Comment fonctionne la révocation, pourquoi l'utiliser et publier une liste de révocation (CRL) ?

7. Publier une liste de révocation delta (CRL delta)

Pour éviter que vos clients ne doivent retélécharger à chaque fois la liste complète de révocation (CRL) ou pour que la révocation soit détectée plus rapidement (étant donné que les CRL delta sont publiées plus fréquemment, par défaut), vous avez la possibilité de publier manuellement une liste de révocation delta (CRL delta) au lieu d'une liste de révocation complète (CRL).

7.1. Utilisation d'un nouveau certificat

Pour ce tutoriel, nous avons délivré un nouveau certificat à notre serveur web.
Ce nouveau certificat est donc valide.

Voici le numéro de série de ce nouveau certificat.

7.2. Révoquer le certificat

Pour révoquer le certificat, ouvrez la console "Autorité de certification" et allez dans la section "Certificats délivrés".

Si besoin, faites un double clic sur le certificat souhaité pour vous assurer qu'il s'agit du bon certificat à révoquer.

Pour être sûr, vous pouvez regarder son numéro de série.

Révoquez ce certificat en faisant un clic droit "Toutes les tâches -> Révoquer un certificat" sur celui-ci.

Choisissez la raison que vous souhaitez indiquer pour la révocation de ce certificat, ainsi que la date à partir de laquelle cette révocation doit prendre effet.
Par défaut, maintenant.

Le certificat révoqué disparait de la liste des certificats délivrés.

Le certificat révoqué apparait dans la liste des certificats révoqués.

7.3. Publier la liste de révocation delta (CRL delta)

Pour que vos serveurs et vos postes clients sachent que ce certificat a été révoqué, vous devez publier son numéro de série dans une liste de révocation (CRL) ou une liste de révocation delta (CRL delta).

Pour cela, faites un clic droit "Toutes les tâches -> Publier" sur le dossier "Certificats révoqués".

Cette fois-ci, nous allons publier une liste de révocation delta (CRL delta).
Pour cela, sélectionnez "Liste de révocation des certificats delta uniquement" et cliquez sur OK.

Pour vérifier que la publication a bien eu lieu, faites un clic droit sur le dossier "Certificats révoqués".
Ensuite, dans l'onglet "Afficher la liste de révocation des certificats" cliquez sur le bouton "Afficher la liste de révocation des certificats delta" (en bas de la fenêtre).

Dans la fenêtre "Liste de révocation des certificats" qui apparait, allez dans l'onglet "Liste de révocation".

Le numéro de série du certificat que vous venez de révoquer apparait dans la liste des certificats révoqués de cette liste de révocation de certificats.

Comme prévu, côté client, l'accès au service protégé avec ce certificat révoqué sera bloqué.

Sur certains postes clients, il est à nouveau possible que l'accès soit toujours possible malgré que le certificat associé ait été révoqué entre temps.

Si tel est le cas, videz le cache de votre navigateur web.

Puis, videz le cache de révocation de votre poste client en exécutant la commande ci-dessous.

Batch

certutil -setreg chain\ChainCacheResyncFiletime @now

Maintenant, l'accès au service associé sera bloqué et l'erreur "Le certificat de cette organisation a été révoqué" apparaitra.