如果部署基於憑證的身份驗證方法,例如 Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)、Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) 和 PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2),您必須向所有 NPS 註冊伺服器憑證。 伺服器憑證必須:
符合設置 PEAP 和 EAP 要求的憑證範本中所述的最低伺服器憑證的要求
由使用者端電腦信任的憑證授權單位 (CA) 核發。 當 CA 的憑證存在於目前使用者和本機電腦的受信任的根憑證授權單位憑證儲存中時,該 CA 就是受信任的。
以下說明有助於在受信任根 CA 是第三方 CA(例如 Verisign)或是使用 Active Directory Certificate Services (AD CS) 為公鑰基礎結構 (PKI) 部署的 CA 的部署中管理 NPS 憑證。JD)。
更改快取的 TLS 控制代碼的到期時間
在 EAP-TLS、PEAP-TLS 和 PEAP-MS-CHAP v2 的初始驗證過程中,NPS 會快取連接客戶端的部分 TLS 連線屬性。 客戶端還會快取部分 NPS 的 TLS 連線屬性。
這些 TLS 連線屬性的每個獨立集合稱為 TLS 句柄。
使用者端電腦可以快取多個身份驗證器的 TLS 句柄,而 NPS 可以快取許多使用者端電腦的 TLS 句柄。
客戶端和伺服器上快取的 TLS 句柄允許更快地進行重新驗證過程。 例如,當無線電腦使用 NPS 重新進行身份驗證時,NPS 可以檢查無線客戶端的 TLS 句柄,並且可以快速確定客戶端連線是重新連線。 NPS 授權連線而不執行完整身份驗證。
相應地,客戶端檢查NPS的TLS句柄,確定是重新連接,並且不需要執行伺服器身份驗證。
在執行 Windows 10 和 Windows Server 2016 的電腦上,預設 TLS 句柄到期時間為 10 小時。
在某些情況下,您可能需要增加或減少 TLS 控制代碼的到期時間。
例如,在使用者憑證被管理員撤銷且憑證已過期的情況下,您可能想要縮短 TLS 句柄過期時間。 在這種情況下,如果 NPS 具有未過期的快取 TLS 句柄,則使用者仍然可以連接到網路。 減少 TLS 句柄過期時間可能有助於防止此類憑證已撤銷的使用者重新連線。
Note
此方案的最佳解決方案是停用 Active Directory 中的使用者帳戶,或從網路原則中被授予連接網路權限的 Active Directory 群組中刪除使用者帳戶。 然而,由於複製延遲,這些更改到所有網域控制器的傳播也可能會延遲。
在客戶端電腦上設定 TLS 處理程序到期時間
您可以使用此程序來變更用戶端電腦快取 NPS 的 TLS 資訊的時間長度。 成功驗證 NPS 後,客戶端電腦會將 NPS 的 TLS 連線屬性快取為 TLS 控制碼。 TLS 句柄的預設持續時間為 10 小時(36,000,000 毫秒)。 您可以使用下列程序來增加或減少 TLS 句柄到期時間。
管理員 成員資格或同等資格是完成此程序所需的最低要求。
Important
此過程必須在 NPS 上執行,而不是在客戶端電腦上執行。
在客戶端電腦上配置 TLS 控制碼到期時間
在 NPS 上,開啟登錄編輯程式。
瀏覽至登錄機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
在 [編輯] 功能表上,按一下 [新增],然後按一下 [鍵值]。
輸入 ClientCacheTime,然後按 ENTER。
以滑鼠右鍵按一下 ClientCacheTime,按一下 [ 新增],然後按一下 [DWORD (32 位) 值]。
在 NPS 首次成功完成身份驗證嘗試後,輸入您希望客戶端電腦快取 NPS 的 TLS 控制碼的時間長度(以毫秒為單位)。
設置 NPS 上的 TLS 句柄到期時間
使用此程序來更改 NPS 緩存客戶端電腦的 TLS 會話的緩存時間。 成功對存取使用者端進行身份驗證後,NPS 會將客戶端電腦的 TLS 連線屬性快取為 TLS 句柄。 TLS 句柄的預設持續時間為 10 小時(36,000,000 毫秒)。 您可以使用下列程序來增加或減少 TLS 句柄到期時間。
管理員 成員資格或同等資格是完成此程序所需的最低要求。
Important
此過程必須在 NPS 上執行,而不是在客戶端電腦上執行。
配置 NPS 上的 TLS 句柄到期時間
在 NPS 上,開啟登錄編輯程式。
瀏覽至登錄機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
在 [編輯] 功能表上,按一下 [新增],然後按一下 [索引鍵]。
輸入 ServerCacheTime,然後按 ENTER。
以滑鼠右鍵按一下 ServerCacheTime,按一下 [ 新增],然後按一下 [DWORD (32 位) 值]。
輸入在客戶端首次成功進行身份驗證嘗試後希望 NPS 快取客戶端電腦的 TLS 句柄的時間量(以毫秒為單位)。
取得受信任的根 CA 憑證的 SHA-1 雜湊值
使用此程序可從本機電腦上安裝的憑證中取得受信任的根憑證授權中心 (CA) 的 SHA-1 安全雜湊值。 在某些情況下,例如部署群組原則時,需要使用憑證的 SHA-1 雜湊值來指定憑證。
使用群組原則時,您可以指定使用者端必須使用的一個或多個受信任的根 CA 證書,以便在與 EAP 或 PEAP 進行相互驗證的過程中對 NPS 進行驗證。 若要指定用戶端必須用來驗證伺服器憑證的受信任根 CA 憑證,您可以輸入憑證的 SHA-1 雜湊值。
此程序說明如何使用 Microsoft 管理控制台 (MMC) 的憑證管理單元取得受信任的根憑證授權單位 (CA) 憑證的 SHA-1 雜湊值。
若要完成此程式,您必須是本機電腦上 Users 群組的成員。
取得受信任的根 CA 憑證的 SHA-1 雜湊值
在 [執行] 對話方塊或 Windows PowerShell 中,輸入 mmc,然後按 ENTER。 此時會開啟 Microsoft Management Console (MMC)。 在 MMC 中,按一下檔案,然後按一下新增/移除管理單元。 此時會開啟 [新增或移除嵌入式管理單元] 對話方塊。
在新增或刪除管理單元中,在可用管理單元裡,點選兩次憑證。 憑證管理單元精靈將會開啟。 按一下 [電腦帳戶],然後按一下 [下一步]。
在 [選取電腦] 中,確定已選取 [本機電腦] (執行此主控台的電腦), 按兩下 [完成],然後按兩下 [確定]。
在左窗格中,雙擊憑證(本機電腦),然後雙擊受信任的根憑證授權單位資料夾。
[憑證] 資料夾是 [受信任的根憑證授權單位] 資料夾的子資料夾。 按一下 [憑證] 資料夾。
在詳細資料窗格中,瀏覽至您的受信任根 CA 的憑證。 按兩下憑證。 憑證對話方塊隨即開啟。
在 [憑證] 對話方塊中,按一下 [詳細資料 ] 索引標籤。
在欄位清單中,捲動至 並選取 [指紋]。
在下部窗格中,將顯示作為憑證的 SHA-1 雜湊值的十六進位字串。 選擇 SHA-1 雜湊,然後點選複製指令的 Windows 鍵盤快速鍵 (CTRL+C) 將雜湊複製到 Windows 剪貼簿。
開啟要貼上 SHA-1 雜湊值的位置,確認游標位置,然後按下貼上指令的 Windows 鍵盤快速鍵 (CTRL+V)。
更多證書和 NPS 的詳細資訊,請參閱設置 PEAP 和 EAP 要求的證書範本。
更多 NPS 的詳細資訊,請參閱 Network Policy Server (NPS)。