NPS 서버에서 CRL Check Disable 관련 설정
[Explanation]
무선컨트롤러를 통해서 NPS 서버에서 접속하는 서버 및 Client에 대해 접속시도하는 Device에 내장된 인증서 정보(CRL포함)하여 NPS서버에서 확인합니다.
하지만 NPS서버의 인증서가 자체가 만료되어 NPS로서의 기능을 제대로 수행하지 못하게 될 때 정상적인 상태의 device도 거부시키게 됩니다. (실제 장애 발생) 보통은 그런 경우는 Domain 환경에서는 인증서를 자동으로 갱신되도록 정책으로 설정을 수행합니다.
참고로 인증서를 자동으로 갱신되도록 정책으로 설정하는 방법은 아래 경로에서 설정 및 Enable 하면 됩니다.
- Computer Configuration >Policies>Windows Settings >Security Settingsshow >Public Key Policies/Certificate Services Client - Auto-Enrollment Settings >'Automatic certificate management' 항목 Enable
- 1) 'Enroll new certificates, renew expired certificates, process pending certificate requests and remove revoked certificates' 항목 Enable
- 2) 'Update and manage certificates that use certificate templates from Active Directory' 항목 Enable
다시 본론으로 돌아와서 자동으로 인증서 발급을 받지 못한 경우 인증 실패가 발생하게 되는데 이를 위해서 NPS서버가 CRL Check를 중단하기도 한다. 그 경우 아래와 같이 레지스트리 값을 설정하면 됩니다.
Key: HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13
Value: NoRevocationCheck
Type: REG_DWORD
Data: 1
댓글이나 의견은 언제든지 환영합니다.
Your Comments are Always Welcome!
0 comments:
Post a Comment