Partager via


Présentation de la liste de révocation des certificats du serveur de stratégie réseau

Une CRL (Certificate Revocation List) est une liste de certificats numériques qui ont été révoqués par l'AC (Certificate Authority) avant leur date d'expiration prévue. Un certificat numérique est utilisé pour vérifier l'identité d'un utilisateur, d'un ordinateur ou d'une autre entité dans un environnement en réseau.

Si une méthode d'authentification basée sur un certificat, comme EAP-TLS ou PEAP-TLS, est utilisée, le client envoie des certificats au Network Policy Server (NPS). Par défaut, le NPS vérifie l'état de révocation de tous les certificats de la chaîne de certificats. Si la vérification de révocation de certificat échoue pour l'un des certificats de la chaîne, la tentative de connexion est refusée. Une autorité de certification publie les informations sur les certificats révoqués dans une CRL.

La vérification de la révocation des certificats peut empêcher l'accès du client si la liste de révocation de certificats d'un certificat de la chaîne de certificats a expiré ou n'est pas disponible. Évitez cela en concevant votre infrastructure à clé publique (PKI) pour une haute disponibilité des CRL. Par exemple, configurez plusieurs points de distribution de CRL pour chaque autorité de certification dans la hiérarchie des certificats et configurez des planifications de publication qui garantissent que la CRL la plus récente est toujours disponible. La vérification de la révocation des certificats est aussi précise que la CRL sur le NPS. Les CRL sont publiées par l'autorité de certification selon un calendrier qui peut être configuré et mis en cache sur un serveur NPS pendant leur durée de validité.

Si un certificat est révoqué, la nouvelle CRL, contenant le certificat nouvellement révoqué, n'est pas automatiquement publiée. De plus, la CRL sur le serveur NPS n'est pas mise à jour tant que la CRL mise en cache est valide. Le certificat révoqué peut toujours être utilisé pour s'authentifier jusqu'à ce que la nouvelle CRL soit publiée par l'autorité de certification et mise à jour sur le NPS. Pour éviter que cela ne se produise, l'administrateur réseau doit publier manuellement la CRL mise à jour et mettre à jour manuellement la CRL sur le serveur NPS. Demandez à votre administrateur PKI comment publier la nouvelle CRL.

Important

Lorsque vous utilisez des certificats pour l'authentification des ordinateurs ou des utilisateurs, assurez-vous que les CRL sont publiées dans un emplacement principal et au moins un emplacement secondaire accessibles par tous les ordinateurs, en particulier par tous les serveurs NPS et autres serveurs RADIUS. Si les serveurs NPS tentent d'effectuer une validation CRL des certificats d'utilisateur ou d'ordinateur, mais ne parviennent pas à localiser les CRL, le serveur NPS rejette toutes les tentatives de connexion basées sur des certificats et l'authentification échoue.

Échecs de la vérification de la révocation du certificat

La vérification de la révocation d'un certificat peut échouer pour les raisons suivantes :

  • Le certificat a été révoqué.

  • Le certificat n'inclut pas les informations CRL.

  • La CRL du certificat n'est pas accessible ou n'est pas disponible. Les autorités de certification gèrent les CRL et les publient sur les points de distribution des CRL (CDP). Les CDP sont inclus dans la propriété 'CRL Distribution Points' du certificat. Si les CDP ne peuvent pas être contactés, la vérification de révocation du certificat échoue et la requête d'accès est refusée. S'il n'y a aucun CDP dans le certificat, le contrôle de révocation échoue et la requête d'accès est refusée.

  • L'éditeur de la CRL n'a pas délivré le certificat. La liste de révocation de certificats comprend l'autorité de certification de publication. Si l'autorité de certification de publication de la CRL ne correspond pas à l'autorité de certification émettrice du certificat en cours de vérification, la vérification de la révocation du certificat échoue et la requête d'accès est refusée.

  • La CRL n'est pas à jour. Une CRL n’est valable que pour une durée limitée. Si la CRL a expiré, la CRL est considérée comme invalide et la vérification de la révocation du certificat échoue, la requête d'accès est refusée. Les nouvelles CRL doivent être publiées avant la date d’expiration de la dernière CRL publiée.

Étapes suivantes

Le comportement de la vérification de révocation de certificat sur le NPS peut être modifié avec les paramètres du registre. Pour plus d'informations sur la modification de ces paramètres, consultez Configurer les paramètres de registre de vérification de la liste de révocation de certificats du serveur de stratégie réseau.