Настройка параметров реестра проверки списка отзыва сертификатов сервера политики сети

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

При использовании сервера политики сети (NPS) для принудительной проверки подлинности на основе сертификатов для сетевого доступа важно настроить списки отзыва сертификатов (CRLS), чтобы убедиться, что принимаются только допустимые сертификаты. CrLs используются для проверки того, был ли цифровой сертификат отозван центром сертификации (ЦС) до запланированной даты окончания срока действия. В NPS можно настроить проверку списков crls во время проверки подлинности, чтобы убедиться, что для доступа к сети используются только допустимые сертификаты. Настройка NPS CRLs является важным шагом в реализации инфраструктуры безопасного доступа к сети.

Необходимые компоненты

Политика сети и роль службы Access требуется для настройки устройства в качестве сервера NPS. Дополнительные сведения см. в статье "Установка или удаление ролей", "Службы ролей" или "Компоненты".

Общие сведения о параметрах реестра CRL для NPS

Параметры реестра для NPS можно настроить в следующем пути реестра и ввести в качестве записи DWORD значение 0 для отключенных или 1 для включения:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\

По умолчанию для следующих ключей задано значение 0 .

Имя	Описание
IgnoreNoRevocationCheck	При отключении клиент EAP-TLS не может подключиться, если сервер не завершит проверку отзыва цепочки сертификатов (включая корневой сертификат) клиента и проверяет, что ни один из сертификатов не был отменен. При включении NPS позволяет клиентам EAP-TLS подключаться, даже если NPS не выполняет или не может завершить проверку отзыва цепочки сертификатов (за исключением корневого сертификата) клиента. Эту запись можно использовать для проверки подлинности клиентов, если сертификат не включает точки распространения CRL, такие как сертификаты, выданные не Microsoft CAs.
IgnoreRevocationOffline	При отключении NPS не разрешает клиентам подключаться, если он не может завершить проверку отзыва цепочки сертификатов и убедиться, что ни один из сертификатов не будет отменен. Если NPS не удается подключиться к серверу, в которой хранится список отзыва, сертификат завершается ошибкой проверки отзыва и проверки подлинности. При включении NPS позволяет клиентам EAP-TLS подключаться даже в том случае, если сервер, в который хранится список отзыва сертификатов, недоступен в сети и предотвращает сбой проверки сертификата из-за плохих сетевых условий.
NoRevocationCheck	При отключении проверка отзыва сертификатов включена для списка отзыва сертификатов NPS. Когда клиент представляет сертификат серверу NPS, сервер проверяет, был ли сертификат отозван центром сертификации, прежде чем разрешить клиенту подключаться к сети. Если сертификат был отозван, клиент отказано в доступе. При включении NPS запрещает EAP-TLS выполнять проверку отзыва сертификата клиента. Проверка отзыва проверяет, что сертификат клиента и сертификаты в его цепочке сертификатов не были отозваны.
NoRootRevocationCheck	При отключении эта запись устраняет только проверку отзыва корневого сертификата ЦС клиента. Проверка отзыва по-прежнему выполняется в оставшейся части цепочки сертификатов клиента. При включении NPS запрещает EAP-TLS выполнять проверку отзыва корневого сертификата ЦС клиента. Эта запись проверяет подлинность клиентов, если сертификат не включает точки распространения CRL. Кроме того, эта запись может предотвратить задержки, связанные с сертификацией, возникающие при отключении или истечении срока действия списка отзыва сертификатов.

Изменение параметров реестра CRL для NPS

Предупреждение

Неправильное изменение реестра может вызвать серьезные проблемы. Перед внесением изменений в реестр рекомендуется создать резервную копию всех важных данных.

Редактирование реестра можно выполнить с помощью редактора реестра (regedit.exe), командной строки или PowerShell. В следующих примерах описано включение параметра реестра NoRevocationCheck и те же действия применимы для включения или отключения связанных параметров списка отзыва сертификатов.

Редактор реестра

Эти действия позволяют включить NoRevocationCheck на устройстве:

1. На рабочем столе выберите "Пуск", введите редактор реестра, щелкните правой кнопкой мыши редактор реестра и выберите "Запуск от имени администратора".
2. В редакторе реестра перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
3. В верхней области выберите "Изменить>новый>DWORD>" типа NoRevocationCheck, а затем нажмите клавишу ВВОД.
4. Дважды щелкните новую запись реестра, измените значение на 1, а затем нажмите кнопку "ОК".

Чтобы отключить эту запись, измените значение от 1 до 0.

Командная строка

Чтобы включить NoRevocationCheck с помощью командной строки (CMD), выполните следующую команду от имени администратора:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" /v "NoRevocationCheck" /t REG_DWORD /d 1 /f

Чтобы отключить NoRevocationCheck с помощью командной строки (CMD), выполните следующую команду от имени администратора:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" /v "NoRevocationCheck" /t REG_DWORD /d 0 /f

PowerShell

Чтобы включить NoRevocationCheck с помощью PowerShell, выполните следующую команду от имени администратора:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" -Name "NoRevocationCheck" -Value 1

Чтобы отключить NoRevocationCheck с помощью PowerShell, выполните следующую команду от имени администратора:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" -Name "NoRevocationCheck" -Value 0

Чтобы вручную обновить список отзыва сертификатов на сервере NPS, выполните следующие команды в командной строке или PowerShell:

certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now