Le contrôle de blocage via le répondeur en ligne (OCSP) échoue avec le code d'erreur HTTP 404 (HTTP_E_STATUS_NOT_FOUND)

Supposons le scénario suivant :

• Après l'installation d'un répondeur en ligne (OCSP), la mise en place d'une configuration de blocage et l'adaptation de l'autorité de certification ou de l'autorité de certification, il est possible d'utiliser le système d'authentification. Configuration d'une stratégie de groupe qui oblige les clients à utiliser le répondeur en ligne, tombe lors de la Test de fonctionnement que celui-ci ne fonctionne pas.
• Le contrôle de l'adresse OCSP signale le statut HTTP 404 (not found).

Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .

La console de gestion de l'infrastructure à clés publiques d'entreprise (Enterprise PKI, pkiview.msc) affiche le statut „Error“.

Il est possible de vérifier plus précisément le statut en exportant n'importe quel certificat valide sous forme de fichier et en effectuant une vérification par ligne de commande :

certutil -verify -urlfetch {Dateiname-Zertifikat}.cer

En vérifiant le site web par défaut dans le gestionnaire de services d'information Internet, il s'avère que le dossier virtuel „ocsp“ requis n'existe pas.

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Le dossier virtuel peut être créé à l'aide de la commande de ligne de commande suivante :

certutil -voscproot

Le réglage est effectif sans redémarrage du service de serveur web.

Veuillez noter que la console de gestion de l'ICP de l'entreprise continuera à afficher une erreur, car la réponse négative précédente est mise en cache côté client. Pour effacer ce cache, voir l'article „Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)„ .

Liens complémentaires :

• forcer les contrôleurs de domaine (ou autres participants) à utiliser un répondeur en ligne (OCSP)
• Réaliser un test de fonctionnement pour un répondeur en ligne (OCSP)
• Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)