Windows NPSでCRLリストチェックを実施

Windows NPSサーバにて、配布したクライアント証明書のCRLリストのチェックは、Win2008のレジストリ値を変えることでチェックできるようになりました。

クライアント証明書の有効期限をチェックしたり、配布したクライアント証明書の無効をここでチェックします。

NPS による CRL 確認用のレジストリ設定

次のレジストリ設定を使用すると、
EAP-TLS の使用時にネットワーク ポリシー サーバー (NPS) が証明書失効リスト (CRL) の確認を実行する方法を変更できます。

レジストリKEY
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13

ここのレジストリに、以下を追加します。
IgnoreNoRevocationCheck

レジストリ設定は、種類を DWORD にして追加します。また、有効な値 0 または 1 が設定されている必要があります。

ここで、０　を指定して使用しています。
以下、このキーの説明抜粋

-----------------------------------------------------------------------------------------------------------------
1 に設定すると、NPS がクライアントの証明書チェーン (ルート証明書を除く) の失効確認を実行しない場合や、
完了できなかった場合でも、NPS は EAP-TLS クライアントの接続を許可します。
通常、証明書に CRL 情報がない場合に、失効の確認は失敗します。

IgnoreNoRevocationCheck は、既定では 0 (無効) に設定されています。
サーバーがクライアントの証明書チェーン (ルート証明書を除く) の失効確認を完了し、
失効している証明書がないことを確認しない限り、EAP-TLS クライアントは接続できません。

参考サイトはここ

-----------------------------------------------------------------------------------------------------------------