È possibile configurare il controllo della revoca del certificato per impedire l'autenticazione degli utenti il cui certificato è stato revocato. Spesso i certificati vengono revocati quando un utente abbandona un'organizzazione, perde una smart card o passa da un reparto all'altro.
Sono supportati due tipi di controllo della revoca del certificato, ovvero tramite gli elenchi di revoche di certificati (CRL) e tramite il Protocollo di stato del certificato online (OCSP). Un CRL è un elenco di certificati revocati pubblicato dall'autorità di certificazione che ha emesso i certificati. OCSP è un protocollo di convalida del certificato utilizzato per ottenere lo stato di revoca di un certificato.
È possibile configurare sia l'elenco CRL che il protocollo OCSP nella stessa configurazione della scheda di autenticazione del certificato. Quando si configurano entrambi i tipi di controllo della revoca del certificato e la casella di controllo Usa CRL in caso di errore OCSP è selezionata, viene controllato prima il protocollo OCSP e, in caso di esito negativo, il controllo della revoca viene affidato a CRL. In caso di esito negativo di CRL, il controllo della revoca non esegue il fallback a OCSP.
Accesso con il controllo CRL
Quando si abilita la revoca del certificato, il server Workspace ONE Access legge un CRL per stabilire lo stato della revoca di un certificato utente.
Se un certificato risulta revocato, l'autenticazione tramite il certificato non riesce.
Accesso con il controllo del certificato OCSP
OCSP (Online Certificate Status Protocol) è un'alternativa agli elenchi di revoche di certificati (CRL) che vengono utilizzati per eseguire un controllo della revoca del certificato.
Quando si configura l'autenticazione basata su certificato, se le opzioni Abilita revoca certificato e Abilita revoca OCSP sono entrambe abilitate, Workspace ONE Access convalida l'intera catena di certificati, compresi il certificato primario, il certificato intermedio e il certificato root. Il controllo della revoca non viene eseguito correttamente se il controllo di un certificato qualsiasi nella catena non riesce o la chiamata all'URL di OCSP non riesce.
L'URL di OCSP può essere configurato manualmente nella casella di testo o estratto dall'estensione AIA (Authority Information Access) del certificato in corso di convalida.
L'opzione OCSP selezionata quando si configura l'autenticazione con certificato determina in che modo Workspace ONE Access utilizza l'URL di OCSP.
- Solo configurazione. Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP specificato nella casella di testo per convalidare l'intera catena di certificati. Ignorare le informazioni contenute nell'estensione AIA del certificato. La casella di testo URL OCSP deve inoltre essere configurata con l'indirizzo del server OCSP per il controllo della revoca.
- Solo certificato (obbligatorio). Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA di ogni certificato nella catena. L'impostazione nella casella di testo URL OCSP viene ignorata. Tutti i certificati nella catena devono disporre di un URL dell'OCSP definito. In caso contrario, il controllo della revoca del certificato non riesce.
- Solo certificato (facoltativo). Esegue solo il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA del certificato. Non esegue il controllo della revoca se l'URL dell'OCSP non esiste nell'estensione AIA del certificato. L'impostazione nella casella di testo URL OCSP viene ignorata. Questa configurazione è utile quando si desidera controllare la revoca, ma alcuni certificati intermedi o root non contengono l'URL di OCSP nell'estensione AIA.
- Certificato con fallback alla configurazione. Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP estratto dall'estensione AIA di ogni certificato nella catena quando l'URL dell'OCSP è disponibile. Se l'URL dell'OCSP non è presente nell'estensione AIA, controlla la revoca utilizzando l'URL dell'OCSP configurato nella casella di testo URL OCSP. La casella di testo URL OCSP deve essere configurata con l'indirizzo del server OCSP.