Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Dans certains cas (par exemple, dans le cas d'une autorité de certification hors ligne ou si des points de distribution de listes de révocation LDAP non conformes à la norme ont été configurés), la liste de révocation des certificats doit être publiée manuellement dans Active Directory.
Autorisations nécessaires
Pour publier la liste de révocation dans Active Directory, vous devez disposer des droits d'écriture sur l'objet cRLDistributionPoint correspondant dans le chemin CDP sous le conteneur Public Key Services dans la partition de configuration de la structure globale Active Directory. Dans la configuration standard, ce droit est attribué à :
- Le groupe de sécurité „ Administrateurs “ du domaine racine de la forêt
- Le groupe de sécurité „ Domain Admins “ du domaine racine de la structure globale
- Le groupe de sécurité „ Administrateurs d'entreprise “ de la structure globale
- Le groupe de sécurité „ Cert Publishers “ du domaine racine de la structure globale
Configuration requise sur l'autorité de certification
Pour que la liste de révocation puisse être enregistrée manuellement dans Active Directory, une extension „ Published CRL Locations “ (Emplacements CRL publiés) est nécessaire dans la liste de révocation.
Cette extension n'est ajoutée à la liste de blocage que si l'option „ Include in all CRLs. Specifies where to publish in the Active Directory when publishing manually. “ (Inclure dans toutes les CRL. Indique où publier dans Active Directory lors d'une publication manuelle.) a été activée pour l'extension CEP correspondante dans l'autorité de certification.
Création d'une liste de révocation de certificats
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Si aucune liste de blocage actuelle n'a encore été créée, celle-ci doit d'abord être établie. La procédure à suivre est décrite dans l'article „Création et publication d'une liste de révocation de certificats" décrit.
Publication de la liste de révocation des certificats dans Active Directory
La publication de la liste des certificats révoqués peut être effectuée à l'aide de la commande suivante.
certutil -dspublish {Dateiname}
Comme mentionné précédemment, l'utilisateur exécutant doit disposer des droits d'écriture sur l'objet correspondant.
Si l'objet n'existe pas encore, il doit d'abord être créé à l'aide du commutateur „ -f “. Pour cela, des droits d'écriture sur le chemin LDAP supérieur sont nécessaires.
Liens complémentaires :
- Création et publication d'une liste de révocation de certificats
- La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".
- La publication manuelle d'une liste de révocation de certificats (CRL) dans Active Directory échoue avec le message d'erreur 0x8007202b (WIN32 : 8235 ERROR_DS_REFERRAL)
Français 
Deutsch 
English
Les commentaires sont fermés.