您可以配置证书吊销检查,以防止已吊销其用户证书的用户进行身份验证。当用户离开组织、丢失智能卡或者从一个部门转到另一个部门时,通常会吊销证书。
系统支持使用证书吊销列表 (CRL) 和在线证书状态协议 (OCSP) 来执行证书吊销检查。CRL 是由颁发证书的 CA 所发布的吊销证书列表。OCSP 是用来获取证书吊销状态的证书验证协议。
CRL 和 OCSP 可以在同一证书身份验证适配器配置中进行配置。配置这两种类型的证书吊销检查并启用“OCSP 失败时使用 CRL”复选框后,将首先检查 OCSP,如果 OCSP 失败,则吊销检查会退回到 CRL。但如果 CRL 失败,吊销检查不会退回到 OCSP。
通过 CRL 检查登录
启用证书吊销后,VMware Identity Manager 服务器会读取 CRL,以确定用户证书的吊销状态。
如果证书已吊销,则通过证书进行的身份验证会失败。
通过 OCSP 证书检查登录
在线证书状态协议 (OCSP) 是证书吊销列表 (CRL) 的替代方案,用于执行证书吊销检查。
在配置基于证书的身份验证时,如果“启用证书吊销”和“启用 OCSP 吊销”均已启用,则 VMware Identity Manager 会验证整个证书链,包括主证书、中间证书和根证书。如果证书链中的任何证书检查失败或对 OCSP URL 的调用失败,则吊销检查会失败。
OCSP URL 可以在文本框中手动配置,也可以从正在验证的证书的授权信息访问 (Authority Information Access, AIA) 扩展中提取。
配置证书身份验证时选择的 OCSP 选项决定了 VMware Identity Manager 使用 OCSP URL 的方式。
- 仅限配置。使用文本框中提供的 OCSP URL 执行证书吊销检查,以验证整个证书链。将忽略证书 AIA 扩展中的信息。“OCSP URL”文本框中还必须配置 OCSP 服务器地址,以进行吊销检查。
- 仅限证书 (必需)。使用证书链中每个证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。“OCSP URL”文本框中的设置将被忽略。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
- 仅限证书 (可选)。仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。“OCSP URL”文本框中的设置将被忽略。此配置在需要进行吊销检查时很有用,但某些中间证书或根证书的 AIA 扩展中不包含 OCSP URL。
- 可回退到配置的证书。当 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。如果 AIA 扩展中没有 OCSP URL,则使用“OCSP URL”文本框中配置的 OCSP URL 检查吊销。“OCSP URL”文本框中必须配置 OCSP 服务器地址。