Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una CRL (lista de revocación de certificados) es una lista de certificados digitales revocados por la ENTIDAD de certificación (entidad de certificación) antes de su fecha de expiración programada. Un certificado digital se usa para comprobar la identidad de un usuario, un equipo u otra entidad en un entorno en red.
Si se usa un método de autenticación basado en certificados, como EAP-TLS o PEAP-TLS, el cliente envía certificados al servidor de directivas de red (NPS). De manera predeterminada, NPS comprueba el estado de revocación de todos los certificados de la cadena de certificados. Si se produce un error en la comprobación de revocación de certificados para cualquiera de los certificados de la cadena, se deniega el intento de conexión. Una ENTIDAD de certificación publica la información sobre los certificados revocados en una CRL.
La comprobación de revocación de certificados puede impedir el acceso de cliente si la CRL de cualquier certificado de la cadena de certificados ha expirado o no está disponible. Evite esto mediante el diseño de la infraestructura de clave pública (PKI) para lograr una alta disponibilidad de las CRL. Por ejemplo, configure varios puntos de distribución CRL para cada entidad de certificación en la jerarquía de certificados y configure las programaciones de publicación que garantizan que la CRL más actual esté siempre disponible. La comprobación de revocación de certificados solo es tan precisa como la CRL en el NPS. Las CRL las publica la entidad de certificación en función de una programación que se puede configurar y almacenar en caché en un servidor NPS durante el tiempo que son válidos.
Si se revoca un certificado, la nueva CRL, que contiene el certificado recién revocado, no se publica automáticamente. Además, la CRL del servidor NPS no se actualiza siempre que la CRL almacenada en caché sea válida. El certificado revocado todavía se puede usar para autenticarse hasta que la entidad de certificación publique la nueva CRL y se actualice en NPS. Para evitar que esto ocurra, el administrador de red debe publicar manualmente la CRL actualizada y actualizar manualmente la CRL en el servidor NPS. Pida al administrador de PKI cómo publicar la nueva CRL.
Importante
Al usar certificados para la autenticación de equipos o usuarios, asegúrese de que las CRL se publican en una ubicación principal y al menos una ubicación secundaria a la que puedan acceder todos los equipos, especialmente todos los servidores NPS y otros servidores RADIUS. Si los servidores NPS intentan realizar la validación CRL de certificados de usuario o equipo, pero no encuentran las CRL, el servidor NPS rechaza todos los intentos de conexión basados en certificados y se produce un error en la autenticación.
Errores de comprobación de revocación de certificados
La comprobación de revocación de certificados de un certificado puede producir un error por los siguientes motivos:
Se ha revocado el certificado.
El certificado no incluye la información de CRL.
No se puede acceder a la CRL del certificado o no está disponible. Las CA mantienen las CRL y las publican en puntos de distribución CRL (CDP). Los CDP se incluyen en la propiedad "Puntos de distribución CRL" del certificado. Si no se puede ponerse en contacto con los CDP, se produce un error en la comprobación de revocación de certificados, se deniega la solicitud de acceso. Si no hay CDP en el certificado, se produce un error en la comprobación de revocación y se deniega la solicitud de acceso.
El publicador de la CRL no ha emitido el certificado. Incluido en la CRL es la entidad de certificación de publicación. Si la ENTIDAD de certificación de publicación de la CRL no coincide con la ca emisora del certificado que se está comprobando, se produce un error en la comprobación de revocación de certificados, se deniega la solicitud de acceso.
La CRL no está actualizada. Una CRL solo es válida durante un tiempo limitado. Si la CRL ha expirado, la CRL se considera no válida y se produce un error en la comprobación de revocación de certificados, se deniega la solicitud de acceso. Las nuevas CRL deben publicarse antes de la fecha de expiración de la última CRL publicada.
Pasos siguientes
El comportamiento de la comprobación de revocación de certificados en NPS se puede modificar con la configuración del registro. Para obtener más información sobre cómo editar estas opciones, consulte Configurar la configuración del registro de comprobación de la lista de revocación de certificados del servidor de directivas de red.