Partilhar via

Configurar modelos de certificado para requisitos PEAP e EAP

Todos os certificados usados para autenticação de acesso à rede com Autenticação Extensível Protocol-Transport Layer Security (EAP-TLS), Autenticação Extensível Protegida Protocol-Transport Layer Security (PEAP-TLS) e PEAP-Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2) devem atender aos requisitos para certificados X.509 e funcionar para conexões que usam Secure Socket Layer/Transport Level Security (SSL/TLS). Os certificados de cliente e servidor têm requisitos adicionais.

Important

Este artigo fornece instruções para configurar modelos de certificado. Para usar estas instruções, você deve implantar sua própria PKI (infraestrutura de chave pública) com os Serviços de Certificados do Ative Directory (AD CS), conforme necessário.

Requisitos mínimos de certificado do servidor

Com PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS como método de autenticação, o NPS deve usar um certificado de servidor que atenda aos requisitos mínimos de certificado do servidor.

Os computadores clientes podem ser configurados para validar certificados de servidor usando a opção Validar certificado de servidor no computador cliente ou na Política de Grupo.

O computador cliente aceita a tentativa de autenticação do servidor quando o certificado do servidor atende aos seguintes requisitos:

  • O nome do assunto contém um valor. Se você emitir um certificado para o servidor que executa o NPS (Servidor de Diretivas de Rede) que tenha um nome de Assunto em branco, o certificado não estará disponível para autenticar o NPS. Para configurar o modelo de certificado com um nome de assunto:

    1. Abra Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, selecione Propriedades .
    3. Selecione a guia Nome do Assunto e, em seguida, selecione Compilar a partir desta informação do Active Directory.
    4. Em formato Nome do assunto, selecione um valor diferente Nenhum.

  • O certificado de computador no servidor:

    • Encadeia-se a uma autoridade de certificação raiz confiável (CA), que inclui a finalidade Server Authentication nas extensões EKU (o identificador de objeto (OID) para Server Authentication é 1.3.6.1.5.5.7.3.1), e passa:

      • As verificações realizadas pela CryptoAPI
      • As verificações especificadas na diretiva de acesso remoto ou na diretiva de rede

  • Configure o certificado do servidor com a configuração de criptografia necessária:

    1. Abra Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, selecione Propriedades.
    3. Selecione a guia Criptografia e certifique-se de configurar o seguinte:
      • Categoria de Fornecedor: por exemplo, Provedor de Armazenamento de Chaves
      • Nome do algoritmo: por exemplo, RSA
      • Fornecedores de : por exemplo, Microsoft Software Key Storage Provider
      • Tamanho mínimo da chave: por exemplo, 2048
      • Algoritmo de hash: por exemplo, SHA256
    4. Selecione Seguinte.

  • A extensão Subject Alternative Name (SubjectAltName), se usada, deve conter o nome DNS do servidor. Para configurar o modelo de certificado com o nome DNS (Sistema de Nomes de Domínio) do servidor de inscrição:

    1. Abra Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, selecione Propriedades .
    3. Selecione a guia Nome do Assunto e, em seguida, selecione Compilar a partir desta informação do Active Directory.
    4. No Incluir a informação no nome alternativo do assunto, selecione Nome DNS.

Quando os usuários usam PEAP e EAP-TLS, O NPS exibe uma lista de todos os certificados instalados no armazenamento de certificados do computador, com as seguintes exceções:

  • Os certificados que não contêm a finalidade Server Authentication nas extensões EKU não são exibidos.

  • Os certificados que não contêm um nome do Sujeito não são exibidos.

  • Os certificados de início de sessão baseados em registo e de cartão inteligente não são apresentados.

Para obter mais informações, consulte Implantar certificados de servidor para implantações com e sem fio 802.1X.

Requisitos mínimos de certificado de cliente

Com EAP-TLS ou PEAP-TLS, o servidor aceita a tentativa de autenticação do cliente quando o certificado atende aos seguintes requisitos:

  • O certificado de cliente é emitido por uma autoridade de certificação corporativa ou mapeado para uma conta de usuário ou computador nos Serviços de Domínio Ative Directory (AD DS).

  • O certificado de usuário ou computador no cliente:

    • Encadeia-se a uma autoridade de certificação raiz confiável que inclui o propósito Client Authentication nas extensões EKU (o OID para Client Authentication é 1.3.6.1.5.5.7.3.2) e passa:

      • As verificações realizadas pela CryptoAPI

      • As verificações especificadas na diretiva de acesso remoto ou na diretiva de rede

      • O identificador de objeto do certificado é verificado conforme especificado na política de rede NPS.

  • O cliente 802.1X não usa certificados baseados no registo que sejam de logon de cartão inteligente ou protegidos por senha.

  • Para certificados de usuário, a extensão Subject Alternative Name (SubjectAltName) no certificado contém o UPN (nome principal do usuário). Para configurar o UPN em um modelo de certificado:

    1. Abra Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, selecione Propriedades.
    3. Selecione a guia Nome do Assunto e, em seguida, selecione Compilar a partir desta informação do Active Directory.
    4. Em Incluir essas informações no nome de assunto alternativo, selecione Nome principal do usuário (UPN).

  • Para certificados de computador, a extensão Subject Alternative Name (SubjectAltName) no certificado deve conter o FQDN (nome de domínio totalmente qualificado) do cliente, que também é chamado de nome DNS . Para configurar esse nome no modelo de certificado:

    1. Abra Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, selecione Propriedades.
    3. Selecione a guia Nome do Assunto e, em seguida, selecione Compilar a partir desta informação do Active Directory.
    4. No Incluir a informação no nome alternativo do assunto, selecione Nome DNS.

Com o PEAP-TLS e o EAP-TLS, os clientes exibem uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes exceções:

  • Os clientes sem fios não exibem certificados de logon baseados em registo e de acesso por cartão inteligente.

  • Clientes sem fio e clientes VPN não exibem certificados protegidos por senha.

  • Os certificados que não contêm a finalidade Client Authentication nas extensões EKU não são exibidos.

Ver também

  • Last updated on