Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo mostra como configurar o servidor RRAS para bloquear clientes VPN que usam um certificado IKEv2 revogado para autenticação depois de instalar qualquer atualização do Windows.
Depois que o servidor RRAS estiver configurado para revogação de certificado, todos os clientes VPN que tentarem usar um certificado IKEv2 revogado para autenticação, como VPNs Always-on de túnel de dispositivo, terão a conexão negada.
Para obter mais informações sobre certificados de autenticação no Windows, confira Certificados e confiança no Windows.
Configurar autenticação de VPN
Confirme que todos os certificados do cliente VPN e do servidor RRAS têm entradas CDP e se o servidor RRAS pode alcançar as respectivas CRLs.
No servidor RRAS, execute o código do PowerShell a seguir para definir o método de autenticação para aceitar certificados raiz com uma Entidade que contenha o nome da autoridade de certificação. Substitua {Sua Autoridade de Certificação Raiz} pelo nome da autoridade de certificação raiz.
$cert1 = ( Get-ChildItem -Path cert:LocalMachine\root | Where-Object -FilterScript { $_.Subject -Like "*CN={Your Root Certification Authority}*" } ) Set-VpnAuthProtocol -RootCertificateNameToAccept $cert1 -PassThru
Configurar o servidor RRAS para impor a revogação de certificado do computador IKEv2
No servidor de RRAS, abra uma janela do Prompt de Comando.
Na janela do prompt de comando, execute o seguinte comando:
reg add HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ikev2 /f /v CertAuthFlags /t REG_DWORD /d "4"Reinicie o serviço Roteamento e Acesso Remoto.
Observação
Para desabilitar a revogação de certificado para essas conexões VPN, defina CertAuthFlags = 2 ou remova o valor de CertAuthFlags e, em seguida, reinicie o serviço Roteamento e Acesso Remoto.
Revogar um certificado de cliente VPN do computador IKEv2
Revogue o certificado de cliente VPN da Autoridade de Certificação.
Publique uma nova CRL da Autoridade de Certificação.
No servidor RRAS, abra uma janela administrativa do Prompt de Comando e execute os comandos a seguir:
certutil -urlcache * delete certutil -setreg chain\ChainCacheResyncFiletime @now
Verifique se a revogação de certificado está funcionando
Observação
Antes de usar esse procedimento, habilite o log de eventos operacionais CAPI2.
Tente conectar à VPN usando um cliente que tenha o certificado revogado. O servidor RRAS deverá recusar a conexão e exibir uma mensagem como "As credenciais de autenticação do IKE são inaceitáveis".
No servidor RRAS, abra o Visualizador de Eventos e navegue até Logs de Aplicativos e Serviços/Microsoft/Windows/CAPI2.
Pesquise um evento que tenha as seguintes informações:
- Nome do log: Microsoft-Windows-CAPI2/Operational Microsoft-Windows-CAPI2/Operational
- ID do evento: 41
- O evento contém o seguinte texto: subject="Client FQDN" (FQDN do cliente representa o nome de domínio totalmente qualificado do cliente que tem o certificado revogado.)
O campo <Resultado> dos dados de evento deverá incluir O certificado é revogado. Por exemplo, confira os seguintes trechos de um evento:
Log Name: Microsoft-Windows-CAPI2/Operational Microsoft-Windows-CAPI2/Operational Source: Microsoft-Windows-CAPI2 Date: 5/20/2019 1:33:24 PM Event ID: 41 ... Event Xml: <Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event"> <UserData> <CertVerifyRevocation> <Certificate fileRef="C97AE73E9823E8179903E81107E089497C77A720.cer" subjectName="client01.corp.contoso.com" /> <IssuerCertificate fileRef="34B1AE2BD868FE4F8BFDCA96E47C87C12BC01E3A.cer" subjectName="Contoso Root Certification Authority" /> ... <Result value="80092010">The certificate is revoked.</Result> </CertVerifyRevocation> </UserData> </Event>