使用 eap-tls 或 PEAP 与 EAP-TLS 时的证书要求

本文介绍在使用可扩展身份验证协议传输层安全性 (EAP-TLS) 或受保护的可扩展身份验证协议 (PEAP) 与 EAP-TLS 一起使用时,客户端证书和服务器证书必须满足的要求。

原始产品版本:   Windows 10-所有版本
原始 KB 数:   814394

摘要

当您使用具有强 EAP 类型(如带智能卡或带证书的 TLS 的 TLS)的 EAP 时,客户端和服务器都使用证书来验证其身份。 证书必须符合服务器和客户端上的特定要求才能成功进行身份验证。

一个要求是,证书必须在扩展密钥用法中配置一个或多个用途, (EKU) 扩展名匹配证书使用。 例如,用于对服务器的客户端进行身份验证的证书必须配置客户端身份验证目的。 或者,用于服务器身份验证的证书必须配置有 "服务器身份验证" 目的。 使用证书进行身份验证时,身份验证器将检查客户端证书,并在 EKU 扩展中查找正确的用途对象标识符。 例如,客户端身份验证目的的对象标识符为1.3.6.1.5.5.7.3.2。

最低证书要求

用于网络访问身份验证的所有证书必须满足 x.509 证书的要求,并且还必须满足使用安全套接字层 (SSL) 加密和传输级安全性 (TLS) 加密的连接的要求。 满足这些最低要求后,客户端证书和服务器证书都必须满足以下附加要求。

客户端证书要求

通过使用 eap-tls 或 PEAP 和 EAP-TLS,当证书满足以下要求时,服务器将接受客户端的身份验证:

  • 客户端证书由企业证书颁发机构 (CA) 颁发,或者映射到用户帐户或 Active Directory 目录服务中的计算机帐户。

  • 客户端上的用户或计算机证书将链接到受信任的根 CA。

  • 客户端上的用户或计算机证书包含客户端身份验证目的。

  • 用户或计算机证书不会失败 CryptoAPI 证书存储区执行的任何一项检查,并且证书将在远程访问策略中传递要求。

  • 用户或计算机证书不会失败在 Internet 身份验证服务中指定的任何一个证书对象标识符检查 (IAS) 远程访问策略。

  • 802.1 x 客户端不使用基于注册表的证书,这些证书是智能卡证书或受密码保护的证书。

  • 证书中 (SubjectAltName) 分机的主题备用名称包含用户的用户主体名称 (UPN) 。

  • 当客户端使用 eap-tls 或具有 EAP-TLS 身份验证的 PEAP 时,所有已安装的证书的列表将显示在 "证书" 管理单元中,但以下情况除外:

    • 无线客户端不显示基于注册表的证书和智能卡登录证书。
    • 无线客户端和虚拟专用网络 (VPN) 客户端不显示受密码保护的证书。
    • 不会显示不包含 EKU 扩展中的客户端身份验证目的的证书。

服务器证书要求

您可以使用 "网络连接属性" 中的 "身份验证" 选项卡上的 "验证服务器证书" 选项,将客户端配置为验证服务器证书。 当客户端使用 PEAP-MS 质询握手身份验证协议 (CHAP) 版本2身份验证、使用 EAP-TLS 身份验证的 PEAP 或 EAP-TLS 身份验证时,客户端将在证书满足以下要求时接受服务器的证书:

  • 服务器上的计算机证书将链接到以下各项之一:

  • IAS 或 VPN 服务器计算机证书配置了服务器身份验证目的。 服务器身份验证的对象标识符为1.3.6.1.5.5.7.3.1。

  • 计算机证书不会对 CryptoAPI 证书存储执行的任何一项检查失败,并且不会导致远程访问策略中的任何一项要求失败。

  • 服务器证书的 "主题" 行中的名称与客户端上为该连接配置的名称相匹配。

  • 对于无线客户端,使用者备用名称 (SubjectAltName) 扩展包含服务器的完全限定域名 (FQDN) 。

  • 如果客户端配置为信任具有特定名称的服务器证书,则系统会提示用户做出有关信任具有不同名称的证书的决定。 如果用户拒绝证书,身份验证将失败。 如果用户接受证书,则会将证书添加到本地计算机受信任的根证书存储中。

备注

通过 PEAP 或使用 EAP-TLS 身份验证,服务器将显示 "证书" 管理单元中所有已安装的证书的列表。 但是,不会显示包含 EKU 扩展中的 "服务器身份验证" 目的的证书。