您可以設定憑證撤銷檢查,以防止使用者憑證已撤銷的使用者進行驗證。通常當使用者離開組織、遺失智慧卡,或調動部門時,就會撤銷憑證。

支援使用憑證撤銷清單 (CRL) 和線上憑證狀態通訊協定 (OCSP) 的憑證撤銷檢查。CRL 是核發憑證的 CA 所發佈的撤銷憑證清單。OCSP 是用來取得憑證撤銷狀態的憑證驗證通訊協定。

您可以在相同的憑證驗證配接器組態中同時設定 CRL 和 OCSP。當您同時設定兩種類型的憑證撤銷檢查,且啟用了 [當 OCSP 失敗時使用 CRL] 核取方塊時,將會先檢查 OCSP,如果 OCSP 失敗,撤銷檢查會退而使用 CRL。如果 CRL 失敗,撤銷檢查不會回復使用 OCSP。

透過 CRL 檢查登入

當您啟用憑證撤銷時, 連接器 伺服器會讀取 CRL 來判斷使用者憑證的撤銷狀態。

如果憑證已撤銷,則透過憑證進行驗證將會失敗。

登入時進行 OCSP 憑證檢查

線上憑證狀態通訊協定 (OCSP) 是憑證撤銷清單 (CRL) 的替代功能,用於執行憑證撤銷檢查。

設定憑證型驗證時,如果同時啟用「啟用憑證撤銷」和「啟用 OCSP 撤銷」,則 VMware Identity Manager 會驗證整個憑證鏈結,包括主要、中繼和根憑證。如果鏈結中的任何憑證檢查失敗或 OCSP URL 呼叫失敗,則撤銷檢查將會失敗。

您可以在文字方塊中手動設定 OCSP URL,或從正在驗證之憑證的授權機構資訊存取 (AIA) 延伸中擷取。

設定憑證驗證時,您選取的 OCSP 選項會決定 VMware Identity Manager 如何使用 OCSP URL。

  • 僅組態。使用文字方塊中提供的 OCSP URL 執行憑證撤銷檢查,以驗證整個憑證鏈結。忽略憑證 AIA 延伸中的資訊。您也必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊才能進行撤銷檢查。

  • 僅憑證 (必要)。使用鏈結中存在於每個憑證 AIA 延伸的 OCSP URL 執行憑證撤銷檢查。系統會忽略 OCSP URL 文字方塊中的設定。鏈結中的每個憑證必須已定義 OCSP URL,否則憑證撤銷檢查將會失敗。

  • 僅憑證 (選擇性)。僅使用憑證 AIA 延伸中存在的 OCSP URL 執行憑證撤銷檢查。如果憑證 AIA 延伸中不存在 OCSP URL,則請勿檢查撤銷。系統會忽略 OCSP URL 文字方塊中的設定。當需要撤銷檢查,但部分中繼或根憑證不包含 AIA 延伸中的 OCSP URL 時,此組態非常實用。

  • 具有容錯回復至組態的憑證。當 OCSP URL 可用時,使用從鏈結中每個憑證 AIA 延伸所擷取的 OCSP URL 執行憑證撤銷檢查。如果 AIA 延伸中不存在 OCSP URL,則使用 OCSP URL 文字方塊中設定的 OCSP URL 來檢查撤銷。您必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊。