Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Une fois qu'un certificat a été révoqué, une nouvelle liste de révocation doit être créée et publiée afin que les entités qui vérifient le statut de révocation soient informées de la révocation. La liste de révocation ayant une date d'expiration relativement courte, elle doit être réémise à intervalles réguliers, même si son contenu n'a pas changé.
Autorisations nécessaires
Pour créer une liste de blocage, l'utilisateur exécutant a besoin du droit „Manage CA“ sur l'autorité de certification sur laquelle la liste de blocage doit être émise.
Création d'une liste de blocage via la ligne de commande
La création d'une liste de blocage peut être effectuée à l'aide de la commande de ligne de commande suivante avec des droits élevés („Exécuter en tant qu'administrateur“) :
certutil -crl
On est informé par la ligne de commande si la commande a réussi.
Création d'une liste de blocage via l'interface utilisateur graphique
Dans la console de gestion des autorités de certification (certsrv.msc), il faut cliquer à droite sur „Revoked Certificates“ et sélectionner „All Tasks“ - „Publish“.
Dans la boîte de dialogue qui suit, on choisit si l'on souhaite établir une liste de blocage de base ou (si elle est activée) une liste de blocage delta.
On ne reçoit pas de feedback direct sur le succès de la commande. Si aucun message d'erreur n'est émis, cela signifie que la liste de blocage a été désactivée.
Publier la liste de blocage
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Selon la configuration de l'autorité de certification, il peut encore être nécessaire de publier les listes de révocation des certificats sur les points de distribution des listes de révocation (CRL Distribution Point, CDP).
- La configuration des points de distribution de la liste de révocation d'une autorité de certification est décrite dans l'article „Configuration des points de distribution de listes de révocation (CDP) et de l'extension Authority Information Access (AIA) d'une autorité de certification" décrit.
- La publication manuelle sur un CDP LDAP est décrite dans l'article „Publier une liste de révocation de certificats sur un point de distribution de liste de révocation Active Directory" décrit.
En option : effectuer la signature d'urgence des listes de révocation de certificats
Le composant le plus important d'une PKI en termes de disponibilité n'est pas, comme on le suppose souvent, l'autorité de certification, mais les points de distribution des listes de révocation. Si une autorité de certification n'est pas disponible, seuls les nouveaux certificats ne peuvent être délivrés, mais les certificats déjà délivrés peuvent continuer à être utilisés sans restriction tant que leur statut de révocation peut être vérifié. Outre la simple disponibilité des points de distribution des listes de révocation, les informations de révocation doivent bien sûr également être valides en termes de signature. Les listes de révocation ont une date d'expiration définie, après laquelle elles ne peuvent plus être utilisées. Si une autorité de certification est hors service, elle ne peut plus publier de nouvelles listes de révocation. Dans ce cas, le processus de signature d'urgence des listes de révocation est prévu.
La procédure pour effectuer une signature d'urgence d'une liste de blocage est décrite dans l'article „Exécution de la signature d'urgence des listes de révocation de certificats " décrit.
Liens complémentaires :
- Révocation d'un certificat délivré
- Lorsqu'un certificat d'autorité de certification a été révoqué, aucune liste de révocation n'est plus émise pour ce certificat.
- Exécution de la signature d'urgence des listes de révocation de certificats
- Publier une liste de révocation de certificats sur un point de distribution de liste de révocation Active Directory
- La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".
- La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".
- La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".
- La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "The directory name is invalid. 0x8007010b (WIN32/HTTP : 267 ERROR_DIRECTORY)"
Français 
Deutsch 
English
Les commentaires sont fermés.