证书吊销列表 (CRL) 是证书颁发机构 (CA) 在计划到期日期之前吊销的数字证书的列表。 数字证书用于验证网络环境中的用户、计算机或其他实体的标识。
如果使用基于证书的身份验证方法(例如 EAP-TLS 或 PEAP-TLS),客户端会将证书发送到网络策略服务器 (NPS)。 默认情况下,NPS 会检查证书链中所有证书的吊销状态。 如果链中任何一种证书的证书吊销检查失败,连接尝试会被拒绝。 CA 在 CRL 中发布已吊销的证书的相关信息。
如果证书链中任何证书的 CRL 已过期或不可用,则证书吊销检查可能会阻止客户端访问。 要避免这种情况,可通过设计公钥基础结构 (PKI) 来实现 CRL 的高可用性。 例如,为证书层次结构中的每个 CA 配置多个 CRL 分发点,并配置发布计划来确保最新 CRL 始终可用。 证书吊销检查仅与 NPS 上的 CRL 具有相同的准确性。 CRL 由 CA 根据计划发布,可在有效期内配置和缓存在 NPS 服务器上。
如果证书被吊销,则不会自动发布新的包含新吊销证书的 CRL。 此外,只要缓存的 CRL 有效,NPS 服务器上的 CRL 就不会更新。 在 CA 发布新的 CRL 并在 NPS 上更新之前,仍可使用已吊销的证书进行身份验证。 为了防止发生这种情况,网络管理员必须手动发布已更新的 CRL,并在 NPS 服务器上手动更新 CRL。 询问 PKI 管理员如何发布新的 CRL。
重要
使用证书进行计算机或用户身份验证时,确保在所有计算机(尤其是所有 NPS 和其他 RADIUS 服务器)都可访问的主要位置和至少一个次要位置中发布 CRL。 如果 NPS 服务器尝试对用户或计算机证书执行 CRL 验证,但无法找到 CRL,则 NPS 服务器拒绝所有基于证书的连接尝试,且身份验证失败。
证书吊销检查失败
证书的证书吊销检查可能会由于以下原因而失败:
证书已吊销。
证书不包含 CRL 信息。
证书的 CRL 无法访问或不可用。 CA 维护 CRL 并将它们发布到 CRL 分发点 (CDP)。 证书的 CRL 分发点属性中包含了 CDP。 如果无法联系 CDP,则证书吊销检查失败,访问请求会被拒绝。 如果证书中没有 CDP,则证书吊销检查失败,访问请求会被拒绝。
CRL 的发布者没有颁发证书。 CRL 中包含发布 CA。 如果 CRL 的发布 CA 与要检查的证书的发证 CA 不匹配,则证书吊销检查失败,访问请求会被拒绝。
CRL 不是最新的。 CRL 仅在有限的时间内有效。 如果 CRL 已过期,则 CRL 会被视为无效,证书吊销检查失败,并且访问请求会被拒绝。 在上一次发布的 CRL 的到期日期之前,必须发布新的 CRL。
后续步骤
可使用注册表设置修改 NPS 上证书吊销检查的行为。 若要详细了解如何编辑这些设置,请参阅配置网络策略服务器证书吊销列表检查注册表设置。