U kunt certificaatintrekkingscontrole configureren om te voorkomen dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Certificaten worden vaak ingetrokken wanneer een gebruiker een organisatie verlaat, een smartcard verliest of van de ene naar de andere afdeling verhuist.
Certificaatintrekkingscontrole met certificaatintrekkingslijsten (CRL's) en met het Online Certificate Status Protocol (OCSP) wordt ondersteund. Een CRL is een lijst met ingetrokken certificaten die gepubliceerd wordt door de certificaatautoriteit die de certificaten heeft uitgegeven. OCSP is een certificaatvalidatieprotocol dat wordt gebruikt om de intrekkingsstatus van een certificaat te verkrijgen.
U kunt zowel CRL als OCSP configureren in dezelfde configuratie van de certificaatverificatieadapter. Wanneer u beide typen van certificaatintrekking configureert en het selectievakje CRL gebruiken als OCSP mislukt is ingeschakeld, wordt OCSP eerst ingeschakeld. Als OCSP mislukt, valt de intrekkingscontrole terug op CRL. Intrekkingscontrole valt niet terug op OCSP als CRL mislukt.
Aanmelden met CRL-controle
Als u certificaatintrekking inschakelt, dan gebruikt de VMware Identity Manager-server een CRL om de intrekkingsstatus van een gebruikerscertificaat te bepalen.
Als een certificaat wordt ingetrokken, mislukt de verificatie via het certificaat.
Aanmelden met OCSP-certificaatcontrole
Als u OCSP-intrekkingscontrole configureert, dan verzendt VMware Identity Manager een aanvraag naar een OCSP-responder om de intrekkingsstatus van een specifiek gebruikerscertificaat te bepalen. De VMware Identity Manager-server gebruikt het OCSP-handtekeningcertificaat om te controleren of de antwoorden die van de OCSP-responder worden ontvangen, authentiek zijn.
Als het certificaat is ingetrokken, mislukt de verificatie.
U kunt de verificatie configureren zodat deze terugvalt op CRL-controle als deze geen antwoord van de OCSP-responder ontvangt of als het antwoord ongeldig is.