Você pode configurar a verificação de revogação de certificado para impedir a autenticação de usuários com seus certificados revogados. Os certificados são frequentemente revogados quando um usuário deixa uma organização, perde um cartão inteligente ou muda de um departamento para outro.
Há suporte para a verificação de revogação de certificados com as listas de certificados revogados (certificate revocation lists, CRLs) e com o Protocolo de status de certificado on-line (Online Certificate Status Protocol, OCSP). Uma CRL é uma lista de certificados revogados publicados pela Autoridade de Certificação que emitiu os certificados. O OCSP é um protocolo de validação de certificado usado para obter o status de revogação de um certificado.
É possível definir a CRL e o OCSP na mesma configuração do adaptador de autenticação de certificado. Quando você configura os dois tipos de verificação de revogação de certificado e a caixa de seleção Usar CRL em caso de falha do OCSP é habilitada, o OCSP é verificado primeiro e, se o OCSP falhar, a verificação de revogação faz fallback para a CRL. A verificação de revogação não fará fallback para o OCSP se a CRL falhar.
Fazer login com a verificação de CRL
Quando você habilita a revogação de certificado, o servidor do VMware Identity Manager lê uma CRL para determinar o status de revogação de um certificado de usuário.
Se um certificado for revogado, a autenticação através do certificado falhará.
Fazendo login com a verificação de certificado do OCSP
Quando você configura a verificação de revogação de protocolo de status de certificado (OCSP), o VMware Identity Manager envia uma solicitação para um respondente do OCSP a fim de determinar o status de revogação de um certificado de usuário específico. O servidor do VMware Identity Manager usa o certificado de autenticação do OCSP para confirmar se as respostas que ele recebe do respondente do OCSP são genuínas.
Se o certificado for revogado, a autenticação falhará.
Você poderá configurar a autenticação para fazer fallback na verificação da CRL se ela não receber uma resposta do respondente do OSCP ou se a resposta for inválida.