Le répondeur en ligne (OCSP) demande de nouveaux certificats de signature toutes les quatre heures

Auteur Uwe GradeneggerPublié le Catégories Protocole de statut des certificats en ligne (OCSP), DépannageÉtiquettes ,

Supposons le scénario suivant :

  • Les répondeurs en ligne sont configurés pour demander des certificats de signature à partir d'un modèle de certificat d'une autorité de certification intégrée à Active Directory.
  • Les répondeurs en ligne demandent un nouveau certificat de signature à intervalles réguliers (toutes les quatre heures), bien que le certificat existant soit encore valable suffisamment longtemps.

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .

Cause

Der Online Responder wertet das Feld „Certificate Template Information“ aus, um zu bestimmen, ob er bereits ein Zertifikat von einer bestimmten Zertifikatvorlage erhalten hat.

Dans le cas présent, l'autorité de certification a été configurée de manière à ce que cette extension ne soit pas écrite dans les certificats délivrés.

La commande suivante permet de vérifier si une autorité de certification est configurée de manière appropriée pour ne pas écrire certaines extensions dans les certificats délivrés :

certutil -getreg policy\DisableExtensionList

Les commandes suivantes permettent de supprimer les identificateurs d'objets (OID) de la liste :

certutil -setreg policy\DisableExtensionList -1.3.6.1.4.1.311.20.2
certutil -setreg policy\DisableExtensionList -1.3.6.1.4.1.311.21.7

Un redémarrage du service d'autorité de certification est ensuite nécessaire pour appliquer la configuration. Les répondeurs en ligne doivent maintenant encore demander une fois de nouveaux certificats et les utiliser jusqu'à leur expiration.

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais