Requisitos de certificado ao usar EAP-TLS ou PEAP com EAP-TLS
Quando você usa o EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ou o PEAP (Protected Extensible Authentication Protocol) com EAP-TLS, seus certificados de cliente e servidor devem atender a determinados requisitos.
Aplica-se a: Windows 11, Windows 10
Número original do KB: 814394
Resumo
Quando você usa o EAP com um tipo de EAP forte, como TLS com cartões inteligentes ou TLS com certificados, o cliente e o servidor usam certificados para verificar identidades entre si. Os certificados devem atender a requisitos específicos no servidor e no cliente para autenticação bem-sucedida.
O certificado deve ser configurado com uma ou mais finalidades em extensões EKU (Uso Estendido de Chave) que correspondam ao uso do certificado. Por exemplo, um certificado usado para a autenticação de um cliente em um servidor deve ser configurado com a finalidade de Autenticação de Cliente . Ou um certificado usado para a autenticação de um servidor deve ser configurado com a finalidade de Autenticação de Servidor . Quando os certificados são usados para autenticação, o autenticador examina o certificado do cliente e procura o OID (identificador de objeto de finalidade) correto nas extensões EKU. Por exemplo, o OID para a finalidade de autenticação do cliente é 1.3.6.1.5.5.7.3.2, e o OID para autenticação do servidor é 1.3.6.1.5.5.7.3.1.
Requisitos mínimos de certificação
Todos os certificados usados para autenticação de acesso à rede devem atender aos requisitos de certificados X.509. Eles também devem atender aos requisitos para conexões que usam criptografia SSL (Secure Sockets Layer) e criptografia TLS (Transport Level Security). Depois que esses requisitos mínimos forem atendidos, os certificados do cliente e os certificados do servidor deverão atender aos seguintes requisitos extras.
Requisitos do certificado do cliente
Com EAP-TLS ou PEAP com EAP-TLS, o servidor aceita a autenticação do cliente quando o certificado atende aos seguintes requisitos:
O certificado do cliente é emitido por uma autoridade de certificação (CA) corporativa. Ou ele é mapeado para uma conta de usuário ou uma conta de computador no serviço de diretório do Active Directory.
O usuário ou o certificado do computador no cliente se conecta a uma autoridade de certificação raiz confiável.
O usuário ou o certificado de computador no cliente inclui a finalidade de Autenticação do Cliente .
O usuário ou o certificado do computador não falha em nenhuma das verificações executadas pelo repositório de certificados CryptoAPI. E o certificado passa pelos requisitos da diretiva de acesso remoto.
O usuário ou o certificado do computador não falha em nenhuma das verificações de OID de certificado especificadas na diretiva de acesso remoto do NPS (Servidor de Diretivas de Rede).
O cliente 802.1X não usa certificados baseados no Registro que são certificados de cartão inteligente ou certificados protegidos com uma senha.
A extensão Nome Alternativo da Entidade (SubjectAltName) no certificado contém o nome UPN do usuário.
Quando os clientes usam EAP-TLS ou PEAP com autenticação EAP-TLS, uma lista de todos os certificados instalados é exibida no snap-in Certificados, com as seguintes exceções:
- Os clientes sem fio não exibem certificados baseados no Registro e certificados de logon de cartão inteligente.
- Os clientes sem fio e os clientes VPN (rede virtual privada) não exibem certificados protegidos por senha.
- Os certificados que não contêm a finalidade de autenticação de cliente em extensões EKU não são exibidos.
Requisitos de certificado do servidor
Você pode configurar clientes para validar certificados de servidor usando a opção Validar certificado de servidor. Essa opção está na guia Autenticação nas propriedades de Conexão de Rede. Quando um cliente usa a autenticação PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) versão 2, PEAP com autenticação EAP-TLS ou autenticação EAP-TLS, o cliente aceita o certificado do servidor quando o certificado atende aos seguintes requisitos:
O certificado do computador no servidor é encadeado a uma das seguintes CAs:
Uma autoridade de certificação raiz confiável da Microsoft.
Uma autoridade de certificação raiz autônoma da Microsoft ou de terceiros em um domínio do Active Directory que tenha um repositório NTAuthCertificates que contenha o certificado raiz publicado. Para obter mais informações sobre como importar certificados de autoridade de certificação de terceiros, consulte Como importar certificados de autoridade de certificação (CA) de terceiros para o repositório Enterprise NTAuth.
O NPS ou o certificado do computador do servidor VPN é configurado com a finalidade de Autenticação do Servidor . O OID para autenticação de servidor é
1.3.6.1.5.5.7.3.1.O certificado do computador não falha em nenhuma das verificações executadas pelo repositório de certificados CryptoAPI. E não falha em nenhum dos requisitos da diretiva de acesso remoto.
O nome na linha Assunto do certificado do servidor corresponde ao nome configurado no cliente para a conexão.
Para clientes sem fio, a extensão Nome Alternativo da Entidade (SubjectAltName) contém o FQDN (nome de domínio totalmente qualificado) do servidor.
Se o cliente estiver configurado para confiar em um certificado de servidor com um nome específico, o usuário será solicitado a decidir sobre confiar em um certificado com um nome diferente. Se o usuário rejeitar o certificado, a autenticação falhará. Se o usuário aceitar o certificado, o certificado será adicionado ao repositório de certificados raiz confiável do computador local.
Observação
Com o PEAP ou com a autenticação EAP-TLS, os servidores exibem uma lista de todos os certificados instalados no snap-in Certificados. No entanto, os certificados que contêm a finalidade de autenticação de servidor em extensões EKU não são exibidos.