Definir as configurações do Registro de verificação da Lista de Certificados Revogados do Servidor de Política de Rede

Ao usar um Servidor de Políticas de Rede (NPS) para impor a autenticação baseada em certificado para acesso à rede, é importante configurar as Lista de Certificados Revogados (CRLs) para garantir que apenas certificados válidos sejam aceitos. As CRLs são usadas para verificar se um certificado digital foi revogado pela Autoridade de Certificação (AC) antes da data de validade agendada. Em um NPS, as CRLs podem ser configuradas para serem verificadas durante o processo de autenticação para garantir que apenas certificados válidos sejam usados para acesso à rede. Configurar CRLs do NPS é uma etapa importante na implementação de uma infraestrutura segura de acesso à rede.

Pré-requisitos

A função de Serviços de Política e Acesso de Rede é necessária para configurar seu dispositivo como um servidor NPS. Para obter mais informações, confira Instalar ou desinstalar funções, serviços de função ou recursos.

Noções básicas sobre configurações do Registro da CRL do NPS

As configurações do Registro do NPS podem ser definidas no seguinte caminho de registro e inseridas como uma entrada DWORD com um valor 0 para desabilitado ou 1 para habilitado:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\

As chaves a seguir são definidas como 0 por padrão.

Nome Descrição
IgnoreNoRevocationCheck Quando desabilitada, um cliente EAP-TLS não poderá se conectar, a menos que o servidor conclua uma verificação de revogação da cadeia de certificados (incluindo o certificado raiz) do cliente e verifique se nenhum dos certificados foi revogado.

Quando habilitada, o NPS permite que clientes EAP-TLS se conectem mesmo quando o NPS não executa ou não consegue concluir uma verificação de revogação da cadeia de certificados (excluindo o certificado raiz) do cliente.

Você pode usar essa entrada para autenticar clientes quando o certificado não inclui pontos de distribuição da CRL, como certificados emitidos por CAs que não são da Microsoft.
IgnoreRevocationOffline Quando desabilitada, o NPS não permite que os clientes se conectem, a menos que possa concluir uma verificação de revogação da cadeia de certificados e verificar se nenhum dos certificados foi revogado. Quando o NPS não consegue se conectar a um servidor que armazena uma lista de revogação, o certificado falha na verificação de revogação e a autenticação falha.

Quando habilitada, o NPS permite que os clientes EAP-TLS se conectem mesmo quando um servidor que armazena uma CRL não está disponível na rede e evita falhas na validação do certificado devido a más condições da rede.
NoRevocationCheck Quando desabilitada, a verificação de certificados revogados é habilitada para a CRL do NPS. Quando o cliente apresenta um certificado ao servidor NPS, o servidor verifica se o certificado foi revogado pela AC emissora antes de permitir que o cliente se conecte à rede. Se o certificado tiver sido revogado, o cliente terá acesso negado.

Quando habilitado, o NPS impede que o EAP-TLS execute uma verificação de revogação do certificado do cliente. A verificação de revogação verifica se o certificado do cliente e os certificados em sua cadeia de certificados não foram revogados.
NoRootRevocationCheck Quando desabilitada, esta entrada elimina apenas a verificação de revogação do certificado de AC raiz do cliente. Uma verificação de revogação ainda é executada no restante da cadeia de certificados do cliente.

Quando habilitada, o NPS impede que o EAP-TLS execute uma verificação de revogação do certificado AC raiz do cliente.

Esta entrada autentica clientes quando o certificado não inclui pontos de distribuição da CRL. Além disso, essa entrada pode evitar atrasos relacionados à certificação que ocorrem quando uma lista de certificados revogados estiver offline ou expirada.

Editando as configurações do Registro da CRL do NPS

Aviso

A edição incorreta do Registro pode danificar seriamente o sistema. Antes de alterar o Registro, faça backup de todos os dados importantes do computador.

A edição do Registro pode ser realizada usando o editor de Registro (regedit.exe), o prompt de comando ou o PowerShell. Os exemplos a seguir descrevem a habilitação da configuração do Registro NoRevocationCheck e as mesmas etapas são aplicáveis para habilitar ou desabilitar as configurações de CRL relacionadas.

Essas etapas permitem que você habilite o NoRevocationCheck no seu dispositivo:

  1. Na área de trabalho, selecione Iniciar, digite Editor do Registro, clique com o botão direito no Editor do Registro e selecione Executar como administrador.
  2. Em Editor do Registro, navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
  3. No painel superior, selecione Editar>Novo tipo de>dword>NoRevocationCheck e pressione Enter.
  4. Clique duas vezes na nova entrada do Eegistro, altere o valor para 1 e selecione OK.

Para desabilitar essa entrada, altere o valor de 1 para 0.

Para atualizar manualmente a CRL em seu servidor NPS, execute estes comandos no prompt de comando ou no PowerShell:

certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now