Você pode controlar qual CA deve ser confiada pelo NPS configurando seu Autoridade de Certificação Raiz Confiável . Simplesmente remova todo o CA "macio" da loja.
Não tenho conhecimento de outras opções.
Temos um servidor Windows 2012 aceitando conexões VPN sobre SSTP e autenticando-as usando o recurso Servidor de Diretivas de Rede no mesmo servidor. Para autenticação do cliente, configuramos para exigir certificados, o que está funcionando bem. Muito bem, na verdade. O problema é que ele aceita qualquer certificado de cliente se o servidor confiar na raiz CA da cadeia. Isso significa que ele não apenas aceita os certificados de cartão inteligente (emitidos por uma CA que adicionamos manualmente ao truststore), mas também certificados "soft" emitidos por nossa CA interna e armazenados nos computadores clientes.
Esse comportamento é indesejável, já que queremos exigir que todos usem um cartão inteligente real ao se conectarem ao servidor VPN. Existe alguma maneira de forçar isso? Fazer o servidor NPS confiar apenas em uma CA específica? Ou verifique algum atributo específico no certificado?
Você pode controlar qual CA deve ser confiada pelo NPS configurando seu Autoridade de Certificação Raiz Confiável . Simplesmente remova todo o CA "macio" da loja.
Não tenho conhecimento de outras opções.