Требования к сертификату при использовании EAP-TLS или PEAP с EAP-TLS

При использовании расширяемого протокола проверки подлинности протокол-транспортный уровень безопасности (EAP-TLS) или защищенного протокола расширенной проверки подлинности (PEAP) с EAP-TLS сертификаты клиента и сервера должны соответствовать определенным требованиям.

Область применения: Windows 11, Windows 10
Исходный номер базы знаний: 814394

Итоги

При использовании EAP с строгим типом EAP, например TLS с смарт-картами или TLS с сертификатами, клиент и сервер используют сертификаты для проверки удостоверений друг другу. Сертификаты должны соответствовать определенным требованиям как на сервере, так и на клиенте для успешной проверки подлинности.

Сертификат должен быть настроен с одним или несколькими целями в расширениях расширенного использования ключей (EKU), которые соответствуют использованию сертификата. Например, сертификат, используемый для проверки подлинности клиента на сервере, должен быть настроен с целью проверки подлинности клиента. Или сертификат, используемый для проверки подлинности сервера, должен быть настроен с целью проверки подлинности сервера. Когда сертификаты используются для проверки подлинности, аутентификатор проверяет сертификат клиента и ищет правильный идентификатор объекта назначения (OID) в расширениях EKU. Например, идентификатор OID для цели проверки подлинности клиента — это идентификатор OID для проверки подлинности 1.3.6.1.5.5.7.3.1 сервера.1.3.6.1.5.5.7.3.2

Минимальные требования к сертификату

Все сертификаты, используемые для проверки подлинности сетевого доступа, должны соответствовать требованиям для сертификатов X.509. Они также должны соответствовать требованиям для подключений, использующих шифрование SSL и шифрование TLS. После выполнения этих минимальных требований сертификаты клиента и сертификаты сервера должны соответствовать следующим дополнительным требованиям.

Требования к сертификату клиента

При использовании EAP-TLS или PEAP с EAP-TLS сервер принимает проверку подлинности клиента, если сертификат соответствует следующим требованиям:

• Сертификат клиента выдан корпоративным центром сертификации (ЦС). Или она сопоставляется с учетной записью пользователя или учетной записью компьютера в службе каталогов Active Directory.

• Пользователь или сертификат компьютера в клиентских цепочках с доверенным корневым ЦС.

• Пользователь или сертификат компьютера на клиенте включает назначение проверки подлинности клиента.

• Пользователь или сертификат компьютера не выполняет никаких проверок, выполняемых хранилищем сертификатов CryptoAPI. И сертификат передает требования в политике удаленного доступа.

• Пользователь или сертификат компьютера не сбой одного из проверок идентификатора сертификата, указанных в политике удаленного доступа сервера политики сети (NPS).

• Клиент 802.1X не использует сертификаты на основе реестра, которые являются сертификатами смарт-карт или сертификатами, защищенными паролем.

• Расширение "Альтернативное имя субъекта" (SubjectAltName) в сертификате содержит имя участника-пользователя (UPN).

• Если клиенты используют EAP-TLS или PEAP с проверкой подлинности EAP-TLS, список всех установленных сертификатов отображается в оснастке "Сертификаты" со следующими исключениями:

  • Беспроводные клиенты не отображают сертификаты на основе реестра и сертификаты входа в систему смарт-карт.
  • Беспроводные клиенты и клиенты виртуальной частной сети (VPN) не отображают сертификаты, защищенные паролем.
  • Сертификаты, которые не содержат назначение проверки подлинности клиента в расширениях EKU, не отображаются.

Требования к сертификату сервера

Клиенты можно настроить для проверки сертификатов сервера с помощью параметра "Проверка сертификата сервера". Этот параметр находится на вкладке "Проверка подлинности " в свойствах сетевого подключения. Если клиент использует проверку подлинности PEAP-EAP-MS-Challenge Handshake Authentication Protocol (CHAP) версии 2, PEAP с проверкой подлинности EAP-TLS или аутентификацией EAP-TLS, клиент принимает сертификат сервера, когда сертификат соответствует следующим требованиям:

• Сертификат компьютера на сервере цепочки с одним из следующих ЦС:

  • Доверенный корневой ЦС Майкрософт.

  • Автономный корневой или сторонний корневой ЦС Майкрософт в домене Active Directory с хранилищем NTAuthCertificates, содержащим опубликованный корневой сертификат. Дополнительные сведения о импорте сертификатов сторонних ЦС см. в статье "Импорт сертификатов центра сертификации сторонних производителей" в хранилище NTAuth Enterprise.

• NPS или сертификат компьютера VPN-сервера настраивается с целью проверки подлинности сервера. Идентификатор OID для проверки подлинности1.3.6.1.5.5.7.3.1сервера.

• Сертификат компьютера не завершается сбоем ни одной из проверок, выполняемых хранилищем сертификатов CryptoAPI. И это не завершается сбоем ни одного из требований в политике удаленного доступа.

• Имя в строке темы сертификата сервера соответствует имени, настроенному на клиенте для подключения.

• Для беспроводных клиентов расширение "Альтернативное имя субъекта" (SubjectAltName) содержит полное доменное имя сервера (FQDN).

• Если клиент настроен для доверия сертификату сервера с определенным именем, пользователю будет предложено решить вопрос о доверии сертификату с другим именем. Если пользователь отклоняет сертификат, проверка подлинности завершается ошибкой. Если пользователь принимает сертификат, сертификат добавляется в хранилище доверенных корневых сертификатов локального компьютера.

Примечание.

При проверке подлинности PEAP или eAP-TLS серверы отображают список всех установленных сертификатов в оснастке "Сертификаты". Однако отображаются только сертификаты, содержащие назначение проверки подлинности сервера в расширениях EKU.

Дополнительная информация

• Расширяемый протокол проверки подлинности (EAP) для сетевого доступа
• Настройка шаблонов сертификатов для требований PEAP и EAP для NPS