設置符合 PEAP 和 EAP 要求的憑證模板

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

用於透過 Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)、Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS)和 PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) 必須符合 X.509 憑證的要求,並且適用於使用 Secure Socket Layer/Transport Level Security (SSL/TLS) 的連線。 客戶端和伺服器憑證都有附加要求,詳細資訊如下。

重要

本主題提供設置證書範本的說明。 若要使用這些說明,您需要使用 Active Directory 憑證服務 (AD CS) 部署自己的公鑰基礎架構 (PKI)。

最低伺服器憑證要求

使用 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 作為驗證方法時,NPS 必須使用符合最低伺服器憑證要求的伺服器憑證。

可以使用使用者端電腦上或群組原則中的驗證伺服器憑證選項將使用者端電腦設置為驗證伺服器憑證。

當伺服器憑證符合以下要求時,使用者端電腦接受伺服器的驗證嘗試:

  • 主題名稱包含一個值。 如果您向執行網路原則伺服器 (NPS) 且使用者名稱為空的伺服器發出證書,則該證書無法用於驗證您的 NPS。 若要使用主題名稱設置憑證範本:

    1. 開啟 [憑證範本]。
    2. 在詳細資料窗格中,以滑鼠右鍵點選要變更的憑證模板,然後點選屬性
    3. 按一下 [主體名稱] 索引標籤,然後按一下 [用這項 Active Directory 資訊來建立]
    4. 主題名稱格式中,選擇無以外的

  • 伺服器上的電腦憑證:

    • 連結到受信任的根憑證授權單位 (CA),
    • 包括 Server AuthenticationEKU 擴充中的用途Server Authentication(物件辨別碼 (OID) 是 )1.3.6.1.5.5.7.3.1
    • 並透過:
      • CryptoAPI 執行的檢查,以及
      • 遠端存取策略或網路策略中指定的檢查

  • 使用所需的加密設置來設置伺服器憑證:

    1. 開啟 [憑證範本]。
    2. 在詳細資料窗格中,以滑鼠右鍵點選要變更的憑證模板,然後點選屬性
    3. 點選 Cryptography 並確保設置以下內容:
      • 提供者類別:例如金鑰儲存提供者
      • 演算法名稱:例如 RSA
      • 提供者:例如 Microsoft Software Key Storage Provider
      • 最小密鑰大小:例如 2048
      • 雜湊演算法:例如 SHA256
    4. 按一下 [下一步] 。

  • 主題備用名稱 (SubjectAltName) 擴充功能(如果使用)必須包含伺服器的 DNS 名稱。 若要使用註冊伺服器的網域名稱系統 (DNS) 名稱設置憑證範本:

    1. 開啟 [憑證範本]。
    2. 在詳細資料窗格中,以滑鼠右鍵點選要變更的憑證模板,然後點選屬性
    3. 按一下 [主體名稱] 索引標籤,然後按一下 [用這項 Active Directory 資訊來建立]
    4. 將此資訊包含在備用使用者名稱中,點選 DNS 名稱

使用 PEAP 和 EAP-TLS 時,NPS 顯示電腦憑證儲存中所有已安裝憑證的列表,但下列情況除外:

  • 不顯示 EKU 擴充功能中Server Authentication不包含用途的憑證。

  • 不顯示不包含使用者名稱的憑證。

  • 不顯示基於註冊表的證書和智慧卡登入證書。

更多詳細資訊,請參閱為 802.1X 有線和無線部署部署伺服器憑證

最低客戶端證書要求

使用 EAP-TLS 或 PEAP-TLS,當憑證符合下列要求時,伺服器接受使用者端身份驗證嘗試:

  • 使用者端憑證由企業 CA 核發或對應到 Active Directory 網域服務 (AD DS) 中的使用者或電腦帳戶。

  • 使用者端上的使用者或電腦憑證:

    • 連結到受信任的根 CA,
    • 包括Client AuthenticationEKU 擴充中的用途Client Authentication(OID1.3.6.1.5.5.7.3.2是 ),
    • 並透過:
      • CryptoAPI 執行的檢查,
      • 遠端存取策略或網路策略中指定的檢查,
      • NPS 網路策略中指定的憑證物件辨別碼檢查。

  • 802.1X 使用者端不使用基於註冊表的憑證(智慧卡登入憑證或密碼保護憑證)。

  • 對於使用者證書,證書中的使用者備用名稱 (SubjectAltName) 擴充功能包含使用者主體名稱 (UPN)。 若要在憑證範本中設置 UPN:

    1. 開啟 [憑證範本]。
    2. 在詳細資料窗格中,以滑鼠右鍵點選要變更的憑證模板,然後點選屬性
    3. 按一下 [主體名稱] 索引標籤,然後按一下 [用這項 Active Directory 資訊來建立]
    4. 將此資訊包含在備用使用者名稱中,選擇使用者主體名稱 (UPN)

  • 對於電腦證書,憑證中的使用者備用名稱 (SubjectAltName) 擴充功能必須包含使用者端的完全限定網域名稱 (FQDN),也稱為 DNS 名稱。 若要在憑證範本中設置此名稱:

    1. 開啟 [憑證範本]。
    2. 在詳細資料窗格中,以滑鼠右鍵點選要變更的憑證模板,然後點選屬性
    3. 按一下 [主體名稱] 索引標籤,然後按一下 [用這項 Active Directory 資訊來建立]
    4. 將此資訊包含在備用使用者名稱中,點選 DNS 名稱

使用 PEAP-TLS 和 EAP-TLS,使用者端會在憑證管理單元中顯示所有已安裝憑證的列表,但下列情況除外:

  • 無線使用者端不顯示基於註冊表的憑證和智慧卡登入憑證。

  • 無線使用者端和 VPN 使用者端不顯示受密碼保護的憑證。

  • 不顯示 EKU 擴充功能中Client Authentication不包含用途的憑證。

更多 NPS 的詳細資訊,請參閱 Network Policy Server (NPS)

更多 NPS 的詳細資訊,請參閱網路策略伺服器 (NPS)

更多對 NPS 憑證問題進行故障排除的詳細資訊,請參閱使用 EAP-TLS 或 PEAP 與 EAP-TLS 時的憑證要求