Mengonfigurasi pengaturan registri pemeriksaan Daftar Pencabutan Sertifikat Server Kebijakan Jaringan

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Saat menggunakan Server Kebijakan Jaringan (NPS) untuk menerapkan autentikasi berbasis sertifikat untuk akses jaringan, penting untuk mengonfigurasi Daftar Pencabutan Sertifikat (CRL) untuk memastikan bahwa hanya sertifikat yang valid yang diterima. CRL digunakan untuk memeriksa apakah sertifikat digital telah dicabut oleh Otoritas Sertifikat (CA) sebelum tanggal kedaluwarsa yang dijadwalkan. Dalam NPS, CRL dapat dikonfigurasi untuk diperiksa selama proses autentikasi untuk memastikan bahwa hanya sertifikat yang valid yang digunakan untuk akses jaringan. Mengonfigurasi CRL NPS adalah langkah penting dalam menerapkan infrastruktur akses jaringan yang aman.

Prasyarat

Kebijakan Jaringan dan peran Layanan Access diperlukan untuk menyiapkan perangkat Anda sebagai server NPS. Untuk mempelajari selengkapnya, lihat Menginstal atau Menghapus Instalan Peran, Layanan Peran, atau Fitur.

Memahami pengaturan registri CRL NPS

Pengaturan registri untuk NPS dapat dikonfigurasi di jalur registri berikut dan dimasukkan sebagai entri DWORD dengan nilai 0 untuk dinonaktifkan, atau 1 untuk diaktifkan:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\

Kunci berikut diatur ke 0 secara default.

Nama	Deskripsi
IgnoreNoRevocationCheck	Ketika dinonaktifkan, klien EAP-TLS tidak dapat tersambung kecuali server menyelesaikan pemeriksaan pencabutan rantai sertifikat (termasuk sertifikat akar) klien dan memverifikasi bahwa tidak ada sertifikat yang telah dicabut. Ketika diaktifkan, NPS memungkinkan klien EAP-TLS untuk terhubung bahkan ketika NPS tidak melakukan atau tidak dapat menyelesaikan pemeriksaan pencabutan rantai sertifikat (tidak termasuk sertifikat akar) klien. Anda dapat menggunakan entri ini untuk mengautentikasi klien saat sertifikat tidak menyertakan titik distribusi CRL, seperti sertifikat yang dikeluarkan oleh CA non-Microsoft.
IgnoreRevocationOffline	Ketika dinonaktifkan, NPS tidak mengizinkan klien untuk terhubung kecuali dapat menyelesaikan pemeriksaan pencabutan rantai sertifikat mereka dan memverifikasi bahwa tidak ada sertifikat yang dicabut. Ketika NPS tidak dapat tersambung ke server yang menyimpan daftar pencabutan, sertifikat gagal pemeriksaan pencabutan dan autentikasi gagal. Ketika diaktifkan, NPS memungkinkan klien EAP-TLS untuk terhubung bahkan ketika server yang menyimpan CRL tidak tersedia di jaringan dan mencegah kegagalan validasi sertifikat karena kondisi jaringan yang buruk.
NoRevocationCheck	Saat dinonaktifkan, pemeriksaan pencabutan sertifikat diaktifkan untuk NPS CRL. Ketika klien menyajikan sertifikat ke server NPS, server memeriksa untuk melihat apakah sertifikat telah dicabut oleh CA penerbit sebelum memungkinkan klien untuk terhubung ke jaringan. Jika sertifikat telah dicabut, klien akan ditolak aksesnya. Saat diaktifkan, NPS mencegah EAP-TLS melakukan pemeriksaan pencabutan sertifikat klien. Pemeriksaan pencabutan memverifikasi bahwa sertifikat klien dan sertifikat dalam rantai sertifikatnya belum dicabut.
NoRootRevocationCheck	Ketika dinonaktifkan, entri ini hanya menghilangkan pemeriksaan pencabutan sertifikat OS akar klien. Pemeriksaan pencabutan masih dilakukan pada sisa rantai sertifikat klien. Saat diaktifkan, NPS mencegah EAP-TLS melakukan pemeriksaan pencabutan sertifikat CA akar klien. Entri ini mengautentikasi klien ketika sertifikat tidak menyertakan titik distribusi CRL. Selain itu, entri ini dapat mencegah penundaan terkait sertifikasi yang terjadi ketika daftar pencabutan sertifikat offline atau kedaluwarsa.

Mengedit pengaturan registri CRL NPS

Peringatan

Salah mengedit registri bisa sangat merusak sistem Anda. Sebelum membuat perubahan pada registri, Anda harus mencadangkan semua data berharga pada komputer.

Mengedit registri dapat dilakukan menggunakan editor registri (regedit.exe), prompt perintah, atau PowerShell. Contoh berikut menjelaskan cara mengaktifkan pengaturan registri NoRevocationCheck dan langkah yang sama berlaku untuk mengaktifkan atau menonaktifkan pengaturan CRL terkait.

Editor Registri

Langkah-langkah ini memungkinkan Anda mengaktifkan NoRevocationCheck di perangkat Anda:

1. Di desktop Anda, pilih Mulai, ketik Editor Registri, klik kanan EditorRegistri dan pilih Jalankan sebagai administrator.
2. Di Editor Registri, navigasikan ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
3. Di panel atas, pilih Edit>Jenis DWORD> Baru>NoRevocationCheck, lalu tekan Enter.
4. Klik dua kali pada entri registri baru Anda, ubah nilai menjadi 1, lalu pilih OK.

Untuk menonaktifkan entri ini, ubah nilai dari 1 menjadi 0.

Prompt Perintah

Untuk mengaktifkan NoRevocationCheck menggunakan prompt perintah (CMD), jalankan yang berikut ini sebagai admin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" /v "NoRevocationCheck" /t REG_DWORD /d 1 /f

Untuk menonaktifkan NoRevocationCheck menggunakan prompt perintah (CMD), jalankan yang berikut ini sebagai admin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" /v "NoRevocationCheck" /t REG_DWORD /d 0 /f

PowerShell

Untuk mengaktifkan NoRevocationCheck menggunakan PowerShell, jalankan yang berikut ini sebagai admin:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" -Name "NoRevocationCheck" -Value 1

Untuk menonaktifkan NoRevocationCheck menggunakan PowerShell, jalankan hal berikut sebagai admin:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" -Name "NoRevocationCheck" -Value 0

Untuk memperbarui CRL secara manual di server NPS Anda, jalankan perintah ini di prompt perintah atau PowerShell:

certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now