管理與 NPS 一起使用的憑證
如果部署基於憑證的身份驗證方法,例如 Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)、Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) 和 PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2),您必須向所有 NPS 註冊伺服器憑證。 伺服器憑證必須:
符合設置 PEAP 和 EAP 要求的憑證範本中所述的最低伺服器憑證的要求
由使用者端電腦信任的憑證授權單位 (CA) 核發。 當 CA 的憑證存在於目前使用者和本機電腦的受信任的根憑證授權單位憑證儲存中時,該 CA 就是受信任的。
以下說明有助於在受信任根 CA 是第三方 CA(例如 Verisign)或是使用 Active Directory Certificate Services (AD CS) 為公鑰基礎結構 (PKI) 部署的 CA 的部署中管理 NPS 憑證。JD)。
更改快取的 TLS 句柄到期時間
在 EAP-TLS、PEAP-TLS 和 PEAP-MS-CHAP v2 的初始驗證過程中,NPS 會快取連接客戶端的部分 TLS 連線屬性。 客戶端也快取 NPS 的 TLS 連線屬性的一部分。
這些 TLS 連線屬性的每個獨立集合稱為 TLS 句柄。
使用者端電腦可以快取多個身份驗證器的 TLS 句柄,而 NPS 可以快取許多使用者端電腦的 TLS 句柄。
客戶端和伺服器上快取的 TLS 句柄允許更快地進行重新驗證過程。 例如,當無線電腦使用 NPS 重新進行身份驗證時,NPS 可以檢查無線客戶端的 TLS 句柄,並且可以快速確定客戶端連線是重新連線。 NPS 授權連線而不執行完整身份驗證。
相應地,客戶端檢查NPS的TLS句柄,確定是重新連接,並且不需要執行伺服器身份驗證。
在執行 Windows 10 和 Windows Server 2016 的電腦上,預設 TLS 句柄到期時間為 10 小時。
在某些情況下,您可能需要增加或減少 TLS 句柄到期時間。
例如,在使用者憑證被管理員撤銷且憑證已過期的情況下,您可能想要縮短 TLS 句柄過期時間。 在這種情況下,如果 NPS 具有未過期的快取 TLS 句柄,則使用者仍然可以連接到網路。 減少 TLS 句柄過期時間可能有助於防止此類憑證已撤銷的使用者重新連線。
注意
此方案的最佳解決方案是停用 Active Directory 中的使用者帳戶,或從網路原則中被授予連接網路權限的 Active Directory 群組中刪除使用者帳戶。 然而,由於複製延遲,這些更改到所有網域控制器的傳播也可能會延遲。
在客戶端電腦上設置 TLS 句柄到期時間
您可以使用此程序來變更使用者端電腦快取 NPS 的 TLS 句柄的時間量。 成功驗證 NPS 後,使用者端電腦會將 NPS 的 TLS 連線屬性快取為 TLS 句柄。 TLS 句柄的預設持續時間為 10 小時(36,000,000 毫秒)。 您可以使用下列程序來增加或減少 TLS 句柄到期時間。
若要完成此程序,至少需要 Administrators 的成員資格或同等權限。
重要
此過程必須在 NPS 上執行,而不是在客戶端電腦上執行。
在客戶端電腦上設置 TLS 句柄到期時間
在 NPS 上,開啟登錄編輯程式。
瀏覽至登錄項目 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
在編輯功能表上,點選建立,然後點選金鑰。
輸入ClientCacheTime,然後點選 ENTER。
右鍵點選 ClientCacheTime,點選建立,然後點選 DWORD (32-bit) 值。
輸入在 NPS 首次成功進行身份驗證嘗試後希望客戶端電腦快取 NPS 的 TLS 句柄的時間量(以毫秒為單位)。
設置 NPS 上的 TLS 句柄到期時間
使用此程序可以變更 NPS 快取客戶端電腦的 TLS 句柄的時間量。 成功對存取使用者端進行身份驗證後,NPS 會將客戶端電腦的 TLS 連線屬性快取為 TLS 句柄。 TLS 句柄的預設持續時間為 10 小時(36,000,000 毫秒)。 您可以使用下列程序來增加或減少 TLS 句柄到期時間。
若要完成此程序,至少需要 Administrators 的成員資格或同等權限。
重要
此過程必須在 NPS 上執行,而不是在客戶端電腦上執行。
設置 NPS 上的 TLS 句柄到期時間
在 NPS 上,開啟登錄編輯程式。
瀏覽至登錄項目 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
在編輯功能表上,點選建立,然後點選金鑰。
輸入 ServerCacheTime,然後點選 ENTER。
右鍵點選 ServerCacheTime,點選建立,然後點選 DWORD (32-bit) 值。
輸入在客戶端首次成功進行身份驗證嘗試後希望 NPS 快取客戶端電腦的 TLS 句柄的時間量(以毫秒為單位)。
取得受信任的根 CA 憑證的 SHA-1 雜湊值
使用此程序可從本機電腦上安裝的憑證取得受信任的根憑證授權單位 (CA) 的安全雜湊演算法 (SHA-1) 雜湊值。 在某些情況下,例如部署群組原則時,需要使用憑證的 SHA-1 雜湊值來指定憑證。
使用群組原則時,您可以指定使用者端必須使用的一個或多個受信任的根 CA 證書,以便在與 EAP 或 PEAP 進行相互驗證的過程中對 NPS 進行驗證。 若要指定使用者端必須用來驗證伺服器憑證的受信任根 CA 證書,您可以輸入憑證的 SHA-1 雜湊值。
此流程示範如何使用憑證 Microsoft 管理控制台 (MMC) 管理單元取得受信任的根 CA 憑證的 SHA-1 雜湊值。
要完成此過程,您必須是本機上的 Users 群組的成員。
取得受信任的根 CA 憑證的 SHA-1 雜湊值
在執行對話框或 Windows PowerShell 中,輸入 mmc,然後點選 ENTER。 此時會開啟 Microsoft Management Console (MMC)。 在 MMC 中,點選檔案,然後點選新增/刪除管理單元。 此時會開啟 [新增或移除嵌入式管理單元] 對話方塊。
在新增或刪除管理單元中的可用管理單元中,點選兩次憑證。 憑證管理單元精靈將會開啟。 點選電腦帳戶,然後點選下一步。
在選擇電腦”\中,請確保選擇本機電腦(執行此控制台的電腦),點選完成,然後點選“確定”。然後點選 OK。
在左窗格中,雙擊憑證(本機電腦),然後雙擊受信任的根憑證授權單位資料夾。
該憑證資料夾 是受信任的根憑證授權單位資料夾的子資料夾。 按一下 [憑證] 資料夾。
在詳細資料窗格中,瀏覽至受信任的根 CA 的憑證。 按兩下憑證。 將開啟證書對話框。
在 [ 憑證 ] 對話方塊中,按一下 [ 詳細資料 ] 索引標籤。
在欄位清單中,捲動並選擇指紋。
在下部窗格中,將顯示作為憑證的 SHA-1 雜湊值的十六進位字串。 選擇 SHA-1 雜湊,然後點選複製指令的 Windows 鍵盤快速鍵 (CTRL+C) 將雜湊複製到 Windows 剪貼簿。
開啟要貼上 SHA-1 雜湊值的位置,正確找到遊標,然後點選下貼上指令的 Windows 鍵盤快速鍵 (CTRL+V)。
更多證書和 NPS 的詳細資訊,請參閱設置 PEAP 和 EAP 要求的證書範本。
更多 NPS 的詳細資訊,請參閱 Network Policy Server (NPS)。