Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si usa un server dei criteri di rete (NPS) per applicare l'autenticazione basata su certificati per l'accesso alla rete, è importante configurare elenchi di revoche di certificati (CRL) per assicurarsi che vengano accettati solo i certificati validi. I CRL vengono usati per verificare se un certificato digitale è stato revocato dall'autorità di certificazione (CA) prima della data di scadenza pianificata. In un NPS, i CRL possono essere configurati per essere controllati durante il processo di autenticazione per garantire che vengano usati solo certificati validi per l'accesso alla rete. La configurazione di CRL di NPS è un passaggio importante nell'implementazione di un'infrastruttura di accesso alla rete sicura.
Prerequisites
Il ruolo Servizi di accesso e criteri di rete è necessario per configurare il dispositivo come server NPS. Per altre informazioni, vedere Installare o disinstallare ruoli, servizi ruolo o funzionalità.
Informazioni sulle impostazioni del registro CRL NPS
Le impostazioni del Registro di sistema per il server dei criteri di rete possono essere configurate nel percorso del Registro di sistema seguente e vengono immesse come voce DWORD con un valore pari a 0 per disabilitato o 1 per abilitato:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
Per impostazione predefinita, le chiavi seguenti sono impostate su 0 .
| Name | Description |
|---|---|
| IgnoreNoRevocationCheck | Se disabilitato, un client EAP-TLS non può connettersi a meno che il server non completi un controllo di revoca della catena di certificati (incluso il certificato radice) del client e non verifichi che nessuno dei certificati sia stato revocato. Se abilitata, il server dei criteri di rete consente ai client EAP-TLS di connettersi anche quando server dei criteri di rete non esegue o non riesce a completare un controllo di revoca della catena di certificati (escluso il certificato radice) del client. È possibile usare questa voce per autenticare i client quando il certificato non include punti di distribuzione CRL, ad esempio certificati rilasciati da ca non Microsoft. |
| IgnoreRevocationOffline | Se disabilitato, il server dei criteri di rete non consente ai client di connettersi a meno che non possa completare un controllo di revoca della catena di certificati e verificare che nessuno dei certificati venga revocato. Quando NPS non riesce a connettersi a un server in cui è archiviato un elenco di revoche, il certificato non riesce a controllare la revoca e l'autenticazione non riesce. Se abilitato, il server dei criteri di rete consente ai client di EAP-TLS di connettersi anche quando un server che archivia un CRL non è disponibile nella rete e impedisce l'errore di convalida dei certificati a causa di condizioni di rete non ottimali. |
| NoRevocationCheck | Se disabilitato, il controllo delle revoche di certificati è abilitato per il CRL nps. Quando il client presenta un certificato a NPS, il server verifica se il certificato è stato revocato dalla CA emittente prima di consentire al client di connettersi alla rete. Se il certificato è stato revocato, il client viene negato l'accesso. Se abilitato, il server dei criteri di rete impedisce EAP-TLS di eseguire un controllo di revoca del certificato del client. Il controllo di revoca verifica che il certificato del client e i certificati nella catena di certificati non siano stati revocati. |
| NoRootRevocationCheck | Se disabilitata, questa voce elimina solo il controllo di revoca del certificato CA radice del client. Un controllo di revoca viene comunque eseguito nel resto della catena di certificati del client. Se abilitato, il server dei criteri di rete impedisce EAP-TLS di eseguire un controllo di revoca del certificato CA radice del client. Questa voce autentica i client quando il certificato non include i punti di distribuzione CRL. Questa voce può inoltre impedire ritardi correlati alla certificazione che si verificano quando un elenco di revoche di certificati è offline o scaduto. |
Modifica delle impostazioni del registro CRL NPS
Warning
È possibile che eventuali modifiche non corrette del Registro di sistema danneggino gravemente il sistema. Prima di apportare modifiche al Registro di sistema, si consiglia di effettuare il backup di tutti i dati importanti presenti sul computer.
La modifica del Registro di sistema può essere eseguita usando l'editor del registro (regedit.exe), il prompt dei comandi o PowerShell. Gli esempi seguenti descrivono l'abilitazione dell'impostazione del Registro di sistema NoRevocationCheck e gli stessi passaggi sono applicabili per abilitare o disabilitare le impostazioni CRL correlate.
Questi passaggi consentono di abilitare NoRevocationCheck nel dispositivo:
- Sul desktop selezionare Start, digitare Editor del Registro di sistema, fare clic con il pulsante destro del mouse su Editor del Registro di sistema e selezionare Esegui come amministratore.
- Nell'editor del Registro di sistema passare a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- Nel riquadro superiore selezionare Modifica>nuovo> tipoDWORD>NoRevocationCheck, quindi premere INVIO.
- Fare doppio clic sulla nuova voce del Registro di sistema, impostare il valore su 1 e quindi selezionare OK.
Per disabilitare questa voce, modificare il valore da 1 a 0.
Per aggiornare manualmente la CRL sul server NPS, eseguire questi comandi nel prompt dei comandi o in PowerShell:
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now