Configuración de la lista de revocación de certificados del servidor de directivas de red comprueba la configuración del Registro
Cuando se usa un servidor de directivas de red (NPS) para aplicar la autenticación basada en certificados para el acceso a la red, es importante configurar listas de revocación de certificados (CRL) para asegurarse de que solo se aceptan certificados válidos. Las CRL se usan para comprobar si la entidad de certificación (CA) ha revocado un certificado digital antes de su fecha de expiración programada. En un NPS, las CRL se pueden configurar para que se comprueben durante el proceso de autenticación para asegurarse de que solo se usan certificados válidos para el acceso a la red. La configuración de CRL de NPS es un paso importante en la implementación de una infraestructura de acceso de red segura.
Requisitos previos
El rol Directiva de red y Servicios de acceso es necesario para configurar el dispositivo como un servidor NPS. Para obtener más información, consulte Instalación o desinstalación de roles, servicios de rol o características.
Reconocimiento de la configuración del registro CRL de NPS
La configuración del Registro para NPS se puede configurar en la siguiente ruta de acceso del Registro y se escribe como una entrada DWORD con un valor de 0 para deshabilitado o 1 para habilitado:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
Las siguientes claves se establecen en 0 de forma predeterminada.
| Nombre | Descripción |
|---|---|
| IgnoreNoRevocationCheck | Cuando está inhabilitado, el cliente EAP-TLS no puede conectarse a menos que el servidor complete una comprobación de revocación de la cadena de certificados (incluyendo el certificado raíz) del cliente y compruebe que no se revocó ninguno de los certificados. Cuando está habilitado, NPS permite que los clientes EAP-TLS se conecten incluso cuando NPS no realiza o no puede completar una comprobación de revocación de la cadena de certificados (excepto el certificado raíz) del cliente. Puede usar esta entrada para autenticar a los clientes cuando el certificado no incluye puntos de distribución CRL, como certificados emitidos por ca que no son de Microsoft. |
| IgnoreRevocationOffline | Cuando está inhabilitado, el NPS no permite que los clientes se conecten a menos que se pueda completar una comprobación de revocación de la cadena de certificados y comprobar que no se haya revocado ningún certificado. Cuando NPS no puede conectarse a un servidor que almacena una lista de revocación, se genera un error en la comprobación de revocación para el certificado y otro error en la autenticación. Cuando está habilitada, NPS permite que los clientes EAP-TLS se conecten incluso cuando un servidor que almacena una CRL no está disponible en la red y evita un error de validación de certificados debido a condiciones de red deficientes. |
| NoRevocationCheck | Cuando está deshabilitada, la comprobación de revocación de certificados está habilitada para la CRL de NPS. Cuando el cliente presenta un certificado al servidor NPS, el servidor comprueba si el certificado ha sido revocado por la entidad de certificación emisora antes de permitir que el cliente se conecte a la red. Si se ha revocado el certificado, se deniega el acceso al cliente. Cuando está habilitado, NPS evita que EAP-TLS realice una comprobación de revocación del certificado del cliente. La comprobación de revocación confirma que el certificado del cliente y los certificados de la cadena de certificados no se hayan revocado. |
| NoRootRevocationCheck | Cuando está inhabilitado, esta entrada sólo elimina la comprobación de revocación del certificado de la CA raíz del cliente. Aún se realiza una comprobación de revocación del resto de la cadena de certificados del cliente. Cuando está habilitado, NPS evita que EAP-TLS realice una comprobación de revocación del certificado del cliente. Esta entrada autentica a los clientes cuando el certificado no incluye puntos de distribución CRL. Además, esta entrada puede evitar retrasos relacionados con la certificación que se pueden producir cuando una lista de revocación de certificados se encuentra sin conexión o ha expirado. |
Edición de la configuración del registro CRL de NPS
Advertencia
Una modificación incorrecta del Registro puede provocar daños graves en el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor guardados en el equipo.
La edición del registro se puede realizar mediante el editor del Registro (regedit.exe), el símbolo del sistema o PowerShell. En los ejemplos siguientes se describe cómo habilitar la configuración del Registro NoRevocationCheck y se aplican los mismos pasos para habilitar o deshabilitar la configuración de CRL relacionada.
Estos pasos le permiten habilitar NoRevocationCheck en el dispositivo:
- En el escritorio, seleccione Inicio, escriba Editor del Registro, haga clic con el botón derecho en El Editor del Registro y seleccione Ejecutar como administrador.
- En el Editor del Registro, vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- En el panel superior, seleccione Editar>nuevo tipo>DWORD> escriba NoRevocationCheck y presione Entrar.
- Haga doble clic en la nueva entrada del Registro, cambie el valor a 1 y seleccione Aceptar.
Para deshabilitar esta entrada, cambie el valor de 1 a 0.
Para actualizar manualmente la CRL en el servidor NPS, ejecute estos comandos en el símbolo del sistema o PowerShell:
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now