Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque vous utilisez un serveur de stratégie réseau (NPS) pour appliquer l’authentification basée sur les certificats pour l’accès au réseau, il est important de configurer des listes de révocation de certificats pour garantir que seuls les certificats valides sont acceptés. Les listes de révocation de certificats sont utilisées pour vérifier si un certificat numérique a été révoqué par l’autorité de certification avant sa date d’expiration prévue. Dans un NPS, les listes de révocation de certificats peuvent être configurées pour être vérifiées pendant le processus d’authentification afin de garantir que seuls des certificats valides sont utilisés pour l’accès au réseau. La configuration des listes de révocation de certificats du NPS est une étape clé dans la mise en œuvre d’une infrastructure d’accès réseau sécurisée.
Prerequisites
Le rôle Services de stratégie et d’accès réseau est requis pour configurer votre appareil en tant que serveur NPS. Pour en savoir plus, consultez Installer ou désinstaller des rôles, services de rôle ou fonctionnalités.
Comprendre les paramètres du registre de la liste de révocation de certificats du NPS
Les paramètres de Registre pour le serveur NPS peuvent être configurés dans le chemin d’accès du Registre suivant et sont entrés en tant qu’entrée DWORD avec la valeur 0 pour désactivé, ou 1 pour activé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
Les clés suivantes sont définies sur 0 par défaut.
| Name | Description |
|---|---|
| IgnoreNoRevocationCheck | Lorsqu’il est désactivé, un client EAP-TLS ne peut pas se connecter, sauf si le serveur effectue une vérification de révocation de la chaîne de certificats (y compris le certificat racine) du client et vérifie qu’aucun des certificats n’a été révoqué. Lorsqu’il est activé, le serveur NPS permet à EAP-TLS clients de se connecter même quand NPS n’effectue pas ou ne peut pas effectuer de vérification de révocation de la chaîne de certificats (à l’exclusion du certificat racine) du client. Vous pouvez utiliser cette entrée pour authentifier les clients lorsque le certificat n’inclut pas de points de distribution de liste de révocation de certificats, tels que les certificats émis par des autorités de certification autres que Microsoft. |
| IgnoreRevocationOffline | En cas de désactivation, le serveur NPS n’autorise pas les clients à se connecter, sauf s’il peut effectuer une vérification de révocation de leur chaîne de certificats et vérifier qu’aucun des certificats n’est révoqué. Lorsque le NPS ne parvient pas à se connecter à un serveur qui stocke une liste de révocation, le certificat ne passe pas le contrôle de révocation et l’authentification échoue. Lorsqu’il est activé, le serveur NPS permet à EAP-TLS clients de se connecter même lorsqu’un serveur qui stocke une liste de révocation de certificats n’est pas disponible sur le réseau et empêche l’échec de validation de certificat en raison de conditions réseau médiocres. |
| NoRevocationCheck | Lorsque désactivé, la vérification de la révocation de certificats est activée pour la liste de révocation de certificats NPS. Lorsque le client présente un certificat au serveur NPS, le serveur vérifie si le certificat a été révoqué par l’autorité de certification émettrice avant d’autoriser le client à se connecter au réseau. Si le certificat a été révoqué, l’accès est refusé au client. Lorsqu’il est activé, le serveur NPS empêche EAP-TLS d’effectuer une vérification de révocation du certificat du client. Le contrôle de révocation vérifie que le certificat du client et les certificats de sa chaîne de certificats n’ont pas été révoqués. |
| NoRootRevocationCheck |
Lorsqu’elle est désactivée, cette entrée élimine uniquement la vérification de révocation du certificat d’autorité de certification racine du client. Un contrôle de révocation est toujours effectué sur le reste de la chaîne de certificats du client. Lorsqu’il est activé, le serveur NPS empêche EAP-TLS d’effectuer une vérification de révocation du certificat d’autorité de certification racine du client. Cette entrée authentifie les clients lorsque le certificat n’inclut pas de points de distribution de liste de révocation de certificats. En outre, cette entrée peut éviter les retards liés à la certification, qui se produisent lorsqu’une liste de révocation de certificats est hors ligne ou a expiré. |
Modification des paramètres du registre de la liste de révocation de certificats du NPS
Warning
Une modification incorrecte du Registre peut sérieusement endommager votre système. Avant toute modification du registre, il est conseillé de sauvegarder toutes les données importantes de votre ordinateur.
La modification du registre peut être effectuée à l’aide de l’éditeur de registre (regedit.exe), de l’invite de commande ou de PowerShell. Les exemples suivants décrivent l’activation du paramètre de Registre NoRevocationCheck et les mêmes étapes s’appliquent à l’activation ou à la désactivation des paramètres de liste de révocation de certificats associés.
Ces étapes vous permettent d’activer NoRevocationCheck sur votre appareil :
- Sur votre bureau, sélectionnez Démarrer, tapez l’Éditeur du Registre, cliquez avec le bouton droit sur l’Éditeur du Registre , puis sélectionnez Exécuter en tant qu’administrateur.
- Dans l’Éditeur du Registre, accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- Dans le volet supérieur, sélectionnez Modifier>le> nouveau typeDWORD>NoRevocationCheck, puis appuyez sur Entrée.
- Double-cliquez sur votre nouvelle entrée de Registre, remplacez la valeur par 1, puis sélectionnez OK.
Pour désactiver cette entrée, remplacez la valeur de 1 à 0.
Pour mettre à jour manuellement la liste de révocation de certificats sur votre serveur NPS, exécutez ces commandes dans l’invite de commande ou PowerShell :
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now