Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie eine zertifikatbasierte Authentifizierungsmethode bereitstellen, z. B. Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) und PEAP-Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2), müssen Sie ein Serverzertifikat für alle Ihre NPS registrieren. Das Serverzertifikat muss:
Erfüllen der Mindestanforderungen für Serverzertifikate, wie unter Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen beschrieben
von einer Zertifizierungsstelle (CA) ausgestellt werden, der die Clientcomputer vertrauen. Eine Zertifizierungsstelle ist vertrauenswürdig, wenn ihr Zertifikat für den aktuellen Benutzer und den lokalen Computer im Zertifikatspeicher „Vertrauenswürdige Stammzertifizierungsstellen“ vorhanden ist.
Die folgenden Anweisungen bieten Unterstützung beim Verwalten von NPS-Zertifikaten in Bereitstellungen, bei denen die vertrauenswürdige Stamm-CA eine Drittanbieterzertifizierungsstelle wie Verisign oder eine Zertifizierungsstelle ist, die Sie für Ihre Public Key-Infrastruktur (PKI) mithilfe von Active Directory-Zertifikatdiensten (AD CS) bereitgestellt haben.
Ändern des Ablaufzeitpunkts des zwischengespeicherten TLS-Handles
Während der anfänglichen Authentifizierungsprozesse für EAP-TLS, PEAP-TLS und PEAP-MS-CHAP v2 speichert der NPS einen Teil der TLS-Verbindungseigenschaften des Verbindungsclients zwischen. Der Client speichert auch einen Teil der TLS-Verbindungseigenschaften des NPS zwischen.
Jede einzelne Sammlung dieser TLS-Verbindungseigenschaften wird als TLS-Handle bezeichnet.
Clientcomputer können die TLS-Handles für mehrere Authentifikatoren zwischenspeichern, während NPSs die TLS-Handles vieler Clientcomputer zwischenspeichern können.
Die zwischengespeicherten TLS-Handles auf dem Client und Server beschleunigen den Prozess der erneuten Authentifizierung. Wenn ein drahtloser Computer beispielsweise eine erneute Authentifizierung mit einem NPS durchführt, kann der NPS das TLS-Handle für den drahtlosen Client untersuchen und schnell feststellen, dass es sich bei der Clientverbindung um eine erneute Verbindung handelt. Der NPS autorisiert die Verbindung, ohne eine vollständige Authentifizierung durchzuführen.
Entsprechend überprüft der Client das TLS-Handle für den NPS, ermittelt, dass es sich um eine erneute Verbindung handelt, und muss keine Serverauthentifizierung durchführen.
Auf Computern, auf denen Windows 10 und Windows Server 2016 ausgeführt werden, beträgt der standardmäßige Ablaufzeitraum des TLS-Handles 10 Stunden.
Unter bestimmten Umständen können Sie die Ablaufzeit des TLS-Handles erhöhen oder verringern.
Beispielsweise können Sie die Ablaufzeit des TLS-Handles verringern, wenn das Zertifikat eines Benutzers von einem Administrator widerrufen wird und das Zertifikat abgelaufen ist. In diesem Szenario kann der Benutzer weiterhin eine Verbindung mit dem Netzwerk herstellen, wenn ein NPS über ein zwischengespeichertes TLS-Handle verfügt, das nicht abgelaufen ist. Eine Verringerung der Ablaufzeit des TLS-Handles kann dazu beitragen, dass Benutzer mit gesperrten Zertifikaten keine Verbindung herstellen können.
Hinweis
Die beste Lösung für dieses Szenario besteht darin, das Benutzerkonto in Active Directory zu deaktivieren oder das Benutzerkonto aus der Active Directory-Gruppe, der die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk in der Netzwerkrichtlinie erteilt wurde, zu entfernen. Die Weitergabe dieser Änderungen an alle Domänencontroller kann aufgrund von Replikationslatenz jedoch ebenfalls verzögert werden.
Konfigurieren der Ablaufzeit des TLS-Handles auf Clientcomputern
Mithilfe dieses Verfahrens können Sie die Zeitspanne ändern, in der Clientcomputer das TLS-Handle eines NPS zwischenspeichern. Nach der erfolgreichen Authentifizierung eines NPS speichern Clientcomputer TLS-Verbindungseigenschaften des NPS als TLS-Handle zwischen. Das TLS-Handle hat eine Standarddauer von 10 Stunden (36.000.000 Millisekunden). Mit dem folgenden Verfahren können Sie die Ablaufzeit des TLS-Handles erhöhen oder verringern.
Die Mitgliedschaft in Administratoren oder gleichwertig ist das Mindestmaß, um dieses Verfahren abzuschließen.
Wichtig
Dieses Verfahren muss auf einem NPS und nicht auf einem Clientcomputer ausgeführt werden.
So konfigurieren Sie die Ablaufzeit des TLS-Handles auf Clientcomputern
Öffnen Sie den Registrierungs-Editor auf einem NPS.
Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Klicken Sie im Menü "Bearbeiten" auf "Neu" und dann auf "Schlüssel".
Geben Sie "ClientCacheTime" ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf "ClientCacheTime", klicken Sie auf "Neu", und klicken Sie dann auf "DWORD"-Wert (32-Bit).
Geben Sie den Zeitraum in Millisekunden ein, für den Clientcomputer das TLS-Handle eines NPS nach dem ersten erfolgreichen Authentifizierungsversuch durch den NPS zwischenspeichern sollen.
Konfigurieren der Ablaufzeit des TLS-Handles auf NPSs
Mithilfe dieses Verfahrens können Sie die Zeitspanne ändern, in der NPSs das TLS-Handle von Clientcomputern zwischenspeichern. Nach der erfolgreichen Authentifizierung eines Zugriffsclients speichern NPSs die TLS-Verbindungseigenschaften des Clientcomputers als TLS-Handle zwischen. Das TLS-Handle hat eine Standarddauer von 10 Stunden (36.000.000 Millisekunden). Mit dem folgenden Verfahren können Sie die Ablaufzeit des TLS-Handles erhöhen oder verringern.
Die Mitgliedschaft in Administratoren oder gleichwertig ist das Mindestmaß, um dieses Verfahren abzuschließen.
Wichtig
Dieses Verfahren muss auf einem NPS und nicht auf einem Clientcomputer ausgeführt werden.
So konfigurieren Sie die Ablaufzeit des TLS-Handles auf NPSs
Öffnen Sie den Registrierungs-Editor auf einem NPS.
Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Klicken Sie im Menü "Bearbeiten" auf "Neu" und dann auf "Schlüssel".
Geben Sie ServerCacheTime ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf ServerCacheTime, klicken Sie auf "Neu", und klicken Sie dann auf "DWORD(32-Bit)-Wert".
Geben Sie den Zeitraum in Millisekunden ein, für den NPSs das TLS-Handle eines Clientcomputers nach dem ersten erfolgreichen Authentifizierungsversuch durch den Client zwischenspeichern sollen.
Abrufen des SHA-1-Hash eines vertrauenswürdigen Stammzertifizierungsstellenzertifikats
Über dieses Verfahren können Sie den SHA-1-Algorithmus (Secure Hash Algorithm) einer vertrauenswürdigen Stammzertifizierungsstelle (CA) aus einem Zertifikat abrufen, das auf dem lokalen Computer installiert ist. Unter bestimmten Umständen, z. B. bei der Bereitstellung von „Gruppenrichtlinie“, ist es erforderlich, ein Zertifikat mithilfe des SHA-1-Hash des Zertifikats festzulegen.
Wenn Sie „Gruppenrichtlinie“ verwenden, können Sie ein oder mehrere vertrauenswürdige Stammzertifizierungsstellenzertifikate festlegen, die Clients verwenden müssen, um den NPS während des Prozesses der gegenseitigen Authentifizierung mit EAP oder PEAP zu authentifizieren. Um ein vertrauenswürdiges Stammzertifizierungsstellenzertifikat festzulegen, das Clients zum Überprüfen des Serverzertifikats verwenden müssen, können Sie den SHA-1-Hash des Zertifikats eingeben.
In diesem Verfahren wird veranschaulicht, wie sie den SHA-1-Hash eines vertrauenswürdigen Stammzertifizierungsstellenzertifikats mithilfe des MMC-Snap-Ins (Microsoft Management Console) für Zertifikate abrufen.
Um dieses Verfahren abzuschließen, müssen Sie Mitglied der Gruppe "Benutzer" auf dem lokalen Computer sein.
So rufen Sie den SHA-1-Hash eines vertrauenswürdigen Stammzertifizierungsstellenzertifikats ab
Geben Sie im Dialogfeld "Ausführen" oder in Windows PowerShell mmc ein, und drücken Sie dann die EINGABETASTE. Die Microsoft Management Console (MMC) wird geöffnet. Klicken Sie im MMC auf "Datei", und klicken Sie dann auf " Snap\in hinzufügen/entfernen". Das Dialogfeld "Snap-Ins hinzufügen oder entfernen " wird geöffnet.
Doppelklicken Sie in " Snap-Ins hinzufügen oder entfernen" in "Verfügbare Snap-Ins" auf "Zertifikate". Der Assistent für das Snap-In „Zertifikate“ wird geöffnet. Klicken Sie auf "Computerkonto", und klicken Sie dann auf "Weiter".
Stellen Sie unter "Computer auswählen" sicher, dass der lokale Computer (auf dem die Konsole ausgeführt wird) ausgewählt ist, klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK".
Doppelklicken Sie im linken Bereich auf Zertifikate (lokaler Computer), und doppelklicken Sie dann auf den Ordner "Vertrauenswürdige Stammzertifizierungsstellen ".
Der Ordner "Zertifikate" ist ein Unterordner des Ordners "Vertrauenswürdige Stammzertifizierungsstellen ". Klicken Sie auf den Ordner "Zertifikate ".
Navigieren Sie im Detailbereich zum Zertifikat für Ihre vertrauenswürdige Stammzertifizierungsstelle. Doppelklicken Sie auf das Zertifikat. Das Dialogfeld "Zertifikat " wird geöffnet.
Klicken Sie im Dialogfeld "Zertifikat " auf die Registerkarte "Details ".
Scrollen Sie in der Liste der Felder, und wählen Sie "Fingerabdruck" aus.
Im unteren Bereich wird die Hexadezimalzeichenfolge angezeigt, die den SHA-1-Hash Ihres Zertifikats darstellt. Wählen Sie den SHA-1-Hash aus, und kopieren Sie den Hash mithilfe der Windows-Tastenkombination Strg+C in die Windows-Zwischenablage.
Öffnen Sie den Speicherort, an den Sie den SHA-1-Hash einfügen möchten, ermitteln Sie die richtige Position des Cursors, und drücken Sie dann die Windows-Tastenkombination für den Befehl „Einfügen“ (STRG+V).
Weitere Informationen zu Zertifikaten und NPS finden Sie unter Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen.
Weitere Informationen zu NPS finden Sie unter Network Policy Server (NPS).