Usando a verificação de revogação de certificado

Você pode configurar a verificação de revogação de certificado para impedir a autenticação de usuários com seus certificados revogados. Com frequência, os certificados são revogados quando um usuário deixa a organização, perde um cartão inteligente ou se transfere de um departamento para outro.

É suportada a verificação de revogação de certificado com listas de revogação de certificado (CRLs) e com o protocolo de status de certificado online (OCSP). Uma CRL é uma lista de certificados revogados publicados pela autoridade de certificação que emitiu os certificados. O OCSP é um protocolo de validação de certificado usado para obter o status de revogação de um certificado.

Você pode configurar tanto o CRL quanto o OCSP na mesma configuração de adaptador de autenticação de certificado. Quando você configura os dois tipos de verificação de revogação de certificado e a caixa de seleção Usar CRL em caso de falha do OCSP é habilitada, o OCSP é verificado primeiro e, se o OCSP falhar, a verificação de revogação faz fallback para a CRL. A verificação de revogação não faz fallback para o OCSP se a CRL falhar.

Fazer login com a verificação de CRL

Quando você habilita a revogação de certificado, o servidor do VMware Identity Manager lê uma CRL para determinar o status de revogação de um certificado de usuário.

Se um certificado for revogado, a autenticação através do certificado falha.

Fazendo login com a verificação de certificado do OCSP

Quando você configura a verificação de revogação de protocolo de status de certificado (OCSP), o VMware Identity Manager envia uma solicitação para um respondente do OCSP a fim de determinar o status de revogação de um certificado de usuário específico. O servidor do VMware Identity Manager usa o certificado de autenticação do OCSP para confirmar que as respostas que ele recebe do respondente do OCSP sejam genuínas.

Se o certificado for revogado, a autenticação falha.

Você pode configurar a autenticação para fazer fallback na verificação da CRL se ela não receber uma resposta do respondente do OSCP ou se a resposta for inválida.