Puede configurar la comprobación de revocación de certificados para impedir la autenticación de los usuarios cuyos certificados de usuario se hayan revocado. Con frecuencia, los certificados se revocan cuando un usuario deja una organización, pierde una tarjeta inteligente o cambia de departamento.

Se admite la comprobación de revocación de certificados con listas de revocación de certificados (CRL) y con el Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP). Una CRL es una lista de certificados revocados publicada por la CA que emitió los certificados. OCSP es un protocolo de validación de certificados que se usa para obtener el estado de revocación de un certificado.

Puede configurar la comprobación de revocación de certificados en la consola de administración, en Conectores > Adaptadores de autenticación > página CertificateAuthAdapter, cuando configure la autenticación de certificado.

Puede definir tanto CRL como OCSP en la configuración del mismo adaptador de autenticación de certificado. Cuando se configuran ambos tipos de comprobación de revocación de certificados y la casilla Usar CRL en caso de error de OCSP está habilitada, se comprueba antes con OCSP y, si esto no funciona, la comprobación de revocación de certificados recae en la CRL. La comprobación de revocación no recae en OCSP si falla la CRL.

Iniciar sesión con la comprobación con CRL

Cuando habilita la revocación de certificados, el servidor del de Directories Management lee una CRL para determinar el estado de revocación de un certificado de usuario.

Si el certificado está revocado, la autenticación mediante él genera un error.

Iniciar sesión con la comprobación de certificado con OCSP

Cuando configura la comprobación de revocación con el protocolo OCSP de estado de certificado, el de Directories Management envía una solicitud a un respondedor OCSP para determinar el estado de revocación de un certificado de usuario concreto. El servidor del de Directories Management usa el certificado de firma de OCSP para comprobar que las respuestas que reciba del respondedor OCSP sean genuinas.

Si el certificado está revocado, la autenticación genera un error.

Puede configurar la autenticación para que recurra a la comprobación con CRL si no recibe respuesta del respondedor OCSP o si la respuesta no es válida.