Verwalten von mit NPS verwendeten Zertifikaten

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Wenn Sie eine zertifikatbasierte Authentifizierungsmethode bereitstellen, z. B. Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) und PEAP-Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2), müssen Sie ein Serverzertifikat für alle Ihre NPS registrieren. Das Serverzertifikat muss:

  • die Mindestanforderungen für Serverzertifikate erfüllen, wie unter Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen beschrieben.

  • von einer Zertifizierungsstelle (CA) ausgestellt werden, der die Clientcomputer vertrauen. Eine Zertifizierungsstelle ist vertrauenswürdig, wenn ihr Zertifikat für den aktuellen Benutzer und den lokalen Computer im Zertifikatspeicher „Vertrauenswürdige Stammzertifizierungsstellen“ vorhanden ist.

Die folgenden Anweisungen bieten Unterstützung beim Verwalten von NPS-Zertifikaten in Bereitstellungen, bei denen die vertrauenswürdige Stamm-CA eine Drittanbieterzertifizierungsstelle wie Verisign oder eine Zertifizierungsstelle ist, die Sie für Ihre Public Key-Infrastruktur (PKI) mithilfe von Active Directory-Zertifikatdiensten (AD CS) bereitgestellt haben.

Ändern des Ablaufzeitpunkts des zwischengespeicherten TLS-Handles

Während der anfänglichen Authentifizierungsprozesse für EAP-TLS, PEAP-TLS und PEAP-MS-CHAP v2 speichert der NPS einen Teil der TLS-Verbindungseigenschaften des Verbindungsclients zwischen. Der Client speichert auch einen Teil der TLS-Verbindungseigenschaften des NPS zwischen.

Jede einzelne Sammlung dieser TLS-Verbindungseigenschaften wird als TLS-Handle bezeichnet.

Clientcomputer können die TLS-Handles für mehrere Authentifikatoren zwischenspeichern, während NPSs die TLS-Handles vieler Clientcomputer zwischenspeichern können.

Die zwischengespeicherten TLS-Handles auf dem Client und Server beschleunigen den Prozess der erneuten Authentifizierung. Wenn ein drahtloser Computer beispielsweise eine erneute Authentifizierung mit einem NPS durchführt, kann der NPS das TLS-Handle für den drahtlosen Client untersuchen und schnell feststellen, dass es sich bei der Clientverbindung um eine erneute Verbindung handelt. Der NPS autorisiert die Verbindung, ohne eine vollständige Authentifizierung durchzuführen.

Entsprechend überprüft der Client das TLS-Handle für den NPS, ermittelt, dass es sich um eine erneute Verbindung handelt, und muss keine Serverauthentifizierung durchführen.

Auf Computern, auf denen Windows 10 und Windows Server 2016 ausgeführt werden, beträgt der standardmäßige Ablaufzeitraum des TLS-Handles 10 Stunden.

Unter bestimmten Umständen können Sie die Ablaufzeit des TLS-Handles erhöhen oder verringern.

Beispielsweise können Sie die Ablaufzeit des TLS-Handles verringern, wenn das Zertifikat eines Benutzers von einem Administrator widerrufen wird und das Zertifikat abgelaufen ist. In diesem Szenario kann der Benutzer weiterhin eine Verbindung mit dem Netzwerk herstellen, wenn ein NPS über ein zwischengespeichertes TLS-Handle verfügt, das nicht abgelaufen ist. Eine Verringerung der Ablaufzeit des TLS-Handles kann dazu beitragen, dass Benutzer mit gesperrten Zertifikaten keine Verbindung herstellen können.

Hinweis

Die beste Lösung für dieses Szenario besteht darin, das Benutzerkonto in Active Directory zu deaktivieren oder das Benutzerkonto aus der Active Directory-Gruppe, der die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk in der Netzwerkrichtlinie erteilt wurde, zu entfernen. Die Weitergabe dieser Änderungen an alle Domänencontroller kann aufgrund von Replikationslatenz jedoch ebenfalls verzögert werden.

Konfigurieren der Ablaufzeit des TLS-Handles auf Clientcomputern

Mithilfe dieses Verfahrens können Sie die Zeitspanne ändern, in der Clientcomputer das TLS-Handle eines NPS zwischenspeichern. Nach der erfolgreichen Authentifizierung eines NPS speichern Clientcomputer TLS-Verbindungseigenschaften des NPS als TLS-Handle zwischen. Das TLS-Handle hat eine Standarddauer von 10 Stunden (36.000.000 Millisekunden). Mit dem folgenden Verfahren können Sie die Ablaufzeit des TLS-Handles erhöhen oder verringern.

Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren durchführen können.

Wichtig

Dieses Verfahren muss auf einem NPS und nicht auf einem Clientcomputer ausgeführt werden.

So konfigurieren Sie die Ablaufzeit des TLS-Handles auf Clientcomputern

  1. Öffnen Sie den Registrierungs-Editor auf einem NPS.

  2. Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL.

  3. Klicken Sie im Menü Bearbeiten auf Neu und dann auf Schlüssel.

  4. Geben Sie ClientCacheTime ein, und drücken Sie dann die Eingabetaste.

  5. Klicken Sie mit der rechten Maustaste auf ClientCacheTime, klicken Sie anschließend auf Neu und dann auf DWORD-Wert (32-Bit).

  6. Geben Sie den Zeitraum in Millisekunden ein, für den Clientcomputer das TLS-Handle eines NPS nach dem ersten erfolgreichen Authentifizierungsversuch durch den NPS zwischenspeichern sollen.

Konfigurieren der Ablaufzeit des TLS-Handles auf NPSs

Mithilfe dieses Verfahrens können Sie die Zeitspanne ändern, in der NPSs das TLS-Handle von Clientcomputern zwischenspeichern. Nach der erfolgreichen Authentifizierung eines Zugriffsclients speichern NPSs die TLS-Verbindungseigenschaften des Clientcomputers als TLS-Handle zwischen. Das TLS-Handle hat eine Standarddauer von 10 Stunden (36.000.000 Millisekunden). Mit dem folgenden Verfahren können Sie die Ablaufzeit des TLS-Handles erhöhen oder verringern.

Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren durchführen können.

Wichtig

Dieses Verfahren muss auf einem NPS und nicht auf einem Clientcomputer ausgeführt werden.

So konfigurieren Sie die Ablaufzeit des TLS-Handles auf NPSs

  1. Öffnen Sie den Registrierungs-Editor auf einem NPS.

  2. Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL.

  3. Klicken Sie im Menü Bearbeiten auf Neu und dann auf Schlüssel.

  4. Geben Sie ServerCacheTime ein, und drücken Sie dann die Eingabetaste.

  5. Klicken Sie mit der rechten Maustaste auf ServerCacheTime, klicken Sie anschließend auf Neu und dann auf DWORD-Wert (32-Bit).

  6. Geben Sie den Zeitraum in Millisekunden ein, für den NPSs das TLS-Handle eines Clientcomputers nach dem ersten erfolgreichen Authentifizierungsversuch durch den Client zwischenspeichern sollen.

Abrufen des SHA-1-Hash eines vertrauenswürdigen Stammzertifizierungsstellenzertifikats

Über dieses Verfahren können Sie den SHA-1-Algorithmus (Secure Hash Algorithm) einer vertrauenswürdigen Stammzertifizierungsstelle (CA) aus einem Zertifikat abrufen, das auf dem lokalen Computer installiert ist. Unter bestimmten Umständen, z. B. bei der Bereitstellung von „Gruppenrichtlinie“, ist es erforderlich, ein Zertifikat mithilfe des SHA-1-Hash des Zertifikats festzulegen.

Wenn Sie „Gruppenrichtlinie“ verwenden, können Sie ein oder mehrere vertrauenswürdige Stammzertifizierungsstellenzertifikate festlegen, die Clients verwenden müssen, um den NPS während des Prozesses der gegenseitigen Authentifizierung mit EAP oder PEAP zu authentifizieren. Um ein vertrauenswürdiges Stammzertifizierungsstellenzertifikat festzulegen, das Clients zum Überprüfen des Serverzertifikats verwenden müssen, können Sie den SHA-1-Hash des Zertifikats eingeben.

In diesem Verfahren wird veranschaulicht, wie sie den SHA-1-Hash eines vertrauenswürdigen Stammzertifizierungsstellenzertifikats mithilfe des MMC-Snap-Ins (Microsoft Management Console) für Zertifikate abrufen.

Sie müssen Mitglied der Gruppe Benutzer auf dem lokalen Computer sein, um dieses Verfahren auszuführen.

So rufen Sie den SHA-1-Hash eines vertrauenswürdigen Stammzertifizierungsstellenzertifikats ab

  1. Öffnen Sie das Dialogfeld „Ausführen“ oder Windows PowerShell, geben Sie mmc ein, und drücken Sie dann die Eingabetaste. Die Microsoft Management Console (MMC) wird geöffnet. Klicken Sie in der MMC auf Datei und dann auf Snap-In hinzufügen/entfernen. Das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird geöffnet.

  2. Doppelklicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen unter Verfügbare Snap-Ins auf Zertifikate. Der Assistent für das Snap-In „Zertifikate“ wird geöffnet. Klicken Sie auf Computerkonto und dann auf Weiter.

  3. Vergewissern Sie sich, dass unter Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie auf Fertig stellen und anschließend auf OK.

  4. Doppelklicken Sie im linken Bereich auf Zertifikate (Lokaler Computer) und dann auf den Ordner Vertrauenswürdige Stammzertifizierungsstellen.

  5. Der Ordner Zertifikate ist ein Unterordner des Ordners Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie auf den Ordner Zertifikate.

  6. Navigieren Sie im Detailbereich zum Zertifikat für Ihre vertrauenswürdige Stammzertifizierungsstelle. Doppelklicken Sie auf das Zertifikat. Das Dialogfeld Zertifikat wird geöffnet.

  7. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Details.

  8. Scrollen Sie in der Liste der Felder zur Option Fingerabdruck, und wählen Sie sie aus.

  9. Im unteren Bereich wird die Hexadezimalzeichenfolge angezeigt, die den SHA-1-Hash Ihres Zertifikats darstellt. Wählen Sie den SHA-1-Hash aus, und kopieren Sie den Hash mithilfe der Windows-Tastenkombination Strg+C in die Windows-Zwischenablage.

  10. Öffnen Sie den Speicherort, an den Sie den SHA-1-Hash einfügen möchten, ermitteln Sie die richtige Position des Cursors, und drücken Sie dann die Windows-Tastenkombination für den Befehl „Einfügen“ (STRG+V).

Weitere Informationen zu Zertifikaten und zum NPS finden Sie unter Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen.

Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).