設定符合PEAP和EAP需求的證書範本

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

用於透過 Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)、Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS)和 PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) 必須符合 X.509 憑證的要求，並且適用於使用 Secure Socket Layer/Transport Level Security (SSL/TLS) 的連線。 用戶端和伺服器憑證都有額外的需求。

重要

本文提供設定證書範本的指示。 若要使用這些指示，您必須視需要部署自己的公鑰基礎結構 （PKI） 與 Active Directory 憑證服務 （AD CS）。

最低伺服器憑證要求

使用 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 作為驗證方法時，NPS 必須使用符合最低伺服器憑證要求的伺服器憑證。

可以使用使用者端電腦上或群組原則中的驗證伺服器憑證選項將使用者端電腦設置為驗證伺服器憑證。

當伺服器憑證符合以下要求時，使用者端電腦接受伺服器的驗證嘗試：

• 主題名稱包含一個值。 如果您向執行網路原則伺服器 (NPS) 且使用者名稱為空的伺服器發出證書，則該證書無法用於驗證您的 NPS。 若要使用主題名稱設置憑證範本：

  1. 開啟 [憑證範本]。
  2. 在詳細資料窗格中，以滑鼠右鍵點擊您想要變更的證書範本，然後選取 [屬性]。
  3. 選取 [主體名稱] 索引卷標，然後從此 Active Directory 資訊選取 [建置]。
  4. 在主題名稱格式中，選擇無以外的值。

• 伺服器上的電腦憑證：

  • 鏈接至信任的根憑證授權單位（CA），其中包含 EKU 延伸模組中的 Server Authentication 用途（Server Authentication 的物件識別符（OID）為 1.3.6.1.5.5.7.3.1），並通過：

    • CryptoAPI 所執行的檢查
    • 遠端訪問原則或網路原則中指定的檢查

• 使用所需的加密設置來設置伺服器憑證：

  1. 開啟 [憑證範本]。
  2. 在詳細資料窗格中，以滑鼠右鍵按下您想要變更的證書範本，然後選取 屬性。
  3. 請選擇 密碼學 標籤頁，並確保設定以下項目：
     • 提供者類別：例如金鑰儲存提供者
     • 演算法名稱：例如 RSA
     • 提供者：例如 Microsoft Software Key Storage Provider
     • 最小密鑰大小：例如 2048
     • 雜湊演算法：例如 SHA256
  4. 選取 下一步。

• 主題備用名稱 (SubjectAltName) 擴充功能（如果使用）必須包含伺服器的 DNS 名稱。 若要使用註冊伺服器的網域名稱系統 (DNS) 名稱設置憑證範本：

  1. 開啟 [憑證範本]。
  2. 在詳細資料窗格中，以滑鼠右鍵按下您想要變更的證書範本，然後選取 [[屬性] 。
  3. 選取 [主體名稱] 索引卷標，然後從此 Active Directory 資訊選取 [建置]。
  4. 在將此資訊包含在備用使用者名稱中，點選 DNS 名稱。

當使用者使用PEAP和EAP-TLS時，NPS 會顯示計算機證書存儲中所有已安裝憑證的清單，但有下列例外狀況：

• 不顯示 EKU 擴充功能中Server Authentication不包含用途的憑證。

• 不顯示不包含使用者名稱的憑證。

• 不顯示基於註冊表的證書和智慧卡登入證書。

更多詳細資訊，請參閱為 802.1X 有線和無線部署部署伺服器憑證。

最低客戶端證書要求

使用 EAP-TLS 或 PEAP-TLS，當憑證符合下列要求時，伺服器接受使用者端身份驗證嘗試：

• 使用者端憑證由企業 CA 核發或對應到 Active Directory 網域服務 (AD DS) 中的使用者或電腦帳戶。

• 使用者端上的使用者或電腦憑證：

  • 鏈結至信任的根 CA，其中包含 EKU 擴充功能中的 Client Authentication 用途（Client Authentication 的 OID 是 1.3.6.1.5.5.7.3.2），並傳遞：

    • CryptoAPI 所執行的檢查

    • 遠端訪問原則或網路原則中指定的檢查項目

    • NPS 網路原則中指定的憑證對象識別碼檢查。

• 802.1X 使用者端不使用基於註冊表的憑證（智慧卡登入憑證或密碼保護憑證）。

• 對於使用者證書，證書中的使用者備用名稱 (SubjectAltName) 擴充功能包含使用者主體名稱 (UPN)。 若要在憑證範本中設置 UPN：

  1. 開啟 [憑證範本]。
  2. 在詳細窗格中，右鍵點擊您想要變更的證書範本，然後選取 屬性。
  3. 選取 [主體名稱] 索引卷標，然後從此 Active Directory 資訊選取 [建置]。
  4. 在將此資訊包含在備用使用者名稱中，選擇使用者主體名稱 (UPN)。

• 對於電腦證書，憑證中的使用者備用名稱 (SubjectAltName) 擴充功能必須包含使用者端的完全限定網域名稱 (FQDN)，也稱為 DNS 名稱。 若要在憑證範本中設置此名稱：

  1. 開啟 [憑證範本]。
  2. 在詳細資料窗格中，以滑鼠右鍵按下您想要變更的證書範本，然後選取 屬性。
  3. 選取 [主體名稱] 標籤，然後從此 Active Directory 資訊選取 [建置]。
  4. 在將此資訊包含在備用使用者名稱中，點選 DNS 名稱。

使用 PEAP-TLS 和 EAP-TLS，使用者端會在憑證管理單元中顯示所有已安裝憑證的列表，但下列情況除外：

• 無線使用者端不顯示基於註冊表的憑證和智慧卡登入憑證。

• 無線使用者端和 VPN 使用者端不顯示受密碼保護的憑證。

• 不顯示 EKU 擴充功能中Client Authentication不包含用途的憑證。

另請參閱

• 網路原則伺服器 （NPS）。

• 用於網路存取的可延伸驗證通訊協定（EAP）。

• 當您使用 EAP-TLS 搭配 EAP-TLS 或 PEAP 時，所需的憑證要求