Все сертификаты, которые используются для проверки подлинности доступа к сети по протоколам EAP-TLS, PEAP-TLS и MS-CHAP v2, должны отвечать требованиям, предъявляемым к сертификатам X.509, и действовать в отношении подключений, для которых используется протокол SSL/TLS. Как к клиентским сертификатам, так и к сертификатам сервера предъявляются дополнительные требования.
Минимальные требования к сертификату сервера
Если выбран метод проверки подлинности PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS, сервер политики сети обязан использовать сертификат сервера, отвечающий минимальным требованиям.
Настройка проверки сертификатов сервера на клиентских компьютерах осуществляется с помощью параметра Проверять сертификат сервера или в групповой политике.
Клиентский компьютер принимает попытку сервера пройти проверку подлинности в том случае, если сертификат сервера удовлетворяет следующим требованиям:
- Для имени субъекта указано значение. Если
серверу политики сети выдан сертификат с пустым полем «Субъект»,
этот сертификат не может использоваться для проверки подлинности
сервера политики сети. Чтобы настроить в шаблоне сертификата имя
темы, выполните следующие действия:
- Откройте шаблоны сертификатов.
- В области сведений щелкните правой кнопкой мыши шаблон
сертификата, который требуется изменить, и выберите пункт
Свойства.
- На вкладке Имя субъекта нажмите кнопку Строится на
основе данных Active Directory.
- В поле Формат имени субъекта выберите любое из значений
кроме Никакой.
- Откройте шаблоны сертификатов.
- Сертификат компьютера на сервере привязан к
доверенному корневому центру сертификации и прошел все выполняемые
интерфейсом CryptoAPI проверки, указанные в политике удаленного
доступа или в сетевой политике.
- В сертификате компьютера для сервера политики
сети или VPN-сервера в параметрах расширенного использования ключа
указана проверка подлинности сервера. Идентификатор объекта для
проверки подлинности сервера - 1.3.6.1.5.5.7.3.1.
- В сертификате сервера указано обязательное
значение алгоритма RSA. Чтобы настроить обязательный
параметр криптографии, выполните следующие действия:
- Откройте шаблоны сертификатов.
- В области сведений щелкните правой кнопкой мыши шаблон
сертификата, который требуется изменить, и выберите пункт
Свойства.
- Перейдите на вкладку Криптография. В окне Имя
алгоритма нажмите кнопку RSA. Убедитесь, что для
параметра Минимальный размер ключа указано значение
2048.
- Откройте шаблоны сертификатов.
- Если используется расширение дополнительного
имени субъекта (SubjectAltName), оно должно содержать DNS-имя
сервера. Чтобы настроить в шаблоне сертификата DNS-имя подающего
заявку сервера, выполните следующие действия:
- Откройте шаблоны сертификатов.
- В области сведений щелкните правой кнопкой мыши шаблон
сертификата, который требуется изменить, и выберите пункт
Свойства.
- На вкладке Имя субъекта нажмите кнопку Строится на
основе данных Active Directory.
- В поле Включить эту информацию в альтернативное имя
субъекта выберите значение DNS-имя.
- Откройте шаблоны сертификатов.
Если используются методы PEAP и EAP-TLS, на серверах политики сети отображается список всех установленных сертификатов, расположенных в хранилище сертификатов компьютера, за исключением следующих:
- Сертификаты, для которых в параметре
расширенного использования ключа не указана проверка подлинности
сервера.
- Сертификаты, в которых не указано имя
субъекта.
- Сертификаты на основе реестра или сертификаты
входа в систему с использованием смарт-карты.
Минимальные требования к сертификату клиентского компьютера
Если используются методы EAP-TLS или PEAP-TLS, сервер принимает попытку клиента пройти проверку подлинности при соблюдении следующих условий:
- Сертификат клиента выдан центром сертификации
предприятия либо сопоставлен учетной записи пользователя или
компьютера в доменных службах Active Directory®.
- Сертификат пользователя или компьютера на
клиентском компьютере привязан к доверенному корневому центру
сертификации, в параметре расширенного использования сертификата
ключа указана цель проверки подлинности клиента (идентификатор
объекта для проверки подлинности клиента – 1.3.6.1.5.5.7.3.2),
сертификат прошел проверки, выполняемые CryptoAPI, которые указаны
в политике удаленного доступа или политики сети, а также проверки
идентификатора объекта сертификата, указанные в политике удаленного
доступа IAS или политике сети на сервере политики сети.
- Клиент 802.1X не использует сертификаты,
основанные на реестре, которые являются сертификатами входа с
использованием смарт-карты или сертификатами с защитой паролем.
- В расширении дополнительного имени субъекта
(SubjectAltName) сертификата пользователя содержится имя
участника-пользователя. Чтобы настроить имя участника-пользователя
в шаблоне сертификата, выполните следующие действия:
- Откройте шаблоны сертификатов.
- В области сведений щелкните правой кнопкой мыши шаблон
сертификата, который требуется изменить, и выберите пункт
Свойства.
- На вкладке Имя субъекта нажмите кнопку Строится на
основе данных Active Directory.
- В поле Включить эту информацию в альтернативное имя
субъекта выберите значение Основное имя пользователя
(UPN-имя).
- Откройте шаблоны сертификатов.
- В расширении альтернативного имени субъекта
(SubjectAltName) сертификата компьютера должно быть указано полное
доменное имя клиента, которое также называется DNS-именем. Чтобы
настроить это имя в шаблоне сертификата, выполните следующие
действия:
- Откройте шаблоны сертификатов.
- В области сведений щелкните правой кнопкой мыши шаблон
сертификата, который требуется изменить, и выберите пункт
Свойства.
- На вкладке Имя субъекта нажмите кнопку Строится на
основе данных Active Directory.
- В поле Включить эту информацию в альтернативное имя
субъекта выберите значение DNS-имя.
- Откройте шаблоны сертификатов.
Если используются методы PEAP-TLS и EAP-TLS, на клиентских компьютерах в оснастке "Сертификаты" отображается список всех установленных сертификатов, за исключением следующих:
- На клиентских компьютерах с беспроводным
доступом не отображаются сертификаты на основе реестра и
сертификаты входа в систему с использованием смарт-карты.
- На клиентских компьютерах и клиентских
компьютерах виртуальной частной сети не отображаются сертификаты с
защитой паролем.
- Не отображаются сертификаты, для которых в
параметре расширенного использования ключа не указана проверка
подлинности клиента.