Gerenciar certificados usados com NPS

Se você implantar um método de autenticação baseado em certificado, como EAP-TLS (protocolo EAP-protocolo TLS), PEAP-TLS (PEAP protegido-protocolo TLS) e PEAP protegido-Microsoft Challenge Handshake Authentication Protocol v2 (MS-CHAP v2), deverá registrar um certificado do servidor em todos os seus NPSs. O certificado do servidor deve:

  • Atender aos requisitos mínimos de certificado do servidor, conforme descrito em Configurar modelos de certificado para requisitos PEAP e EAP

  • Ser emitido por uma autoridade de certificação (CA) confiável pelos computadores clientes. Uma autoridade de certificação é confiável quando seu certificado existe no repositório de certificados das autoridades de certificação raiz confiáveis para o usuário atual e o computador local.

As instruções a seguir auxiliam no gerenciamento de certificados NPS em implantações em que a AC raiz confiável é uma AC de terceiros, como Verisign, ou é uma AC que você implantou para sua PKI (infraestrutura de chave pública) usando o AD CS (Serviços de Certificados do Active Directory).

Alterar a expiração do identificador TLS armazenado em cache

Durante os processos de autenticação iniciais para EAP-TLS, PEAP-TLS e PEAP-MS-CHAP v2, o NPS armazena em cache uma parte das propriedades de conexão TLS do cliente de conexão. O cliente também armazena em cache uma parte das propriedades de conexão TLS do NPS.

Cada coleção individual dessas propriedades de conexão TLS é chamada de identificador TLS.

Os computadores cliente podem armazenar em cache os identificadores TLS para vários autenticadores, enquanto os NPSs podem armazenar em cache os identificadores TLS de muitos computadores cliente.

Os identificadores TLS armazenados em cache no cliente e no servidor permitem que o processo de reautenticação ocorra mais rapidamente. Por exemplo, quando um computador sem fio é reautenticado com um NPS, o NPS pode examinar o identificador TLS para o cliente sem fio e pode determinar rapidamente que a conexão do cliente é uma reconexão. O NPS autoriza a conexão sem executar a autenticação completa.

Correspondentemente, o cliente examina o identificador TLS para o NPS, determina que ele é uma reconexão e não precisa executar a autenticação do servidor.

Em computadores que executam Windows 10 e Windows Server 2016, a expiração do identificador TLS padrão é de 10 horas.

Em algumas circunstâncias, talvez você queira aumentar ou diminuir o tempo de expiração do identificador TLS.

Por exemplo, talvez você queira diminuir o tempo de expiração do identificador TLS em circunstâncias em que o certificado de um usuário foi revogado por um administrador e o certificado expirou. Nesse cenário, o usuário ainda poderá se conectar à rede se um NPS tiver um identificador TLS armazenado em cache que não tenha expirado. Reduzir a expiração do identificador TLS pode ajudar a impedir que esses usuários com certificados revogados se reconectem.

Observação

A melhor solução para esse cenário é desabilitar a conta de usuário no Active Directory ou remover a conta de usuário do grupo do Active Directory que recebe permissão para se conectar à rede na política de rede. A propagação dessas alterações para todos os controladores de domínio também pode estar atrasada, no entanto, devido à latência de replicação.

Configurar o tempo de expiração do identificador TLS em computadores cliente

Você pode usar esse procedimento para alterar a quantidade de tempo que os computadores cliente armazenam em cache o identificador TLS de um NPS. Depois de autenticar com êxito um NPS, os computadores cliente armazenam em cache as propriedades de conexão TLS do NPS como um identificador TLS. O identificador TLS tem uma duração padrão de 10 horas (36.000.000 milissegundos). Você pode aumentar ou diminuir o tempo de expiração do identificador TLS usando o procedimento a seguir.

Associação em Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.

Importante

Este procedimento deve ser executado em um NPS, não em um computador cliente.

Para configurar a hora de expiração do identificador TLS em computadores cliente

  1. Em um NPS, abra o Editor do Registro.

  2. Navegue até a chave do Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. No menu Editar, clique em Novo e, em seguida, clique em Chave.

  4. Digite ClientCacheTime e pressione ENTER.

  5. Clique com o botão direito em ClientCacheTime, clique em Novo e em Valor DWORD (32 bits).

  6. Digite a quantidade de tempo, em milissegundos, que você deseja que os computadores cliente armazenem em cache o identificador TLS de um NPS após a primeira tentativa de autenticação bem-sucedida pelo NPS.

Configurar a hora de expiração do identificador TLS em NPSs

Use este procedimento para alterar a quantidade de tempo que os NPSs armazenam em cache o identificador TLS dos computadores cliente. Depois de autenticar com êxito um cliente de acesso, os NPSs armazenam em cache as propriedades de conexão TLS do computador cliente como um identificador TLS. O identificador TLS tem uma duração padrão de 10 horas (36.000.000 milissegundos). Você pode aumentar ou diminuir o tempo de expiração do identificador TLS usando o procedimento a seguir.

Associação em Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.

Importante

Este procedimento deve ser executado em um NPS, não em um computador cliente.

Para configurar o tempo de expiração do identificador TLS em NPSs

  1. Em um NPS, abra o Editor do Registro.

  2. Navegue até a chave do Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. No menu Editar, clique em Novo e, em seguida, clique em Chave.

  4. Digite ServerCacheTime e pressione ENTER.

  5. Clique com o botão direito em ServerCacheTime, clique em Novo e em Valor DWORD (32 bits).

  6. Digite a quantidade de tempo, em milissegundos, que você deseja que os NPSs armazenem em cache o identificador TLS de um computador cliente após a primeira tentativa de autenticação bem-sucedida pelo cliente.

Obter o hash SHA-1 de um certificado de autoridade de certificação raiz confiável

Use este procedimento para obter o hash SHA-1 (Secure Hash Algorithm) de uma AC (autoridade de certificação) raiz confiável de um certificado instalado no computador local. Em algumas circunstâncias, como ao implantar Política de Grupo, é necessário designar um certificado usando o hash SHA-1 do certificado.

Ao usar Política de Grupo, você pode designar um ou mais certificados de AC raiz confiáveis que os clientes devem usar para autenticar o NPS durante o processo de autenticação mútua com EAP ou PEAP. Para designar um certificado de AC raiz confiável que os clientes devem usar para validar o certificado do servidor, você pode inserir o hash SHA-1 do certificado.

Este procedimento demonstra como obter o hash SHA-1 de um certificado de autoridade de certificação raiz confiável usando o snap-in Console de Gerenciamento Microsoft (MMC) de Certificados.

Para concluir este procedimento, é necessário ser membro do grupo Usuários no computador local.

Para obter o hash SHA-1 de um Certificado de Autoridade de Certificação raiz confiável

  1. Na caixa de diálogo Executar ou no Windows PowerShell, digite mmc e, em seguida, pressione ENTER. O Console de Gerenciamento Microsoft (MMC) é aberto. No MMC, clique em Arquivo e em Adicionar/Remover Snap\in. A caixa de diálogo Adicionar ou Remover Snap-ins é aberta.

  2. Em Adicionar ou Remover Snap-ins, em Snap-ins disponíveis, clique duas vezes em Certificados. O assistente do snap-in Certificados é aberto. Clique em Conta de computador e em Avançar.

  3. Em Selecionar Computador, verifique se a opção Computador local (o computador no qual este console está sendo executado) está marcada, clique em Finalizar e em OK.

  4. No painel esquerdo, clique duas vezes em Certificados (Computador Local) e clique duas vezes na pasta Autoridades de Certificação Raiz Confiáveis.

  5. A pasta Certificados é uma subpasta da pasta Autoridades de Certificação Raiz Confiáveis. Clique na pasta Certificados.

  6. No painel de detalhes, navegue até o certificado para sua AC raiz confiável. Clique duas vezes no certificado. A caixa de diálogo Certificado é aberta.

  7. Na caixa de diálogo Certificado, clique na guia Detalhes.

  8. Na lista de campos, selecione Impressão Digital.

  9. No painel inferior, a cadeia de caracteres hexadecimal que é o hash SHA-1 do seu certificado é exibida. Selecione o hash SHA-1 e pressione o atalho de teclado do Windows do comando Copiar (CTRL+C) para copiar o hash para a área de transferência do Windows.

  10. Abra o local no qual você deseja colar o hash SHA-1, localize corretamente o cursor e pressione o atalho de teclado do Windows para o comando Colar (CTRL+V).

Para obter mais informações sobre certificados e NPS, consulte Configurar modelos de certificado para requisitos PEAP e EAP.

Para obter mais informações sobre o NPS, confira NPS (Servidor de Políticas de Rede).