Configurare l'elenco di revoche di certificati del server dei criteri di rete controllare le impostazioni del registro
Quando si usa un server dei criteri di rete (NPS) per applicare l'autenticazione basata su certificati per l'accesso alla rete, è importante configurare elenchi di revoche di certificati (CRL) per assicurarsi che vengano accettati solo i certificati validi. I CRL vengono usati per verificare se un certificato digitale è stato revocato dall'autorità di certificazione (CA) prima della data di scadenza pianificata. In un NPS, i CRL possono essere configurati per essere controllati durante il processo di autenticazione per garantire che vengano usati solo certificati validi per l'accesso alla rete. La configurazione di CRL di NPS è un passaggio importante nell'implementazione di un'infrastruttura di accesso alla rete sicura.
Prerequisiti
Il ruolo Servizi di accesso e criteri di rete è necessario per configurare il dispositivo come server NPS. Per altre informazioni, vedere Installare o disinstallare ruoli, servizi ruolo o funzionalità.
Informazioni sulle impostazioni del registro CRL NPS
Le impostazioni del Registro di sistema per il server dei criteri di rete possono essere configurate nel percorso del Registro di sistema seguente e vengono immesse come voce DWORD con un valore pari a 0 per disabilitato o 1 per abilitato:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
Per impostazione predefinita, le chiavi seguenti sono impostate su 0 .
| Nome | Descrizione |
|---|---|
| IgnoreNoRevocationCheck | Se disabilitato, un client EAP-TLS non può connettersi a meno che il server non completi un controllo di revoca della catena di certificati (incluso il certificato radice) del client e non verifichi che nessuno dei certificati sia stato revocato. Se abilitato, il server dei criteri di rete consente ai client EAP-TLS di connettersi anche quando NPS non esegue o non riesce a completare un controllo di revoca della catena di certificati (escluso il certificato radice) del client. È possibile usare questa voce per autenticare i client quando il certificato non include punti di distribuzione CRL, ad esempio certificati rilasciati da ca non Microsoft. |
| IgnoreRevocationOffline | Se disabilitato, il server dei criteri di rete non consente ai client di connettersi a meno che non possa completare un controllo di revoca della catena di certificati e verificare che nessuno dei certificati venga revocato. Quando NPS non riesce a connettersi a un server in cui è archiviato un elenco di revoche, il certificato non riesce a controllare la revoca e l'autenticazione non riesce. Se abilitato, NPS consente ai client EAP-TLS di connettersi anche quando un server in cui è archiviato un CRL non è disponibile nella rete e impedisce l'errore di convalida dei certificati a causa di condizioni di rete non ottimali. |
| NoRevocationCheck | Se disabilitato, il controllo delle revoche di certificati è abilitato per il CRL NPS. Quando il client presenta un certificato a NPS, il server verifica se il certificato è stato revocato dalla CA emittente prima di consentire al client di connettersi alla rete. Se il certificato è stato revocato, il client viene negato l'accesso. Se abilitato, NPS impedisce a EAP-TLS di eseguire un controllo di revoca del certificato del client. Il controllo di revoca verifica che il certificato del client e i certificati nella catena di certificati non siano stati revocati. |
| NoRootRevocationCheck | Se disabilitato, questa voce elimina solo il controllo di revoca del certificato CA radice del client. Un controllo di revoca viene comunque eseguito nel resto della catena di certificati del client. Se abilitato, NPS impedisce a EAP-TLS di eseguire un controllo di revoca del certificato CA radice del client. Questa voce autentica i client quando il certificato non include i punti di distribuzione CRL. Questa voce può inoltre impedire ritardi correlati alla certificazione che si verificano quando un elenco di revoche di certificati è offline o scaduto. |
Modifica delle impostazioni del registro CRL NPS
Avviso
È possibile che eventuali modifiche non corrette del Registro di sistema danneggino gravemente il sistema. Prima di apportare modifiche al Registro di sistema, si consiglia di effettuare il backup di tutti i dati importanti presenti sul computer.
La modifica del Registro di sistema può essere eseguita usando l'editor del registro (regedit.exe), il prompt dei comandi o PowerShell. Gli esempi seguenti descrivono l'abilitazione dell'impostazione del registro NoRevocationCheck e gli stessi passaggi sono applicabili per abilitare o disabilitare le impostazioni CRL correlate.
Questi passaggi consentono di abilitare NoRevocationCheck nel dispositivo:
- Sul desktop, selezionare Avvio, digitare Editor registro, fare clic con il tasto destro del mouse su Editor registro e selezionare Esegui come amministratore.
- In Editor registro, andare su HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- Nel riquadro superiore, selezionare Modifica>Nuovo>tipo> DWORD NoRevocationCheck, quindi premere Invio.
- Fare doppio clic sulla nuova voce del Registro di sistema, impostare il valore su 1, quindi selezionare OK.
Per disabilitare questa voce, modificare il valore da 1 a 0.
Per aggiornare manualmente il CRL nel server dei criteri di rete, eseguire questi comandi nel prompt dei comandi o in PowerShell:
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now