使用網路原則伺服器 (NPS) 強制執行基於憑證的網路存取身分驗證時,設置憑證撤銷清單 (CRL) 以確保僅接受有效憑證非常重要。 CRL 用於檢查數位憑證是否已在其預定到期日期之前被憑證授權單位 (CA) 撤銷。 在 NPS 中,可以將 CRL 設置為在身份驗證過程中進行檢查,以確保僅使用有效的憑證進行網路存取。 設置 NPS CRL 是實施安全網路存取基礎架構的重要一步。
必要條件
需要Network Policy and Access Services角色才能將裝置設定為 NPS 伺服器。 若要了解詳細資訊,請參閱安裝或解除安裝角色、角色服務或功能。
了解 NPS CRL 登錄檔設置
NPS 的登錄設置可在下列登錄路徑中設置,並以 DWORD 條目輸入,值為 0 代表停用,或 1 代表啟用:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
以下鍵預設為 0。
| 名稱 | 描述 |
|---|---|
| 忽略撤銷驗證檢查 | 停用後,除非伺服器完成使用者端憑證鏈(包括根憑證)的撤銷檢查並驗證沒有任何憑證被撤銷,否則 EAP-TLS 使用者端無法連線。 啟用後,即使 NPS 不執行或無法完成使用者端憑證鏈(不包括根憑證)的吊銷檢查,NPS 也允許 EAP-TLS 使用者端進行連線。 當憑證不包含 CRL 分發點(例如非 Microsoft CA 所頒發的憑證)時,您可以使用此項目對使用者端進行驗證。 |
| 忽略離線時的撤銷檢查 | 停用後,NPS 不允許客戶端連接,除非它可以完成其憑證鏈的吊銷檢查並驗證沒有任何憑證被撤銷。 當 NPS 無法連接到儲存吊銷清單的伺服器時,憑證將無法透過吊銷檢查,且身份驗證也會失敗。 啟用後,即使儲存 CRL 的伺服器在網路上不可用,NPS 也允許 EAP-TLS 使用者端進行連接,並防止因網路狀況不佳而導致憑證驗證失敗。 |
| NoRevocationCheck | 當 停用時,將為 NPS CRL 啟用憑證撤銷檢查。 當使用者端向 NPS 伺服器提供憑證時,伺服器會在允許使用者端連接到網路之前檢查該憑證是否已被頒發 CA 撤銷。 如果憑證已被撤銷,則使用者端將被拒絕存取。 啟用後,NPS 會阻止 EAP-TLS 對使用者端憑證執行吊銷檢查。 撤銷檢查驗證客戶端的證書及其證書鏈中的證書尚未被撤銷。 |
| 無根證書撤銷檢查 | 停用時,此項目僅消除使用者端根 CA 憑證的吊銷檢查。 仍會對客戶端憑證鏈的其餘部分執行吊銷檢查。 啟用後,NPS會阻止 EAP-TLS 對使用者端的根 CA 憑證執行吊銷檢查。 當憑證不包含 CRL 分發點時,此項目將對使用者端進行身份驗證。 此外,此條目還可以防止憑證撤銷清單離線或過期時發生的與認證相關的延遲。 |
編輯 NPS CRL 註冊表設置
警告
不當編輯登錄可能會造成系統嚴重受損。 變更登錄之前,您應該先備份電腦所有的重要資料。
可以使用登錄編輯程式 (regedit.exe)、命令提示字元或 PowerShell 來編輯登錄機碼。 以下範例描述了啟用 NoRevocationCheck 註冊表設定,並且相同的步驟適用於啟用或停用相關的 CRL 設定。
透過以下步驟,您可以在裝置上啟用不撤銷檢查:
- 在桌面上,選擇開始,輸入註冊表編輯器,右鍵點選註冊表編輯器,然後選擇 以管理員身份執行。
- 在登錄編輯器中,導覽至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13。
- 在頂部窗格中,選擇Edit >New >DWORD >類型NoRevocationCheck,然後按Enter。
- 雙擊新的登錄項,將數值變更為 1,1然後選擇 OK。
若要停用此條目,請將值從 1 變更為 0。
若要手動更新 NPS 伺服器上的 CRL,請在命令提示字元或 PowerShell 中執行下列命令:
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now