Usar la comprobación de revocación de certificados

Puede configurar la comprobación de revocación de certificados para impedir la autenticación de los usuarios cuyos certificados de usuario se hayan revocado. Los certificados se revocan con frecuencia cuando un usuario abandona una organización, pierde una tarjeta inteligente o se traslada de un departamento a otro.

Se admite la comprobación de revocación de certificados con listas de revocación de certificados (CRL) y con el Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP). Una CRL es una lista de certificados revocados publicada por la autoridad de certificación que los emitió. OCSP es un protocolo de validación de certificados que se usa para obtener el estado de revocación de un certificado.

Puede definir tanto CRL como OCSP en la configuración del mismo adaptador de autenticación de certificado. Cuando se configuran ambos tipos de comprobación de revocación de certificados y la casilla Usar CRL en caso de error de OCSP está habilitada, se comprueba antes con OCSP y, si esto no funciona, la comprobación de revocación de certificados recae en la CRL. La comprobación de revocación no recae en OCSP si falla la CRL.

Iniciar sesión con la comprobación con CRL

Cuando habilita la revocación de certificados, el servidor del de VMware Identity Manager lee una CRL para determinar el estado de revocación de un certificado de usuario.

Si el certificado está revocado, la autenticación mediante él genera un error.

Iniciar sesión con la comprobación de certificado con OCSP

Cuando configura la comprobación de revocación con el protocolo OCSP de estado de certificado, el de VMware Identity Manager envía una solicitud a un respondedor OCSP para determinar el estado de revocación de un certificado de usuario concreto. El servidor del de VMware Identity Manager usa el certificado de firma de OCSP para comprobar que las respuestas que reciba del respondedor OCSP sean genuinas.

Si el certificado está revocado, la autenticación genera un error.

Puede configurar la autenticación para que recurra a la comprobación con CRL si no recibe respuesta del respondedor OCSP o si la respuesta no es válida.