Настройка шаблонов сертификатов для требований PEAP и EAP

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Все сертификаты, используемые для проверки подлинности сетевого доступа с помощью протокола расширяемой проверки подлинности протокол-транспортный уровень безопасности (EAP-TLS), защищенных протоколов расширенной проверки подлинности (PEAP-TLS) и PEAP-Microsoft Challenge Handshake Authentication Protocol версии 2 (MS-CHAP версии 2) должны соответствовать требованиям для сертификатов X.509 и работать для подключений, использующих протокол SSL/TLS. Сертификаты клиента и сервера имеют дополнительные требования.

Внимание

В этой статье приведены инструкции по настройке шаблонов сертификатов. Чтобы использовать эти инструкции, необходимо развернуть собственную инфраструктуру открытых ключей (PKI) с помощью служб сертификатов Active Directory (AD CS) по мере необходимости.

Минимальные требования к сертификату сервера

При использовании PEAP-MS-CHAP версии 2, PEAP-TLS или EAP-TLS в качестве метода проверки подлинности NPS должен использовать сертификат сервера, соответствующий минимальным требованиям к сертификату сервера.

Клиентские компьютеры можно настроить для проверки сертификатов сервера с помощью параметра "Проверка сертификата сервера" на клиентском компьютере или в групповой политике.

Клиентский компьютер принимает попытку проверки подлинности сервера, если сертификат сервера соответствует следующим требованиям:

• Имя субъекта содержит значение. Если вы выдаете сертификат серверу, на котором запущен сервер политики сети (NPS), имеющий пустое имя субъекта, сертификат недоступен для проверки подлинности NPS. Чтобы настроить шаблон сертификата с именем субъекта, выполните следующие действия.

  1. Откройте шаблоны сертификатов.
  2. В области деталей нажмите правой кнопкой мыши шаблон сертификата, который нужно изменить, и выберите Свойства.
  3. Перейдите на вкладку имени субъекта , а затем выберите сборку из этой информации Active Directory.
  4. В формате имени субъекта выберите значение, отличное от None.

• Сертификат компьютера на сервере:

  • Цепочки к доверенному корневому центру сертификации (ЦС), который включает назначение Server Authentication в расширениях EKU (идентификатор объекта (OID) для Server Authentication — 1.3.6.1.5.5.7.3.1), и проходит проверку:

    • Проверки, выполненные CryptoAPI
    • Проверки, указанные в политике удаленного доступа или политике сети

• Настройте сертификат сервера с необходимым параметром шифрования:

  1. Откройте шаблоны сертификатов.
  2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется изменить, и выберите Свойства.
  3. Выберите вкладку Криптография и настройте следующее:
     • Категория поставщика: например, поставщик хранилища ключей
     • Имя алгоритма: например, RSA
     • Поставщики: например, поставщик хранилища ключей программного обеспечения Майкрософт
     • Минимальный размер ключа: например, 2048
     • Хэш-алгоритм: например, SHA256
  4. Выберите Далее.

• Расширение "Альтернативное имя субъекта" (SubjectAltName), если используется, должно содержать DNS-имя сервера. Чтобы настроить шаблон сертификата с dns-именем сервера регистрации, выполните следующие действия.

  1. Откройте шаблоны сертификатов.
  2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который нужно изменить, и выберите Свойства.
  3. Перейдите на вкладку "Имя объекта", а затем выберите "Создать на основе этой информации из Active Directory".
  4. В поле "Включить эти сведения" в альтернативное имя субъекта выберите DNS-имя.

Когда пользователи используют PEAP и EAP-TLS, NPS отображает список всех установленных сертификатов в хранилище сертификатов компьютера со следующими исключениями:

• Сертификаты, которые не содержат Server Authentication назначения в расширениях EKU, не отображаются.

• Сертификаты, не содержащие имя субъекта, не отображаются.

• Сертификаты входа в систему на основе реестра и смарт-карты не отображаются.

Дополнительные сведения см. в разделе "Развертывание сертификатов сервера" для проводных и беспроводных развертываний 802.1X.

Минимальные требования к сертификату клиента

При использовании протокола EAP-TLS или PEAP-TLS сервер принимает попытку проверки подлинности клиента, когда сертификат соответствует следующим требованиям:

• Сертификат клиента выдан корпоративным ЦС или сопоставлен с учетной записью пользователя или компьютера в службах домен Active Directory (AD DS).

• Сертификат пользователя или компьютера на клиенте:

  • Цепочки к доверенному корневому ЦС, который включает назначение Client Authentication в расширениях EKU (OID для Client Authentication1.3.6.1.5.5.7.3.2), и передает:

    • Проверки, выполненные CryptoAPI

    • Проверки, указанные в политике удаленного доступа или политике сети

    • Проверка идентификатора объекта сертификата, указанного в политике сети NPS.

• Клиент 802.1X не использует сертификаты на основе реестра, которые являются сертификатами, защищенными смарт-картой или паролем.

• Для сертификатов пользователей расширение "Альтернативное имя субъекта" (SubjectAltName) в сертификате содержит имя участника-пользователя (UPN). Чтобы настроить имя участника-участника-участника в шаблоне сертификата, выполните следующие действия.

  1. Откройте шаблоны сертификатов.
  2. В панели сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется изменить, и выберите Свойства.
  3. Перейдите на вкладку имени субъекта , а затем выберите сборку из этой информации Active Directory.
  4. Включив эти сведения в альтернативное имя субъекта, выберите имя участника-пользователя (UPN).

• Для сертификатов компьютера расширение "Альтернативное имя субъекта" (SubjectAltName) в сертификате должно содержать полное доменное имя клиента, которое также называется DNS-именем. Чтобы настроить это имя в шаблоне сертификата, выполните указанные ниже действия.

  1. Откройте шаблоны сертификатов.
  2. В области сведений щелкните правой кнопкой мыши на шаблоне сертификата, который вы хотите изменить, и выберите Свойства.
  3. Перейдите на вкладку Имя субъекта, а затем выберите сборку на основе этой информации Active Directory.
  4. В поле "Включить эти сведения" в альтернативное имя субъекта выберите DNS-имя.

При использовании PEAP-TLS и EAP-TLS клиенты отображают список всех установленных сертификатов в оснастке "Сертификаты" со следующими исключениями:

• Беспроводные клиенты не отображают сертификаты входа в реестр и смарт-карты.

• Беспроводные клиенты и VPN-клиенты не отображают сертификаты, защищенные паролем.

• Сертификаты, которые не содержат Client Authentication назначения в расширениях EKU, не отображаются.

См. также

• сервер политики сети (NPS).

• расширяемый протокол проверки подлинности (EAP) длясетевого доступа.

• требования к сертификату при использовании EAP-TLS или PEAP с EAP-TLS