Exporteren (0) Afdrukken
Alles uitvouwen

Verificatie voor netwerktoegang en certificaten

Verificatie voor netwerktoegang en certificaten

Overzicht

Certificaten bieden krachtige beveiliging voor de verificatie van gebruikers en computers en worden daarom steeds vaker gebruikt voor de verificatie van netwerktoegang. Het gebruik van certificaten voor verificatie betekent dat minder veilige verificatiemethoden waarbij wachtwoorden worden gebruikt, kunnen worden vermeden. In dit onderwerp wordt beschreven hoe IAS-servers (Internet Authentication Service) en VPN-servers (Virtueel Particulier Netwerk) Extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP) of Internet Protocol Security (IPSec) gebruiken voor het uitvoeren van op certificaten gebaseerde verificatie voor vele typen netwerktoegang, waaronder VPN en draadloze verbindingen. Verder vindt u in dit onderwerp een beschrijving van de methoden voor certificaatinschrijving aan de hand waarvan u kunt beslissen wat voor u de meest geschikte methode is om u in te schrijven voor een certificaat.

Binnen de context van verificatie is een server een VPN- of IAS-server die tevens TLS-eindpunt is. U kunt VPN-servers zodanig configureren dat ze verificatie van netwerktoegang uitvoeren zonder IAS of u kunt IAS gebruiken voor verificatie wanneer uw netwerk verschillende RADIUS (Remote Authentication Dial-In User Service)-clients (bijvoorbeeld VPN-servers en draadloze toegangspunten) bevat.

Certificaten worden gebruikt bij twee verificatiemethoden: Extensible Authentication Protocol-Transport Level Security (EAP-TLS) en Protected Extensible Authentication Protocol (PEAP). Bij beide methoden worden certificaten altijd gebruikt voor serververificatie. Of certificaten worden gebruikt voor gebruikers- en clientverificatie is afhankelijk van het verificatietype dat bij de verificatiemethode is geconfigureerd. Zie EAP en PEAP voor meer informatie.

Het gebruik van certificaten voor de verificatie van VPN-verbindingen is de sterkste manier van verificatie die beschikbaar is in de Windows Server 2003-producten. Het gebruik van op certificaten gebaseerde verificatie is verplicht voor VPN-verbindingen op basis van L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security). Voor PPTP-verbindingen (Point-To-Point Tunneling Protocol) zijn certificaten niet vereist. Wanneer u EAP-TLS gebruikt als verificatiemethode kunt u PPTP-verbindingen echter wel configureren voor het gebruik van certificaten voor computerverificatie. Voor draadloze clients (computers met draadloze netwerkadapters, zoals draagbare computers of personal digital assistants) vormen PEAP met EAP-TLS en smartcards of certificaten de aanbevolen verificatiemethode. Zie L2TP-protocol (Layer Two Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol) en Draadloze netwerken voor meer informatie.

Opmerkingen

  • Tijdens de verificatiepogingen voor PPTP-verbindingen vindt geen computerverificatie plaats. Als EAP-TLS wordt gebruikt als verificatiemethode bij PPTP-verbindingen, wordt gebruikersverificatie uitgevoerd aan de hand van een certificaat uit het certificaatarchief op de lokale computer of aan de hand van een certificaat op een smartcard.
  • In Windows Server 2003 Web Edition en Microsoft Windows Server 2003 Standard Edition kunt u maximaal 1000 PPTP-poorten (Point-to-Point Tunneling Protocol) en maximaal 1000 L2TP-poorten (Layer Two Tunneling Protocol) maken. Windows Server 2003, Web Edition, accepteert echter maar één VPN-verbinding tegelijk. Windows Server 2003, Standard Edition, accepteert maximaal 1000 gelijktijdige VPN-verbindingen. Als er 1000 VPN-clientverbindingen zijn, wordt elke daaropvolgende verbindingspoging geweigerd totdat het aantal verbindingen weer lager is dan 1000.
  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. Bij Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition, kunt u voor IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen configureren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.

Voer eerst de volgende handelingen uit als u certificaten wilt inzetten voor gebruikers en computers:

  • Ontwerp een openbare-sleutelinfrastructuur (Public Key Infrastructure of PKI).
  • Implementeer een certificeringsinstantie (certification authority of CA) met Certificate Services.
  • Ontwerp en publiceer een of meer certificaten met behulp van certificaatsjablonen (deze worden geïnstalleerd als onderdeel van Certificate Services).
  • Selecteer een of meer distributiemethoden (ook wel methoden voor certificaatinschrijving genoemd) om de certificaten te installeren op computers en te distribueren aan gebruikers.

Opmerkingen

Voorbeeldimplementaties van certificaten

  • RAS-VPN-verbindingen
    L2TP/IPSec- of PPTP-verbindingen tussen VPN-server en VPN-client waarbij EAP-TLS wordt gebruikt als verificatiemethode. IPSec gebruikt computercertificaten voor verificatie tussen client en server en EAP-TLS gebruikt een certificaat (vanaf een smartcard of uit het lokale certificaatarchief van de gebruiker) voor gebruikersverificatie. Het IAS- of VPN-servercertificaat moet het doeleinde van de serververificatie bevatten en het certificaat van de clientcomputer of de gebruiker moet het doeleinde van de clientverificatie bevatten in de extensies voor uitgebreid sleutelgebruik (Enhanced Key Usage of EKU) van het certificaat.
    Zie RAS-VPN's op basis van L2TP - implementatie en RAS-VPN's op basis van PPTP - implementatie voor meer informatie.
  • Router-to-router VPN-verbindingen
    L2TP/IPSec-verbindingen voor gereserveerde verbindingen of verbindingen via bellen op verzoek tussen servers waarbij EAP-TLS wordt gebruikt als verificatiemethode. Beide servers moeten beschikken over certificaten waarbij in de EKU-extensies het doeleinde voor de serververificatie en het doeleinde voor de clientverificatie zijn vermeld.
    Zie Router-to-router VPN's implementeren voor meer informatie.
  • IEEE 802.1x draadloze of switch-clients
    PEAP-EAP-MS-CHAPv2 is geconfigureerd als verificatiemethode en de optie Servercertificaat verifiëren is ingeschakeld op de clientcomputers. In de EKU-extensies van het IAS-servercertificaat is het doeleinde voor de serververificatie vermeld; het certificaat wordt gebruikt om de server te identificeren voor de client. De gebruikersverificatie vindt plaats aan de hand van de gebruikersnaam en het wachtwoord.
    Zie Verificatie via smartcards of andere certificaten inschakelen en Instellingen voor draadloze netwerken configureren op clientcomputers voor meer informatie.
  • IEEE 802.1x draadloze of switch-clients
    L2TP/IPSec wordt gebruikt en EAP-TLS met certificaatgebruik wordt geconfigureerd als verificatiemethode. In de EKU-extensies van het IAS-servercertificaat is het doeleinde voor de serververificatie vermeld ter identificatie voor de client. De client maakt gebruik van een certificaat (vanaf een smartcard of uit het lokale certificaatarchief van de gebruiker) ter identificatie voor de IAS-server. (De draadloze toegangspunten worden geconfigureerd als RADIUS-clients op de IAS-server, die de EAP-verificatie uitvoert.)

Opmerking

  • Gebruikersverificatie en autorisatie van netwerktoegang worden uitgevoerd door de VPN-server of een RADIUS-server, zoals Internet Authentication Service (IAS). Deze configuratie wordt ingesteld op de VPN-gateway. Zie RADIUS-verificatie gebruiken voor meer informatie.

Certificaatvereisten voor EAP

Wanneer EAP wordt gebruikt met een sterk EAP-type (bijvoorbeeld TLS met smartcards of certificaten), worden zowel door de client als door de server certificaten gebruikt om elkaars identiteit vast te stellen. Certificaten kunnen alleen worden gebruikt door de server en de client voor een correcte verificatie als ze voldoen aan bepaalde vereisten.

Een van die vereisten is dat in de configuratie van het certificaat een of meer doeleinden moeten zijn opgegeven in EKU-extensies. Deze doeleinden moeten overeenkomen met het gebruik van het certificaat. Zo moet bijvoorbeeld voor een certificaat dat wordt gebruikt voor de verificatie van een client aan een server het doeleinde Clientverificatie zijn ingesteld. En voor een certificaat dat wordt gebruikt voor de verificatie van een server moet het doeleinde Serververificatie zijn ingesteld. Bij het gebruik van certificaten voor verificatie raadpleegt de verificator het clientcertificaat om te zien of de juiste object-id voor het doeleinde is vermeld in de EKU-extensies. De object-id voor het doeleinde Clientverificatie is bijvoorbeeld 1.3.6.1.5.5.7.3.2.

Met certificaatsjablonen kunnen de door Certificate Services verleende certificaten worden aangepast. Hierbij kan niet alleen de inhoud (inclusief het doeleinde) worden aangepast, maar ook de manier waarop certificaten worden verleend. U kunt in het onderdeel Certificaatsjablonen een standaardsjabloon gebruiken, zoals de computersjabloon, om de sjabloon te definiëren die de CA gebruikt om certificaten toe te wijzen aan computers. Ook kunt u een certificaatsjabloon maken en doeleinden voor het certificaat toewijzen in EKU-extensies. Standaard bevat de computersjabloon het doeleinde Clientverificatie en het doeleinde Serververificatie in EKU-extensies.

In de door u gemaakte certificaatsjabloon kan elk willekeurig doeleinde worden vermeld waarvoor het certificaat wordt gebruikt. Als u bijvoorbeeld smartcards gebruikt voor verificatie, kunt u naast het doeleinde Clientverificatie tevens het doeleinde Smartcardaanmelding in de sjabloon opnemen.

Wanneer u IAS gebruikt, kunt u dit zodanig configureren dat certificaatdoeleinden worden gecontroleerd voordat netwerkmachtigingen worden verleend. IAS kan extra EKU's en doeleinden voor uitgiftebeleid (ook wel certificaatbeleid genoemd) controleren.

Sommige CA-software die niet van Microsoft afkomstig is, kan een doeleinde bevatten met de naam Alle, dat alle mogelijke doeleinden aangeeft. Dit wordt aangegeven door een lege vermelding of een null-vermelding bij de EKU-extensie. Alle staat voor alle mogelijke doeleinden. Toch kan het doeleinde Alle niet worden gebruikt in de plaats van het doeleinde Clientverificatie, het doeleinde Serververificatie of enig ander doeleinde ter verificatie voor netwerktoegang.

Zie Certificaatsjablonen en Certificaatsjablonen beheren voor een ondernemingscertificeringsinstantie voor meer informatie.

In de module Certificaten van de MMC-console kunt u certificaten en hun doeleinden bekijken door het certificaatarchief te openen. Certificaatarchieven kunnen worden weergegeven in de modus Logisch archief of in de modus Certificaatdoeleinde. Zie Certificaatarchieven weergeven volgens doel voor informatie over het weergeven van certificaatdoeleinden.

Minimumvereisten voor certificaten

Alle certificaten die worden gebruikt voor verificatie van netwerktoegang, moeten voldoen aan de vereisten die gelden voor X.509-certificaten en goed functioneren voor verbindingen die gebruikmaken van Secure Sockets Layer-Transport Level Security (SSL/TLS). Naast deze minimumvereiste gelden bovendien extra vereisten voor zowel client- als servercertificaten.

Vereisten voor clientcertificaten

Bij EAP-TLS of PEAP-EAP-TLS accepteert de server de verificatiepoging van de client wanneer het certificaat aan de volgende vereisten voldoet:

  • Het clientcertificaat is verleend door een ondernemingscertificeringsinstantie of toegewezen aan een gebruikers- of computeraccount in Active Directory.
  • Het gebruikers- of computercertificaat op de client is hiërarchisch gekoppeld aan een vertrouwde basiscertificeringsinstantie, bevat het doeleinde Clientverificatie in EKU-extensies (de object-id voor Clientverificatie is 1.3.6.1.5.5.7.3.2) en doorstaat zowel de controles die worden uitgevoerd door CryptoAPI en die zijn opgegeven in het RAS-beleid, als de controles van de object-id van het certificaat die zijn opgegeven in het RAS-beleid van IAS.
  • De 802.1X-client gebruikt geen op het register gebaseerde certificaten wanneer het smartcardaanmeldingscertificaten betreft of certificaten die met een wachtwoord zijn beveiligd.
  • Voor gebruikerscertificaten bevat de extensie Alternatieve naam voor onderwerp (SubjectAltName) in het certificaat de UPN-naam (User Principal Name). Doe het volgende om de UPN-naam te configureren in een certificaatsjabloon:
  1. Open Certificaatsjablonen.
  2. Klik met de rechtermuisknop in het detailvenster op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
  3. Klik op het tabblad Onderwerpnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
  4. Selecteer in De volgende informatie in de alternatieve onderwerpnaam opnemen de optie Principal-naam van gebruiker (UPN-naam).
  • Voor computercertificaten moet de extensie Alternatieve naam voor onderwerp (SubjectAltName) in het certificaat de FQDN-naam (Fully Qualified Domain Name) van de client bevatten, die ook wel 'DNS-naam' wordt genoemd. Doe het volgende om deze naam te configureren in de certificaatsjabloon:
  1. Open Certificaatsjablonen.
  2. Klik met de rechtermuisknop in het detailvenster op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
  3. Klik op het tabblad Onderwerpnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
  4. Selecteer in De volgende informatie in de alternatieve onderwerpnaam opnemen de optie DNS-naam.

Bij PEAP-EAP-TLS en EAP-TLS geven de clients een lijst weer met alle geïnstalleerde certificaten in de module Certificaten. Hierbij gelden de volgende uitzonderingen:

  • Draadloze clients geven geen op het register gebaseerde certificaten en smartcardaanmeldingscertificaten weer.
  • Draadloze clients en VPN-clients geven geen certificaten weer die met een wachtwoord zijn beveiligd.
  • Certificaten waarvan het doeleinde Clientverificatie niet is opgenomen in EKU-extensies, worden niet weergegeven.

Vereisten voor servercertificaten

Op clients kan het valideren van servercertificaten worden geconfigureerd met de optie Servercertificaat verifiëren. Bij de verificatiemethode PEAP-EAP-MS-CHAPv2, PEAP-EAP-TLS of EAP-TLS accepteert de client de verificatiepoging van de server wanneer het certificaat aan de volgende vereisten voldoet:

  • De onderwerpnaam heeft een waarde. Als u aan uw IAS-server een certificaat verleent waarvan het onderwerp leeg is, is dit certificaat niet beschikbaar voor verificatie van uw IAS-server. Doe het volgende om de certificaatsjabloon zodanig te configureren dat deze een onderwerpnaam heeft:
  1. Open Certificaatsjablonen.
  2. Klik met de rechtermuisknop in het detailvenster op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
  3. Klik op het tabblad Onderwerpnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
  4. Selecteer in Indeling van de onderwerpnaam een andere waarde dan Geen.
  • Het computercertificaat op de server is hiërarchisch gekoppeld aan een vertrouwde basiscertificeringsinstantie en doorstaat alle controles die worden uitgevoerd door CryptoAPI en die zijn opgegeven in het RAS-beleid.
  • In de configuratie van het computercertificaat van de IAS- of VPN-server is het doeleinde Serververificatie in EKU-extensies opgenomen (de object-id voor serververificatie is 1.3.6.1.5.5.7.3.1).
  • Voor de configuratie van het servercertificaat is voor de cryptografieprovider (CSP) de waarde Microsoft RSA SChannel Cryptographic Provider vereist. Doe het volgende om de vereiste CSP te configureren:
  1. Open Certificaatsjablonen.
  2. Klik met de rechtermuisknop in het detailvenster op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
  3. Klik op het tabblad Afhandeling van aanvragen en klik vervolgens op CSP's.
  4. Selecteer in CSP-selectie de optie In aanvragen moet een van de volgende CSP's worden gebruikt.
  5. Schakel in CSP's het selectievakje Microsoft RSA SChannel Cryptographic Provider in. Schakel alle andere selectievakjes in CSP's uit.
  • Als de extensie Alternatieve naam voor onderwerp (SubjectAltName) wordt gebruikt, moet deze de DNS-naam van de server bevatten. Doe het volgende om de certificaatsjabloon te configureren met de DNS-naam van de inschrijvende server:
  1. Open Certificaatsjablonen.
  2. Klik met de rechtermuisknop in het detailvenster op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
  3. Klik op het tabblad Onderwerpnaam en klik vervolgens op Op basis van Active Directory-informatie samenstellen.
  4. Selecteer in De volgende informatie in de alternatieve onderwerpnaam opnemen de optie DNS-naam.

Bij PEAP en EAP-TLS geven servers een lijst weer met alle geïnstalleerde certificaten in het certificaatarchief van de computer. Hierbij gelden de volgende uitzonderingen:

  • Certificaten waarvan het doeleinde Serververificatie niet is opgenomen in EKU-extensies, worden niet weergegeven.
  • Certificaten zonder onderwerpnaam worden niet weergegeven.
  • Servers geven geen op het register gebaseerde certificaten en smartcardaanmeldingscertificaten weer.

Opmerking

  • U kunt aangeven welk certificaat door de IAS- of de VPN-server in het RAS-beleidsprofiel wordt gebruikt. Wanneer u EAP- en PEAP-verificatiemethoden configureert waarbij een certificaat voor serververificatie is vereist en wanneer u geen specifiek certificaat selecteert in het dialoogvenster Eigenschappen voor smartcard of ander certificaat, selecteert de IAS- of de VPN-server automatisch een certificaat in het certificaatarchief van de computer. Als de server een nieuwer certificaat verkrijgt, wordt dit nieuwe certificaat gebruikt. Hierdoor kan het gebeuren dat de IAS- of de VPN-server een certificaat gebruikt dat niet goed voor verificatie is geconfigureerd, zodat verificatie mislukt. Om dit te voorkomen moet u altijd een servercertificaat selecteren wanneer u PEAP- en EAP-verificatiemethoden configureert waarbij een certificaat vereist is. Zie PEAP- en EAP-methoden configureren voor meer informatie.

Computerverificatie door IPSec

De computerverificatie begint wanneer de L2TP/IPSec-verbindingspogingen plaatsvinden tussen de RAS-client en de server. Zodra een beveiligd kanaal tot stand is gebracht tussen de client en de server, worden de pogingen tot gebruikersverificatie en -autorisatie voortgezet.

Bij computerverificatie door IPSec wordt gebruikgemaakt van vooraf gedeelde sleutels of computercertificaten. De aanbevolen verificatiemethode is het gebruik van een PKI en certificaten. Als certificaten worden gebruikt, is een computercertificaat vereist om IPSec-vertrouwen tot stand te brengen tijdens de IKE-onderhandelingen (Internet Key Exchange) bij VPN-verbindingen op basis van L2TP/IPSec.

Een VPN-server waarop Windows Server 2003 wordt uitgevoerd en een VPN-client waarop Windows 2000 of Windows XP wordt uitgevoerd kunnen alleen vertrouwen tot stand brengen voor een VPN-verbinding op basis van L2TP/IPSec als op beide computers een computercertificaat aanwezig is dat is verleend door dezelfde vertrouwde basis-CA van de onderneming. Als beide computers beschikken over certificaten die tijdens de IPSec-onderhandelingen zijn verleend door de vertrouwde basiscertificeringsinstantie en zij wisselen deze certificaten uit, wordt hiermee aangegeven dat zij elkaar vertrouwen en is de beveiligingskoppeling tot stand gebracht.

Het gebruik van certificaten door VPN-servers

Wanneer een VPN-verbindingspoging op basis van L2TP/IPSec tussen de VPN-client en de server wordt uitgevoerd, mislukt de computerverificatie als voor het VPN-clientcertificaat (vanaf een smartcard of uit het certificaatarchief op de lokale computer) het doeleinde Clientverificatie niet is geconfigureerd in EKU-extensies en als voor het VPN-servercertificaat het doeleinde Serververificatie niet is geconfigureerd in EKU-extensies. IPSec controleert de EKU-extensies voor het clientcertificaat om vast te stellen of de object-id voor het doeleinde Clientverificatie aanwezig is. Als de EKU-extensie de object-id voor het doeleinde Clientverificatie bevat, kan IPSec het certificaat gebruiken voor verificatie. Op dezelfde manier controleert de client of in EKU-extensies voor het servercertificaat de object-id voor het doeleinde Serververificatie aanwezig is.

Voor VPN-servers die het eindpunt vormen in verbindingen met externe gebruikers, is een certificaat vereist dat in EKU-extensies is geconfigureerd met uitsluitend het doeleinde Serververificatie. Wanneer een VPN-server echter wordt gebruikt als eindpunt in een VPN-verbinding met een andere VPN-server, vormt deze het beginpunt (als client) en het eindpunt (als server) van VPN-verbindingen. Daarom moet in EKU-extensies van het certificaat op deze servers zowel het doeleinde Serververificatie als het doeleinde Clientverificatie aanwezig zijn. Daarnaast moeten beide doeleinden (Serververificatie en Clientverificatie) zich bevinden in hetzelfde certificaat vanwege de manier waarop automatische certificaatselectie werkt.

Door automatische certificaatselectie kan IPSec elk certificaat in het certificaatarchief ophalen dat hiërarchisch is gekoppeld aan de vertrouwde basis-CA van de onderneming, zonder hierbij te letten op de in het certificaat opgenomen doeleinden. Als twee certificaten op de server zijn geïnstalleerd, een met het doeleinde Clientverificatie en een met het doeleinde Serververificatie, kan door automatische certificaatselectie het verkeerde certificaat worden gebruikt voor de verificatie. Zo kan bijvoorbeeld het certificaat met het doeleinde Clientverificatie nodig zijn, terwijl het via automatische certificaatselectie geleverde certificaat het doeleinde Serververificatie bevat. In deze en soortgelijke gevallen mislukt de computerverificatie.

Op certificaten gebaseerde verificatie en draadloze clients

IEEE 802.1X-verificatie biedt geverifieerde toegang tot draadloze 802.11-netwerken en bekabelde Ethernet-netwerken. 802.1X ondersteunt beveiligde EAP-typen, zoals TLS met smartcards of certificaten. 802.1X met EAP-TLS kan op verschillende manieren worden geconfigureerd. Als de optie Servercertificaat verifiëren is geconfigureerd op de Windows XP Professional-client, verifieert de client de server aan de hand van het servercertificaat. Verificatie van de clientcomputer en de gebruiker kan plaatsvinden met gebruikmaking van certificaten uit het certificaatarchief van de client of vanaf een smartcard, waardoor wederzijdse verificatie wordt geboden.

Bij draadloze clients kan PEAP-EAP-MS-CHAPv2 worden gebruikt als verificatiemethode. PEAP-EAP-MS-CHAPv2 is een op wachtwoord gebaseerde gebruikersverificatiemethode waarbij TLS wordt gebruikt in combinatie met servercertificaten. Tijdens PEAP-EAP-MS-CHAPv2-verificatie levert de IAS- of RADIUS-server een certificaat om zijn identiteit te valideren bij de client (als de optie Servercertificaat verifiëren is geconfigureerd op de Windows XP Professional-client). Verificatie van de clientcomputer en de gebruiker vindt plaats met gebruikmaking van wachtwoorden. Hiermee worden de problemen bij het implementeren van certificaten op draadloze clientcomputers enigszins beperkt.

802.1X draadloze clients en switch-clients kunnen ook gebruikmaken van de verificatiemethode PEAP-EAP-TLS die sterke beveiliging biedt. PEAP-EAP-TLS gebruikt een openbare-sleutelinfrastructuur (public key infrastructure of PKI) met certificaten voor de verificatie van de server, en smartcards of certificaten voor de verificatie van gebruikers en clientcomputers. Zie PEAP voor meer informatie.

Zie Wat is 802.1X-verificatie voor draadloze netwerken? voor meer informatie over 802.1X-verificatie.

Methoden van certificaatinschrijving en domeinlidmaatschap

De methode voor certificaatinschrijving die u kunt kiezen, wordt bepaald door het domeinlidmaatschap van computers waarvoor u certificaten wilt inschrijven. Certificaten voor computers die domeinlid zijn, kunnen automatisch worden ingeschreven (ook wel automatische certificaatinschrijving genoemd). Bij computers die geen domeinlid zijn, moet een beheerder certificaten inschrijven via het web of een diskette. De certificaatinschrijvingsmethode voor computers die geen domeinlid zijn wordt ook wel bootstrap-proces voor vertrouwen genoemd. Dit proces houdt in dat certificaten worden gemaakt en vervolgens handmatig worden aangevraagd of op een veilige manier worden gedistribueerd door beheerders. Op deze manier wordt een gemeenschappelijk vertrouwen opgebouwd.

Certificaatinschrijving voor domeinleden

Als uw VPN-server, IAS-server of client waarop Windows 2000 of Windows XP wordt uitgevoerd, lid is van een domein waarop Windows Server 2003 en Active Directory worden uitgevoerd, kunt u automatische inschrijving van computer- en gebruikerscertificaten configureren. Nadat automatische certificaatinschrijving is geconfigureerd en ingeschakeld ontvangen alle computers die lid zijn van het domein, computercertificaten wanneer het groepsbeleid wordt vernieuwd (dit kan handmatig gebeuren met de opdracht gpupdate of door aanmelding op het domein).

Als uw computer lid is van een domein waarin Active Directory niet is geïnstalleerd, kunt u computercertificaten handmatig installeren door deze aan te vragen in de module Certificaten.

Zie Computercertificaten voor VPN-verbindingen op basis van L2TP/IPSec voor meer informatie.

Opmerking

  • Op computers waarop Windows 2000 wordt uitgevoerd, kunnen computercertificaten alleen automatisch worden ingeschreven.

Certificaatinschrijving voor niet-domeinleden

De certificaatinschrijving voor computers die geen domeinlid zijn, kan niet via automatische inschrijving plaatsvinden. Wanneer een computer als lid wordt toegevoegd aan een domein, wordt een vertrouwensrelatie gedefinieerd. Daarom kan automatisch inschrijven zonder tussenkomst van de beheerder plaatsvinden. Wanneer een computer niet als lid wordt toegevoegd aan een domein, wordt geen vertrouwensrelatie gedefinieerd en wordt geen certificaat verleend. Een vertrouwensrelatie moet op een van de volgende manieren worden opgebouwd:

  • Een beheerder (die per definitie vertrouwd is) moet een computer- of gebruikerscertificaat aanvragen met het hulpprogramma voor inschrijving bij een certificeringsinstantie via het Internet.
  • Een beheerder moet een computer- of gebruikerscertificaat opslaan op diskette en het certificaat vervolgens installeren op de computer die geen domeinlid is. Als de computer niet toegankelijk is voor de beheerder (bijvoorbeeld een thuiscomputer die wordt verbonden met het bedrijfsnetwerk via een VPN-verbinding op basis van L2TP/IPSec), kan een door de beheerder vertrouwde domeingebruiker het certificaat installeren.
  • Een beheerder kan een gebruikerscertificaat distribueren op een smartcard (computercertificaten worden niet gedistribueerd op smartcards).

Veel netwerkinfrastructuren bevatten VPN- en IAS-servers die geen domeinlid zijn. Zo kan een VPN-server in een perimeternetwerk mogelijk geen lid zijn van het domein vanwege de beveiliging. In dat geval kan een VPN-server die geen domeinlid is pas VPN-verbindingen op basis van L2TP/IPSec met clients tot stand brengen wanneer een computercertificaat is geïnstalleerd op de VPN-server waarbij de EKU-extensies het doeleinde Serververificatie bevatten. Als de VPN-server die geen domeinlid is, het eindpunt vormt in een VPN-verbinding met een andere VPN-server, moeten de EKU-extensies zowel het doeleinde Serververificatie als het doeleinde Clientverificatie bevatten.

Een methode van certificaatinschrijving kiezen

Als u een ondernemingscertificeringsinstantie (CA) beheert op een computer waarop Windows Server 2003, Standard Edition wordt uitgevoerd, kunt u de volgende tabel gebruiken om te bepalen welke methode van certificaatinschrijving het best bij uw wensen past.

 

Object en domeinlidmaatschap Certificaatsjabloon Doeleinden certificaat Voorkeursmethode voor certificaatinschrijving Alternatieve methode voor certificaatinschrijving

VPN- of IAS-server, domeinlid

computer

Serververificatie

Automatische inschrijving

Een certificaat aanvragen met de module Certificaten

VPN-server met site-naar-site verbinding, domeinlid

computer

Serververificatie en clientverificatie

Automatische inschrijving

Een certificaat aanvragen met de module Certificaten

Windows XP-client, domeinlid

computer

Clientverificatie

Automatische inschrijving

Een certificaat aanvragen met de module Certificaten

VPN- of IAS-server, geen domeinlid

computer

Serververificatie

Hulpprogramma voor inschrijving bij een certificeringsinstantie via het internet

Installeren vanaf diskette

VPN-server met site-naar-site-verbinding, geen domeinlid

computer

Serververificatie en clientverificatie

Hulpprogramma voor inschrijving bij een certificeringsinstantie via het internet

Installeren vanaf diskette

Windows XP-client, geen domeinlid

computer

Clientverificatie

Hulpprogramma voor inschrijving bij een certificeringsinstantie via het internet

Installeren vanaf diskette

Gebruiker, domeingebruiker

Gebruiker

Clientverificatie

Automatische inschrijving

Een smartcard of het hulpprogramma voor inschrijving bij een certificeringsinstantie via het Internet gebruiken

Als de certificeringsinstantie op een computer met een van de volgende besturingssystemen staat, zijn de RAS- en IAS-server en werkstationverificatiesjablonen beschikbaar:

  • Windows Server 2003, Enterprise Edition
  • Windows Server 2003, Datacenter Edition
  • Windows Server 2003, Enterprise Edition voor Itanium-systemen
  • Windows Server 2003, Datacenter Edition voor Itanium-systemen
  • Windows Server 2003, Enterprise x64 Edition
  • Windows Server 2003, Datacenter x64 Edition

Bepaal wanneer u deze sjablonen gebruikt aan de hand van de volgende tabel.

 

Object en domeinlidmaatschap Certificaatsjabloon Certificaatdoeleinde Voorkeursmethode voor certificaatinschrijving Alternatieve methode voor certificaatinschrijving

VPN- of IAS-server, domeinlid

RAS- en IAS-server

Serververificatie

Automatische inschrijving

Een certificaat aanvragen met de module Certificaten

Windows XP-client, domeinlid

Verificatie van werkstation

Clientverificatie

Automatische inschrijving

Een certificaat aanvragen met de module Certificaten

VPN- of IAS-server, geen domeinlid

RAS- en IAS-server

Serververificatie

Hulpprogramma voor inschrijving bij een certificeringsinstantie via het internet

Installeren vanaf diskette

Windows XP-client, geen domeinlid

Verificatie van werkstation

Clientverificatie

Hulpprogramma voor inschrijving bij een certificeringsinstantie via het internet

Installeren vanaf diskette

Belangrijk

Als de IAS-server geen domeincontroller is maar lid van een domein met Windows 2000 met de gemengde modus als functionaliteitsniveau, moet u de server toevoegen aan de toegangsbeheerlijst (ACL) van de certificaatsjabloon RAS- en IAS-server. U moet ook de juiste machtigingen configureren voor automatische inschrijving. Er zijn verschillende procedures voor het toevoegen van afzonderlijke servers en groepen servers aan de ACL.

Doe het volgende om een afzonderlijke server aan de ACL toe te voegen voor de certificaatsjabloon RAS- en IAS-server:

Selecteer in Certificaatsjablonen de sjabloon RAS- en IAS-server en voeg vervolgens de IAS-server toe aan de beveiligingseigenschappen van de sjabloon. Zie Toestaan dat entiteiten een certificaat aanvragen dat is gebaseerd op de sjabloon voor meer informatie. Nadat u de IAS-server aan de ACL hebt toegevoegd, moeten de machtigingen Lezen, Inschrijven en Automatisch inschrijven worden verleend.

Als u een groep servers wilt beheren, voegt u de servers toe aan een nieuwe globale of universele groep en voegt u deze groep vervolgens toe aan de ACL van de certificaatsjabloon:

  1. Maak een nieuwe globale of universele groep voor IAS-servers in Active Directory: gebruikers en computers. Zie Nieuwe groepen maken voor meer informatie. Voeg vervolgens alle computers aan de groep toe die IAS-servers zijn, die geen domeincontrollers zijn en die lid zijn van een domein met Windows 2000 met de gemengde modus als functionaliteitsniveau. Zie Leden toevoegen aan een groep voor meer informatie.
  2. Selecteer in Certificaatsjablonen de sjabloon RAS- en IAS-server en voeg vervolgens de door u gemaakte groep toe aan de beveiligingseigenschappen van de sjabloon. Hiertoe volgt u de stappen in Toestaan dat entiteiten een certificaat aanvragen dat is gebaseerd op de sjabloon. Nadat u de nieuwe groep hebt toegevoegd, moeten de machtigingen Lezen, Inschrijven en Automatisch inschrijven worden verleend.

Zie Domein- en forest-functionaliteit voor meer informatie.

Services voor inschrijving bij een certificeringsinstantie via het internet

Bij Certificate Services in de Windows Server 2003-familie wordt een aantal CA-webpagina's geleverd. Via deze pagina's voor Internet-inschrijving kunt u een verbinding tot stand brengen met de certificeringsinstantie (CA) via een webbrowser en veelvoorkomende taken uitvoeren zoals het aanvragen van certificaten bij de certificeringsinstantie.

Zie Certificeringsinstantie-services voor inschrijving via het Internet en Ondersteuning voor inschrijving bij een certificeringsinstantie via het Internet installeren voor meer informatie.

Nadat uw PKI is ontworpen en geïmplementeerd en de vereiste machtigingen aan u zijn toegekend in de certificaatsjablonen kunt u certificaten aanvragen voor computers via de pagina's voor Internet-registratie bij een certificeringsinstantie. Als u een certificaat wilt aanvragen voor een computer die geen domeinlid is met behulp van het hulpprogramma voor inschrijving bij een certificeringsinstantie via het Internet, gaat u als volgt te werk. U moet een beheerder zijn op de lokale computer om deze procedure te kunnen uitvoeren.

Installeer een computercertificaat op de lokale computer

  1. Gebruik de webbrowser om u aan te melden bij het hulpprogramma voor internetinschrijving op het adres http://servernaam/certsrv. Hierbij is servernaam de naam van de server die als host optreedt voor de certificeringsinstantie, de webpagina's van de certificeringsinstantie, of beide. Klik op Een certificaat aanvragen.
  2. Klik in Een certificaat aanvragen op Geavanceerde certificaataanvraag.
  3. Klik in Geavanceerde certificaataanvraag op Een certificaataanvraag maken en bij deze certificeringsinstantie indienen. Er wordt een webformulier weergegeven met de secties Certificaatsjabloon, Sleutelopties en Extra opties. Selecteer de volgende opties:
    • Certificaatsjabloon: Administrator
    • Sleutelopties: Nieuwe sleutelset maken
    • CSP: Microsoft Enhanced Cryptographic Provider v1.0
    • Sleutelgebruik: Uitwisseling
    • Sleutelgrootte: 1024
    • Automatische sleutelcontainernaam: Geselecteerd
    • Sleutels markeren als exporteerbaar: Geselecteerd
    • Archief van lokale computer gebruiken: Geselecteerd
    • Indeling van aanvraag: PKCS 10
    • Hash: SHA-1
    • Beschrijvende naam: VPN-servernaam
  4. Klik op Indienen.
  5. Klik op Dit certificaat installeren.
    Het door u aangevraagde certificaat wordt geïnstalleerd op de lokale computer.

Een computercertificaat opslaan op diskette

  1. Gebruik de webbrowser om u aan te melden bij het hulpprogramma voor internetinschrijving op het adres http://servernaam/certsrv. Hierbij is servernaam de naam van de server die als host optreedt voor de certificeringsinstantie, de webpagina's van de certificeringsinstantie, of beide. Klik op Een certificaat aanvragen.
  2. Klik in Een certificaat aanvragen op Geavanceerde certificaataanvraag.
  3. Klik in Geavanceerde certificaataanvraag op Een certificaataanvraag maken en bij deze certificeringsinstantie indienen. Er wordt een webformulier weergegeven met de secties Certificaatsjabloon, Sleutelopties en Extra opties. Selecteer de volgende opties:
    • Certificaatsjabloon: Administrator
    • Sleutelopties: Nieuwe sleutelset maken
    • CSP: Microsoft Enhanced Cryptographic Provider v1.0
    • Sleutelgebruik: Uitwisseling
    • Sleutelgrootte: 1024
    • Automatische sleutelcontainernaam: Geselecteerd
    • Sleutels markeren als exporteerbaar: Geselecteerd
    • Sleutels exporteren naar bestand: Geselecteerd
    • Volledige padnaam: De locatie waarop u het bestand wilt opslaan en de bestandsnaam (bijvoorbeeld, \\Servernaam\sharenaam\bestnaam.pvk.).
    • Indeling van aanvraag: PKCS 10
    • Hash: SHA-1
    • Beschrijvende naam: VPN-servernaam
  4. Klik op Indienen.
  5. Maak en bevestig het wachtwoord voor uw persoonlijke sleutel.
  6. Selecteer in Certificaat is verleend de opties Met DER gecodeerd en Certificeringspad downloaden.
  7. Plaats een diskette in het diskettestation.
  8. Selecteer Dit bestand op schijf opslaan wanneer de browser u hierover een vraag stelt en klik op OK.
  9. Blader naar het diskettestation en klik op OK.
    Het door u aangevraagde certificaat wordt gedownload en op diskette opgeslagen.

Zie Een geavanceerde certificaataanvraag indienen via het web voor meer informatie.

Zie Certificaten importeren voor informatie over het installeren van een certificaat van diskette naar het certificaatarchief van een lokale computer.

Opmerking

  • Als u een certificaat hebt verleend aan uw IAS-server waarvan het onderwerp leeg is, is dit certificaat niet beschikbaar voor verificatie van uw IAS-server. U kunt dit corrigeren door met Certificaatsjablonen een nieuw certificaat te maken voor inschrijving op uw IAS-server. Selecteer in de certificaateigenschappen, op het tabblad Onderwerpnaam bij Indeling van de objectnaam een andere waarde dan Geen.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft