Отзыв сертификата и проверка подлинности ЕAP-TLS
По умолчанию во время процесса проверки подлинности EAP-TLS сервер проверки подлинности проверяет все сертификаты (на предмет того, не отозваны ли они) в цепочке, отправленной VPN-клиентом. Если отзыв сертификата завершается неудачно для любого из сертификатов в цепочке, подключение не проходит проверку подлинности и отклоняется. Проверка отзыва сертификата может завершиться неудачно по следующим причинам:
- Сертификат был отозван. Поставщик сертификата отозвал данный сертификат.
- Список отзыва сертификатов (certificate revocation list, CRL) для данного сертификата недоступен или недействителен. Центры сертификации содержат CLR и публикуют их в заданных точках распространения списков CLR. Точки распространения списков CLR включены в свойство Точки распространения списков отзыва (CRL)сертификата. Если точки распространения списков CRL не доступны для проверки отзыва сертификата, проверка завершится неудачей. К тому же, если сертификат не содержит информации о точках распространения списков CRL, сервер проверки подлинности не сможет проверить, был ли отозван сертификат, и проверка отзыва сертификата завершится неудачей.
- Имя поставщика списка CRL не соответствует имени поставщика сертификата. Список CLR содержит информацию о выпустившем его ЦС. Если ЦС, опубликовавший список CLR, не совпадает с ЦС, выдавшим сертификат, для которого осуществляется проверка отзыва, проверка завершится неудачей.
- Неверная дата списка CRL. Все выпущенные списки CRL имеют диапазон действительных дат. Если дата следующего обновления списка CLR истекла, список CLR признается недействительным и проверка отзыва сертификата завершится неудачей. Новые списки CLR должны быть опубликованы до истечения срока последнего опубликованного списка CLR.
Данное свойство можно изменить при помощи настроек реестра в разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13
…на сервере проверки подлинности:
- IgnoreNoRevocationCheck. Если задано значение 1, сервер проверки подлинности разрешает подключения EAP-TLS-клиентов даже в том случае, если не удается выполнить или завершить проверку отзыва цепочки сертификатов от клиента (за исключением корневого сертификата). Как правило, проверка отзыва сертификата завершается неудачей из-за того, что сертификат не содержит информации о списках CRL. Значение параметра IgnoreNoRevocationCheck по умолчанию равно 0 (выключено). EAP-TLS-клиенты не смогут подключаться до тех пор, пока сервер проверки подлинности не завершит проверку отзыва для цепочки сертификатов от клиента (включая корневой сертификат) и не проверит то, что ни один из сертификатов не был отозван. Вы можете использовать данное значение параметра для проверки подлинности клиентов в тех случаях, когда сертификат не содержит информации о точках распространения списков CRL, (в случае, когда он получает их от сторонних издателей).
- IgnoreRevocationOffline. Если задано значение 1, сервер проверки подлинности разрешает подключения EAP-TLS-клиентов даже в том случае, если сервер, хранящий списки отозванных сертификатов, не доступен в сети. Значение параметра IgnoreRevocationOffline по умолчанию равно 0. EAP-TLS-клиенты не смогут подключаться до тех пор, пока сервер проверки подлинности не завершит проверку отзыва для цепочки сертификатов от клиента и не проверит то, что ни один из сертификатов не был отозван. В том случае, если невозможно соединиться с сервером, хранящим списки отзыва, EAP-TLS-клиенты с соответствующими сертификатами не смогут пройти проверку отзыва. Установите значение параметра равным 1, чтобы предотвратить ошибку проверки сертификата из-за некачественного сетевого соединения, препятствующего успешному завершению проверки отзыва этих сертификатов.
- NoRevocationCheck. Если задано значение 1, сервер проверки подлинности отменяет проверку отзыва EAP-TLS для сертификатов беспроводных клиентов. Проверка отзыва сертификатов удостоверяет то, что сертификаты VPN-клиентов и сертификаты в их цепочках сертификатов не были отозваны. Значение параметра NoRevocationCheck по умолчанию равно 0.
- NoRootRevocationCheck. Если задано значение 1, сервер проверки подлинности отменяет проверку отзыва EAP-TLS для корневого сертификата VPN-клиентов. Значение параметра NoRootRevocationCheck по умолчанию равно 0. Данное значение параметра отменяет только проверку отзыва для сертификата корневого ЦС данного клиента. Для цепочки сертификатов данного VPN-клиента проверка отзыва продолжает выполняться. Вы можете использовать данное значение проверки подлинности клиентов в том случае, если сертификаты этих клиентов не содержат информации о точках распространения списков CRL (в случае, когда он получает их от сторонних издателей). Также данное значение параметра может предотвратить задержки, связанные с сертификацией, возникающие в том случае, когда список отзыва сертификатов не доступен в сети, или срок его действия истек.
Все вышеперечисленные значения реестра должны быть добавлены в виде параметра DWORD и могут иметь значения 0 или 1. VPN-клиент не выполняет проверку отзыва сертификата сервера проверки подлинности и не использует данные значения.
Поскольку проверка отзыва сертификата может препятствовать доступу через VPN из-за недействительности или недоступности списков CRL для всех сертификатов в цепочке, проектируйте Вашу инфраструктуру сертификата с учетом высоких требований к доступности списков CRL. Для этого настройте множественные точки распространения списков CLR для каждого ЦС в иерархии сертификатов и настройте публикацию по расписанию, чтобы обеспечить постоянный выпуск и доступность текущих списков CRL.
Проверка отзыва сертификатов будет корректной только при наличии последних опубликованных списков CRL. Например, если сертификат отозван, по умолчанию новый список CRL, содержащий сертификаты, отозванные позже, не публикуется автоматически. Как правило, списки CRL публикуются на основе настраиваемого планировщика. Это означает то, что отозванные сертификаты могут продолжать использоваться для проверки подлинности, так как опубликованный список CRL не является текущим; он не содержит отозванных сертификатов и, тем не менее, может продолжать использоваться для создания беспроводных подключений. Чтобы предотвратить это, сетевой администратор должен вручную опубликовать новый список CRL с недавно отозванными сертификатами.
По умолчанию сервер проверки подлинности использует информацию о точках распространения списков CRL, содержащуюся в сертификатах. Также имеется возможность хранить локальную копию списка CRL на сервере проверки подлинности. В этом случае во время проверки отзыва сертификата используется локальный список CRL. Если в Active Directory вручную опубликован новый список CRL, локальный список CRL на сервере проверке подлинности не будет обновлен. Локальный список CRL обновляется по истечении срока действия. Это может привести к ситуации, при которой сертификат отозван, список CRL опубликован вручную, но сервер проверки подлинности продолжает разрешать подключения из-за того, что локальный список CRL еще не обновлен.