Créer une autorité de certification racine d'entreprise (Root CA PKI) sous Windows Server 2012 / 2012 R2

10. Révoquer un certificat

Pour commencer, révoquez l'ancien certificat utilisant le modèle "Serveur Web".

Sélectionnez une raison et cliquez sur "Oui'.

Maintenant, ce certificat est affiché dans les certificats révoqués. Pour que les clients sachent que ce certificat est révoqué, vous devez publier la liste des certificats révoqués.

Note : Lorsqu'un certificat est expiré, il apparait dans cette liste.

Pour cela, faites un clic droit sur "Certificats révoqués" et cliquez sur "Toutes les tâches -> Publier".

Lorsque la liste des certificats révoqués est petite, sélectionnez "Nouvelle liste de révocations des certificats".

Lorsque vous aurez révoqués beaucoup de certificats, vous choisirez "Liste de révocation des certificats delta uniquement".

Comme indiqué au début de cette page, les anciens certificats devront être recréés car les listes de révocations ne sont indiquées que pour le protocole ldap.
Le serveur a accès aux listes de révocations via cette adresse mais les clients de votre serveur n'y auront pas accès.

Pour illustrer ce problème, nous avons essayé d'accéder au site sur le serveur et sur un client. Le serveur affiche le message d'erreur "Le certificat de cette organisation a été révoqué".

Mais, le client accède au site malgré que le certificat soit révoqué.

Si vous cliquez sur le lien "Afficher les certificats" et que vous allez dans l'onglet "Détails", vous verrez qu'il n'y a que l'adresse ldap dans cet ancien certificat.

11. Demander un nouveau certificat

Pour que les 3 protocoles soient indiqués dans le certificat, il suffit de refaire une demande de certificat.
Pour cela, référez-vous au point "4. Demander un certificat" de ce tutoriel.

Une fois le certificat créé, faites un double clic dessus et allez dans l'onglet "Détails". Maintenant, les listes de révocations de certificats (Point de distribution de la liste des révocations) sont disponibles pour les 3 protocoles (ldap, http et file).

N'oubliez pas de remplacer l'ancien certificat d’IIS par le nouveau.
Pour cela, lancez le gestionnaire des services Internet (IIS), sélectionnez le site par défaut et cliquez sur "Liaisons" dans la colonne de droite.

Sélectionnez "https" et cliquez sur "Modifier".

Sélectionnez le nouveau certificat dans la liste.
Note : Pour ne pas vous tromper, sélectionnez-en un et cliquez sur "Afficher". Ensuite, regardez dans l'onglet "Détails" pour vérifier que ce certificat contient les 3 protocoles pour les listes de révocations.

Le nouveau certificat est valide sur le serveur et sur les clients.

12. Révoquer le nouveau certificat

Maintenant que nous avons ajouté le protocole "http" pour les listes de révocation dans notre nouveau certificat, nous allons tenter de le révoquer.
Note : La révocation de ce certificat fonctionnera pour tout le monde (le serveur et les clients).

Pour cela, sélectionnez le nouveau certificat (créé avec le modèle "Serveur Web"), faites un clic droit sur ce certificat et cliquez sur "Toutes les tâches -> Révoquer un certificat".

Choisissez une raison et cliquez sur "Oui".

Publiez la nouvelle liste des certificats révoqués.

Pour éviter que le cache ne pose problème pour ce test, nous allons vider le cache des listes de révocation de Windows.
Cela vous évitera d'avoir un certificat révoqué non reconnu comme révoqué.

Pour cela, tapez ces 2 commandes dans un "invite de commandes" lancé en tant qu'administrateur.

Vide le cache de CRL (les listes de révocations de certificats) du disque dur :

Batch

certutil -URLCache CRL –delete

Invalide l'utilisation des CRL en cache dans la mémoire et sur le disque dur :

Batch

certutil –setreg chain\ChainCacheResyncFiletime @now

Source : blogs.technet.com.

Maintenant, votre navigateur web (sur le serveur et sur les clients) vous affichera le message d'erreur "Le certificat de cette organisation a été révoqué".

Note : La révocation d'un certificat bloque l'accès au(x) site(s) concerné(s) par ce certificat.