Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Lorsqu'un certificat est révoqué, son numéro de série est ajouté à la liste de révocation. Les entités qui vérifient la révocation d'un certificat le considèrent alors comme non valide.
Autorisations nécessaires
Pour révoquer un certificat, l'utilisateur exécutant a besoin du droit „Issue and Manage Certificates“ sur l'autorité de certification qui a délivré le certificat.
Informations requises
Les informations suivantes sont nécessaires pour la révocation d'un certificat :
- Numéro de série du certificat
- Raison du blocage
Le numéro de série peut notamment être déterminé via l'onglet „Détails“ d'un certificat.
Les possibilités suivantes peuvent être envisagées comme motif de révocation :
| Code | Désignation | Description |
|---|---|---|
| 0 | Non spécifié | Il s'agit du paramètre par défaut, qui indique qu'il n'y a pas de raison particulière pour la révocation. |
| 1 | Compromis clé | La clé privée d'un certificat a été dérobée ou connue d'une autre manière par des tiers non autorisés. |
| 2 | CA Compromise | La clé privée de l'autorité de certification a été dérobée ou connue d'une autre manière par des tiers non autorisés. |
| 3 | Affiliation Changed | Si le contenu du certificat a changé (par ex. le nom de l'utilisateur), un nouveau certificat doit être émis. |
| 4 | Superseded | Le certificat révoqué a été remplacé par un nouveau certificat. |
| 5 | Cessation d'activité | L'exploitation du service faisant partie du certificat a été interrompue, par exemple parce qu'il existe un nouveau service sous un autre nom. |
| 6 | Certificate Hold | Le certificat est révoqué temporairement. Ce type de révocation est le seul qui permette d'annuler la révocation ultérieurement. |
| 8 | Remove from CRL | Si un certificat a été révoqué avec le motif "Certificate Hold" et que des listes de blocage delta sont utilisées, le certificat révoqué avec ce code est maintenu dans la liste de blocage delta jusqu'à ce que l'entrée dans la liste de blocage principale soit supprimée. |
| -1 | Unrevoke | Si un certificat a été révoqué avec le motif "Certificate Hold", ce code permet de le débloquer par ligne de commande. De même, le code d'auditÉvénement 4870 l'annulation de la révocation d'un certificat est signalée par ce code. |
Seul le motif de révocation numéro 6 (Certificate Hold) permet de retirer ultérieurement un certificat de la liste de révocation.
Détails : Révocation d'un certificat émis via la ligne de commande
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
La révocation d'un certificat peut être effectuée à l'aide de la commande de ligne de commande suivante.
certutil -revoke {Seriennummer} {Grundcode}
La commande peut être exécutée directement sur l'autorité de certification, comme indiqué ci-dessus. Dans le cas d'une autorité de certification intégrée à Active Directory, elle peut également être exécutée par un autre membre du domaine si le commutateur -config est spécifié avec la chaîne Config (nom du serveur\Nnom commun) comme argument.
Détails : révocation d'un certificat émis via l'interface utilisateur graphique
Dans la console de gestion des autorités de certification (certsrv.msc), le certificat à révoquer est d'abord identifié. Ensuite, il faut cliquer avec le bouton droit de la souris sur l'entrée de la base de données et sélectionner „All Tasks“ - „Revoke Certificate“.
Dans le dialogue suivant, le motif de la révocation est indiqué. En option, il est possible d'indiquer une date à partir de laquelle le certificat doit être révoqué. Ainsi, une révocation planifiée peut être réalisée à l'avance.
Publier une nouvelle liste de révocation de certificats
Dans un premier temps, le certificat est uniquement marqué comme bloqué dans la base de données des autorités de certification. Il y sera inscrit lors de la prochaine publication de la liste de révocation.
La liste de révocation des certificats est publiée automatiquement par l'autorité de certification. En règle générale, il n'est pas nécessaire de publier de nouvelles listes de révocation de certificats de manière imprévue. Si c'est le cas, la procédure de publication d'une liste de révocation de certificats est décrite dans l'article „Publication d'une liste de révocation de certificats".„Création et publication d'une liste de révocation de certificats" décrit.
Veuillez noter qu'il n'est pas possible de garantir qu'une révocation de certificat soit directement reconnue par tous les participants, car du côté du client, il n'est pas possible d'identifier le certificat. les informations de verrouillage sont mises en mémoire tampon peuvent.
Veuillez noter que les certificats expirés (à l'exception des certificats de signature de code) ne sont plus valables. être retiré de la liste de blocage.
Liens complémentaires :
- Création et publication d'une liste de révocation de certificats
- Principes de base : vérification du statut de révocation des certificats
- Traitement des certificats expirés lors de la délivrance de listes de révocation de certificats
- Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)
Français 
Deutsch 
English
Les commentaires sont fermés.