U kunt certificaatintrekkingscontrole configureren om te voorkomen dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Certificaten worden vaak ingetrokken wanneer een gebruiker een organisatie verlaat, een smartcard verliest of van de ene naar de andere afdeling verhuist.
Certificaatintrekkingscontrole met certificaatintrekkingslijsten (CRL's) en met het Online Certificate Status Protocol (OCSP) wordt ondersteund. Een CRL is een lijst met ingetrokken certificaten die gepubliceerd wordt door de certificaatautoriteit die de certificaten heeft uitgegeven. OCSP is een certificaatvalidatieprotocol dat wordt gebruikt om de intrekkingsstatus van een certificaat te verkrijgen.
U kunt zowel CRL als OCSP configureren in dezelfde configuratie van de certificaatverificatieadapter. Wanneer u beide typen van certificaatintrekking configureert en het selectievakje CRL gebruiken als OCSP mislukt is ingeschakeld, wordt OCSP eerst ingeschakeld. Als OCSP mislukt, valt de intrekkingscontrole terug op CRL. Intrekkingscontrole valt niet terug op OCSP als CRL mislukt.
Aanmelden met CRL-controle
Als u certificaatintrekking inschakelt, dan gebruikt de VMware Identity Manager -server een CRL om de intrekkingsstatus van een gebruikerscertificaat te bepalen.
Als een certificaat wordt ingetrokken, mislukt de verificatie via het certificaat.
Aanmelden met OCSP-certificaatcontrole
Het Online Certificate Status Protocol (OCSP) is een alternatief voor certificaatintrekkingslijsten (CRL's) die worden gebruikt voor een controle van certificaatintrekking.
Wanneer u certificaatgebaseerde verificatie configureert en Intrekken certificaat inschakelen en Intrekken OCSP inschakelen beide zijn ingeschakeld, valideert VMware Identity Manager de hele certificaatketen, met inbegrip van de primaire, tussenliggende en rootcertificaten. De intrekkingscontrole mislukt als de controle van een certificaat in de keten mislukt of het aanroepen van de OCSP-URL mislukt.
De OCSP-URL kan handmatig worden geconfigureerd in het tekstvak of worden geëxtraheerd uit de AIA-extensie (Authority Information Access) van het certificaat dat wordt gevalideerd.
De OCSP-optie die u selecteert, wanneer u certificaatverificatie configureert, bepaalt hoe VMware Identity Manager de OCSP-URL gebruikt.
- Alleen configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die is opgegeven in het tekstvak om de hele certificaatketen te valideren. Negeer de informatie in de AIA-extensie van het certificaat. Het tekstvak OCSP-URL moet ook worden geconfigureerd met het OCSP-serveradres voor intrekkingscontrole.
- Alleen certificaat (vereist). Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die bestaat in de AIA-extensie van elk certificaat in de keten. De instelling in het tekstvak OCSP-URL wordt genegeerd. Elk certificaat in de keten moet een OCSP-URL hebben die is gedefinieerd, anders mislukt de controle van certificaatintrekking.
- Alleen certificaat (optioneel). Voer alleen een controle van certificaatintrekking uit met behulp van de OCSP-URL die in de AIA-extensie van het certificaat bestaat. Controleer de intrekking niet als de OCSP-URL niet in de AIA-extensie van het certificaat bestaat. De instelling in het tekstvak OCSP-URL wordt genegeerd. Deze configuratie is handig wanneer intrekkingscontrole is gewenst, maar sommige tussenliggende of rootcertificaten bevatten de OCSP-URL in de AIA-extensie niet.
- Certificaat met terugval naar configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die uit de AIA-extensie van elk certificaat in de keten is geëxtraheerd, wanneer de OCSP-URL beschikbaar is. Als de OCSP-URL niet de AIA-extensie heeft, controleert u de intrekking met behulp van de OCSP-URL die in het tekstvak OCSP-URL is geconfigureerd. Het tekstvak OCSP-URL moet worden geconfigureerd met het OCSP-serveradres.