Você pode configurar a verificação de revogação de certificado para impedir a autenticação de usuários com seus certificados revogados. Os certificados são frequentemente revogados quando um usuário deixa uma organização, perde um cartão inteligente ou muda de um departamento para outro.
Há suporte para a verificação de revogação de certificados com as listas de certificados revogados (certificate revocation lists, CRLs) e com o Protocolo de status de certificado on-line (Online Certificate Status Protocol, OCSP). Uma CRL é uma lista de certificados revogados publicados pela Autoridade de Certificação que emitiu os certificados. O OCSP é um protocolo de validação de certificado usado para obter o status de revogação de um certificado.
É possível definir a CRL e o OCSP na mesma configuração do adaptador de autenticação de certificado. Quando você configura os dois tipos de verificação de revogação de certificado e a caixa de seleção Usar CRL em caso de falha do OCSP é habilitada, o OCSP é verificado primeiro e, se o OCSP falhar, a verificação de revogação faz fallback para a CRL. A verificação de revogação não fará fallback para o OCSP se a CRL falhar.
Fazer login com a verificação de CRL
Quando você habilita a revogação de certificado, o servidor do VMware Identity Manager lê uma CRL para determinar o status de revogação de um certificado de usuário.
Se um certificado for revogado, a autenticação através do certificado falhará.
Fazendo login com a verificação de certificado do OCSP
O Protocolo de Status de Certificado Online (OCSP) é uma alternativa para listas de certificados revogados (CRLs) que são usadas para executar uma verificação de revogação de certificado.
Quando você configura a autenticação baseada em certificado, quando Habilitar a Revogação de Certificado e Habilitar a Revogação do OCSP estão habilitadas, o VMware Identity Manager valida toda a cadeia de certificados, incluindo os certificados principal, intermediário e raiz. A verificação de revogação falhará se a verificação de qualquer certificado da cadeia falhar, ou se a chamada para a URL do OCSP falhar.
A URL do OCSP pode ser configurada manualmente na caixa de texto ou extraída da extensão de Acesso a Informações da Autoridade (AIA) do certificado que está sendo validado.
A opção do OCSP que você selecionar ao configurar a autenticação de certificado determina como o VMware Identity Manager usa a URL do OCSP.
- Somente Configuração. Realize a verificação de revogação de certificado usando a URL do OCSP fornecida na caixa de texto para validar toda a cadeia de certificados. Ignore as informações na extensão AIA do certificado. A caixa de texto URL do OCSP também deve ser configurada com o endereço do servidor do OCSP para a verificação de revogação.
- Somente Certificado (obrigatório). Realize a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA de cada certificado na cadeia. A configuração na caixa de texto URL do OCSP é ignorada. Todos os certificados na cadeia devem ter uma URL do OCSP definida; caso contrário, a verificação de revogação de certificado apresentará falha.
- Somente Certificado (opcional). Execute somente a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA do certificado. Não verifique a revogação se a URL do OCSP não existir na extensão AIA do certificado. A configuração na caixa de texto URL do OCSP é ignorada. Essa configuração é útil quando a verificação de revogação for desejada, mas alguns certificados intermediários ou raiz não contiverem a URL do OCSP na extensão AIA.
- Certificado com fallback para a configuração. Realize a verificação de revogação de certificado usando a URL do OCSP extraída da extensão AIA de cada certificado da cadeia, quando a URL do OCSP está disponível. Se a URL do OCSP não estiver na extensão AIA, verifique a revogação usando a URL do OCSP configurada na caixa de texto URL do OCSP. A caixa de texto URL do OCSP deve ser configurada com o endereço do servidor do OCSP.
