ネットワーク ポリシー サーバー証明書失効リストの概要

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

CRL (証明書失効リスト) とは、CA (証明機関) がスケジュールした有効期限前に失効されたデジタル証明書のリストです。 デジタル証明書は、ネットワーク環境におけるユーザー、コンピューター、またはその他のエンティティの ID を確認するために使用されます。

EAP-TLS や PEAP-TLS などの証明書ベースの認証方法が使用されている場合、クライアントはネットワーク ポリシー サーバー (NPS) に証明書を送信します。 既定では、NPS は証明書チェーン内のすべての証明書の失効状態をチェックします。 チェーン内の証明書のいずれかで証明書失効チェックが失敗した場合、接続の試みは拒否されます。 CA は、CRL で失効した証明書に関する情報を発行します。

証明書失効チェックは、証明書チェーン内の証明書の CRL の有効期限が切れているか、使用できない場合に、クライアント アクセスを妨げる可能性があります。 CRL の高可用性のために公開キー基盤 (PKI) を設計することで、この問題を回避します。 たとえば、証明書の階層内の各 CA に対して複数の CRL 配布ポイントを構成し、最新の CRL が常に利用可能な状態になるように発行スケジュールを構成します。 証明書失効確認の精度は、NPS 上の CRL と同等です。 CRL は、有効な期間、NPS サーバーで構成およびキャッシュできるスケジュールに基づいて CA によって発行されます。

証明書が失効した場合、新たに失効した証明書を含む新しい CRL は自動的に発行されません。 また、キャッシュされた CRL が有効である限り、NPS サーバー上の CRL は更新されません。 失効した証明書は、CA によって新しい CRL が発行され、NPS で更新されるまで、認証に引き続き使用できます。 この問題を回避するには、ネットワーク管理者が更新された CRL を手動で発行し、NPS サーバーで CRL を手動で更新する必要があります。 新しい CRL を発行する方法については、PKI 管理者にお問い合わせください。

重要

コンピューターまたはユーザー認証に証明書を使う場合、CRL をプライマリ ロケーションの他に少なくとも 1 つのセカンダリ ロケーションに発行し、すべてのコンピューター、特にすべての NPS および他の RADIUS サーバーからアクセスできるようにする必要があります。 NPS サーバーがユーザーまたはコンピューターの証明書の CRL 検証を行う際に CRL の場所を特定できないと、NPS サーバーは証明書ベースの接続試行をすべて拒否し認証に失敗します。

証明書失効チェックの失敗

証明書失効の確認は次の理由で失敗することがあります。

• 証明書が失効している。

• 証明書に CRL 情報が含まれていない。

• 証明書の CRL にアクセスできないか利用できない。 CA が CRL を維持し、CRL の配布ポイント (CDP) に発行している。 CRL が証明書の CRL 配布ポイント プロパティに含まれている。 CDP に連絡できない場合、証明書失効の確認に失敗し、アクセス要求は拒否されます。 証明書に CDP がない場合、失効の確認に失敗し、アクセス要求は拒否されます。

• CRL の発行元で証明書を発行しなかった。 発行元 CA は CRL に含まれています。 CRL の発行 CA が、確認している証明書の発行元 CA と一致しない場合、証明書失効の確認に失敗し、アクセス要求は拒否されます。

• CRL が最新ではない。 CRL は限られた期間のみ有効です。 CRL の有効期限が切れている場合、CRL は無効と見なされ、証明書失効の確認に失敗し、アクセス要求は拒否されます。 新しい CRL は、最後に発行された CRL の有効期限が切れる前に発行される必要があります。

次のステップ

NPS での証明書失効チェックの動作は、レジストリ設定で変更できます。 これらの設定の編集に関する詳細については、「ネットワーク ポリシー サーバー証明書失効リストのチェック レジストリ設定の構成」を参照してください。