Настройте параметры реестра для проверки списка отзыва сертификатов сервера сетевой политики

При использовании сервера политики сети (NPS) для принудительной проверки подлинности на основе сертификатов для сетевого доступа важно настроить списки отзыва сертификатов (CRLS), чтобы убедиться, что принимаются только допустимые сертификаты. CrLs используются для проверки того, был ли цифровой сертификат отозван центром сертификации (ЦС) до запланированной даты окончания срока действия. В NPS можно настроить проверку CRL во время аутентификации, чтобы убедиться, что для доступа к сети используются только допустимые сертификаты. Настройка NPS CRLs является важным шагом в реализации инфраструктуры безопасного доступа к сети.

Предварительные условия

Роль служб сетевой политики и доступа необходима для настройки вашего устройства в качестве сервера NPS. Дополнительные сведения см. в статье "Установка или удаление ролей", "Службы ролей" или "Компоненты".

Общие сведения о параметрах реестра CRL для NPS

Параметры реестра для NPS можно настроить в следующем пути реестра и ввести в качестве записи DWORD значение 0 для отключенных или 1 для включенных:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\

По умолчанию для следующих ключей задано значение 0 .

Имя	Описание
ИгнорироватьОтсутствиеПроверкиАннулирования	При отключении клиент EAP-TLS не может подключиться, если сервер не завершит проверку отзыва цепочки сертификатов (включая корневой сертификат) клиента и проверяет, что ни один из сертификатов не был отменен. При включении NPS позволяет клиентам EAP-TLS подключаться, даже если NPS не выполняет или не может завершить проверку отзыва цепочки сертификатов (за исключением корневого сертификата) клиента. Эту запись можно использовать для проверки подлинности клиентов в случае, если сертификат не содержит точки распространения CRL, такие как сертификаты, выданные не ЦС Microsoft.
ИгнорироватьОтзывОфлайн	При отключении NPS не разрешает клиентам подключаться, если он не может завершить проверку отзыва цепочки сертификатов и убедиться, что ни один из сертификатов не будет отменен. Если NPS не удается подключиться к серверу, в котором хранится список аннулирования, сертификат не проходит проверку отзыва и проверка подлинности не выполняется. При включении NPS позволяет клиентам EAP-TLS подключаться даже в том случае, если сервер, на котором хранится список отзыва сертификатов, недоступен в сети, тем самым предотвращая сбой проверки сертификата из-за плохих сетевых условий.
ОтсутствиеПроверкиАннулирования	При выключении проверка отзыва сертификатов включена для CRL NPS. Когда клиент представляет сертификат серверу NPS, сервер проверяет, был ли сертификат отозван центром сертификации, прежде чем разрешить клиенту подключаться к сети. Если сертификат был отозван, клиенту отказано в доступе. При включении NPS запрещает EAP-TLS выполнять проверку отзыва сертификата клиента. Проверка отзыва проверяет, что сертификат клиента и сертификаты в его цепочке сертификатов не были отозваны.
Без проверки аннулирования корневого сертификата	При отключении эта запись устраняет только проверку отзыва корневого сертификата ЦС клиента. Проверка отзыва всё ещё выполняется для оставшейся части цепочки сертификатов клиента. При включении NPS запрещает EAP-TLS выполнять проверку отзыва корневого сертификата ЦС клиента. Эта запись проверяет подлинность клиентов, если сертификат не включает точки распространения CRL. Кроме того, эта запись может предотвратить задержки, связанные с сертификацией, возникающие при отключении или истечении срока действия списка отзыва сертификатов.

Изменение параметров реестра CRL для NPS

Предупреждение

Неправильное редактирование реестра может серьезно повредить вашу систему. Перед внесением изменений в реестр рекомендуется создать резервную копию всех важных данных.

Редактирование реестра можно выполнить с помощью редактора реестра (regedit.exe), командной строки или PowerShell. В следующих примерах описывается включение параметра реестра NoRevocationCheck, и те же шаги применимы для включения или отключения связанных параметров CRL.

Редактор реестра

Эти действия позволяют включить NoRevocationCheck на устройстве:

1. На рабочем столе выберите "Пуск", введите редактор реестра, щелкните правой кнопкой мыши редактор реестра и выберите "Запуск от имени администратора".
2. В редакторе реестра перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
3. В верхней области выберите РедактироватьНовыйDWORD тип NoRevocationCheck, а затем нажмите Enter.
4. Дважды щелкните новую запись реестра, измените значение на 1, а затем нажмите кнопку "ОК".

Чтобы отключить эту запись, измените значение от 1 до 0.

Командная строка

Чтобы включить NoRevocationCheck с помощью командной строки (CMD), выполните следующую команду от имени администратора:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" /v "NoRevocationCheck" /t REG_DWORD /d 1 /f

Чтобы отключить NoRevocationCheck с помощью командной строки (CMD), выполните следующую команду от имени администратора:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" /v "NoRevocationCheck" /t REG_DWORD /d 0 /f

PowerShell

Чтобы включить NoRevocationCheck с помощью PowerShell, выполните следующую команду от имени администратора:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" -Name "NoRevocationCheck" -Value 1

Чтобы отключить NoRevocationCheck с помощью PowerShell, выполните следующую команду от имени администратора:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13" -Name "NoRevocationCheck" -Value 0

Чтобы вручную обновить CRL на сервере NPS, выполните следующие команды в командной строке или PowerShell:

certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now