Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du använder en nätverksprincipserver (NPS) för att framtvinga certifikatbaserad autentisering för nätverksåtkomst är det viktigt att konfigurera listor över återkallade certifikat för att säkerställa att endast giltiga certifikat godkänns. CRL:er används för att kontrollera om ett digitalt certifikat har återkallats av certifikatutfärdare (CA) före det schemalagda förfallodatumet. I en NPS kan CRL:er konfigureras så att de kontrolleras under autentiseringsprocessen för att säkerställa att endast giltiga certifikat används för nätverksåtkomst. Att konfigurera NPS-CRL:er är ett viktigt steg i implementeringen av en säker infrastruktur för nätverksåtkomst.
Förutsättningar
Nätverksprincip och åtkomsttjänster-rollen krävs för att ställa in enheten som en NPS-server. Mer information finns i Installera eller avinstallera roller, rolltjänster eller funktioner.
Förstå registerinställningar för NPS CRL
Registerinställningarna för NPS kan konfigureras i följande registersökväg och anges som en DWORD-post med värdet 0 för inaktiveradeller 1 för aktiverad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
Följande nycklar är inställda på 0 som standard.
| Namn | Beskrivning |
|---|---|
| IgnoreraIngenÅterkallelsekontroll | När inaktiveradkan en EAP-TLS-klient inte ansluta om inte servern slutför en återkallningskontroll av certifikatkedjan (inklusive rotcertifikatet) för klienten och verifierar att inget av certifikaten har återkallats. När aktiverattillåter NPS EAP-TLS klienter att ansluta även när NPS inte utför eller inte kan slutföra en återkallningskontroll av certifikatkedjan (exklusive rotcertifikatet) för klienten. Du kan använda den här posten för att autentisera klienter när certifikatet inte innehåller CRL-distributionsplatser, till exempel certifikat som utfärdats av certifikatutfärdare som inte tillhör Microsoft. |
| IgnoreraÅterkallelseOffline | När har inaktiveratstillåter NPS inte klienter att ansluta om det inte kan slutföra en återkallningskontroll av certifikatkedjan och kontrollera att inget av certifikaten har återkallats. När NPS inte kan ansluta till en server som lagrar en återkallningslista misslyckas certifikatet med återkallningskontrollen och autentiseringen misslyckas. När aktiveradtillåter NPS EAP-TLS klienter att ansluta även när en server som lagrar en crl inte är tillgänglig i nätverket och förhindrar certifikatverifieringsfel på grund av dåliga nätverksförhållanden. |
| NoRevocationCheck | När inaktiverar, är kontrollen av återkallade certifikat aktiverad för NPS CRL. När klienten visar ett certifikat för NPS-servern kontrollerar servern om certifikatet har återkallats av den utfärdande certifikatutfärdare innan klienten kan ansluta till nätverket. Om certifikatet har återkallats nekas klienten åtkomst. När aktiveradförhindrar NPS EAP-TLS från att utföra en återkallningskontroll av klientens certifikat. Återkallningskontrollen verifierar att certifikatet för klienten och certifikaten i certifikatkedjan inte har återkallats. |
| NoRootRevocationCheck | När inaktiveradeeliminerar den här posten endast återkallningskontrollen av klientens rot-CA-certifikat. En återkallningskontroll utförs fortfarande på resten av certifikatkedjan för klienten. När aktiverat, förhindrar NPS EAP-TLS från att utföra en återkallningskontroll av klientens rot-CA-certifikat. Den här posten autentiserar klienter när certifikatet inte innehåller CRL-distributionsplatser. Den här posten kan också förhindra certifieringsrelaterade fördröjningar som uppstår när en lista över återkallade certifikat är offline eller har upphört att gälla. |
Redigera registerinställningar för NPS CRL
Varning
Felaktig redigering av registret kan allvarligt skada systemet. Innan du gör ändringar i registret bör du säkerhetskopiera alla värdefulla data på datorn.
Du kan redigera registret med hjälp av registereditorn (regedit.exe), kommandotolken eller PowerShell. I följande exempel beskrivs hur du aktiverar registerinställningen NoRevocationCheck och samma steg gäller för aktivering eller inaktivering av relaterade CRL-inställningar.
Med de här stegen kan du aktivera NoRevocationCheck- på enheten:
- På skrivbordet väljer du Starta, skriver Registereditorn, högerklickar på Registereditorn och väljer Kör som administratör.
- I Registereditorngår du till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- I det övre fönstret väljer du Redigera>Ny>DWORD> typ NoRevocationCheckoch trycker sedan på Retur.
- Dubbelklicka på den nya registerposten, ändra värdet till 1och välj sedan OK.
Om du vill inaktivera den här posten ändrar du värdet från 1 till 0.
Om du vill uppdatera CRL manuellt på NPS-servern kör du dessa kommandon i kommandotolken eller PowerShell:
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now