U kunt certificaatintrekkingscontrole configureren om te voorkomen dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Certificaten worden vaak ingetrokken wanneer een gebruiker een organisatie verlaat, een smartcard verliest of van de ene naar de andere afdeling verhuist.

Certificaatintrekkingscontrole met certificaatintrekkingslijsten (CRL's) en met het Online Certificate Status Protocol (OCSP) wordt ondersteund. Een CRL is een lijst met ingetrokken certificaten die gepubliceerd wordt door de certificeringsinstantie die de certificaten heeft uitgegeven. OCSP is een certificaatvalidatieprotocol dat wordt gebruikt om de intrekkingsstatus van een certificaat te verkrijgen.

U kunt certificaatintrekkingscontrole configureren op de pagina Connectoren > Verificatieadapters > Certificaatverificatieadapter van de beheerconsole wanneer u certificaatverificatie configureert.

U kunt zowel CRL als OCSP configureren in dezelfde configuratie van de certificaatverificatieadapter. Wanneer u beide typen van certificaatintrekking configureert en het selectievakje CRL gebruiken als OCSP mislukt is ingeschakeld, wordt OCSP eerst ingeschakeld. Als OCSP mislukt, valt de intrekkingscontrole terug op CRL. Intrekkingscontrole valt niet terug op OCSP als CRL mislukt.

Aanmelden met CRL-controle

Als u certificaatintrekking inschakelt, dan gebruikt de Directories Management -server een CRL om de intrekkingsstatus van een gebruikerscertificaat te bepalen.

Als een certificaat wordt ingetrokken, mislukt de verificatie via het certificaat.

Aanmelden met OCSP-certificaatcontrole

Als u OCSP-intrekkingscontrole configureert, dan verzendt Directories Management een aanvraag naar een OCSP-responder om de intrekkingsstatus van een specifiek gebruikerscertificaat te bepalen. De Directories Management -server gebruikt het OCSP-handtekeningcertificaat om te controleren of de antwoorden die van de OCSP-responder worden ontvangen, authentiek zijn.

Als het certificaat is ingetrokken, mislukt de verificatie.

U kunt de verificatie configureren zodat deze terugvalt op CRL-controle als deze geen antwoord van de OCSP-responder ontvangt of als het antwoord ongeldig is.