當您搭配 EAP-TLS 或 PEAP 搭配 EAP-TLS 使用時,憑證需求
當您搭配 EAP-TLS 使用可延伸驗證通訊協定傳輸層安全性 (EAP-TLS) 或受保護的可延伸驗證通訊協定 (PEAP)時,您的用戶端和伺服器憑證必須符合特定需求。
適用於: Windows 11、Windows 10
原始 KB 編號: 814394
摘要
當您搭配強式 EAP 類型使用 EAP 時,例如使用智慧卡的 TLS,或搭配憑證的 TLS 時,用戶端和伺服器都會使用憑證來驗證彼此的身分識別。 憑證必須符合伺服器和用戶端上的特定需求,才能成功進行驗證。
憑證必須在符合憑證使用的擴充密鑰使用方式 (EKU) 延伸模組中設定一或多個用途。 例如,用於向伺服器驗證客戶端的憑證必須設定為客戶端 驗證 目的。 或者,用於驗證伺服器的憑證必須設定為 伺服器驗證 用途。 當憑證用於驗證時,驗證器會檢查客戶端憑證,並在 EKU 擴充功能中尋找正確的目的物件識別碼 (OID)。 例如,客戶端驗證用途的 OID 是 1.3.6.1.5.5.7.3.2,而伺服器驗證的 OID 則是 1.3.6.1.5.5.7.3.1。
最低憑證需求
用於網路存取驗證的所有憑證都必須符合 X.509 憑證的需求。 它們也必須符合使用安全套接字層 (SSL) 加密和傳輸層級安全性 (TLS) 加密的連線需求。 符合這些最低需求之後,客戶端憑證和伺服器憑證都必須符合下列額外需求。
用戶端憑證需求
使用 EAP-TLS 或 PEAP 搭配 EAP-TLS 時,伺服器會在憑證符合下列需求時接受客戶端的驗證:
客戶端憑證是由企業證書頒發機構單位 (CA) 所簽發。 或者,它會對應至 Active Directory 目錄服務中的使用者帳戶或電腦帳戶。
用戶端上的使用者或計算機憑證會鏈結至受信任的根 CA。
用戶端上的使用者或計算機憑證包含 客戶端驗證 用途。
使用者或計算機憑證不會讓 CryptoAPI 證書儲存所執行的任何檢查失敗。 憑證會傳遞遠程訪問原則中的需求。
使用者或計算機憑證不會讓網路原則伺服器 (NPS) 遠端訪問原則中指定的任何憑證 OID 檢查失敗。
802.1X 用戶端不會使用以登錄為基礎的憑證,這些憑證是智慧卡憑證或使用密碼保護的憑證。
憑證中的主體別名 (SubjectAltName) 延伸模組包含使用者的用戶主體名稱 (UPN)。
當用戶端搭配 EAP-TLS 驗證使用 EAP-TLS 或 PEAP 時,所有已安裝憑證的清單會顯示在 [憑證] 嵌入式管理單元中,但有下列例外狀況:
- 無線用戶端不會顯示登錄型憑證和智慧卡登入憑證。
- 無線客戶端和虛擬專用網 (VPN) 用戶端不會顯示使用密碼保護的憑證。
- 不會顯示 EKU 延伸模組中未包含 客戶端驗證 用途的憑證。
伺服器憑證需求
您可以使用 [ 驗證伺服器證書] 選項,將客戶端設定為驗證伺服器證書 。 此選項位於 [網路連線] 屬性的 [驗證 ] 索引標籤上。 當用戶端使用 PEAP-EAP-MS-Challenge 交握驗證通訊協定 (CHAP) 第 2 版驗證、PEAP 搭配 EAP-TLS 驗證或 EAP-TLS 驗證時,用戶端會在憑證符合下列需求時接受伺服器的憑證:
伺服器上的電腦憑證會鏈結至下列其中一個 CA:
受信任的Microsoft根 CA。
Microsoft Active Directory 網域中包含已發行跟證書之 NTAuthCertificates 存放區的獨立根或第三方根 CA。 如需如何匯入第三方 CA 憑證的詳細資訊,請參閱 如何將第三方證書頒發機構單位 (CA) 憑證匯入企業 NTAuth 存放區。
NPS 或 VPN 伺服器電腦憑證已設定為 伺服器驗證 用途。 伺服器驗證的 OID 為
1.3.6.1.5.5.7.3.1。計算機憑證不會讓 CryptoAPI 證書存儲所執行的任何檢查失敗。 而且它不會在遠端訪問原則中失敗任何一項需求。
伺服器證書的 [主旨] 列中的名稱與用戶端上針對連線設定的名稱相符。
針對無線客戶端,主體別名 (SubjectAltName) 延伸模組包含伺服器的完整域名 (FQDN)。
如果客戶端設定為信任具有特定名稱的伺服器證書,系統會提示使用者決定信任具有不同名稱的憑證。 如果使用者拒絕憑證,驗證就會失敗。 如果使用者接受憑證,憑證會新增至本機計算機受信任的跟證書存儲。
注意
使用PEAP或EAP-TLS驗證,伺服器會在 [憑證] 嵌入式管理單元中顯示所有已安裝憑證的清單。 不過,不會顯示EKU 擴充功能中包含伺服器驗證 用途的憑證。