Vous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'un utilisateur quitte une organisation, perd une carte à puce ou change de service.
Le contrôle de la révocation des certificats à l'aide de listes de révocation de certificats (CRL) et du protocole OCSP est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité de certification ayant émis les certificats. OCSP est un protocole de validation des certificats utilisé pour obtenir le statut de révocation d'un certificat.
Il est possible de configurer la CRL et OCSP en configurant le même adaptateur d'authentification par certificat. Lorsque vous configurez les deux types de contrôle de révocation des certificats et que la case Utiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, le contrôle de la révocation est effectué par la CRL. Le contrôle de la révocation ne revient pas à OCSP en cas d'échec de la CRL.
Connexion avec le contrôle de la CRL
Lorsque la révocation des certificats est autorisée, le serveur VMware Identity Manager lit une CRL pour déterminer l'état de révocation d'un certificat d'utilisateur.
Si un certificat est révoqué, l'authentification par certificat échoue.
Connexion avec le contrôle de certificat OCSP
Le protocole OCSP (Online Certificate Status Protocol) est une alternative à la liste de révocation de certificats (CRL) qui est utilisée pour effectuer un contrôle de la révocation du certificat.
Lorsque vous configurez l'authentification par certificat, avec les options Activer la révocation de certificat et Activer la révocation OCSP activées, VMware Identity Manager valide la chaîne de certificats complète, y compris les certificats principaux, intermédiaires et racine. Le contrôle de la révocation échoue si la vérification d'un des certificats de la chaîne échoue ou que l'appel à l'URL d'OCSP échoue.
L'URL d'OCSP peut être configurée manuellement dans la zone de texte ou extraite de l'extension AIA (Authority Information Access) du certificat en cours de validation.
L'option OCSP que vous sélectionnez lorsque vous configurez l'authentification par certificat détermine la manière dont VMware Identity Manager utilise l'URL d'OCSP.
- Configuration uniquement. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP fournie dans la zone de texte pour valider la chaîne de certificats complète. Ignorez les informations contenues dans l'extension AIA du certificat. La zone de texte URL d'OCSP doit également être configurée avec l'adresse du serveur OCSP pour le contrôle de la révocation.
- Certificat uniquement (requis). Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA de chaque certificat de la chaîne. Le paramètre dans la zone de texte URL d'OCSP est ignoré. Une URL d'OCSP doit être définie dans chaque certificat de la chaîne. Sinon, le contrôle de la révocation du certificat échoue.
- Certificat uniquement (facultatif). Effectuez uniquement le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA du certificat. Ne contrôlez pas la révocation si l'URL d'OCSP n'existe pas dans l'extension AIA du certificat. Le paramètre dans la zone de texte URL d'OCSP est ignoré. Cette configuration est utile lorsque le contrôle de la révocation est souhaité, mais certains certificats intermédiaires ou racine ne contiennent pas l'URL d'OCSP dans l'extension AIA.
- Certificat avec recours à la configuration. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP extraite de l'extension AIA de chaque certificat de la chaîne, lorsque l'URL d'OCSP est disponible. Si l'URL d'OCSP ne se trouve pas dans l'extension AIA, contrôlez la révocation à l'aide de l'URL d'OCSP dans la zone de texte URL d'OCSP. La zone de texte URL d'OCSP doit être configurée avec l'adresse du serveur OCSP.