Exporteren (0) Afdrukken
Alles uitvouwen
Dit onderwerp heeft nog geen beoordeling - Dit onderwerp beoordelen

Computercertificaten voor op certificaten gebaseerde verificatie

Computercertificaten voor op certificaten gebaseerde verificatie

Voordat u kunt werken met EAP-TLS (Extensible Authentication Protocol-Transport Level Security), moet u een computercertificaat (ook bekend als 'machinecertificaat') installeren op de IAS-servercomputer (Internet Authentication Service). Het geïnstalleerde computercertificaat moet afkomstig zijn van een certificeringsinstantie (CA) waarvan de certificaatketen uitkomt bij een basis-CA die door de toegangsclients wordt vertrouwd. De IAS-server kan het gebruikers- of computercertificaat van de toegangsclient pas verifiëren als het certificaat van de basis-CA die het gebruikers- of computercertificaat heeft uitgegeven vanaf de IAS-server op de toegangsclients is geïnstalleerd.

Zie Verificatie voor netwerktoegang en certificaten voor meer informatie.

Als u een computercertificaat wilt installeren, moet u een certificeringsinstantie selecteren die de certificaten uitgeeft. Na configuratie van de certificeringsinstantie kunt u een computercertificaat op de IAS-server installeren:

  • U kunt automatische toewijzing van computercertificaten aan computers in een Active Directory-domein configureren.
  • U kunt een computercertificaat aanvragen met Certificaatbeheer.
  • U kunt Microsoft Internet Explorer gebruiken om zich via het Internet te registreren.

Voer de volgende stappen uit als u een certificeringsinstantie wilt configureren en het computercertificaat wilt installeren:

  1. Installeer het onderdeel Certificate Services als basiscertificeringsinstantie van de onderneming. Zie Een basiscertificeringsinstantie voor een onderneming installeren voor meer informatie. Deze stap is alleen nodig als er nog geen basis-CA voor de onderneming is.
    Indien nodig, configureert u de computer die als certificeringsinstantie fungeert als domeincontroller.
  2. Als u de computercertificaten wilt installeren met behulp van automatische registratie, configureert u Groepsbeleid in het Active Directory-domein voor automatische toewijzing van computercertificaten. Zie Automatische certificaattoewijzing door een ondernemings-CA configureren voor meer informatie.
    Start de computer opnieuw op of typ gpupdate /target:computer achter een opdrachtprompt als u een computercertificaat wilt maken voor de IAS-server die lid is van het domein waarvoor automatische inschrijving is geconfigureerd (en voor andere computers die lid zijn van het domein).
  3. Als u computercertificaten handmatig wilt inschrijven, gebruikt u Certificaatbeheer voor de installatie van zowel de basiscertificeringsinstantie van de toegangsclient als het computercertificaat van de IAS-server. Zie Certificaten voor een computer beheren en Certificaten aanvragen voor meer informatie.
  4. Zie Een geavanceerde certificaataanvraag indienen via het web voor meer informatie over handmatige inschrijving van computercertificaten met Internet Explorer.

Opmerkingen

  • Hoewel Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition en Windows Server 2003, Datacenter Edition de installatie van meerdere computercertificaten ondersteunen, kunt u slechts één certificaat selecteren voor alle RAS-beleidsregels die verificatie via EAP-TLS opgeven.
  • Een IAS-server gebruikt een nieuwe certificaatintrekkingslijst (CRL) van de certificeringsinstantie pas wanneer de oude lijst niet meer geldig is. Wanneer een certificaat is verlopen en de IAS-server voert controles uit met een oude maar nog geldige certificaatintrekkingslijst, krijgen clients met ingetrokken certificaten toegang tot het netwerk. Om dit te voorkomen, kunt u certificaatintrekkingslijsten met een korte geldigheidsduur (een uur of langer) uitgeven.
  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. Bij Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition, kunt u voor IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen configureren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft. Alle rechten voorbehouden.