Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine CRL (Zertifikatsperrliste) ist eine Liste digitaler Zertifikate, die von der Zertifizierungsstelle vor dem geplanten Ablaufdatum widerrufen wurden. Ein digitales Zertifikat wird verwendet, um die Identität eines Benutzers, Computers oder einer anderen Entität in einer netzwerkbasierten Umgebung zu überprüfen.
Wenn eine zertifikatbasierte Authentifizierungsmethode wie EAP-TLS oder PEAP-TLS verwendet wird, sendet der Client Zertifikate an den Netzwerkrichtlinienserver (Network Policy Server, NPS). Standardmäßig überprüft der NPS den Sperrstatus für alle Zertifikate in der Zertifikatkette. Wenn die Zertifikatsperrüberprüfung für irgendeines der Zertifikate in der Kette fehlschlägt, wird der Verbindungsversuch verweigert. Eine Zertifizierungsstelle veröffentlicht die Informationen zu widerrufenen Zertifikaten in einer CRL.
Die Zertifikatsperrüberprüfung kann den Clientzugriff verhindern, wenn die Zertifikatsperrliste für ein beliebiges Zertifikat in der Zertifikatkette abgelaufen ist oder nicht verfügbar ist. Vermeiden Sie dies, indem Sie Ihre Public Key-Infrastruktur (PKI) für eine hohe Verfügbarkeit von CRLs entwerfen. Konfigurieren Sie beispielsweise mehrere CRL-Verteilungspunkte für jede Zertifizierungsstelle in der Zertifikathierarchie, und konfigurieren Sie Publikationszeitpläne, die sicherstellen, dass die aktuellste CRL immer verfügbar ist. Die Zertifikatsperrüberprüfung ist nur so genau wie die CRL auf dem NPS. CRLs werden von der Zertifizierungsstelle basierend auf einem Zeitplan veröffentlicht, der für den Zeitpunkt, zu dem sie gültig sind, auf einem NPS-Server konfiguriert und zwischengespeichert werden kann.
Wenn ein Zertifikat widerrufen wird, wird die neue CRL, die das neu widerrufene Zertifikat enthält, nicht automatisch veröffentlicht. Außerdem wird die CRL auf dem NPS-Server nicht aktualisiert, solange die zwischengespeicherte CRL gültig ist. Das widerrufene Zertifikat kann weiterhin verwendet werden, um sich zu authentifizieren, bis die neue CRL von der Zertifizierungsstelle veröffentlicht und auf dem NPS aktualisiert wird. Um dies zu verhindern, muss der Netzwerkadministrator die aktualisierte CRL manuell veröffentlichen und die CRL auf dem NPS-Server manuell aktualisieren. Bitten Sie Ihren PKI-Administrator, die neue CRL zu veröffentlichen.
Wichtig
Stellen Sie bei Verwendung von Zertifikaten für die Computer- oder Benutzerauthentifizierung sicher, dass die CRLs in einem primären und mindestens einem sekundären Speicherort veröffentlicht werden, auf den alle Computer zugreifen können, insbesondere alle NPS und andere RADIUS-Server. Wenn die NPS-Server versuchen, die CRL-Überprüfung von Benutzer- oder Computerzertifikaten durchzuführen, aber die CRLs nicht finden können, lehnt der NPS-Server alle zertifikatbasierten Verbindungsversuche ab, und die Authentifizierung schlägt fehl.
Fehler bei der Zertifikatsperrüberprüfung
Die Zertifikatsperrüberprüfung für ein Zertifikat kann aus den folgenden Gründen fehlschlagen:
Das Zertifikat wurde widerrufen.
Das Zertifikat enthält nicht die CRL-Informationen.
Die CRL für das Zertifikat kann nicht erreicht werden oder ist nicht verfügbar. CAs verwalten CRLs und veröffentlichen sie in CRL-Verteilungspunkten (CDP). Die CDPs sind in der Eigenschaft "CRL Distribution Points" des Zertifikats enthalten. Wenn die CDPs nicht kontaktiert werden können, schlägt die Zertifikatsperrüberprüfung fehl, wird die Zugriffsanforderung verweigert. Wenn keine CDPs im Zertifikat vorhanden sind, schlägt die Sperrüberprüfung fehl, und die Zugriffsanforderung wird verweigert.
Der Herausgeber der CRL hat das Zertifikat nicht ausstellt. In der CRL enthalten ist die Veröffentlichungszertifizierungsstelle. Wenn die Veröffentlichungszertifizierungsstelle der CRL nicht mit der ausstellenden Zertifizierungsstelle für das geprüfte Zertifikat übereinstimmt, schlägt die Zertifikatsperrüberprüfung fehl, die Zugriffsanforderung wird verweigert.
Die CRL ist nicht aktuell. Eine CRL ist nur für einen begrenzten Zeitraum gültig. Wenn die CRL abgelaufen ist, gilt die CRL als ungültig, und die Zertifikatsperrüberprüfung schlägt fehl, die Zugriffsanforderung wird verweigert. Neue CRLs müssen vor dem Ablaufdatum der letzten veröffentlichten CRL veröffentlicht werden.
Nächste Schritte
Das Verhalten der Zertifikatsperrüberprüfung auf dem NPS kann mit Registrierungseinstellungen geändert werden. Weitere Informationen zum Bearbeiten dieser Einstellungen finden Sie unter Konfigurieren der Registrierungseinstellungen für die Zertifikatsperrliste für Netzwerkrichtlinienserver.