Все сертификаты, которые используются для проверки подлинности доступа к сети по протоколам EAP-TLS, PEAP-TLS и MS-CHAP v2, должны отвечать требованиям, предъявляемым к сертификатам X.509, и действовать в отношении подключений, для которых используется протокол SSL/TLS. Как к клиентским сертификатам, так и к сертификатам сервера предъявляются дополнительные требования.

Минимальные требования к сертификату сервера

Если выбран метод проверки подлинности PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS, сервер политики сети обязан использовать сертификат сервера, отвечающий минимальным требованиям.

Настройка проверки сертификатов сервера на клиентских компьютерах осуществляется с помощью параметра Проверять сертификат сервера или в групповой политике.

Клиентский компьютер принимает попытку сервера пройти проверку подлинности в том случае, если сертификат сервера удовлетворяет следующим требованиям:

  • Для имени субъекта указано значение. Если серверу политики сети выдан сертификат с пустым полем «Субъект», этот сертификат не может использоваться для проверки подлинности сервера политики сети. Чтобы настроить в шаблоне сертификата имя темы, выполните следующие действия:

    1. Откройте шаблоны сертификатов.

    2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется изменить, и выберите пункт Свойства.

    3. На вкладке Имя субъекта нажмите кнопку Строится на основе данных Active Directory.

    4. В поле Формат имени субъекта выберите любое из значений кроме Никакой.

  • Сертификат компьютера на сервере привязан к доверенному корневому центру сертификации и прошел все выполняемые интерфейсом CryptoAPI проверки, указанные в политике удаленного доступа или в сетевой политике.

  • В сертификате компьютера для сервера политики сети или VPN-сервера в параметрах расширенного использования ключа указана проверка подлинности сервера. Идентификатор объекта для проверки подлинности сервера - 1.3.6.1.5.5.7.3.1.

  • В сертификате сервера указано обязательное значение алгоритма RSA. Чтобы настроить обязательный параметр криптографии, выполните следующие действия:

    1. Откройте шаблоны сертификатов.

    2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется изменить, и выберите пункт Свойства.

    3. Перейдите на вкладку Криптография. В окне Имя алгоритма нажмите кнопку RSA. Убедитесь, что для параметра Минимальный размер ключа указано значение 2048.

  • Если используется расширение дополнительного имени субъекта (SubjectAltName), оно должно содержать DNS-имя сервера. Чтобы настроить в шаблоне сертификата DNS-имя подающего заявку сервера, выполните следующие действия:

    1. Откройте шаблоны сертификатов.

    2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется изменить, и выберите пункт Свойства.

    3. На вкладке Имя субъекта нажмите кнопку Строится на основе данных Active Directory.

    4. В поле Включить эту информацию в альтернативное имя субъекта выберите значение DNS-имя.

Если используются методы PEAP и EAP-TLS, на серверах политики сети отображается список всех установленных сертификатов, расположенных в хранилище сертификатов компьютера, за исключением следующих:

  • Сертификаты, для которых в параметре расширенного использования ключа не указана проверка подлинности сервера.

  • Сертификаты, в которых не указано имя субъекта.

  • Сертификаты на основе реестра или сертификаты входа в систему с использованием смарт-карты.

Минимальные требования к сертификату клиентского компьютера

Если используются методы EAP-TLS или PEAP-TLS, сервер принимает попытку клиента пройти проверку подлинности при соблюдении следующих условий:

  • Сертификат клиента выдан центром сертификации предприятия либо сопоставлен учетной записи пользователя или компьютера в доменных службах Active Directory®.

  • Сертификат пользователя или компьютера на клиентском компьютере привязан к доверенному корневому центру сертификации, в параметре расширенного использования сертификата ключа указана цель проверки подлинности клиента (идентификатор объекта для проверки подлинности клиента – 1.3.6.1.5.5.7.3.2), сертификат прошел проверки, выполняемые CryptoAPI, которые указаны в политике удаленного доступа или политики сети, а также проверки идентификатора объекта сертификата, указанные в политике удаленного доступа IAS или политике сети на сервере политики сети.

  • Клиент 802.1X не использует сертификаты, основанные на реестре, которые являются сертификатами входа с использованием смарт-карты или сертификатами с защитой паролем.

  • В расширении дополнительного имени субъекта (SubjectAltName) сертификата пользователя содержится имя участника-пользователя. Чтобы настроить имя участника-пользователя в шаблоне сертификата, выполните следующие действия:

    1. Откройте шаблоны сертификатов.

    2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется изменить, и выберите пункт Свойства.

    3. На вкладке Имя субъекта нажмите кнопку Строится на основе данных Active Directory.

    4. В поле Включить эту информацию в альтернативное имя субъекта выберите значение Основное имя пользователя (UPN-имя).

  • В расширении альтернативного имени субъекта (SubjectAltName) сертификата компьютера должно быть указано полное доменное имя клиента, которое также называется DNS-именем. Чтобы настроить это имя в шаблоне сертификата, выполните следующие действия:

    1. Откройте шаблоны сертификатов.

    2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется изменить, и выберите пункт Свойства.

    3. На вкладке Имя субъекта нажмите кнопку Строится на основе данных Active Directory.

    4. В поле Включить эту информацию в альтернативное имя субъекта выберите значение DNS-имя.

Если используются методы PEAP-TLS и EAP-TLS, на клиентских компьютерах в оснастке "Сертификаты" отображается список всех установленных сертификатов, за исключением следующих:

  • На клиентских компьютерах с беспроводным доступом не отображаются сертификаты на основе реестра и сертификаты входа в систему с использованием смарт-карты.

  • На клиентских компьютерах и клиентских компьютерах виртуальной частной сети не отображаются сертификаты с защитой паролем.

  • Не отображаются сертификаты, для которых в параметре расширенного использования ключа не указана проверка подлинности клиента.