NPS 身份验证方法.docx

引用：/zh-cn/library/cc731694(WS.10).aspxNPS 身份验证方法应用到: Windows Server 2008身份验证方法用户尝试通过网络访问服务器（也称为 RADIUS 客户端）（如无线访问点、802.1X 身份验证切换、拨号服务器和虚拟专用网络 (VPN) 服务器）连接网络时，网络策略服务器 (NPS) 会首先对连接请求进行身份验证和授权，然后再决定允许或者拒绝访问。由于身份验证是验证尝试连接网络的用户或计算机的身份的过程，因此 NPS 必须以凭据形式从用户或计算机接收身份证明。某些身份验证方法使用基于密码的凭据。例如，Microsoft 质询握手身份验证协议 (MS-CHAP) 要求用户键入用户名和密码。然后由网络访问服务器将这些凭据传递到 NPS 服务器，NPS 会根据用户帐户数据库验证这些凭据。其他身份验证方法使用基于证书的凭据用于用户、客户端计算机、NPS 服务器或者某些组合。基于证书的身份验证方法提供了较强的安全性，因而优先于基于密码的身份验证方法推荐采用。当您部署 NPS 时，可以指定访问网络所需的身份验证方法的类型。基于密码的身份验证方法应用到: Windows Server 2008基于密码的身份验证方法每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。但基于密码的身份验证方法不提供强大的安全性，因此不推荐使用。对于所有支持使用证书的网络访问方法，建议使用基于证书的身份验证方法。在无线连接的情况下尤其如此，此时建议使用 PEAP-MS-CHAP v2 或 PEAP-TLS。所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器 (NPS) 的服务器上的网络策略的配置来确定。请查阅访问服务器文档以确定所支持的身份验证方法。可以将 NPS 配置为接受多种身份验证方法。还可以配置网络访问服务器（也称为 RADIUS 客户端）以尝试通过首先请求使用最安全的协议，然后使用下一个最安全协议，以此类推，直至安全性最低的协议，与客户端计算机协商建立连接。例如，路由和远程访问服务首先尝试使用 EAP，然后依次使用 MS-CHAP v2、MS-CHAP、CHAP、SPAP、PAP 来尝试协商建立连接。选择 EAP 作为身份验证方法时，在访问客户端和 NPS 服务器之间出现 EAP 类型的协商。MS-CHAP 版本 2Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 为网络访问连接提供了比其前身 MS-CHAP 更强的安全性。MS-CHAP v2 解决了 MS-CHAP 版本 1 中的某些问题，如下表中所述。MS-CHAP 版本 1 问题 MS-CHAP 版本 2 解决方案 用于与旧版 Microsoft 远程访问客户端的向后兼容性的 LAN 管理器响应编码是弱加密的。MS-CHAP v2 不再允许 LAN 管理器编码响应。密码更改的 LAN 管理器编码是弱加密的。MS-CHAP v2 不再允许 LAN 管理器编码密码更改。只能使用单向身份验证。远程访问客户端无法验证是拨入其组织的远程访问服务器还是一个伪装的远程访问服务器。MS-CHAP v2 提供双向身份验证，也称为相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。加密密钥基于用户密码，使用 40 位加密。每次用户使用相同的密码连接时，将生成相同的加密密钥。使用 MS-CHAP v2，加密密钥始终基于用户的密码和一种任意的质询字符串。每次用户使用相同的密码连接时，将使用不同的加密密钥。在连接中使用单一加密密钥双向发送数据。使用 MS-CHAP v2，为传输和收到的数据生成单独的加密密钥。MS-CHAP v2 是一种单向加密密码，相互身份验证过程的工作方式如下：1. 身份验证器（网络访问服务器或 NPS 服务器）向访问客户端发送质询，其中包含会话标识符和任意质询字符串。2. 访问客户端发送包含下列信息的响应： 用户名。 任意对等质询字符串。 接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。3. 身份验证器检查来自客户端的响应并发送回包含下列信息的响应： 指示连接尝试是成功还是失败。 经过身份验证的响应，基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。4. 访问客户端验证身份验证响应，如果正确，则使用该连接。如果身份验证响应不正确，访问客户端将终止该连接。启用 MS-CHAP v2若要启用基于 MS-CHAPv2 的身份验证，必须执行下列操作：1. 启用 MS-CHAPv2 作为网络访问服务器上的身份验证协议。2. 在相应的网络策略上启用 MS-CHAPv2。3. 在访问客户端上启用 MS-CHAPv2。其他注意事项 MS-CHAP（版本 1 和版本 2）是唯一的基于密码的身份验证协议，它支持在身份验证过程中更改密码。 在 NPS 服务器的网络策略上启用 MS-CHAPv2 之前，确保您的网络访问服务器支持 MS-CHAPv2。有关详细信息，请参阅 NAS 文档。MS-CHAPMicrosoft 质询握手身份验证协议 (MS-CHAP)，也称为 MS-CHAP 版本 1，是不可逆的加密密码身份验证协议。质询握手过程的工作方式如下：1. 身份验证器（网络访问服务器或 NPS 服务器）向访问客户端发送质询，其中包含会话标识符和任意质询字符串。2. 访问客户端发送一个响应，该响应包含用户名和一个不可逆的加密质询字符串、会话标识符和密码。3. 身份验证器检查响应，如果有效，则用户的凭据通过身份验证。如果使用 MS-CHAP 作为身份验证协议，则可以使用 Microsoft 点对点加密 (MPPE) 对 PPP 或 PPTP 连接上发送的数据进行加密。MS-CHAP 版本 2 为网络访问连接提供了比 MS-CHAP 更高的安全性。应考虑使用 MS-CHAP 版本 2 而非 MS-CHAP。启用 MS-CHAP若要启用基于 MS-CHAP 的身份验证，必须执行下列操作：1. 启用 MS-CHAP 作为远程访问服务器上的身份验证协议。2. 在 NPS 中的相应网络策略上启用 MS-CHAP。3. 在访问客户端上启用 MS-CHAP。其他注意事项 默认情况下，MS-CHAP v1 的此实现不支持 LAN 管理器身份验证。如果希望允许对旧版操作系统（如 Windows NT 3.5x 和 Windows 95）使用带 MS-CHAP v1 的 LAN 管理器身份验证，必须在 NPS 服务器上将以下注册表值设置为 1：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyAllowLMAuthentication 如果 MS-CHAP v1 用作身份验证协议，当用户的密码大于 14 个字符时，将无法建立 40 位加密的连接。此行为会影响拨号和基于 VPN 的远程访问以及请求拨号连接。注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机中任何有价值的数据。 CHAP质询握手身份验证协议 (CHAP) 是一种质询-响应身份验证协议，该协议使用行业标准的 Message Digest5 (MD5) 哈希方案来对响应加密。CHAP 可供各种网络访问服务器和客户端的供应商使用。运行“路由和远程访问”的服务器支持 CHAP，以便对要求使用 CHAP 的访问客户端进行身份验证。由于 CHAP 要求使用可撤消的加密密码，所以，应考虑使用其他身份验证协议（例如 MS-CHAP 版本2）。若要启用基于 CHAP 的身份验证，必须执行下列操作：1. 启用 CHAP 作为网络访问服务器上的身份验证协议。2. 在 NPS 中的相应网络策略上启用 CHAP。3. 启用可撤消加密的用户密码存储。可以按用户帐户启用其存储，也可以为域中的全部帐户启用存储。4. 强制重置用户密码，以使新密码采用可撤消形式加密。启用以可撤消的加密形式存储密码时，当前密码未采用可撤消的加密形式，并且未自动更改。必须手动更改用户密码，或将用户密码设置为在每个用户下次登录时更改。如果将用户密码设置为在用户下次登录时更改，该用户必须使用 LAN 连接进行登录，并在用户尝试使用远程访问连接登录之前，使用 CHAP 更改密码。在身份验证过程中，不能使用 CHAP 更改密码；否则，登录尝试将失败。远程访问用户的一种解决方法是暂时使用 MS-CHAP 登录来更改密码。5. 在访问客户端上启用 CHAP。其他注意事项 用户密码过期时，CHAP 不为其提供在身份验证过程中更改密码的功能。 验证网络访问服务器支持 CHAP，然后再在运行 NPS 的服务器上的网络策略中启用它。有关详细信息，请参阅 NAS 文档。 不能对 CHAP 使用 Microsoft 点对点加密 (MPPE)。PAP密码身份验证协议 (PAP) 使用纯文本密码，是最不安全的身份验证协议。如果访问客户端和网络访问服务器无法协商使用更安全的身份验证方法，通常协商使用此方法。若要启用基于 PAP 的身份验证，必须执行下列操作：1. 启用 PAP 作为网络访问服务器上的身份验证协议。2. 在 NPS 中的相应网络策略上启用 PAP。3. 在访问客户端上启用 PAP。重要事项 启用 PAP 作为身份验证协议时，将以纯文本形式发送用户密码。任何捕获到身份验证过程的数据包的用户均可以很容易地读取密码并使用该密码对您的 Intranet 进行未经授权的访问。建议不要使用 PAP，特别是对于 VPN 连接。 其他注意事项 如果部署了拨号服务器，通过在网络访问服务器上禁用 PAP 支持，可确保从不通过拨号客户端发送纯文本密码。禁用对 PAP 的支持可以提高身份验证的安全性，但是只支持 PAP 的远程访问客户端将无法连接。 用户的密码过期时，PAP 不为其提供在身份验证过程中更改密码的功能。 在 NPS 服务器的网络策略上启用 PAP 之前，确保您的网络访问服务器支持 PAP。有关详细信息，请参阅 NAS 文档。 不能对 PAP 使用 Microsoft 点对点加密 (MPPE)。未经身份验证的访问使用未经身份验证的访问，不需要用户凭据（用户名和密码）。虽然在某些情况下，未经身份验证的访问很有用，但在大多数情况下不推荐在组织网络中使用。启用未经身份验证的访问时，将允许用户访问网络，而无需发送用户凭据。此外，未经身份验证的访问客户端在建立连接过程中不协商使用公用身份验证协议，也不将用户名或密码发送到 NPS。必须使用未经身份验证的访问时，可以使用以下解决方案之一： DNIS 授权 ANI/CLI 身份验证 来宾身份验证DNIS 授权被叫号码识别服务 (DNIS) 使您能够对由 NPS 尝试的连接（基于客户端计算机呼叫的号码）进行授权，以初始化该连接。DNIS 识别被呼叫到呼叫接收方的号码，由大多数电话公司提供。例如，可以允许通过指定的免费号码连接的全部连接。若要识别基于 DNIS 的连接并应用适当的连接设置，必须执行以下操作：1. 在网络访问服务器上启用未经身份验证的访问。2. 将 Called-Station-Id 条件设置为客户端计算机必须呼叫才能启动连接的电话号码后，在 NPS 服务器上为基于 DNIS 的授权创建一个网络策略。3. 在 NPS 的网络策略中为基于 DNIS 的授权启用未经身份验证的访问。其他注意事项 如果电话服务或硬件不支持 DNIS，可以手动设置端口的电话号码。 NPS 不支持有代理的 DNIS 访问请求。ANI/CLI 身份验证自动号码识别/呼叫线路识别 (ANI/CLI) 身份验证是对基于呼叫方电话号码的连接尝试进行的身份验证。ANI/CLI 服务将呼叫方号码返回呼叫的接收方，大多数电话公司提供此服务。ANI/CLI 身份验证不同于呼叫方 ID 授权。在呼叫方 ID 授权中，呼叫方发送有效用户名和密码。为用户帐户上的拨入属性配置的呼叫方 ID 必须与连接尝试匹配；否则，将拒绝连接尝试。使用 ANI/CLI 身份验证，将不发送用户名和密码。若要识别基于 ANI/CLI 的连接并应用适当的连接设置，必须执行以下操作：1. 在网络访问服务器上启用未经身份验证的访问。2. 在 NPS 的相应网络策略中为基于 ANI/CLI 的身份验证启用未经身份验证的访问。3. 在 Active Directory(R) 域服务 (AD DS) 中或在 NPS 服务器上的本地安全帐户管理器 (SAM) 数据库中，为每个将呼叫并要为其提供 ANI/CLI 身份验证的号码创建一个用户帐户。用户帐户的名称必须与用户拨入的号码匹配。例如，如果用户拨入 555-0100，将创建一个用户名为 5550100 的用户帐户。此外，用户帐户的密码必须为空。4. 在 NPS 服务器上将以下注册表值设置为 31：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyUserIdentityAttribute此注册表设置告知验证服务器将呼叫号码（RADIUS 属性 31，Calling-Station-ID）用作呼叫用户的标识。仅当在连接尝试中未提供用户名时，用户标识才被设置为呼叫号码。若要始终将呼叫号码用作用户标识，请在身份验证服务器上将以下注册表值设置为 1：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyOverrideUser-Name但是，如果将 OverrideUser-Name 设置为 1 并将 UserIdentityAttribute 设置为 31，则身份验证服务器只能执行基于 ANI/CLI 的身份验证。使用身份验证协议（如 MS-CHAP、CHAP 和 EAP）的一般身份验证被禁用。备注 重新启动路由和远程访问服务或网络策略服务器服务之后，对注册表设置的更改才会生效。 注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机中任何有价值的数据。 来宾身份验证AD DS 包括一个称为“来宾”的用户帐户，默认情况下，该帐户被禁用。如果需要提供未经身份验证的访问，可以启用来宾帐户。使用来宾身份验证，在身份验证过程中，用户不提供用户名或密码。如果已启用未经身份验证的访问，则在默认情况下，使用来宾帐户作为呼叫方的标识。若要启用来宾帐户访问，必须执行下列操作：1. 在网络访问服务器上启用未经身份验证的访问。2. 在 NPS 中的相应网络策略上启用未经身份验证的访问。3. 在“Active Directory 用户和计算机”中启用来宾帐户。4. 根据网络策略管理模型，将来宾帐户的网络访问权限设置为“允许访问”或“通过 NPS 网络策略控制访问”。如果需要启用未命名为“来宾”的来宾帐户，请创建一个用户帐户并将远程访问权限设置为“允许访问”或“通过 NPS 网络策略控制访问”。然后，在身份验证服务器（远程访问服务器或 NPS 服务器）上，将以下注册表值设置为帐户的名称：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyDefaultUserIdentity 备注 重新启动路由和远程访问服务或网络策略服务器服务之后，对注册表设置的更改才会生效。 注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机中任何有价值的数据。 标记为 ContentBug 证书与 NPS应用到: Windows Server 2008证书与 NPS证书是由证书颁发机构 (CA)，如 Active Directory(R) 证书服务 (AD CS) 或 Verisign 公共 CA 颁发的数字文档。证书可用于许多目的，如代码签名和保护电子邮件通信，但使用网络策略服务器 (NPS) 时，证书用于网络访问身份验证。由于证书可提供对用户和计算机进行身份验证的强大安全性而且可消除对基于密码的不太安全的身份验证方法的需要，因此用于网络访问身份验证。 使用基于证书的身份验证类型配置的两种身份验证方法均使用以下证书：EAP 和 PEAP。使用 EAP，可以配置身份验证类型 TLS (EAP-TLS)，而使用 PEAP，可以配置身份验证类型 TLS (PEAP-TLS) 和 MS-CHAP v2 (PEAP-MS-CHAP v2)。这些身份验证方法始终使用证书进行服务器身份验证。根据使用身份验证方法配置的身份验证类型，证书还可用于用户身份验证和客户端计算机身份验证。备注 使用证书对 VPN 连接进行身份验证是 WindowsServer2008 中最强大的可用身份验证形式。必须根据采用 Internet 协议安全的第二层隧道协议 (L2TP/IPsec) 对 VPN 连接使用基于证书的身份验证。使用 EAP-TLS 作为身份验证方法时，虽然您可以将 PPTP 连接配置为使用证书进行计算机身份验证，但点对点隧道协议 (PPTP) 连接不需要证书。对于无线客户端，带 EAP-TLS 以及智能卡或证书的 PEAP 是建议的身份验证方法。 通过安装和配置 Active Directory 证书服务服务器角色，可以部署与 NPS 一同使用的证书。有关详细信息，请参阅 ADCS 文档。证书类型使用基于证书的身份验证方法时，了解以下类型的证书及其使用方式非常重要。 CA 证书如果证书位于客户端和服务器计算机上，则向客户端或服务器表明它可以信任其他证书，如用于客户端或服务器身份验证的证书（由此 CA 颁发）。此证书是基于证书的身份验证方法的所有部署所必需的。 客户端计算机证书由 CA 颁发给客户端计算机且在客户端计算机在身份验证过程中需要向运行 NPS 的服务器证明其身份时使用。 服务器证书由 CA 颁发给 NPS 服务器且在 NPS 服务器在身份验证过程中需要向客户端计算机证明其身份时使用。 用户证书由 CA 颁发给个人且通常作为智能卡中嵌入的证书进行分发。当个人在身份验证过程中需要向 NPS 服务器证明其身份时，会将智能卡上的证书与连接到客户端计算机的智能卡读卡器一同使用。基于证书的身份验证方法使用强 EAP 类型的 EAP（如带有智能卡或证书的 TLS）时，客户端和服务器都使用证书相互进行身份验证。此过程称为相互身份验证。证书必须满足某些要求，才允许服务器和客户端使用它们进行相互身份验证。这类要求之一就是，证书是使用与证书使用关联的 EKU 扩展中的一个或多个目的来配置的。例如，客户端对服务器进行身份验证时所使用的证书必须是使用“客户端身份验证”目的来配置的。同样，用于服务器身份验证的证书必须是使用“服务器身份验证”目的来配置的。使用证书进行身份验证时，身份验证器将检查客户端证书，以在 EKU 扩展中寻找正确目的的对象标识符。例如，用于客户端身份验证目的的对象标识符为 ..2。使用证书进行客户端计算机身份验证时，此对象标识符必须存在于证书的 EKU 扩展中，否则身份验证将会失败。证书模板是一个 Microsoft 管理控制台 (MMC) 管理单元，可用于对 AD CS 颁发的证书进行自定义。自定义可能性包括如何颁发证书以及证书包含哪些内容（包括其目的）。在证书模板中，可以使用默认模板（如计算机模板）来定义 CA 为计算机分配证书时所使用的模板。您还可以创建证书模板，并为证书分配 EKU 扩展中的目的。默认情况下，计算机模板包括 EKU 扩展中的“客户端身份验证”目的和“服务器身份验证”目的。创建的证书模板可以包括将证书用于的任何目的。例如，如果使用智能卡进行身份验证，则除了“客户端身份验证”目的以外，还可以包括“智能卡登录”目的。您可以将 NPS 配置为在授予网络权限之前对证书目的进行检查。NPS 可以检查其他的 EKU 和颁发策略目的（也称为证书策略）。备注 有些非 Microsoft CA 软件可能包含所谓的“全部”目的，表示所有可能的目的。这由一个空白的（或空）EKU 扩展表示。尽管“全部”旨在表示“所有可能的目的”，但不能将“全部”目的替换为“客户端身份验证”目的、“服务器身份验证”目的，或与网络访问身份验证有关的任何其他目的。 了解使用证书的身份验证将证书作为身份证明提供给客户端或服务器计算机时，身份验证器必须检查该证书以确定其有效性（无论出于何种目的进行配置），并了解证书是否由身份验证器所信任的 CA 颁发。假设证书的配置正确且有效，身份验证过程最重要的方面就是通过身份验证器检查它是否信任颁发证书的 CA。如果身份验证器信任 CA，而且证书有效且按照最低的客户端和服务器证书要求正确进行了配置，则身份验证将成功。如果身份验证器不信任 CA，则身份验证将失败。如何建立信任基于 Windows 的计算机将证书保留在本地计算机上的证书存储区中。存在专门为本地计算机、当前用户和各个服务（如网络连接、自动更新和计算机浏览器）设置的证书存储区。在每个证书存储区中都有名为“受信任的根证书颁发机构”的文件夹，其中包含来自受信任的每个 CA 的证书，无论它们是公共的还是专用的 CA。为了确定信任，身份验证器将针对当前用户或本地计算机检查“受信任的根证书颁发机构”证书存储区。如果颁发用于身份验证的客户端、用户或服务器证书的 CA 在本地计算机上的“受信任的根证书颁发机构”证书存储区中具有证书，则身份验证器将信任证书。如果颁发证书的 CA 在本地计算机上的“受信任的根证书颁发机构”证书存储区中没有 CA 证书，则身份验证器不信任证书。重要事项 CA 证书必须存在于本地计算机（无论计算机为客户端还是服务器）上的“受信任的根证书颁发机构”证书存储区中，由 CA 颁发的其他证书才会得到信任。 公共 CA默认情况下，某些受信任的根 CA 证书（由公共的受信任根证书颁发机构颁发）包括在 Windows 的所有安装中；它们包括在产品安装光盘中或存在于由提供安装了 Windows 的计算机的原始设备制造商 (OEM) 出售的计算机中。例如，位于运行 WindowsXP 的计算机上的证书存储区中的“受信任的根证书颁发机构”文件夹中，存在来自 Verisign Trust Network CA、Thawte Premium Server CA 和 Microsoft 根证书颁发机构的 CA 证书。如果运行 WindowsXP 的计算机中存在由上述某个 CA 颁发的证书和正确配置且有效的证书，则运行 WindowsXP 的计算机信任该证书。可以从许多公司（如 Verisign 和 Thawte）购买要在身份验证基础结构中使用的其他证书。例如，部署 PEAP-MS-CHAP v2 且在客户端上启用“验证服务器证书”设置时，客户端计算机将使用 NPS 服务器证书对 NPS 服务器进行身份验证。如果不想部署您自己的 CA 并将您自己的服务器证书颁发给 NPS 服务器，则可以从其 CA 已受到客户端计算机信任的公司购买服务器证书。专用 CA当组织部署其各自的公钥基础结构 (PKI) 并安装专用的受信任根 CA 时，其 CA 会将其证书自动发送给组织中的所有域成员计算机。域成员客户端和服务器计算机将 CA 证书存储在“受信任的根证书颁发机构”证书存储区中。出现这种情况后，域成员计算机将信任组织的受信任根 CA 颁发的证书。例如，如果您安装了 ADCS，则 CA 会将其证书发送给组织中的域成员计算机，并且它们将 CA 证书存储在本地计算机上的“受信任的根证书颁发机构”证书存储区中。如果您还为 NPS 服务器配置并自动注册了服务器证书，然后由为无线连接部署了 PEAP-MS-CHAP v2，则所有的域成员无线客户端计算机都可以使用 NPS 服务器证书成功地对 NPS 服务器进行身份验证，因为它们信任颁发 NPS 服务器证书的 CA。备注 非域成员计算机必须在“受信任的根证书颁发机构”证书存储区中手动安装专用的 CA 证书才会信任专用 CA 颁发的证书，如 NPS 服务器证书。 所需的证书下表标识了成功部署每种基于证书的身份验证方法所需的证书。证书 对于 EAP-TLS 和 PEAP-TLS 是否是必需的？ 对于 PEAP-MS-CHAP v2 是否是必需的？ 详细信息 本地计算机和当前用户的“受信任的根证书颁发机构”证书存储区中的 CA 证书。是。系统将为域成员计算机自动注册 CA 证书。对于非域成员计算机，必须将证书手动导入证书存储区中。是。系统将为域成员计算机自动注册此证书。对于非域成员计算机，必须将证书手动导入证书存储区中。对于 PEAP-MS-CHAP v2，此证书是在客户端与服务器之间进行相互身份验证所必需的。 客户端的证书存储区中的客户端计算机证书。是。客户端计算机证书是必需的，除非已在智能卡上分发了用户证书。系统将为域成员计算机自动注册客户端证书。对于非域成员计算机，必须手动导入该证书或使用 Web 注册工具获取该证书。否。使用基于密码的凭据（而不是证书）来执行用户身份验证。如果在智能卡上部署用户证书，则客户端计算机不需要客户端证书。NPS 服务器的证书存储区中的服务器证书。是。可以配置 ADCS，以便为 Active Directory 域服务 (ADDS) 中的 RAS 和 IAS 服务器组的成员自动注册服务器证书。是。除了对服务器证书使用 ADCS 以外，还可以从客户端计算机已信任的其他 CA 处购买服务器证书。NPS 服务器会将服务器证书发送给客户端计算机；客户端计算机将使用该证书对 NPS 服务器进行身份验证。智能卡上的用户证书。否。只有当您选择部署智能卡而不自动注册客户端计算机证书时，此证书才是必需的。 否。使用基于密码的凭据（而不是证书）来执行用户身份验证。对于 EAP-TLS 和 PEAP-TLS，如果您没有自动注册客户端计算机证书，则智能卡上的用户证书就是必需的。重要事项 IEEE 802.1x 身份验证对 802.11 无线网络和有线以太网网络提供了经过验证的访问权限。802.1X 对安全的 EAP 类型（如带有智能卡或证书的 TLS）提供支持。可以采用多种方式使用 EAP-TLS 来配置 802.1X。如果在客户端上配置了“验证服务器证书”选项，则客户端将使用其证书对服务器进行身份验证。可以使用客户端证书存储或智能卡中的证书（提供相互身份验证）来完成客户端计算机和用户身份验证。借助无线客户端，可以使用 PEAP-MS-CHAP v2 作为身份验证方法。PEAP-MS-CHAP v2 是结合使用 TLS 和服务器证书的基于密码的用户身份验证方法。在执行 PEAP-MS-CHAP v2 身份验证期间，IAS 或 RADIUS 服务器将提供用于向客户端验证其身份的证书（如果在 WindowsVista 和 WindowsXP Professional 客户端上配置了“验证服务器证书”选项）。客户端计算机和用户身份验证是使用密码完成的，这消除了为无线客户端计算机部署证书时的一些困难。 向域和非域成员计算机注册证书要为其注册证书的计算机的域成员身份会影响可以选择的证书注册方法。可以自动注册域成员计算机的证书，但管理员必须使用 ADCS Web 注册工具或软盘或光盘来为非域成员计算机注册证书。域成员证书注册如果您的 VPN 服务器、NPS 服务器或运行 Windows2000、WindowsXP 或 WindowsVista 的客户端是运行 Windows Server2008 或 Windows Server2003 以及 ADDS 的域成员，则可以配置计算机和用户证书的自动注册。配置并启用自动注册后，当下次刷新组策略时，所有的域成员计算机都会收到计算机证书，无论是使用 gpupdate 命令还是通过登录到域来手动触发刷新。如果您的计算机是未安装 ADDS 的域的成员，则通过“证书 MMC”管理单元请求证书，可以手动安装计算机证书。备注 运行 Windows2000 的计算机只能自动注册计算机证书。 非域成员证书注册不能使用自动注册来执行非域成员的计算机的证书注册。将计算机已加入到域时，即建立了信任，允许在没有管理员干预的情况下自动注册。如果未将计算机加入到域，则不会建立信任，且不会颁发证书。必须使用以下方法之一建立信任： 管理员（定义为信任方）必须使用 CA Web 注册工具来请求计算机或用户证书。 管理员必须将计算机或用户证书保存到软盘并将其安装在非域成员计算机上。或者，当管理员无法访问计算机（例如，使用 L2TP/IPsec VPN 连接连接到组织网络的家庭计算机）时，管理员信任的域用户可以安装证书。 管理员可以在智能卡上分发用户证书（不会在智能卡上分发计算机证书）。许多网络基础结构包含的 VPN 和 NPS 服务器不是域成员。例如，出于安全原因，外围网络中的 VPN 服务器可能不是域成员。在这种情况下，必须将 EKU 扩展中包含的具有“服务器身份验证”目的的客户端证书安装在非域成员 VPN 服务器上，之后才能成功地与客户端协商基于 L2TP/IPsec 的 VPN 连接。如果使用非域成员 VPN 服务器作为一个 VPN 与另一个 VPN 服务器连接的终结点，则 EKU 扩展必须包含“服务器身份验证”和“客户端身份验证”目的。如果在运行 Windows Server2008 或 Windows Server2003，Standard Edition 的计算机上运行企业证书颁发机构 (CA)，则可以使用下表来确定符合要求的最佳证书注册方法：对象和域成员身份 证书模板 证书目的 首选的证书注册方法 备用的证书注册方法 VPN、IAS 或 NPS 服务器、域成员计算机服务器身份验证自动注册使用证书管理单元请求证书具备站点到站点连接的 VPN 服务器，域成员计算机服务器身份验证和客户端身份验证自动注册使用证书管理单元请求证书WindowsVista 或 WindowsXP 客户端，域成员计算机客户端身份验证自动注册使用证书管理单元请求证书VPN、IAS 或 NPS 服务器、非域成员计算机服务器身份验证CA Web 注册工具从软盘安装具备站点到站点连接的 VPN 服务器，非域成员计算机服务器身份验证和客户端身份验证CA Web 注册工具从软盘安装WindowsVista 或 WindowsXP 客户端，非域成员计算机客户端身份验证CA Web 注册工具从软盘安装用户，域用户用户客户端身份验证自动注册使用智能卡或 CA Web 注册工具如果您的 CA 位于运行以下操作系统之一的计算机上，则可以使用 RAS 和 IAS 服务器和工作站身份验证模板： WindowsServer2003 Enterprise Edition WindowsServer2003 Datacenter Edition 用于基于 Itanium 系统的 WindowsServer2003 Enterprise Edition 用于基于 Itanium 系统的 WindowsServer2003 Datacenter Edition WindowsServer2003 Enterprise x64 Edition WindowsServer2003 Datacenter x64 Edition Windows Server2008 使用下表来确定何时使用这些模板。对象和域成员身份 证书模板 证书目的 首选的证书注册方法 备用的证书注册方法 VPN、IAS 或 NPS 服务器、域成员RAS 和 IAS 服务器服务器身份验证自动注册使用证书管理单元请求证书WindowsVista 或 WindowsXP 客户端，域成员工作站身份验证客户端身份验证自动注册使用证书管理单元请求证书VPN、IAS 或 NPS 服务器、非域成员RAS 和 IAS 服务器服务器身份验证CA Web 注册工具从软盘安装WindowsVista 或 WindowsXP 客户端，非域成员工作站身份验证客户端身份验证CA Web 注册工具从软盘安装重要事项 如果运行 NPS 的服务器不是域控制器，而是具有 Windows2000 混合功能级别的域的成员，则必须将该服务器添加到 RAS 和 IAS 服务器证书模板的访问控制列表 (ACL) 中。还必须配置进行自动注册的正确权限。向 ACL 中添加单个服务器与多组服务器的过程有所不同。 向 RAS 和 IAS 服务器证书模板的 ACL 中添加单个服务器的步骤 1. 在“证书模板”中，选择“RAS 和 IAS 服务器”模板，然后向模板“安全”属性中添加 NPS 服务器。2. 向 ACL 中添加 NPS 服务器后，请授予“读取”、“注册”和“自动注册”权限。若要管理一组服务器，请将服务器添加到一个新的全局或通用组中，然后将该组添加到证书模板的 ACL 中 1. 在“Active Directory 用户和计算机”中，为 NPS 服务器创建一个新的全局或通用组。 2. 向组中添加作为 NPS 服务器、非域控制器，以及具有 Windows2000 混合功能级别的域成员的所有计算机。3. 在“证书模板”中，选择“RAS 和 IAS 服务器”模板，然后向模板“安全”属性中添加已创建的组。4. 授予“读取”、“注册”和“自动注册”权限。证书部署和 Active Directory 复制应用到: Windows Server 2008证书部署和 Active Directory 复制某些身份验证方法（如 PEAP 和 EAP）已配置有基于证书的身份验证类型时，可以使用证书对计算机和用户进行身份验证。Active Directory(R) 复制延迟可能暂时会影响客户端或服务器从证书颁发机构 (CA) 获取证书的能力。如果配置为使用证书进行身份验证的计算机无法注册证书，则身份验证将会失败。该 Active Directory 复制延迟可影响网络访问身份验证基础结构，原因是用于客户端和服务器身份验证的证书是由 CA 颁发给域成员计算机。将客户端或服务器计算机加入到域后，仅具有客户端或服务器计算机的域成员身份记录的 Active Directory 全局编录服务器才可能是处理加入请求的域控制器。将计算机加入到域后，必须重新启动该计算机。计算机启动且您登录到域后，会应用组策略。如果您以前已配置自动注册客户端计算机证书（对于 NPS 服务器则为服务器证书），则此时新的域成员计算机将会从 CA 请求证书。备注 可以通过登录到域或运行 gpupdate 命令手动刷新组策略。 CA 接着检查 Active Directory 域服务 (ADDS)，以确定是否应将证书颁发给已请求该证书的客户端或服务器。如果已在域中复制计算机帐户，则 CA 可以确定客户端或服务器是否具有注册证书所需的安全权限。但如果尚未在域中复制计算机帐户，则 CA 可能无法验证客户端或服务器是否具有注册证书所需的安全权限。如果发生这种情况，CA 将不会向客户端或服务器计算机注册证书。 如果域成员客户端计算机无法注册客户端计算机证书，则在该客户端计算机尝试通过任何网络访问服务器（该服务器在 NPS 中配置为 RADIUS 客户端，其中要求使用的身份验证方法是 EAP-TLS 或 PEAP-TLS）连接到网络时，NPS 服务器将无法成功对该客户端计算机进行身份验证。例如，如果已部署为 802.1X 无线访问点的 RADIUS 客户端，并使用 PEAP-TLS 作为身份验证方法，则没有客户端计算机证书的客户端计算机将无法进行成功身份验证，且无法通过无线连接使用网络资源。 如果域成员 NPS 服务器计算机无法注册服务器证书，则在该 NPS 服务器尝试通过任何网络访问服务器（该服务器在 NPS 中配置为 RADIUS 客户端，其中要求使用的身份验证方法是 EAP-TLS、PEAP-TLS 或 PEAP-MS-CHAP v2，且客户端配置有启用的“验证服务器证书”设置）连接到网络时，客户端计算机将无法成功对该 NPS 服务器进行身份验证。这些身份验证方法提供了相互身份验证功能，且 NPS 服务器必须具有服务器证书才能由客户端计算机成功进行身份验证。如果 NPS 服务器没有服务器证书，则需要使用这些身份验证方法的所有连接请求均会失败，原因是客户端计算机无法对 NPS 服务器进行身份验证。鉴于此原因，部署基于证书的身份验证方法时，建议您设计 Active Directory 复制时间和从属 CA 的部署，以降低慢速复制可能对网络访问身份验证基础结构造成的负面影响。PEAP 和 EAP 的证书要求应用到: Windows Server 2008在使用可扩展身份验证协议-传输层安全 (EAP-TLS)、受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS) 和 PEAP-Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 进行网络访问身份验证时，使用的所有证书均须满足 X.509 证书的要求，并适用于使用安全套接字层/传输层安全 (SSL/TLS) 的连接。客户端和服务器证书均有额外要求。最小服务器证书要求使用 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 作为身份验证方法时，NPS 服务器必须使用满足最低服务器证书要求的服务器证书。 通过使用客户端计算机或组策略中的“验证服务器证书”选项，可以将客户端计算机配置为验证服务器证书。 当服务器证书满足以下要求时，客户端计算机接受服务器的身份验证尝试： 使用者名称包含一个值。如果将证书颁发到具有空白使用者名称的运行网络策略服务器 (NPS) 的服务器，则无法将此证书用于验证 NPS 服务器。通过使用者名称配置证书模板的步骤：1. 打开“证书模板”。2. 在细节窗格中，右键单击要更改的证书模板，然后单击“属性”。3. 单击“使用者名称”选项卡，然后单击“用 Active Directory 中的信息生成”。4. 在“使用者名称格式”中，选择除“无”之外的某个值。 服务器上的计算机证书链接到受信任的根证书颁发机构 (CA)，因而不会使由 CryptoAPI 执行以及在远程访问策略或网络策略中指定的任何检查失败。 NPS 服务器或 VPN 服务器的计算机证书配置用于扩展密钥用法 (EKU) 扩展中的服务器身份验证。（服务器身份验证的对象标识符为 ..1。） 使用 RSA 的所需算法值配置服务器证书。配置所需加密设置的步骤：1. 打开“证书模板”。2. 在细节窗格中，右键单击要更改的证书模板，然后单击“属性”。3. 单击“加密”选项卡。在“算法名称”中，单击 RSA。确保“最小密钥大小”设置为 2048。 使用者备用名称 (SubjectAltName) 扩展（如果使用）必须包含服务器的 DNS 名称。使用注册服务器的域名系统 (DNS) 名称配置证书模板的步骤： 1. 打开“证书模板”。2. 在细节窗格中，右键单击要更改的证书模板，然后单击“属性”。3. 单击“使用者名称”选项卡，然后单击“用 Active Directory 中的信息生成”。4. 在“将这个信息包括在另一个使用者名称中”中，选中“DNS 名称”。在使用 PEAP 和 EAP-TLS 时，NPS 服务器显示一个计算机证书存储中全部已安装证书的列表，但以下情况例外： 不显示不包含 EKU 扩展中的服务器身份验证用途的证书。 不显示不包含使用者名称的证书。 不显示基于注册表的登录证书和智能卡登录证书。最低客户端证书要求使用 EAP-TLS 或者 PEAP-TLS，当证书符合以下要求时，服务器将接受客户端身份验证尝试： 客户端证书由企业 CA 颁发或映射到 Active Directory(R) 域服务 (AD DS) 中的用户或计算机帐户。 客户端上的用户或计算机证书链接到一个受信任的根 CA，包括 EKU 扩展中的客户端身份验证用途（客户端身份验证的对象标识符为 ..2），在由 CryptoAPI 执行和在远程访问策略或网络策略中指定的检查中，以及在 IAS 远程访问策略或 NPS 网络策略中指定的证书对象标识符检查中，均未失败。 802.1X 客户端不使用智能卡登录或密码保护证书的基于注册表的证书。 对于用户证书，证书中的使用者备用名称 (SubjectAltName) 扩展包括用户主体名称 (UPN)。配置证书模板中的 UPN 的步骤：1. 打开“证书模板”。2. 在细节窗格中，右键单击要更改的证书模板，然后单击“属性”。3. 单击“使用者名称”选项卡，然后单击“用 Active Directory 中的信息生成”。4. 在“将这个信息包括在另一个使用者名称中”中，选中“用户主体名称(UPN)”。 对于计算机证书，证书中的使用者备用名称 (SubjectAltName) 扩展必须包含客户端的完全限定的域名 (FQDN)，也称为“DNS 名称”。配置证书模板中此