Управление сертификатами, используемыми с NPS

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

При развертывании метода проверки подлинности на основе сертификатов, например extensible Authentication Protocol-Transport Layer Security (EAP-TLS), защищенного расширяемого протокола проверки подлинности Протокола-транспортного уровня (PEAP-TLS) и ПРОТОКОЛА проверки подлинности PEAP-Microsoft Challenge Handshake Protocol версии 2 (MS-CHAP версии 2), необходимо зарегистрировать сертификат сервера для всех NPS. Сертификат сервера должен:

• Соблюдайте минимальные требования к сертификату сервера, как описано в разделе "Настройка шаблонов сертификатов для требований PEAP и EAP"

• Выдается центром сертификации (ЦС), доверенным клиентскими компьютерами. ЦС является доверенным, если его сертификат существует в хранилище сертификатов доверенных корневых центров сертификации для текущего пользователя и локального компьютера.

Следующие инструкции помогают управлять сертификатами NPS в развертываниях, где доверенный корневой ЦС является сторонним ЦС, например Verisign, или является ЦС, развернутым для инфраструктуры открытых ключей (PKI) с помощью служб сертификатов Active Directory (AD CS).

Изменение срока действия кэшированного дескриптора TLS

Во время начальных процессов проверки подлинности для EAP-TLS, PEAP-TLS и PEAP-MS-CHAP версии 2 NPS кэширует часть свойств подключения клиента TLS. Клиент также кэширует часть свойств подключения TLS NPS.

Каждая отдельная коллекция этих свойств подключения TLS называется дескриптором TLS.

Клиентские компьютеры могут кэшировать дескрипторы TLS для нескольких аутентификаторов, а NPS могут кэшировать дескрипторы TLS многих клиентских компьютеров.

Кэшированные дескрипторы TLS на клиенте и сервере позволяют быстро выполнять процесс повторной проверки подлинности. Например, когда беспроводной компьютер повторно выполняет проверку подлинности с помощью NPS, NPS может проверить дескриптор TLS для беспроводного клиента и быстро определить, что подключение клиента является повторным подключением. NPS разрешает подключение без полной проверки подлинности.

Соответственно, клиент проверяет дескриптор TLS для NPS, определяет, что это повторное подключение и не требует проверки подлинности сервера.

На компьютерах под управлением Windows 10 и Windows Server 2016 срок действия маркера TLS по умолчанию составляет 10 часов.

В некоторых случаях может потребоваться увеличить или уменьшить время истечения срока действия дескриптора TLS.

Например, может потребоваться уменьшить срок действия дескриптора TLS в тех случаях, когда сертификат пользователя отозван администратором и срок действия сертификата истек. В этом сценарии пользователь по-прежнему может подключиться к сети, если у NPS есть кэшированный дескриптор TLS, который не истек. Уменьшение срока действия дескриптора TLS может помочь предотвратить повторное подключение таких пользователей с отозванными сертификатами.

Примечание.

Лучшим решением этого сценария является отключение учетной записи пользователя в Active Directory или удаление учетной записи пользователя из группы Active Directory, предоставленной разрешением на подключение к сети в политике сети. Распространение этих изменений ко всем контроллерам домена также может быть отложено из-за задержки репликации.

Настройка времени истечения срока действия дескриптора TLS на клиентских компьютерах

Эту процедуру можно использовать для изменения времени, в течение времени, когда клиентские компьютеры кэшируют дескриптор TLS NPS. После успешной проверки подлинности NPS клиентские компьютеры кэшируют свойства подключения TLS для NPS в качестве дескриптора TLS. Дескриптор TLS имеет длительность по умолчанию в 10 часов (36 000 000 миллисекундах). Вы можете увеличить или уменьшить время истечения срока действия дескриптора TLS, выполнив следующую процедуру.

Членство в администраторах или эквивалентных параметрах является минимальным обязательным для выполнения этой процедуры.

Внимание

Эта процедура должна выполняться на NPS, а не на клиентском компьютере.

Настройка срока действия дескриптора TLS на клиентских компьютерах

1. В NPS откройте редактор реестра.

2. Перейдите к разделу реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. В меню "Изменить" нажмите кнопку "Создать" и нажмите кнопку "Ключ".

4. Введите ClientCacheTime и нажмите клавишу ВВОД.

5. Щелкните правой кнопкой мыши ClientCacheTime, нажмите кнопку "Создать" и выберите значение DWORD (32-разрядная версия).

6. Введите время (в миллисекундах), которое требуется, чтобы клиентские компьютеры кэшировали дескриптор TLS NPS после первой успешной попытки проверки подлинности с помощью NPS.

Настройка времени истечения срока действия дескриптора TLS в NPSs

Используйте эту процедуру, чтобы изменить время, затравляемое NPS на дескриптор TLS клиентских компьютеров. После успешной проверки подлинности клиента доступа NPSs кэширует свойства подключения TLS клиентского компьютера в качестве дескриптора TLS. Дескриптор TLS имеет длительность по умолчанию в 10 часов (36 000 000 миллисекундах). Вы можете увеличить или уменьшить время истечения срока действия дескриптора TLS, выполнив следующую процедуру.

Членство в администраторах или эквивалентных параметрах является минимальным обязательным для выполнения этой процедуры.

Внимание

Эта процедура должна выполняться на NPS, а не на клиентском компьютере.

Настройка срока действия дескриптора TLS в NPSs

1. В NPS откройте редактор реестра.

2. Перейдите к разделу реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. В меню "Изменить" нажмите кнопку "Создать" и нажмите кнопку "Ключ".

4. Введите ServerCacheTime и нажмите клавишу ВВОД.

5. Щелкните правой кнопкой мыши ServerCacheTime, нажмите кнопку "Создать" и выберите значение DWORD (32-разрядная версия).

6. Введите время (в миллисекундах), которое требуется NPSs кэшировать дескриптор TLS клиентского компьютера после первой успешной попытки проверки подлинности клиентом.

Получение хэша SHA-1 доверенного корневого ЦС

Используйте эту процедуру для получения хэша безопасного хэш-алгоритма (SHA-1) доверенного корневого центра сертификации (ЦС) из сертификата, установленного на локальном компьютере. В некоторых случаях, например при развертывании групповой политики, необходимо назначить сертификат с помощью хэша SHA-1 сертификата.

При использовании групповой политики можно назначить один или несколько доверенных корневых сертификатов ЦС, которые клиенты должны использовать для проверки подлинности NPS в процессе взаимной проверки подлинности с помощью EAP или PEAP. Чтобы назначить доверенный корневой ЦС сертификат, который клиенты должны использовать для проверки сертификата сервера, можно ввести хэш SHA-1 сертификата.

В этой процедуре показано, как получить хэш SHA-1 доверенного корневого ЦС с помощью оснастки консоли управления Майкрософт (MMC).

Чтобы выполнить эту процедуру, необходимо быть членом группы "Пользователи " на локальном компьютере.

Получение хэша SHA-1 доверенного корневого ЦС

1. В диалоговом окне "Запуск" или Windows PowerShell введите mmc и нажмите клавишу ВВОД. Отобразится консоль управления (MMC). В MMC нажмите кнопку "Файл", а затем нажмите кнопку "Добавить/удалить оснастку\". Откроется диалоговое окно "Добавление или удаление оснастки ".

2. В разделе "Добавление или удаление оснастки" в доступных оснастках дважды щелкните сертификаты. Откроется мастер оснастки "Сертификаты". Щелкните учетную запись компьютера и нажмите кнопку "Далее".

3. В разделе "Выбор компьютера" убедитесь, что выбран локальный компьютер (компьютер, на котором запущена консоль), нажмите кнопку "Готово" и нажмите кнопку "ОК".

4. В левой области дважды щелкните сертификаты (локальный компьютер) и дважды щелкните папку доверенных корневых центров сертификации.

5. Папка certificates — это вложенная папка доверенных корневых центров сертификации. Щелкните папку Сертификаты.

6. В области сведений перейдите к сертификату для доверенного корневого ЦС. Дважды щелкните сертификат. Откроется диалоговое окно "Сертификат ".

7. В диалоговом окне Сертификат перейдите на вкладку Состав .

8. В списке полей прокрутите страницу и выберите " Отпечаток".

9. В нижней области отображается шестнадцатеричная строка, которая является хэшом SHA-1 сертификата. Выберите хэш SHA-1 и нажмите сочетание клавиш Windows для команды копирования (CTRL+C), чтобы скопировать хэш в буфер обмена Windows.

10. Откройте расположение, в которое нужно вставить хэш SHA-1, правильно найдите курсор и нажмите сочетание клавиш Windows для команды вставки (CTRL+V).

Дополнительные сведения о сертификатах и NPS см. в разделе "Настройка шаблонов сертификатов для требований PEAP и EAP".

Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).