Konfigurieren der Registrierungseinstellungen für die Zertifikatsperrliste für Netzwerkrichtlinienserver
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Wenn Sie einen Netzwerkrichtlinienserver (Network Policy Server, NPS) zum Erzwingen der zertifikatbasierten Authentifizierung für den Netzwerkzugriff verwenden, ist es wichtig, Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) zu konfigurieren, um sicherzustellen, dass nur gültige Zertifikate akzeptiert werden. CRLs werden verwendet, um zu überprüfen, ob ein digitales Zertifikat von der Zertifizierungsstelle vor dem geplanten Ablaufdatum widerrufen wurde. In einem NPS können CRLs so konfiguriert werden, dass sie während des Authentifizierungsprozesses überprüft werden, um sicherzustellen, dass nur gültige Zertifikate für den Netzwerkzugriff verwendet werden. Das Konfigurieren von NPS-CRLs ist ein wichtiger Schritt bei der Implementierung einer sicheren Netzwerkzugriffsinfrastruktur.
Voraussetzungen
Die Rolle Netzwerkrichtlinie und Access Services ist erforderlich, um Ihr Gerät als NPS-Server einzurichten. Weitere Informationen finden Sie unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Features.
Grundlegendes zu NPS-CRL-Registrierungseinstellungen
Die Registrierungseinstellungen für NPS können im folgenden Registrierungspfad konfiguriert werden und als DWORD-Eintrag mit dem Wert 0 für deaktiviertoder 1 für aktivierteingegeben werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
Die folgenden Schlüssel sind standardmäßig auf 0 festgelegt.
| Name | Beschreibung |
|---|---|
| IgnoreNoRevocationCheck | Wenn deaktiviert ist, kann ein EAP-TLS-Client erst dann eine Verbindung herstellen, wenn der Server eine Überprüfung der Zertifikatskette (einschließlich des Stammzertifikats) des Clients auf Widerruf durchführt und feststellt, dass keines der Zertifikate widerrufen wurde. Wenn aktiviertist, können EAP-TLS-Clients auch dann eine Verbindung herstellen, wenn NPS keine Sperrüberprüfung der Zertifikatkette (mit Ausnahme des Stammzertifikats) des Clients durchführt oder nicht abschließen kann. Sie können diesen Eintrag verwenden, um Clients zu authentifizieren, wenn das Zertifikat keine CRL-Verteilungspunkte enthält, z. B. Von Nicht-Microsoft-Zertifizierungsstellen ausgestellte Zertifikate. |
| IgnoreRevocationOffline | Wenn deaktiviert ist, kann der NPS keine Verbindung herstellen, es sei denn, er kann eine Sperrüberprüfung der Zertifikatkette abschließen und überprüfen, ob keines der Zertifikate widerrufen wird. Wenn der NPS keine Verbindung mit einem Server herstellen kann, der eine Sperrliste speichert, schlägt das Zertifikat die Sperrüberprüfung fehl, und die Authentifizierung schlägt fehl. Wenn aktiviert ist, kann der NPS EAP-TLS-Clients auch dann eine Verbindung herstellen, wenn ein Server, auf dem eine CRL gespeichert wird, nicht im Netzwerk verfügbar ist, und ein Zertifikatüberprüfungsfehler aufgrund schlechter Netzwerkbedingungen verhindert wird. |
| NoRevocationCheck | Wenn deaktiviert ist, ist die Zertifikatsperrüberprüfung für die NPS-CRL aktiviert. Wenn der Client ein Zertifikat auf dem NPS-Server darstellt, überprüft der Server, ob das Zertifikat von der ausstellenden Zertifizierungsstelle widerrufen wurde, bevor der Client die Verbindung mit dem Netzwerk herstellen kann. Wenn das Zertifikat widerrufen wurde, wird dem Client der Zugriff verweigert. Wenn aktiviert ist, verhindert der NPS, dass EAP-TLS eine Sperrüberprüfung des Zertifikats des Clients durchführt. Die Sperrüberprüfung überprüft, ob das Zertifikat des Clients und die Zertifikate in der Zertifikatkette nicht widerrufen wurden. |
| NoRootRevocationCheck | Wenn deaktiviert ist, wird nur die Überprüfung des Root-CA-Zertifikats des Clients auf Widerruf aufgehoben. Für den Rest der Zertifikatkette des Clients wird weiterhin eine Sperrüberprüfung ausgeführt. Wenn Option aktiviert ist, verhindert der NPS, dass EAP-TLS eine Widerrufsprüfung des Stammzertifikats des Clients durchführt. Dieser Eintrag authentifiziert Clients, wenn das Zertifikat keine CRL-Verteilungspunkte enthält. Außerdem kann dieser Eintrag zertifizierungsbezogene Verzögerungen verhindern, die auftreten, wenn eine Zertifikatsperrliste offline oder abgelaufen ist. |
Bearbeiten von NPS-Registrierungseinstellungen für CRL
Warnung
Ein fehlerhaftes Bearbeiten der Registrierung kann eine schwerwiegende Beschädigung des Systems zur Folge haben. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern.
Die Bearbeitung der Registrierung kann mit dem Registrierungseditor (regedit.exe), der Eingabeaufforderung oder PowerShell durchgeführt werden. Die folgenden Beispiele beschreiben das Aktivieren der NoRevocationCheck-Registrierungseinstellung, und die gleichen Schritte gelten für das Aktivieren oder Deaktivieren verwandter CRL-Einstellungen.
Mit diesen Schritten können Sie NoRevocationCheck auf Ihrem Gerät aktivieren:
- Wählen Sie auf ihrem Desktop Start aus, geben Sie Registrierungseditorein, klicken Sie mit der rechten Maustaste auf Registrierungseditor und wählen Sie dann Als Administrator ausführen aus.
- Navigieren Sie im Registrierungseditor zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- Wählen Sie im oberen Bereich Bearbeiten>Neu>DWORD>, geben Sie NoRevocationCheckein und drücken Sie dann die Eingabetaste.
- Doppelklicken Sie auf Ihren neuen Registrierungseintrag, ändern Sie den Wert zu 1 und wählen Sie dann OK aus.
Um diesen Eintrag zu deaktivieren, ändern Sie den Wert von 1 auf 0.
Um die CRL auf Ihrem NPS-Server manuell zu aktualisieren, führen Sie die folgenden Befehle in der Eingabeaufforderung oder PowerShell aus:
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now