Si une configuration de blocage est configurée pour un répondeur en ligne, il existe différentes possibilités de réglage qui sont abordées ci-dessous.
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Algorithme de hachage
Indique l'algorithme utilisé pour signer la réponse OCSP.
Les valeurs valides sont :
| Algorithme | Notes |
|---|---|
| MD2 | obsolète, non recommandé |
| MD4 | obsolète, non recommandé |
| MD5 | obsolète, non recommandé |
| SHA1 | obsolète, non recommandé, valeur par défaut |
| SHA256 | valeur standard recommandée selon RFC 6960 |
| SHA384 | |
| SHA512 |
Ne demandez pas de justificatifs pour les opérations cryptographiques.
Dans la mesure où la clé privée du certificat de signature de réponse OCSP est protégée de manière supplémentaire (par exemple par un mot de passe ou un module de sécurité matériel nécessitant une interaction lors du chargement de la clé), la boîte de dialogue correspondante serait présentée lors du chargement de la clé privée (démarrage du service de répondeur en ligne ou premier chargement d'une configuration de verrouillage).
Si cette option est activée (paramètre par défaut), aucune boîte de dialogue ne s'affiche, mais la configuration de verrouillage passerait silencieusement à un état d'erreur.
Cette option est représentée par le drapeau „OCSP_SF_SILENT“ (0x1).
Utiliser automatiquement les certificats de signature renouvelés
Si cette option est activée (par défaut pour les configurations en ligne), le répondeur en ligne utilise automatiquement de nouveaux certificats de signature de réponse OCSP. Ainsi, aucune attribution manuelle par un administrateur n'est nécessaire.
Cette option est représentée par le drapeau „OCSP_SF_ALLOW_SIGNINGCERT_AUTORENEWAL“ (0x4).
Activer le support d'extension NONCE
Si l'option est activée et qu'une requête OCSP contient l'extension Number used only Once (NONCE), le cache côté serveur est ignoré et une nouvelle réponse est générée, qui contient le NONCE demandé.
Veuillez noter que NONCE n'est utilisé que si un client OCSP l'utilise. Le client Microsoft OCSP ne supporte pas l'extension NONCE.
Le client Microsoft OCSP ne supporte pas l'extension nonce.
Guide d'installation, de configuration et de dépannage du répondeur en ligne (Microsoft)
Cette option est représentée par le drapeau „OCSP_SF_ALLOW_NONCE_EXTENSION“ (0x100).
Utiliser un certificat de signature OCSP valide
Si l'option n'est pas activée (paramètre par défaut), seuls les certificats de signature de réponse OCSP délivrés par la même autorité de certification sont utilisés.
Si cette option est activée, le répondeur en ligne peut utiliser tous les certificats de signature qui contiennent l„“OCSP-Signing" Extended Key Usage, quelle que soit l'autorité de certification qui les a délivrés.
Cette option est représentée par le drapeau „OCSP_SF_FORCE_SIGNINGCERT_ISSUER_ISCA“ (0x8).
Identifiants du répondeur en ligne
Spécifie si l'ID du répondeur de la réponse OCSP contient le nom du sujet ou le hachage de la clé (somme de contrôle SHA1 de la clé privée, paramètre par défaut) du certificat de signature de réponse OCSP (voir RFC 6960).
Le réglage est représenté par les deux drapeaux suivants :
| Art | Drapeau |
|---|---|
| Hachage de la clé | OCSP_SF_RESPONDER_ID_KEYHASH (0x40) |
| Nom du sujet | OCSP_SF_RESPONDER_ID_NAME (0x80) |
Liens complémentaires :
Sources externes
- Guide d'installation, de configuration et de dépannage du répondeur en ligne (Microsoft)
- IOCSPCAConfiguration::get_SigningFlags méthode (certadm.h) (Microsoft)
- Installer, configurer et dépanner le répondeur en ligne (Microsoft's OCSP Responder) (Microsoft, lien archive)
- RFC 6960 - X.509 Internet Public Key Infrastructure / Online Certificate Status Protocol - OCSP (Internet Engineering Task Force)
Français 
Deutsch 
English
Les commentaires sont fermés.