Installer et configurer un répondeur OCSP pour gérer la révocation des certificats sous Windows Server 2016

3. Créer un modèle de certificat personnalisé pour la signature de réponse OCSP

Comme indiqué à la 1ère étape de ce tutoriel, lorsqu'un client vérifie auprès d'un répondeur en ligne (OCSP) si un certificat a été révoqué, il reçoit une réponse signée qui lui indique si oui ou non celui-ci a été révoqué.

Pour que cette réponse OSCP puisse être signée, vous aurez donc besoin d'un modèle de certificat adapté.
En l'occurrence, le modèle de certificat "Signature de réponse OCSP" présent par défaut sur votre autorité de certification.

Ouvrez la console "Autorité de certification" et faites un clic droit "Gérer" sur le dossier "Modèles de certificats".

Dans la liste des modèles de certificat existants, vous trouverez le modèle de certificat "Signature de réponse OCSP" cité précédemment.

Faites un clic droit "Dupliquer le modèle" sur celui-ci.

Indiquez un nom pour ce nouveau modèle de certificat.
Dans notre cas : Signature de réponse OCSP v2.

Important : par défaut, la période de validité est de seulement 2 semaines.
La raison de cette durée très courte est due au fait que le client ne vérifiera jamais la révocation du certificat de signature OCSP utilisé par votre répondeur en ligne.
En effet, vous comprendrez aisément que si le client doit vérifier la révocation de la 1ère réponse OCSP en renvoyant une seconde demande au répondeur en ligne OCSP, celui-ci devrait renvoyer une 3ème demande pour vérifier la révocation de la 2ème réponse OCSP, ...

Dans l'onglet "Traitement de la demande", cochez la case "Autoriser l'exportation de la clé privée" pour pouvoir exporter plus tard le certificat délivré, ainsi que sa clé privée si vous le souhaitez.

Lorsque votre répondeur en ligne souhaite signer une réponse OCSP à envoyer à un client, celui a besoin d'accéder à la clé privée du certificat en tant que service réseau.
Donc, vous devez autoriser le compte système "Service réseau" à accéder à cette clé privée.
Pour cela, cliquez sur le bouton "Autorisations de la clé".

Dans la fenêtre d'autorisation qui apparait, cliquez sur le bouton : Ajouter.

Indiquez "service" et cliquez sur le bouton "Vérifier les noms".

Sélectionnez le compte "SERVICE RESEAU" qui apparait et cliquez sur OK.

Cliquez sur OK.

Accordez-lui toutes les autorisations : Lecture et Contrôle total.

Dans l'onglet "Sécurité", vous verrez comme d'habitude que les utilisateurs authentifiés ont un droit de Lecture.
Sans ce droit de lecture, le modèle de certificat ne serait pas visible et aucun certificat ne pourrait donc être inscrit via ce modèle de certificat.

Comme vous pouvez le voir, les administrateurs du domaine ont par défaut le droit d'inscrire des certificats en utilisant ce modèle de certificat.
Néanmoins, pour que votre répondeur en ligne puisse obtenir un certificat de signature de réponse OCSP automatiquement lorsque vous configurerez celui-ci, il est important que le serveur où celui-ci est installé ait le droit d'inscrire un certificat en utilisant ce modèle de certificat.
Pour cela, cliquez sur le bouton : Ajouter.

Dans la petite fenêtre qui s'affiche, cliquez sur le bouton : Types d'objets.

Cochez la case "des ordinateurs" et cliquez sur OK.

Indiquez le nom de votre serveur où le service de rôle "Répondeur en ligne" est installé.
Dans notre cas : CA.

Puis, cliquez sur OK.

Accordez-lui au moins les droits :

• Lecture : pour que ce serveur puisse voir ce modèle de certificat
• Inscrire : pour que ce serveur puisse obtenir (inscrire) un certificat de signature de réponse OCSP lorsque celui-ci le demandera.
  Ce certificat sera délivré lorsque vous configurerez votre répondeur en ligne (OCSP).

Ensuite, cliquez sur OK.

Le nouveau modèle de certificat créé apparait dans la liste des modèles de certificats existants.

Comme d'habitude, pour qu'un serveur puisse obtenir un certificat en utilisant ce modèle de certificat, vous devrez ajouter ce modèle de certificat à la liste des modèles de certificat à délivrer de votre autorité de certification.
Pour cela, faites un clic droit "Nouveau -> Modèle de certificat à délivrer" sur le dossier "Modèles de certificats".

Dans la fenêtre "Activer les modèles de certificat" qui apparait, sélectionnez le modèle de certificat que vous venez de créer (dans notre cas : Signature de réponse OCSP v2) et cliquez sur OK.

Le nouveau modèle de certificat à délivrer apparait.

4. Ajouter le chemin du répondeur en ligne (OCSP) dans vos certificats

Pour que vos clients sachent qu'ils peuvent vérifier rapidement la validité d'un certificat en utilisant le protocole OCSP, il faut que vous indiquiez le chemin d'accès à votre répondeur en ligne dans les informations de vos certificats.

Pour cela, dans la console "Autorité de certification", faites un clic droit "Propriétés" sur le nom de votre autorité de certification.

Pour que vos clients puissent connaitre l'adresse de votre répondeur en ligne (OCSP), vous devez indiquer celle-ci dans l'extension AIA de vos certificats.
Pour cela, dans l'onglet "Extensions", sélectionnez l'extension "Accès aux informations de l'autorité (AIA)" dans la liste située en haut de la fenêtre, puis cliquez sur le bouton "Ajouter".

Indiquez l'adresse du dossier "ocsp" créé sur le serveur web IIS où vous avez installé le service de rôle "Répondeur en ligne".
Si vous avez installé le répondeur en ligne (OCSP) sur le même serveur que votre autorité de certification, vous pouvez indiquer l'adresse : "http://<Nom du serveur DNS>/ocsp".

Note : "<Nom du serveur DNS>" est une variable qui sera remplacée automatiquement par le nom DNS du serveur où est installée votre autorité de certification lorsque ce chemin sera ajouté dans l'extension AIA de vos certificats.

Sélectionnez le chemin "http://.../ocsp" que vous venez d'ajouter et cochez la case "Inclure dans l'extension OCSP (Online Certificate Status Protocol)" pour que ce chemin soit ajouté dans les informations de vos futurs certificats.
Ensuite, cliquez sur OK.

Confirmez le redémarrage des services de certificats Active Directory en cliquant sur Oui.