Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un CRL (Certificate Revocation List) è un elenco di certificati digitali revocati dalla CA (autorità di certificazione) prima della data di scadenza programmata. Un certificato digitale viene usato per verificare l'identità di un utente, di un computer o di un'altra entità in un ambiente di rete.
Se viene usato un metodo di autenticazione basato su certificati, ad esempio EAP-TLS o PEAP-TLS, il client invia i certificati al server dei criteri di rete . Per impostazione predefinita, NPS controlla lo stato di revoca per tutti i certificati nella catena di certificati. Se il controllo di revoca del certificato non riesce per uno dei certificati nella catena, il tentativo di connessione viene negato. Una CA pubblica le informazioni sui certificati revocati in un CRL.
Il controllo della revoca dei certificati può impedire l'accesso del client se il CRL di qualsiasi certificato nella catena è scaduto o non disponibile. Evitare questo problema progettando l'infrastruttura a chiave pubblica (PKI) per la disponibilità elevata di CRL. Ad esempio, configurare più punti di distribuzione CRL per ogni CA nella gerarchia dei certificati e configurare le pianificazioni di pubblicazione che assicurano che il CRL più recente sia sempre disponibile. Il controllo delle revoche di certificati è accurato solo quanto la Lista di Revoca dei Certificati sul Network Policy Server (NPS). I CRL vengono pubblicati dalla CA in base a una pianificazione che può essere configurata e memorizzata nella cache in un NPS per il momento in cui sono validi.
Se un certificato viene revocato, il nuovo CRL, contenente il certificato appena revocato, non viene pubblicato automaticamente. Inoltre, il CRL nel server NPS non viene aggiornato finché il CRL memorizzato nella cache è valido. Il certificato revocato può comunque essere usato per l'autenticazione fino a quando il nuovo CRL non viene pubblicato dalla CA e aggiornato nel server NPS. Per evitare che ciò si verifichi, l'amministratore di rete deve pubblicare manualmente il CRL aggiornato e aggiornare manualmente il CRL nel server NPS. Chiedere all'amministratore PKI di come pubblicare il nuovo CRL.
Importante
Quando si usano certificati per l'autenticazione del computer o dell'utente, assicurarsi che i CRL vengano pubblicati in un percorso primario e almeno un percorso secondario accessibile da tutti i computer, in particolare tutti i server NPS e altri server RADIUS. Se i server NPS tentano di eseguire la convalida CRL di certificati utente o computer, ma non riescono a individuare i CRL, il server NPS rifiuta tutti i tentativi di connessione basati su certificati e l'autenticazione non riesce.
Fallimenti del controllo della revoca dei certificati
Il controllo di revoca dei certificati per un certificato può non riuscire per i motivi seguenti:
Il certificato è stato revocato.
Il certificato non include le informazioni CRL.
Il CRL per il certificato non può essere raggiunto o non è disponibile. Le CA mantengono i CRL e li pubblicano nei punti di distribuzione CRL (CDP). I CDP sono inclusi nella proprietà "Punti di distribuzione CRL" del certificato. Se non è possibile contattare i CDP, il controllo della revoca del certificato fallisce e la richiesta di accesso viene negata. Se non sono presenti CDP nel certificato, il controllo di revoca ha esito negativo e la richiesta di accesso viene negata.
L'emittente del CRL non ha rilasciato il certificato. Nella CRL è inclusa la CA di pubblicazione. Se la CA di pubblicazione del CRL non corrisponde alla CA emittente per il certificato da controllare, il controllo di revoca del certificato ha esito negativo, la richiesta di accesso viene negata.
Il CRL non è aggiornato. Un CRL è valido solo per un periodo di tempo limitato. Se il CRL è scaduto, viene considerato non valido e il controllo di revoca del certificato ha esito negativo, la richiesta di accesso viene negata. I nuovi CRL devono essere pubblicati prima della data di scadenza dell'ultimo CRL pubblicato.
Passaggi successivi
Il comportamento del controllo di revoca dei certificati nel server NPS può essere modificato con le impostazioni del registro. Per maggiori informazioni sulla modifica di queste impostazioni, consultare la sezione Configurare le impostazioni di registro per controllare l'elenco di revoche di certificati del server dei criteri di rete.