인증서가 해지된 사용자가 인증하지 못하도록 인증서 해지 검사를 구성할 수 있습니다. 인증서는 사용자가 조직을 떠나거나 스마트 카드를 분실하거나 부서를 다른 부서로 이동할 경우 해지되기도 합니다.
CRL(인증서 해지 목록) 및 OCSP(온라인 인증서 상태 프로토콜)가 포함된 인증서 해지 검사는 지원됩니다. CRL은 인증서를 발행한 CA에서 게시한 해지된 인증서 목록입니다. OCSP는 인증서의 해지 상태를 가져오기 위해 사용하는 인증서 검증 프로토콜입니다.
동일한 인증서 인증 어댑터 구성에서 CRL 및 OCSP를 둘 다 구성할 수 있습니다. 두 가지 유형의 인증서 해지 검사를 구성하고 [OCSP 실패 시 CRL 사용] 확인란을 선택한 경우, OCSP가 먼저 검사되고 OCSP가 실패한 경우 해지 검사가 CRL로 폴백됩니다. CRL이 실패한 경우 해지 검사가 OCSP로 폴백되지 않습니다.
CRL 검사를 사용하여 로그인
인증서 해지를 사용하도록 설정한 경우 VMware Identity Manager 서버는 CRL을 읽어서 사용자 인증서의 해지 상태를 확인합니다.
인증서가 해지된 경우 인증서를 통한 인증이 실패합니다.
OCSP 인증서 검사를 사용하는 상태에서 로그인
OCSP(온라인 인증서 상태 프로토콜) 해지 검사를 구성한 경우 VMware Identity Manager는 OCSP 응답자에게 요청을 전송하여 특정 사용자 인증서의 해지 상태를 확인합니다. VMware Identity Manager 서버는 OCSP 서명 인증서를 사용하여 OCSP 응답자로부터 받은 응답이 올바른지 확인합니다.
인증서가 해지된 경우 인증이 실패합니다.
OSCP 응답자로부터 응답을 받지 못하거나 응답이 올바르지 않은 경우 CRL 검사로 폴백되도록 인증을 구성할 수 있습니다.