Использование сертификатов для проверки подлинности
Проверка списка отозванных сертификатов (Certificate Revocation List, CRL)
Большинство серверов сертификатов выдают сертификаты, в которых указана точка распространения списка отзыва сертификатов (CRL Distribution Point, CDP). По правилам, для того чтобы компьютер полностью проверил действительность сертификата, он должен проверить, не был ли отозван сертификат его издателем. Поскольку стандарты, описывающие выполнение этой проверки, развиваются, то уже используются различные серверы сертификатов и системы инфраструктуры открытых ключей, поэтому не все системы сертификатов поддерживают этот метод и функциональные возможности проверки списка отзыва сертификатов. Поэтому проверка CRL по умолчанию отключена. Перед разрешением проверки CRL убедитесь, что проверка подлинности с помощью сертификатов успешно выполняется, и Вы проанализировали файл журнала Oakley. (Расположение этого файла указывается в шаге 3, приведенной ниже процедуры).
В IKE для API-криптографии указывается способ выполнения проверки списка CRL для определения действительности сертификата. Для активации проверки списка CRL администратор компьютера должен изменить значения ключей реестра, в соответствии с приведенной ниже процедурой. Корректные параметры этого значения должны быть определены администратором политик IPSec и администратором сервера сертификатов.
Чтобы активировать проверку списка CRL при IKE-согласовании:
- В меню Пуск (Start) нажмите Выполнить (Run) и введите regedt32. Нажмите OK. Будет запущен Редактор реестра (Registry Editor).
- Перейдите в окно HKEY_LOCAL_MACHINE на локальном компьютере (Local Machine).
- Перейдите в узел System\CurrentControlSet\Services\PolicyAgent.
- Щелкните дважды по узлу PolicyAgent.
- В меню Правка (Edit) нажмите Добавить раздел (Add Key).
Рисунок 7 – Добавление раздела в реестр - В поле Раздел (Key Name) введите имя раздела Oakley (с учетом регистра).
- Оставьте поле Класс (Class) пустым и нажмите OK.
- Выберите вновь созданный раздел Oakley.
- В меню Правка (Edit) нажмите Добавить параметр (Add Value).
- В поле Параметр (Value Name) введите название значения StrongCrlCheck (c учетом регистра).
- Выберите тип данных REG_DWORD и нажмите OK.
Введите значение 1 или 2 в зависимости от необходимого метода действия:
- Нажмите Шестнадцатеричное (Hex) в качестве представления. Нажмите OK. 13. Закройте программу редактор реестра. 14. Для перезапуска служб, используемых IPSec, из командной строки выполните сначала команду net stop policyagent, а затем выполните net start policyagent.
Примечание
Если ваша система сконфигурирована в качестве VPN-сервера с использованием L2TP/IPSec, то Вы должны перезагрузить Windows 2000.
Для отключения режима проверки списка CRL просто удалите значение StrongCRLCheck из раздела Oakley и перезапустите службы или же перезагрузите OC Windows 2000.