Чтобы пользователи с отозванными пользовательскими сертификатами не могли пройти проверку подлинности, можно настроить проверку отзыва сертификатов. Как правило, сертификаты отзываются, когда пользователь покидает организацию, теряет смарт-карту или переходит из одного отдела в другой.
Поддерживается проверка отзыва сертификатов с использованием списков отозванных сертификатов (CRL) и протокола Online Certificate Status Protocol (OCSP). Список CRL представляет собой список отозванных сертификатов, опубликованный центром сертификации, который выпустил сертификаты. OCSP — протокол проверки сертификатов, который используется для получения статуса отзыва сертификата.
В одной конфигурации адаптера проверки подлинности сертификата можно настроить как CRL, так и OCSP. При настройке обоих типов проверки отзыва сертификатов и установке флажка «Использовать CRL в случае отказа проверки OCSP» сначала для проверки используется OCSP, а в случае ошибки OCSP происходит возврат к проверке с помощью CRL. В случае отказа при проверке отзыва с помощью CRL, возврат к проверке с помощью OCSP не происходит.
Вход в систему с использованием проверки CRL
При включении проверки отзыва сертификата сервер VMware Identity Manager читает CRL, чтобы определить состояние отзыва сертификата пользователя.
Если сертификат отозван, проверка подлинности с его использованием завершится отказом.
Вход в систему с использованием проверки сертификатов по OCSP
Протокол проверки состояния сертификатов (OCSP) — это альтернатива спискам отозванных сертификатов (CRL), используемым для проверки отзыва сертификата.
Если во время настройки проверки подлинности с помощью сертификатов включены параметры «Включить отзыв сертификатов» и «Включить отзыв OCSP», VMware Identity Manager проверяет всю цепочку сертификатов, включая основные, промежуточные и корневые сертификаты. Ошибка во время проверки отзыва возникает в случае сбоя при проверке любого сертификата в цепочке или подаче запроса на URL-адрес OCSP.
URL-адрес OCSP можно настроить вручную в текстовом поле или извлечь из расширения Authority Information Access (AIA) проверяемого сертификата.
Параметр OCSP, выбранный во время настройки проверки подлинности сертификатов, определяет, каким образом VMware Identity Manager использует URL-адрес OCSP.
- Только конфигурация. Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, предоставленного в текстовом поле, чтобы подтвердить всю цепочку сертификатов. Игнорируйте информацию в расширении AIA сертификата. Текстовое поле URL-адреса OCSP также необходимо настроить с помощью адреса сервера OCSP для проверки отзыва.
- Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Настройка в текстовом поле URL-адреса OCSP игнорируется. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP, в противном случае произойдет ошибка проверки отзыва сертификата.
- Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата. Настройка в текстовом поле URL-адреса OCSP игнорируется. Эта конфигурация подходит, если требуется проверка отзыва, но некоторые промежуточные или корневые сертификаты не содержат URL-адрес OCSP в расширении AIA.
- Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.