您可以配置证书吊销检查,以防止已吊销其用户证书的用户进行身份验证。当用户离开组织、丢失智能卡或者从一个部门转到另一个部门时,通常会吊销证书。

系统支持使用证书吊销列表 (CRL) 和在线证书状态协议 (OCSP) 来执行证书吊销检查。CRL 是由颁发证书的 CA 所发布的吊销证书列表。OCSP 是用来获取证书吊销状态的证书验证协议。

在配置证书身份验证时,您可以在管理控制台的“连接器”>“身份验证适配器”>“CertificateAuthAdapter”页中配置证书吊销检查。

CRL 和 OCSP 可以在同一证书身份验证适配器配置中进行配置。配置这两种类型的证书吊销检查并启用“OCSP 失败时使用 CRL”复选框后,将首先检查 OCSP,如果 OCSP 失败,则吊销检查会退回到 CRL。但如果 CRL 失败,吊销检查不会退回到 OCSP。

通过 CRL 检查登录

启用证书吊销后,Directories Management 服务器会读取 CRL,以确定用户证书的吊销状态。

如果证书已吊销,则通过证书进行的身份验证会失败。

通过 OCSP 证书检查登录

配置证书状态协议 (OCSP) 吊销检查后,Directories Management 会发送请求到 OCSP 响应者,以确定特定用户证书的吊销状态。Directories Management 服务器使用 OCSP 签名证书来验证从 OCSP 响应者收到的响应是否真实。

如果证书已吊销,则身份验证会失败。

您可以将身份验证配置为在没有收到来自 OSCP 响应者的响应或在响应无效时,退回到 CRL 检查。