zweck der Serverauthentifizierung in EKU-Erweiterungen enthalten, werden jedoch nicht angezeigt.

Weitere Informationen