Vous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'un utilisateur quitte une organisation, perd une carte à puce ou change de service.

Le contrôle de la révocation des certificats à l'aide de listes de révocation de certificats (CRL) et du protocole OCSP est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité de certification ayant émis les certificats. OCSP est un protocole de validation des certificats utilisé pour obtenir le statut de révocation d'un certificat.

Vous pouvez configurer le contrôle de la révocation des certificats sur la page Connecteurs > Adaptateurs d'authentification > CertificateAuthAdapter de la console d'administration lorsque vous configurez l'authentification par certificat.

Il est possible de configurer la CRL et OCSP en configurant le même adaptateur d'authentification par certificat. Lorsque vous configurez les deux types de contrôle de révocation des certificats et que la case Utiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, le contrôle de la révocation est effectué par la CRL. Le contrôle de la révocation ne revient pas à OCSP en cas d'échec de la CRL.

Connexion avec le contrôle de la CRL

Lorsque la révocation des certificats est autorisée, le serveur Directories Management lit une CRL pour déterminer l'état de révocation d'un certificat d'utilisateur.

Si un certificat est révoqué, l'authentification par certificat échoue.

Connexion avec le contrôle de certificat OCSP

Lorsque vous configurez le contrôle de la révocation par le protocole OCSP, Directories Management envoie une demande à un répondeur OCSP pour déterminer le statut de révocation d'un certificat d'utilisateur spécifique. Le serveur Directories Management utilise le certificat de signature OCSP pour vérifier l'authenticité des réponses reçues de la part du répondeur OCSP.

Si le certificat est révoqué, l'authentification échoue.

Il est possible de configurer l'authentification pour basculer vers le contrôle par CRL si aucune réponse n'est reçue de la part du répondeur OSCP ou si la réponse n'est pas valide.