您可以設定憑證撤銷檢查,以避免對使用者憑證已撤銷的使用者進行驗證。當使用者離職、遺失智慧卡或轉調部門時,其憑證通常會遭到撤銷。

支援使用憑證撤銷清單 (CRL) 及線上憑證狀態通訊協定 (OCSP) 來進行憑證撤銷檢查。CRL 是由核發憑證的 CA 所發佈的已撤銷憑證清單。OCSP 是一種用於取得憑證撤銷狀態的憑證驗證通訊協定。

在設定憑證驗證時,您可以在管理主控台的 [連接器] > [驗證介面卡] > [CertificateAuthAdapter] 頁面中設定憑證撤銷檢查。

您可以在同一個憑證驗證介面卡組態中同時設定 CRL 和 OCSP。當您同時設定兩種類型的憑證撤銷檢查,且啟用了「當 OCSP 失敗時使用 CRL」核取方塊時,會先檢查 OCSP,如果 OCSP 失敗,撤銷檢查退而使用 CRL。如果 CRL 失敗,撤銷檢查不會退而使用 OCSP。

登入時進行 CRL 檢查

當您啟用憑證撤銷時,Directories Management 伺服器會讀取 CRL 來判斷使用者憑證的撤銷狀態。

如果憑證已撤銷,則透過憑證進行驗證將會失敗。

登入時進行 OCSP 憑證檢查

當您設定憑證狀態通訊協定 (OCSP) 撤銷檢查時,Directories Management 會傳送一個請求給 OCSP 回應器,申請其判斷特定使用者憑證的撤銷狀態。Directories Management 伺服器會使用 OCSP 簽署憑證來確認從 OCSP 回應器收到的回應屬實。

如果憑證已撤銷,驗證將會失敗。

您可以將驗證設定為在未收到 OSCP 回應器的回應或回應無效時退而使用 CRL。