Puede configurar la comprobación de revocación de certificados para impedir la autenticación de usuarios que tengan certificados de usuario revocados. Los certificados se revocan con frecuencia cuando un usuario abandona una organización, pierde una tarjeta inteligente o se traslada de un departamento a otro.
Se admite la comprobación de revocación de certificados con listas de revocación de certificados (Certificate Revocation Lists, CRL) y con el protocolo de estado de certificado en línea (Online Certificate Status Protocol, OCSP). Una CRL es una lista de certificados revocados publicada por la autoridad de certificación que los emitió. OCSP es un protocolo de validación de certificados que se utiliza para obtener el estado de revocación de un certificado.
Puede configurar tanto CRL como OCSP en la misma configuración de adaptador de autenticación de certificado. Cuando se configuran ambos tipos de comprobación de revocación de certificados y la casilla Usar CRL en caso de error de OCSP está habilitada, se comprueba antes con OCSP y, si esto no funciona, la comprobación de revocación de certificados recae en la CRL. La comprobación de revocación no utiliza OCSP si CRL falla.
Iniciar sesión con la comprobación de CRL
Cuando habilita la revocación de certificados, el servidor de VMware Identity Manager lee una CRL para determinar el estado de revocación de un certificado de usuario.
Si un certificado está revocado, la autenticación mediante él genera un error.
Iniciar sesión con la comprobación de certificado con OCSP
El protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) es una alternativa a las listas de revocación de certificados (Certificate Revocation Lists, CRL) que se utiliza para realizar una comprobación de revocación de certificados.
Al configurar la autenticación basada en certificados, y si las opciones Habilitar revocación de certificados y Habilitar evocación con OCSP están habilitadas, VMware Identity Manager valida la cadena de certificados completa, incluidos el certificado principal, el intermedio y el raíz. La comprobación de revocación falla si se produce un error en la comprobación de cualquier certificado de la cadena o la llamada a la URL de OCSP.
La URL de OCSP se puede configurar manualmente en el cuadro de texto, o se puede extraer de la extensión de acceso a información de entidad emisora (Authority Information Access, AIA) del certificado que se está validando.
La opción de OCSP que se selecciona al configurar la autenticación de certificado determina la manera en que VMware Identity Manager utiliza la URL de OCSP.
- Solo configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP proporcionada en el cuadro de texto para validar la cadena de certificados completa. Ignore la información de la extensión AIA del certificado. El cuadro de texto URL de OCSP también debe configurarse con la dirección del servidor OCSP para la comprobación de revocación.
- Solo certificado (obligatorio). Realice la comprobación de revocación de certificados mediante la URL de OCSP que existe en la extensión AIA de cada certificado de la cadena. Se ignoran los ajustes del cuadro de texto URL de OCSP. Todos los certificados de la cadena deben tener una URL de OCSP definida, de lo contrario, se produce un error en la comprobación de revocación de certificados.
- Solo certificado (opcional). Realice la comprobación de revocación de certificados solo mediante la URL de OCSP que existe en la extensión AIA del certificado. No compruebe la revocación si la URL de OCSP no existe en la extensión AIA del certificado. Se ignoran los ajustes del cuadro de texto URL de OCSP. Esta configuración es útil cuando se desea realizar una comprobación de revocación, pero algunos certificados intermedios o raíz no contienen la URL de OCSP en la extensión AIA.
- Certificado con reserva de configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP extraída de la extensión AIA de cada certificado de la cadena, si la URL de OCSP está disponible. Si la URL de OCSP no está en la extensión AIA, compruebe la revocación mediante la URL de OCSP configurada en el cuadro de texto URL de OCSP. El cuadro de texto URL de OCSP debe configurarse con la dirección del servidor OCSP.