Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma CRL (Lista de Certificados Revogados) é uma lista de certificados digitais que foram revogados pela AC (Autoridade de Certificação) antes da data de validade agendada. Um certificado digital é usado para verificar a identidade de um usuário, computador ou outra entidade em um ambiente de rede.
Se um método de autenticação baseado em certificado, como EAP-TLS ou PEAP-TLS, for usado, o cliente enviará certificados para o Servidor de Políticas de Rede (NPS). Por padrão, o NPS verifica o status de revogação de todos os certificados na cadeia de certificados. Se a verificação de certificados revogados falhar para qualquer um dos certificados na cadeia, a tentativa de conexão será negada. Uma AC publica as informações sobre certificados revogados em uma CRL.
A verificação de certificados revogados pode impedir o acesso do cliente se a CRL de qualquer certificado na cadeia de certificados tiver expirado ou estiver desabilitado. Evite isso projetando sua infraestrutura de chave pública (PKI) para alta disponibilidade de CRLs. Por exemplo, configure vários pontos de distribuição da CRL para cada AC na hierarquia de certificados e configure agendamentos de publicação que garantam que a CRL mais atual esteja sempre disponível. A verificação de certificados revogados é tão precisa quanto a CRL no NPS. As CRLs são publicadas pela AC com base em um agendamento que pode ser configurado e armazenado em cache em um servidor NPS durante o tempo em que forem válidas.
Se um certificado for revogado, a nova CRL, contendo o certificado recentemente revogado, não será publicada automaticamente. Além disso, a CRL no servidor NPS não é atualizada enquanto a CRL armazenada em cache for válida. O certificado revogado ainda pode ser usado para autenticação até que a nova CRL seja publicada pela AC e atualizada no NPS. Para evitar que isso ocorra, o administrador da rede deve publicar manualmente a CRL atualizada e atualizar manualmente a CRL no servidor NPS. Pergunte ao seu administrador de PKI como publicar a nova CRL.
Importante
Ao usar certificados para autenticação de computador ou usuário, certifique-se de que as CRLs sejam publicadas em um local primário e pelo menos um secundário que seja acessível por todos os computadores, especialmente todos os servidores NPS e outros servidores RADIUS. Se os servidores NPS tentarem executar a validação da CRL de certificados de usuário ou computador, mas não conseguirem localizar as CRLs, o servidor NPS rejeitará todas as tentativas de conexão baseadas em certificado e a autenticação falhará.
Falhas na verificação de certificados revogados
A verificação de certificados revogados pode falhar pelos seguintes motivos:
O certificado foi revogado.
O certificado não inclui as informações da CRL.
A CRL do certificado não pode ser acessada ou não está disponível. As CAs mantêm CRLs e as publicam nos pontos de distribuição da CRL (CDP). Os CDPs estão incluídos na propriedade "Pontos de Distribuição da CRL" do certificado. Se os CDPs não puderem ser contatados, a verificação de certificados revogados falhará e a solicitação de acesso será negada. Se não houver CDPs no certificado, a verificação de revogação falhará e a solicitação de acesso será negada.
O editor da CRL não emitiu o certificado. A AC de publicação está incluída na CRL. Se a AC de publicação da CRL não corresponder à AC emissora do certificado que está sendo verificado, a verificação de certificados revogados falhará e a solicitação de acesso será negada.
A CRL não é atual. Uma CRL só é válida por um tempo limitado. Se a CRL expirar, a CRL será considerada inválida e a verificação de certificados revogados falhará, a solicitação de acesso será negada. Novas CRLs devem ser publicadas antes da data de validade da última CRL publicada.
Próximas etapas
O comportamento da verificação de certificados revogados no NPS pode ser modificado com as configurações do Registro. Para obter mais informações sobre como editar essas configurações, confira Configurar a Lista de Certificados Revogados do Servidor de Políticas de Rede para verificar as configurações do Registro.