Gestire i certificati utilizzati con NPS

Se si distribuisce un metodo di autenticazione basato su certificati, ad esempio Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) e PEAP-Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2), è necessario registrare un certificato server in tutti gli NPS. Il certificato del server deve:

  • Soddisfare i requisiti minimi dei certificati server, come descritto in Configurare i modelli di certificato per i requisiti PEAP ed EAP

  • Essere emesso da un'autorità di certificazione (CA) considerata attendibile dai computer client. Una CA è attendibile quando il certificato esiste nell'archivio certificati Autorità di certificazione radice attendibili per l'utente corrente e il computer locale.

Le istruzioni seguenti consentono di gestire i certificati NPS nelle distribuzioni in cui la CA radice attendibile è una CA di terze parti, ad esempio Verisign, o è una CA distribuita per l'infrastruttura a chiave pubblica (PKI) usando Active Directory Certificate Services (AD CS).

Modificare la scadenza dell'handle TLS memorizzato nella cache

Durante i processi di autenticazione iniziali per EAP-TLS, PEAP-TLS e PEAP-MS-CHAP v2, nps memorizza nella cache una parte delle proprietà di connessione TLS del client di connessione. Il client memorizza nella cache anche una parte delle proprietà di connessione TLS dell'NPS.

Ogni singola raccolta di queste proprietà di connessione TLS è denominata handle TLS.

I computer client possono memorizzare nella cache gli handle TLS per più autenticatori, mentre gli NPS possono memorizzare nella cache gli handle TLS di molti computer client.

Gli handle TLS memorizzati nella cache nel client e nel server consentono l'esecuzione più rapida del processo di riautenticazione. Ad esempio, quando un computer wireless esegue nuovamente l'autenticazione con un NPS, NPS può esaminare l'handle TLS per il client wireless e può determinare rapidamente che la connessione client è una riconnessione. NPS autorizza la connessione senza eseguire l'autenticazione completa.

In modo corrispondente, il client esamina l'handle TLS per NPS, determina che si tratta di una riconnessione e non deve eseguire l'autenticazione del server.

Nei computer che eseguono Windows 10 e Windows Server 2016, la scadenza dell'handle TLS predefinito è di 10 ore.

In alcune circostanze, potrebbe essere necessario aumentare o ridurre il tempo di scadenza dell'handle TLS.

Ad esempio, è possibile ridurre il tempo di scadenza dell'handle TLS in circostanze in cui il certificato di un utente viene revocato da un amministratore e il certificato è scaduto. In questo scenario, l'utente può comunque connettersi alla rete se un NPS ha un handle TLS memorizzato nella cache che non è scaduto. La riduzione della scadenza dell'handle TLS potrebbe impedire la riconnessione di tali utenti con certificati revocati.

Nota

La soluzione migliore per questo scenario consiste nel disabilitare l'account utente in Active Directory o rimuovere l'account utente dal gruppo di Active Directory a cui è concessa l'autorizzazione per connettersi alla rete nei criteri di rete. Anche la propagazione di queste modifiche a tutti i controller di dominio potrebbe essere ritardata a causa della latenza di replica.

Configurare l'ora di scadenza dell'handle TLS nei computer client

È possibile usare questa procedura per modificare la quantità di tempo in cui i computer client memorizzano nella cache l'handle TLS di un NPS. Dopo aver autenticato correttamente un NPS, i computer client memorizzano nella cache le proprietà di connessione TLS di NPS come handle TLS. L'handle TLS ha una durata predefinita di 10 ore (36.000.000 millisecondi). È possibile aumentare o ridurre il tempo di scadenza dell'handle TLS usando la procedura seguente.

L'appartenenza a amministratori, o equivalente è il requisito minimo necessario per completare questa procedura.

Importante

Questa procedura deve essere eseguita in un NPS, non in un computer client.

Per configurare l'ora di scadenza dell'handle TLS nei computer client

  1. In un NPS, aprire Editor del registro.

  2. Passare alla chiave di registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Nel menu Modifica fare clic su Nuovo, quindi su Chiave.

  4. Digitare ClientCacheTime, quindi premere INVIO.

  5. Fare clic con il pulsante destro del mouse su ClientCacheTime, fare clic su Nuovo quindi su Valore DWORD (32 bit).

  6. Digitare la quantità di tempo, in millisecondi, che si desidera che i computer client memorizzano nella cache l'handle TLS di un NPS dopo il primo tentativo di autenticazione riuscito da NPS.

Configurare l'ora di scadenza dell'handle TLS negli NPS

Usare questa procedura per modificare la quantità di tempo in gli NPS memorizzano nella cache l'handle TLS dei computer client. Dopo aver autenticato correttamente un client di accesso, gli NPS memorizzano nella cache le proprietà di connessione TLS del computer client come handle TLS. L'handle TLS ha una durata predefinita di 10 ore (36.000.000 millisecondi). È possibile aumentare o ridurre il tempo di scadenza dell'handle TLS usando la procedura seguente.

L'appartenenza a amministratori, o equivalente è il requisito minimo necessario per completare questa procedura.

Importante

Questa procedura deve essere eseguita in un NPS, non in un computer client.

Per configurare l'ora di scadenza dell'handle TLS negli NPS

  1. In un NPS, aprire Editor del registro.

  2. Passare alla chiave di registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Nel menu Modifica fare clic su Nuovo, quindi su Chiave.

  4. Digitare ServerCacheTime, quindi premere INVIO.

  5. Fare clic con il pulsante destro del mouse su ServerCacheTime, fare clic su Nuovo, quindi su Valore DWORD (32 bit).

  6. Digitare la quantità di tempo, in millisecondi, che si desidera che gli NPS memorizzano nella cache l'handle TLS di un computer client dopo il primo tentativo di autenticazione riuscito dal client.

Ottenere l'hash SHA-1 di un certificato CA radice attendibile

Utilizzare questa procedura per ottenere l'hash SHA-1 (Secure Hash Algorithm) di un'autorità di certificazione radice attendibile da un certificato installato nel computer locale. In alcune circostanze, ad esempio, quando si distribuiscono Criteri di gruppo, è necessario designare un certificato usando l'hash SHA-1 del certificato.

Quando si usano Criteri di gruppo, è possibile designare uno o più certificati CA radice attendibili che i client devono usare per autenticare NPS durante il processo di autenticazione reciproca con EAP o PEAP. Per designare un certificato CA radice attendibile che i client devono usare per convalidare il certificato server, è possibile immettere l'hash SHA-1 del certificato.

Questa procedura illustra come ottenere l'hash SHA-1 di un certificato CA radice attendibile usando lo snap-in Microsoft Management Console (MMC).

Per completare questa procedura, è necessario essere membri del gruppo Utenti nel computer locale.

Per ottenere l'hash SHA-1 di un certificato CA radice attendibile

  1. Nella finestra di dialogo o Windows PowerShell, digitare mmc, quindi premere INVIO. Verrà aperto Microsoft Management Console (MMC). In MMC, fare clic su File, quindi su Aggiungi/Rimuovi snap\in. Il Aggiungi o Rimuovi Snap-in viene visualizzata la finestra di dialogo.

  2. In Aggiungi o Rimuovi Snap-in, in Snap-in disponibili, fare doppio clic su Certificati. Si apre la procedura guidata snap-in certificati. Fare clic su Account computer, quindi su Avanti.

  3. In Seleziona computer, assicurarsi che Computer locale (il computer su cui è in esecuzione questa console) sia selezionato, fare clic su Termina, quindi fare clic su OK.

  4. Nel riquadro sinistro, fare doppio clic su Certificati (computer locale), quindi fare doppio clic sulla cartella Autorità di certificazione radice attendibili.

  5. La cartella Certificati è una sottocartella della cartella Autorità di certificazione radice attendibili. Fare clic sulla cartella Certificati.

  6. Nel riquadro dei dettagli, passare al certificato per la CA radice attendibile. Fare doppio clic sul certificato. Si apre la finestra di dialogo Certificato.

  7. Nella finestra di dialogo Certificati fare clic sulla scheda Dettagli .

  8. Nell'elenco dei campi, scorrere e selezionare Identificazione personale.

  9. Nel riquadro inferiore viene visualizzata la stringa esadecimale che corrisponde all'hash SHA-1 del certificato. Selezionare l'hash SHA-1, quindi premere il tasto di scelta rapida di Windows per il comando Copia (CTRL+C) per copiare l'hash negli Appunti di Windows.

  10. Aprire il percorso in cui si desidera incollare l'hash SHA-1, individuare correttamente il cursore e quindi premere il tasto di scelta rapida di Windows per il comando Incolla (CTRL+V).

Per maggiori informazioni sui certificati e sui criteri di rete, consultare la sezione Configurare i modelli di certificato per i requisiti PEAP ed EAP.

Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).