Udostępnij przez

Zarządzanie certyfikatami używanymi w usłudze NPS

W przypadku wdrożenia metody uwierzytelniania opartej na certyfikatach, takiej jak Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) i PEAP-Microsoft Challenge Handshake Authentication Protocol w wersji 2 (MS-CHAP v2), należy zarejestrować certyfikat serwera we wszystkich serwerach NPS. Certyfikat serwera musi:

  • Spełnianie minimalnych wymagań dotyczących certyfikatów serwera zgodnie z opisem w temacie Konfigurowanie szablonów certyfikatów dla wymagań PEAP i EAP

  • Muszą być wystawiane przez urząd certyfikacji (CA), który jest zaufany przez komputery klienckie. Urząd certyfikacji jest zaufany, gdy jego certyfikat istnieje w magazynie certyfikatów zaufanych głównych urzędów certyfikacji dla bieżącego użytkownika i komputera lokalnego.

Poniższe instrukcje pomagają w zarządzaniu certyfikatami NPS we wdrożeniach, w których zaufany główny urząd certyfikacji jest urzędem certyfikacji innej firmy, takim jak Verisign, lub jest urzędem certyfikacji wdrożonym dla infrastruktury kluczy publicznych (PKI) przy użyciu usług certyfikatów Active Directory (AD CS).

Zmień termin wygaśnięcia buforowanego uchwytu TLS

Podczas początkowych procesów uwierzytelniania dla protokołu EAP-TLS, PEAP-TLS i PEAP-MS-CHAP v2 serwer NPS buforuje część właściwości połączenia TLS klienta. Klient buforuje również część właściwości połączenia TLS serwera NPS.

Każda indywidualna kolekcja tych właściwości połączenia TLS jest nazywana uchwytem TLS.

Komputery klienckie mogą buforować dojścia TLS dla wielu wystawców uwierzytelnienia, podczas gdy serwery NPS mogą buforować dojścia TLS wielu komputerów klienckich.

Buforowane dojścia TLS na kliencie i serwerze umożliwiają szybsze wykonywanie procesu ponownego uwierzytelniania. Na przykład, gdy komputer bezprzewodowy ponownie uwierzytelnia się przy użyciu serwera NPS, serwer NPS może zbadać uchwyt TLS dla klienta bezprzewodowego i szybko określić, że połączenie klienta to ponowne połączenie. Serwer Zasad Sieciowych autoryzuje połączenie bez wykonywania pełnego uwierzytelniania.

W związku z tym klient sprawdza dojście TLS dla serwera NPS, określa, że jest to ponowne połączenie i nie musi wykonywać uwierzytelniania serwera.

Na komputerach z systemami Windows 10 i Windows Server 2016 domyślny czas wygaśnięcia dojścia TLS wynosi 10 godzin.

W niektórych okolicznościach możesz zwiększyć lub zmniejszyć czas wygaśnięcia uchwytu TLS.

Na przykład możesz zmniejszyć czas wygaśnięcia obsługi protokołu TLS w sytuacjach, gdy certyfikat użytkownika zostanie odwołany przez administratora, a certyfikat wygasł. W tym scenariuszu użytkownik może nadal łączyć się z siecią, jeśli serwer NPS ma w pamięci podręcznej obsługę TLS, która nie wygasła. Zmniejszenie czasu wygaśnięcia uchwytu TLS może pomóc w zapobieganiu ponownemu łączeniu się użytkowników z odwołanymi certyfikatami.

Note

Najlepszym rozwiązaniem tego scenariusza jest wyłączenie konta użytkownika w usłudze Active Directory lub usunięcie konta użytkownika z grupy usługi Active Directory, która ma przyznane uprawnienia do łączenia się z siecią w zasadach sieciowych. Propagacja tych zmian do wszystkich kontrolerów domeny może być również opóźniona z powodu opóźnień replikacji.

Konfigurowanie czasu wygaśnięcia uchwytu TLS na komputerach klienckich

Ta procedura umożliwia zmianę czasu, przez jaki komputery klienckie buforują uchwyt TLS NPS. Po pomyślnym uwierzytelnieniu serwera NPS komputery klienckie buforują właściwości połączenia TLS serwera NPS jako uchwyt TLS. Dojście TLS ma domyślny czas trwania 10 godzin (36 000 000 milisekund). Możesz zwiększyć lub zmniejszyć czas wygaśnięcia uchwytu TLS, wykonując poniższą procedurę.

Członkostwo w grupie Administratorzy lub równoważnej jest minimalnym wymaganiem do wykonania tej procedury.

Important

Tę procedurę należy wykonać na serwerze NPS, a nie na komputerze klienckim.

Aby skonfigurować czas wygaśnięcia uchwytu protokołu TLS na komputerach klienckich

  1. Na serwerze NPS otwórz Edytor rejestru.

  2. Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL klucza rejestru

  3. W menu Edycja kliknij pozycję Nowy, a następnie kliknij pozycję Klucz.

  4. Wpisz ClientCacheTime, a następnie naciśnij ENTER.

  5. Kliknij prawym przyciskiem myszy ClientCacheTime, kliknij przycisk Nowy, a następnie kliknij wartość DWORD (32-bitowa).

  6. Wpisz czas w milisekundach, przez jaki komputery klienckie mają buforować uchwyt TLS serwera ZASAD sieciowych po pierwszej pomyślnej próbie uwierzytelnienia przez ten serwer.

Konfigurowanie czasu wygaśnięcia dojścia TLS na serwerach ZASAD sieciowych

Ta procedura umożliwia zmianę okresu czasu, przez jaki serwer NPS buforuje dojście TLS komputerów klienckich. Po pomyślnym uwierzytelnieniu klienta dostępu serwer NPS buforuje właściwości połączenia TLS komputera klienckiego jako dojście TLS. Dojście TLS ma domyślny czas trwania 10 godzin (36 000 000 milisekund). Możesz zwiększyć lub zmniejszyć czas wygaśnięcia uchwytu TLS, wykonując poniższą procedurę.

Członkostwo w grupie Administratorzy lub równoważnej jest minimalnym wymaganiem do wykonania tej procedury.

Important

Tę procedurę należy wykonać na serwerze NPS, a nie na komputerze klienckim.

Aby skonfigurować czas wygaśnięcia uchwytu TLS na serwerach Zasad Sieci

  1. Na serwerze NPS otwórz Edytor rejestru.

  2. Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL klucza rejestru

  3. W menu Edycja kliknij pozycję Nowy, a następnie kliknij pozycję Klucz.

  4. Wpisz ServerCacheTime, a następnie naciśnij ENTER.

  5. Kliknij prawym przyciskiem myszy pozycję ServerCacheTime, kliknij pozycję Nowy, a następnie kliknij pozycję WARTOŚĆ DWORD (32-bitowa).

  6. Wpisz ilość czasu (w milisekundach), przez jaki NPS ma buforować uchwyt TLS komputera klienckiego po pierwszej pomyślnej próbie uwierzytelnienia klienta.

Uzyskiwanie skrótu SHA-1 zaufanego certyfikatu głównego urzędu certyfikacji

Ta procedura służy do uzyskiwania skrótu Secure Hash Algorithm (SHA-1) zaufanego głównego urzędu certyfikacji (CA) z certyfikatu zainstalowanego na komputerze lokalnym. W niektórych okolicznościach, takich jak podczas wdrażania zasad grupy, konieczne jest wyznaczenie certyfikatu przy użyciu skrótu SHA-1 certyfikatu.

W przypadku korzystania z zasad grupy można wyznaczyć co najmniej jeden zaufany certyfikat głównego urzędu certyfikacji, którego klienci muszą używać w celu uwierzytelniania serwera NPS podczas procesu wzajemnego uwierzytelniania za pomocą protokołu EAP lub PEAP. Aby wyznaczyć zaufany certyfikat głównego urzędu certyfikacji, którego klienci muszą użyć do zweryfikowania certyfikatu serwera, możesz wprowadzić skrót SHA-1 certyfikatu.

Ta procedura pokazuje, jak uzyskać skrót SHA-1 zaufanego głównego certyfikatu urzędu certyfikacji, korzystając z przystawki Microsoft Management Console (MMC).

Aby wykonać tę procedurę, musisz być członkiem grupy Użytkownicy na komputerze lokalnym.

Aby uzyskać skrót SHA-1 zaufanego głównego urzędu certyfikacji

  1. W oknie dialogowym Uruchamianie lub w programie Windows PowerShell wpisz mmc, a następnie naciśnij ENTER. Zostanie otwarta konsola Microsoft Management Console (MMC). W programie MMC kliknij pozycję Plik, a następnie kliknij pozycję Dodaj/Usuń przystawkę\in. Zostanie otwarte okno dialogowe Dodawanie lub usuwanie przystawek .

  2. W obszarze Dodawanie lub usuwanie przystawek w obszarze Dostępne przystawki kliknij dwukrotnie pozycję Certyfikaty. Zostanie otwarty kreator przystawki Certyfikaty. Kliknij pozycję Konto komputera, a następnie kliknij przycisk Dalej.

  3. W obszarze Wybierz komputer upewnij się, że wybrano opcję Komputer lokalny (komputer, na którym działa ta konsola), kliknij przycisk Zakończ, a następnie kliknij przycisk OK.

  4. W lewym okienku kliknij dwukrotnie Certyfikaty (Komputer lokalny), a następnie dwukrotnie kliknij folder Zaufane główne urzędy certyfikacji.

  5. Folder Certificates to podfolder folderu Zaufane główne urzędy certyfikacji . Kliknij folder Certyfikaty .

  6. W okienku szczegółów przejdź do certyfikatu głównego zaufanego urzędu certyfikacji. Kliknij dwukrotnie certyfikat. Zostanie otwarte okno dialogowe Certyfikat .

  7. W oknie dialogowym Certyfikat kliknij kartę Szczegóły .

  8. Na liście pól przewiń do i wybierz pozycję Odcisk palca.

  9. W dolnym okienku zostanie wyświetlony ciąg szesnastkowy, który jest skrótem SHA-1 certyfikatu. Wybierz skrót SHA-1, a następnie naciśnij skrót klawiaturowy systemu Windows dla polecenia Kopiuj (CTRL+C), aby skopiować skrót do schowka systemu Windows.

  10. Otwórz lokalizację, do której chcesz wkleić skrót SHA-1, poprawnie znajdź kursor, a następnie naciśnij skrót klawiaturowy systemu Windows dla polecenia Wklej (CTRL+V).

Aby uzyskać więcej informacji na temat certyfikatów i serwera NPS, zobacz Konfigurowanie szablonów certyfikatów dla protokołu PEAP i wymagań protokołu EAP.

Aby uzyskać więcej informacji na temat serwera NPS, zobacz Serwer zasad sieciowych (NPS).

  • Last updated on