Vous trouverez ci-dessous un aperçu des événements générés par le répondeur en ligne (OCSP) dans l'observateur d'événements Windows.
Les événements du répondeur en ligne ne sont pas documentés officiellement. La liste suivante a été générée à l'aide de l'outil Windows Event Log Messages (WELM).
Continuer la lecture de « Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse »Les réponses OCSP d'un répondeur OCSP Microsoft sont valables aussi longtemps que la liste de révocation sous-jacente. Dans certains cas, il peut être souhaitable de réduire la durée de validité des OCSP en utilisant des CRL delta. Dans le même temps, aucune CRL delta ne doit être utilisée pour les listes de révocation enregistrées dans les chemins CDP afin de permettre un repli vers une CRL valable plus longtemps.
Continuer la lecture de « Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz »Nous allons maintenant examiner comment se comporte la vérification du statut de blocage en cas de défaillance du répondeur en ligne. Selon la configuration des certificats délivrés, le comportement peut varier considérablement.
Continuer la lecture de « Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats »L'autorité de certification Microsoft signe toujours les certificats avec la clé associée au certificat d'autorité de certification le plus récent. Le certificat de signature pour une réponse OCSP doit être conforme à RFC 6960 mais être signés par la même clé que le certificat à vérifier :
L'autorité de certification DEVRAIT utiliser la même clé d'émission pour émettre un certificat de délégation que celle utilisée pour signer le certificat dont la révocation est vérifiée.
https://tools.ietf.org/html/rfc6960#section-4.2.2.2
Si le certificat de l'autorité de certification est renouvelé et qu'une nouvelle paire de clés est utilisée, il est toutefois nécessaire que le répondeur en ligne conserve les certificats de signature valides pour les certificats délivrés avec le certificat précédent de l'autorité de certification, car ceux-ci restent valides et doivent être vérifiés pour voir s'ils ont été bloqués.
Continuer la lecture de « Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben »Supposons le scénario suivant :
Error Parsing Request The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)“ »
Si l'on implémente un répondeur en ligne (OCSP), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.
Continuer la lecture de « Benötigte Firewallregeln für den Onlineresponder (OCSP) »Si l'on implémente une autorité de certification intégrée à Active Directory, il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.
Continuer la lecture de « Benötigte Firewallregeln für Active Directory Certificate Services »Il est parfois nécessaire de vérifier un certificat de signature d'un répondeur en ligne, par exemple lorsque la connexion au module de sécurité matériel (HSM) (s'il existe) doit être vérifiée. Lorsque les certificats sont récupérés automatiquement auprès d'une autorité de certification, le répondeur en ligne utilise son propre magasin de certificats.
Continuer la lecture de « Einsicht in den Zertifikatspeicher des Onlineresponders (OCSP) und Überprüfung der Signaturzertifikate »C'est généralement une bonne idée de garantir à tout moment la disponibilité des points de distribution des listes de blocage (CRL Distribution Point, CDP), des informations sur les autorités (Authority Information Access, AIA) et, le cas échéant, des répondeurs en ligne (Online Responder, OCSP).
L'accès aux informations de révocation est même plus critique que l'accès à l'autorité de certification elle-même. Si le statut de révocation d'un certificat ne peut pas être vérifié, il se peut (selon l'application) que le certificat ne soit pas considéré comme fiable et que le service informatique correspondant ne puisse pas être utilisé.
Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP) »Supposons le scénario suivant :
Français 
Deutsch 
English