Configurer la liste de révocation de certificats du serveur de stratégie réseau vérifier les paramètres de registre
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Lorsque vous utilisez un serveur de stratégie réseau (NPS) pour appliquer l'authentification basée sur les certificats pour l'accès au réseau, il est important de configurer des listes de révocation de certificats (CRL) pour garantir que seuls les certificats valides sont acceptés. Les CRL sont utilisées pour vérifier si un certificat numérique a été révoqué par l'autorité de certification (CA) avant sa date d'expiration prévue. Dans un NPS, les CRL peuvent être configurées pour être vérifiées pendant le processus d'authentification afin de garantir que seuls des certificats valides sont utilisés pour l'accès au réseau. La configuration des CRL NPS est une étape importante dans la mise en œuvre d'une infrastructure d'accès réseau sécurisée.
Prérequis
Le rôle Stratégie de réseau et services d'accès est requis pour configurer votre appareil en tant que serveur NPS. Pour en savoir plus, consultez Installer ou désinstaller des rôles, services de rôle ou fonctionnalités.
Comprendre les paramètres du registre NPS CRL
Les paramètres de registre pour le NPS peuvent être configurés dans le chemin de registre suivant et sont saisis sous forme d'entrée DWORD avec une valeur de 0 pour désactivé ou 1 pour activé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\
Les clés suivantes sont définies sur 0 par défaut.
Nom | Description |
---|---|
IgnoreNoRevocationCheck | Lorsqu'il est désactivé, un client EAP-TLS ne peut pas se connecter à moins que le serveur n'effectue une vérification de révocation de la chaîne de certificats (y compris le certificat racine) du client et ne vérifie qu'aucun des certificats n'a été révoqué. Lorsqu'il est activé, le NPS permet aux clients EAP-TLS de se connecter même lorsque NPS n'effectue pas ou ne peut pas effectuer une vérification de révocation de la chaîne de certificats (à l'exclusion du certificat racine) du client. Vous pouvez utiliser cette entrée pour authentifier les clients lorsque le certificat n'inclut pas de points de distribution CRL, tels que les certificats émis par des autorités de certification non Microsoft. |
IgnoreRevocationOffline | Lorsqu'il est désactivé, le NPS n'autorise pas les clients à se connecter à moins qu'il ne puisse effectuer une vérification de révocation de leur chaîne de certificats et vérifier qu'aucun des certificats n'est révoqué. Lorsque le NPS ne parvient pas à se connecter à un serveur qui stocke une liste de révocation, le certificat échoue au contrôle de révocation et l'authentification échoue. Lorsqu'il est activé, le NPS permet aux clients EAP-TLS de se connecter même lorsqu'un serveur qui stocke une CRL n'est pas disponible sur le réseau et empêche l'échec de la validation du certificat en raison de mauvaises conditions du réseau. |
NoRevocationCheck | Lorsqu'elle est désactivée, la vérification de la révocation des certificats est activée pour la CRL NPS. Lorsque le client présente un certificat au serveur NPS, le serveur vérifie si le certificat a été révoqué par l'autorité de certification émettrice avant d'autoriser le client à se connecter au réseau. Si le certificat a été révoqué, l'accès est refusé au client. Lorsqu'il est activé, le NPS empêche EAP-TLS d'effectuer une vérification de révocation du certificat du client. Le contrôle de révocation vérifie que le certificat du client et les certificats de sa chaîne de certificats n'ont pas été révoqués. |
NoRootRevocationCheck | Lorsqu'elle est désactivée, cette entrée élimine uniquement le contrôle de révocation du certificat CA racine du client. Un contrôle de révocation est toujours effectué sur le reste de la chaîne de certificat du client. Lorsqu'il est activé, le NPS empêche EAP-TLS d'effectuer une vérification de révocation du certificat d'autorité de certification racine du client. Cette entrée authentifie les clients lorsque le certificat n'inclut pas de points de distribution CRL. En outre, cette entrée peut éviter les retards liés à la certification qui se produisent lorsqu'une liste de révocation de certificats est hors ligne ou a expiré. |
Modification des paramètres du registre NPS CRL
Avertissement
Une modification incorrecte du Registre peut sérieusement endommager votre système. Avant toute modification du registre, il est conseillé de sauvegarder toutes les données importantes de votre ordinateur.
La modification du registre peut être effectuée à l'aide de l'éditeur de registre (regedit.exe), de l'invite de commande ou de PowerShell. Les exemples suivants décrivent l'activation du paramètre de registre NoRevocationCheck et les mêmes étapes sont applicables pour activer ou désactiver les paramètres CRL associés.
Ces étapes vous permettent d'activer NoRevocationCheck sur votre appareil :
- Sur votre bureau, sélectionnez Démarrer, tapez Éditeur du Registre, cliquez avec le bouton droit sur l'Éditeur du Registre et sélectionnez Exécuter en tant qu'administrateur.
- Dans l'Éditeur du Registre, accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- Dans le volet supérieur, sélectionnez Modifier le>nouveau type>DWORD> NoRevocationCheck, puis appuyez sur Entrée.
- Double-cliquez sur votre nouvelle entrée de registre, modifiez la valeur en 1, puis sélectionnez OK.
Pour désactiver cette entrée, modifiez la valeur de 1 à 0.
Pour mettre à jour manuellement la CRL sur votre serveur NPS, exécutez ces commandes dans l'invite de commande ou PowerShell :
certutil -urlcache * delete
certutil -setreg chain\ChainCacheResyncFiletime @now