Gérer les certificats utilisés avec les serveurs NPS

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Si vous déployez une méthode d’authentification basée sur un certificat, comme EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) et PEAP-MS-CHAP v2 (PEAP-Microsoft Challenge Handshake Authentication Protocol version 2), vous devez inscrire un certificat de serveur sur tous vos serveurs NPS. Le certificat de serveur doit :

  • Répondre aux exigences minimales de certificat de serveur, comme décrit dans Configurer des modèles de certificat pour les exigences PEAP et EAP

  • Être émis par une autorité de certification approuvée par les ordinateurs clients. Une autorité de certification est approuvée quand son certificat existe dans le magasin de certificats Autorités de certification racines de confiance de l’utilisateur actuel et de l’ordinateur local.

Les instructions suivantes vous aident à gérer les certificats NPS dans les déploiements où l’autorité de certification racine de confiance est une autorité de certification tierce, comme Verisign, ou une autorité de certification que vous avez déployée pour votre infrastructure à clé publique (PKI) en utilisant les services de certificats Active Directory (AD CS).

Changer l’expiration du handle TLS en cache

Pendant les processus d’authentification initiale pour EAP-TLS, PEAP-TLS et PEAP-MS-CHAP v2, le serveur NPS met en cache une partie des propriétés de connexion TLS du client qui se connecte. Le client met également en cache une partie des propriétés de connexion TLS du serveur NPS.

Chaque collection individuelle de ces propriétés de connexion TLS est appelée handle TLS.

Les ordinateurs clients peuvent mettre en cache les handles TLS de plusieurs authentificateurs, tandis que les serveurs NPS peuvent mettre en cache les handles TLS de nombreux ordinateurs clients.

Les handles TLS mis en cache sur le client et le serveur permettent au processus de réauthentification d’être plus rapide. Par exemple, quand un ordinateur sans fil se réauthentifie sur un serveur NPS, le serveur NPS peut examiner le handle TLS du client sans fil et rapidement déterminer que la connexion du client est une reconnexion. Le serveur NPS autorise la connexion sans effectuer l’authentification complète.

De la même manière, le client examine le handle TLS du serveur NPS, détermine qu’il s’agit d’une reconnexion et n’a pas besoin d’effectuer l’authentification du serveur.

Sur les ordinateurs exécutant Windows 10 et Windows Server 2016, l’expiration du handle TLS par défaut est définie sur 10 heures.

Dans certains cas, vous pouvez augmenter ou diminuer le délai d’expiration du handle TLS.

Par exemple, vous pouvez réduire le délai d’expiration du handle TLS quand le certificat d’un utilisateur est révoqué par un administrateur et que le certificat a expiré. Dans ce scénario, l’utilisateur peut toujours se connecter au réseau si un serveur NPS a un handle TLS en cache qui n’a pas expiré. La réduction de l’expiration du handle TLS peut empêcher les utilisateurs qui ont des certificats révoqués de se reconnecter.

Notes

La meilleure solution dans ce scénario est de désactiver le compte d’utilisateur dans Active Directory, ou de supprimer le compte d’utilisateur du groupe Active Directory qui est autorisé à se connecter au réseau dans la stratégie réseau. Toutefois, la propagation de ces changements à tous les contrôleurs de domaine peut également être retardée en raison de la latence de réplication.

Configurer la durée d’expiration du handle TLS sur les ordinateurs clients

Vous pouvez utiliser cette procédure pour changer la durée de mise en cache du handle TLS d’un serveur NPS sur les ordinateurs clients. Dès qu’un serveur NPS est authentifié, les ordinateurs clients mettent en cache les propriétés de connexion TLS du serveur NPS dans un handle TLS. Le handle TLS a une durée par défaut de 10 heures (36 000 000 millisecondes). Vous pouvez augmenter ou diminuer la durée d’expiration du handle TLS avec la procédure suivante.

Pour mener à bien cette procédure, il faut appartenir au groupe Administrateurs ou à un groupe équivalent.

Important

Cette procédure doit être effectuée sur un serveur NPS, et non sur un ordinateur client.

Pour configurer la durée d’expiration du handle TLS sur les ordinateurs clients

  1. Sur un serveur NPS, ouvrez l’Éditeur du Registre.

  2. Accédez à la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Dans le menu Edition, cliquez sur Nouveau, puis sur Clé.

  4. Tapez ClientCacheTime, puis appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur ClientCacheTime, cliquez sur Nouveau, puis sur Valeur DWORD (32 bits).

  6. Tapez la durée, en millisecondes, pendant laquelle vous voulez que les ordinateurs clients mettent en cache le handle TLS d’un serveur NPS après la première tentative d’authentification réussie du serveur NPS.

Configurer la durée d’expiration du handle TLS sur les serveurs NPS

Utilisez cette procédure pour changer la durée de mise en cache du handle TLS des ordinateurs clients sur les serveurs NPS. Dès qu’un client d’accès est authentifié, les serveurs NPS mettent en cache les propriétés de connexion TLS de l’ordinateur client dans un handle TLS. Le handle TLS a une durée par défaut de 10 heures (36 000 000 millisecondes). Vous pouvez augmenter ou diminuer la durée d’expiration du handle TLS avec la procédure suivante.

Pour mener à bien cette procédure, il faut appartenir au groupe Administrateurs ou à un groupe équivalent.

Important

Cette procédure doit être effectuée sur un serveur NPS, et non sur un ordinateur client.

Pour configurer la durée d’expiration du handle TLS sur les serveurs NPS

  1. Sur un serveur NPS, ouvrez l’Éditeur du Registre.

  2. Accédez à la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Dans le menu Edition, cliquez sur Nouveau, puis sur Clé.

  4. Tapez ServerCacheTime, puis appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur ServerCacheTime, cliquez sur Nouveau, puis sur Valeur DWORD (32 bits).

  6. Tapez la durée, en millisecondes, pendant laquelle vous voulez que les serveurs NPS mettent en cache le handle TLS d’un ordinateur client après la première tentative d’authentification réussie du client.

Obtenir le hachage SHA-1 d’un certificat d’autorité de certification racine de confiance

Utilisez cette procédure pour obtenir le hachage SHA-1 (Secure Hash Algorithm) d’une autorité de certification racine de confiance pour un certificat installé sur l’ordinateur local. Dans certaines circonstances, par exemple, quand vous déployez une stratégie de groupe, vous devez désigner un certificat avec le hachage SHA-1 du certificat.

Quand vous utilisez une stratégie de groupe, vous pouvez désigner un ou plusieurs certificats d’autorité de certification racine de confiance que les clients doivent utiliser pour authentifier le serveur NPS pendant le processus d’authentification mutuelle avec EAP ou PEAP. Pour désigner un certificat d’autorité de certification racine de confiance que les clients doivent utiliser pour valider le certificat de serveur, vous pouvez entrer le hachage SHA-1 du certificat.

Cette procédure montre comment obtenir le hachage SHA-1 d’un certificat d’autorité de certification racine de confiance en utilisant le composant logiciel enfichable MMC (Microsoft Management Console) Certificats.

Pour effectuer cette procédure, vous devez être membre du groupe Utilisateurs sur l’ordinateur local.

Pour obtenir le hachage SHA-1 d’un certificat d’autorité de certification racine de confiance

  1. Dans la boîte de dialogue Exécuter ou Windows PowerShell, tapez mmc, puis appuyez sur Entrée. La console MMC s'affiche. Dans MMC, cliquez sur Fichier, puis sur Ajouter/supprimer un composant logiciel enfichable. La boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables s'ouvre.

  2. Dans Ajouter ou supprimer des composants logiciels enfichables, dans Composants logiciels enfichables disponibles, double-cliquez sur Certificats. L’Assistant Composant logiciel enfichable Certificats s’ouvre. Cliquez sur Un compte d'ordinateur, puis cliquez sur Suivant.

  3. Dans Sélectionner un ordinateur, vérifiez que Ordinateur local (l’ordinateur sur lequel cette console s’exécute) est sélectionné, cliquez sur Terminer, puis sur OK.

  4. Dans le volet de gauche, double-cliquez sur Certificats (ordinateur local), puis double-cliquez sur le dossier Autorités de certification racines de confiance.

  5. Le dossier Certificats est un sous-dossier du dossier Autorités de certification racines de confiance. Cliquez sur le dossier Certificats.

  6. Dans le volet d’informations, accédez au certificat de votre autorité de certification racine de confiance. Double-cliquez sur le certificat. La boîte de dialogue Certificat s'ouvre.

  7. Dans la boîte de dialogue Certificat, cliquez sur l'onglet Détails.

  8. Dans la liste des champs, recherchez et sélectionnez Empreinte.

  9. Dans le volet inférieur, la chaîne hexadécimale qui représente le hachage SHA-1 de votre certificat s'affiche. Sélectionnez le hachage SHA-1 et appuyez sur le raccourci clavier Windows de la commande Copier (Ctrl+C) pour copier le hachage dans le Presse-papiers Windows.

  10. Ouvrez l’emplacement où vous souhaitez coller le hachage SHA-1, placez le curseur au bon endroit, puis appuyez sur le raccourci clavier Windows de la commande Coller (CTRL+V).

Pour plus d’informations sur les certificats et le serveur NPS, consultez Configurer des modèles de certificat pour les exigences PEAP et EAP.

Pour plus d’informations sur le serveur NPS, consultez Serveur NPS (Network Policy Server).