Konfigurace kontroly seznamu odvolaných certifikátů pro Network Policy Server v nastavení registru

• Platí pro:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Při použití serveru NPS (Network Policy Server) k vynucení ověřování na základě certifikátu pro přístup k síti je důležité nakonfigurovat seznamy odvolaných certifikátů (CRL), aby se zajistilo, že budou přijaty pouze platné certifikáty. CRL se používají ke kontrole, jestli byl digitální certifikát odvolán certifikační autoritou (CA) před plánovaným datem vypršení platnosti. V serveru NPS je možné seznamy CRL nakonfigurovat tak, aby se kontrolovaly během procesu ověřování, aby se zajistilo, že se pro přístup k síti používají jenom platné certifikáty. Konfigurace seznamů CRL serveru NPS je důležitým krokem při implementaci zabezpečené infrastruktury přístupu k síti.

Požadavky

K nastavení zařízení jako serveru NPS se vyžaduje role Network Policy and Access Services . Další informace najdete v tématu Instalace nebo odinstalace rolí, služeb rolí nebo funkcí.

Principy nastavení registru CRL NPS

Nastavení registru pro NPS lze nakonfigurovat v následující cestě registru a jsou zadány jako položka DWORD s hodnotou 0 pro zakázáno nebo 1 pro povolenou:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\

Ve výchozím nastavení jsou následující klíče nastavené na 0 .

Název	Popis
IgnorovatŽádnouKontroluOdvolání	Pokud je zakázáno, klient EAP-TLS se nemůže připojit, pokud server nedokončí kontrolu odvolání řetězu certifikátů (včetně kořenového certifikátu) klienta a ověří, že žádný z certifikátů nebyl odvolán. Pokud je tato možnost povolená, umožňuje NPS EAP-TLS klientům připojit se i v případě, že NPS neprovádí nebo nemůže dokončit kontrolu odvolání řetězu certifikátů (s výjimkou kořenového certifikátu) klienta. Tuto položku můžete použít k ověřování klientů, pokud certifikát neobsahuje distribuční body seznamu CRL, jako jsou certifikáty vydané certifikačními autoritami jiných společností než Microsoft.
IgnorovatOdvoláníOffline	Pokud je tato možnost zakázaná, nps neumožňuje klientům připojit se, pokud nemůže dokončit kontrolu odvolání řetězu certifikátů a ověřit, že se neodvolají žádné certifikáty. Pokud se server NPS nemůže připojit k serveru, který ukládá seznam odvolaných certifikátů, certifikát selže při kontrole odvolání a ověření selže. Pokud je tato možnost povolená, nps umožňuje klientům EAP-TLS připojit se i v případě, že server, který ukládá CRL, není v síti dostupný a brání selhání ověření certifikátu kvůli špatným síťovým podmínkám.
NoRevocationCheck	Pokud je tato možnost vypnutá, je pro CRL NPS povolená kontrola odvolání certifikátu. Když klient předloží certifikát serveru NPS, server zkontroluje, jestli byl certifikát odvolán vydávající certifikační autoritou, a teprve potom umožní klientovi připojit se k síti. Pokud byl certifikát odvolán, klient je odepřen přístup. Pokud je tato možnost povolená, nps brání EAP-TLS v provádění kontroly odvolání certifikátu klienta. Kontrola odvolání ověřuje, že certifikát klienta a certifikáty v řetězu certifikátů nebyly odvolány.
NoRootRevocationCheck	Pokud je položka zakázaná, eliminuje se pouze kontrola odvolání kořenového certifikátu CA klienta. Kontrola odvolání se stále provádí ve zbývající části řetězu certifikátů klienta. Pokud je tato možnost povolená, nps brání EAP-TLS v provádění kontroly odvolání kořenového certifikátu certifikační autority klienta. Tato položka ověřuje klienty, když certifikát neobsahuje distribuční body CRL. Tato položka může také zabránit zpožděním souvisejícím s certifikací, ke kterým dochází, když je seznam odvolaných certifikátů offline nebo vypršela jeho platnost.

Úprava nastavení registru CRL NPS

Výstraha

Nesprávná úprava registru může vážně poškodit systém. Před provedením změn registru byste měli zálohovat všechna hodnotná data v počítači.

Úpravy registru je možné provádět pomocí editoru registru (regedit.exe), příkazového řádku nebo PowerShellu. Následující příklady popisují povolení nastavení registru NoRevocationCheck a stejný postup platí pro povolení nebo zakázání souvisejících nastavení seznamu odvolaných certifikátů (CRL).

Pomocí těchto kroků můžete na zařízení povolit funkci NoRevocationCheck :

1. Na ploše vyberte Start, zadejte Editor registru, klikněte pravým tlačítkem na Editor registru a vyberte Spustit jako správce.
2. V Editoru registru přejděte na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
3. V horním podokně vyberte Upravit>nový>typ DWORD>NoRevocationCheck a stiskněte Enter.
4. Poklikejte na novou položku registru, změňte hodnotu na 1 a pak vyberte OK.

Chcete-li tuto položku zakázat, změňte hodnotu z 1 na 0.

Příkazový řádek

Pokud chcete povolit funkci NoRevocationCheck pomocí příkazového řádku (CMD), spusťte následující příkaz jako správce:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" /v "NoRevocationCheck" /t REG_DWORD /d 1 /f

Pokud chcete zakázat funkci NoRevocationCheck pomocí příkazového řádku (CMD), spusťte následující příkaz jako správce:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" /v "NoRevocationCheck" /t REG_DWORD /d 0 /f

PowerShell

Pokud chcete povolit funkci NoRevocationCheck pomocí PowerShellu, spusťte jako správce následující příkaz:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" -Name "NoRevocationCheck" -Value 1

Pokud chcete zakázat funkci NoRevocationCheck pomocí PowerShellu, spusťte následující příkaz jako správce:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" -Name "NoRevocationCheck" -Value 0

Pokud chcete seznam CRL na serveru NPS aktualizovat ručně, spusťte tyto příkazy na příkazovém řádku nebo v PowerShellu:

certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now