Чтобы пользователи с отозванными пользовательскими сертификатами не могли пройти проверку подлинности, можно настроить проверку отзыва сертификатов. Как правило, сертификаты отзываются, когда пользователь покидает организацию, теряет смарт-карту или переходит из одного отдела в другой.
Поддерживается проверка отзыва сертификатов с использованием списков отозванных сертификатов (CRL) и протокола Online Certificate Status Protocol (OCSP). Список CRL представляет собой список отозванных сертификатов, опубликованный центром сертификации, который выпустил сертификаты. OCSP — протокол проверки сертификатов, который используется для получения статуса отзыва сертификата.
В одной конфигурации адаптера проверки подлинности сертификата можно настроить как CRL, так и OCSP. При настройке обоих типов проверки отзыва сертификатов и установке флажка «Использовать CRL в случае отказа проверки OCSP» сначала для проверки используется OCSP, а в случае ошибки OCSP происходит возврат к проверке с помощью CRL. В случае отказа при проверке отзыва с помощью CRL, возврат к проверке с помощью OCSP не происходит.
Вход в систему с использованием проверки CRL
При включении проверки отзыва сертификата сервер VMware Identity Manager читает CRL, чтобы определить состояние отзыва сертификата пользователя.
Если сертификат отозван, проверка подлинности с его использованием завершится отказом.
Вход в систему с использованием проверки сертификатов по OCSP
При настройке проверки отзыва по протоколу состояния сертификата (OCSP), VMware Identity Manager посылает запрос к ответчику по протоколу OCSP, чтобы определить состояние отзыва сертификата определенного пользователя. Сервер VMware Identity Manager использует сертификат подписи OCSP чтобы убедиться, что ответы, которые он получает от ответчика OCSP, являются подлинными.
Если сертификат отозван, проверка подлинности завершится отказом.
Можно настроить возврат проверки подлинности к проверке CRL, если не будет получен ответ от ответчика OCSP или если ответ неверен.