Configurar modelos de certificado para requisitos de PEAP e EAP

Todos os certificados usados para autenticação de acesso à rede com EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) e MS-CHAP v2 (PEAP-Microsoft Challenge Handshake Authentication Protocol versão 2) devem atender aos requisitos de certificados X.509 e funcionar em conexões que usam SSL/TLS (Secure Socket Layer/Transport Level Security). Os certificados de cliente e de servidor têm requisitos adicionais, detalhados abaixo.

Importante

Este tópico fornece instruções para configurar modelos de certificado. Para usar essas instruções, é necessário que você tenha implantado sua própria PKI (Infraestrutura de Chave Pública) com o AD CS (Serviços de Certificados do Active Directory).

Requisitos mínimos de certificado do servidor

Com PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS como o método de autenticação, o NPS deve usar um certificado de servidor que atenda aos requisitos mínimos de certificado do servidor.

Os computadores cliente podem ser configurados para validar certificados de servidor usando a opção Validar certificado do servidor no computador cliente ou na Política de Grupo.

O computador cliente aceita a tentativa de autenticação do servidor quando o certificado do servidor atende aos seguintes requisitos:

  • O nome da entidade contém um valor. Se você emitir um certificado para o servidor que executa o NPS (Servidor de Políticas de Rede) que tem um nome de entidade em branco, o certificado não estará disponível para autenticar o NPS. Para configurar o modelo de certificado com um nome da entidade:

    1. Abra os Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que você deseja alterar e, em seguida, clique em Propriedades.
    3. Clique na guia Nome da Entidade e em Criar com base nas informações do Active Directory.
    4. Em Formato de nome da entidade, selecione um valor diferente de Nenhum.

  • O certificado do computador no servidor:

    • vincula-se a uma CA (autoridade de certificação) raiz confiável,
    • inclui a finalidade Server Authentication em extensões de EKU (o OID (identificador de objeto) para Server Authentication é 1.3.6.1.5.5.7.3.1),
    • e passa:
      • as verificações executadas pela CryptoAPI e
      • as verificações especificadas na política de acesso remoto ou na política de rede

  • Configure o certificado do servidor com a configuração de criptografia necessária:

    1. Abra os Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que você deseja alterar e, em seguida, clique em Propriedades.
    3. Clique na guia Criptografia e configure o seguinte:
      • Categoria do Provedor: por exemplo, Provedor de armazenamento de chaves
      • Nome do algoritmo: por exemplo, RSA
      • Provedores: por exemplo, Provedor de armazenamento de chaves de software da Microsoft
      • Tamanho mínimo da chave: por exemplo, 2048
      • Algoritmo de hash: por exemplo, SHA256
    4. Clique em Próximo.

  • A extensão SubjectAltName (Nome Alternativo da Entidade), se usada, deve conter o nome DNS do servidor. Para configurar o modelo de certificado com o nome DNS (Sistema de Nomes de Domínio) do servidor de registro:

    1. Abra os Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que você deseja alterar e, em seguida, clique em Propriedades.
    3. Clique na guia Nome da Entidade e em Criar com base nas informações do Active Directory.
    4. Em Incluir estas informações no nome de entidade alternativo, selecione Nome DNS.

Ao usar PEAP e EAP-TLS, o NPS exibe uma lista de todos os certificados instalados no repositório de certificados do computador, com as seguintes exceções:

  • Os certificados que não contêm a finalidade Server Authentication nas extensões EKU não são exibidos.

  • Certificados que não contêm um nome de entidade não são exibidos.

  • Certificados baseados em registro e de logon de cartão inteligente não são exibidos.

Para obter mais informações, consulte Implantar certificados de servidor para implantações com e sem fio do 802.1X.

Requisitos mínimos de certificado do cliente

Com o EAP-TLS ou o PEAP-TLS, o servidor aceita a tentativa de autenticação do cliente quando o certificado atende aos seguintes requisitos:

  • O certificado do cliente é emitido por uma AC corporativa ou mapeado para uma conta de usuário ou de computador no AD DS (Active Directory Domain Services).

  • O certificado do usuário ou computador no cliente:

    • vincula-se a uma AC raiz confiável,
    • inclui a finalidade Client Authentication em extensões de EKU (o OID para Client Authentication é 1.3.6.1.5.5.7.3.2),
    • e passa:
      • as verificações executadas pelo CryptoAPI,
      • as verificações especificadas na política de acesso remoto ou na política de rede e,
      • o identificador de objeto de certificado verifica que são especificados na política de rede NPS.

  • O cliente 802.1X não usa certificados baseados em registro que sejam certificados de logon de cartão inteligente e protegidos por senha.

  • Para certificados de usuário, a extensão SubjectAltName (Nome Alternativo da Entidade) no certificado contém o nome UPN. Para configurar o UPN em um modelo de certificado:

    1. Abra os Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que você deseja alterar e, em seguida, clique em Propriedades.
    3. Clique na guia Nome da Entidade e em Criar com base nas informações do Active Directory.
    4. Em Incluir estas informações no nome de entidade alternativo, selecione UPN.

  • Para certificados de computador, a extensão SubjectAltName (Nome Alternativo da Entidade) no certificado deve conter o FQDN (nome de domínio totalmente qualificado) do cliente, que também é chamado de nome DNS. Para configurar esse nome no modelo de certificado:

    1. Abra os Modelos de Certificado.
    2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que você deseja alterar e, em seguida, clique em Propriedades.
    3. Clique na guia Nome da Entidade e em Criar com base nas informações do Active Directory.
    4. Em Incluir estas informações no nome de entidade alternativo, selecione Nome DNS.

Com PEAP-TLS e EAP-TLS, os clientes exibem uma lista de todos os certificados instalados no snap-in Certificados, com as seguintes exceções:

  • Os clientes sem fio não exibem certificados baseados em registro e de logon de cartão inteligente.

  • Clientes sem fio e clientes VPN não exibem certificados protegidos por senha.

  • Os certificados que não contêm a finalidade Client Authentication nas extensões EKU não são exibidos.

Para obter mais informações sobre o NPS, confira NPS (Servidor de Políticas de Rede).

Para obter mais informações sobre o EAP, confira EAP (Protocolo de Autenticação Extensível) para acesso à rede.

Para saber como solucionar problemas de certificado com o NPS, confira Requisitos de certificado ao usar EAP-TLS ou PEAP com EAP-TLS