Installer et configurer un répondeur OCSP pour gérer la révocation des certificats sous Windows Server 2016

  • Windows Server
  • AD CS
  • 3/4

5. Configuration du répondeur en ligne (OCSP)

Maintenant que le chemin OCSP vers votre répondeur en ligne sera inclus dans les nouveaux certificats que votre autorité de certification inscrira (délivrera), vous pouvez configurer votre répondeur en ligne.
Pour cela, ouvrez la console "Gestion des répondeurs en ligne" et faites un clic droit "Ajouter une configuration de révocation" sur "Configuration de révocation".

L'assistant "Ajouter une configuration de révocation" apparait.
Cliquez sur Suivant.

Indiquez un nom pour cette configuration.
Par exemple : [nom de votre autorité de certification] - OCSP.

Pour spécifier le certificat de votre autorité de certification, vous avez plusieurs possibilités.
Néanmoins, dans le cas d'une autorité de certification d'entreprise, le plus simple est de récupérer le certificat de votre autorité de certification depuis l'Active Directory.
Pour cela, choisissez la 1ère option : Sélectionner un certificat pour une autorité de certification d'entreprise existante.

Sélectionnez "Parcourir les certificats d'autorité de certification publiés dans Active Directory" et cliquez sur : Parcourir.

Sélectionnez votre autorité de certification dans la liste qui s'affiche et cliquez sur OK.

Le nom de l'autorité de certification choisie apparait en bleu.
Cliquez sur Suivant.

Comme expliqué précédemment, lorsque votre répondeur en ligne (OCSP) répond à un client pour lui indiquer si un certificat est révoqué ou non, celui-ci signe toujours sa réponse.
Pour cela, il a besoin d'un certificat de signature. Néanmoins, comme nous l'avons aussi précisé précédemment lors de la création du nouveau modèle de certificat "Signature de réponse OCSP v2", la durée de validité de ce certificat est très courte pour des raisons de sécurité.
Il est donc préférable d'activer l'inscription automatique pour obtenir ce certificat de signature OCSP automatiquement et pour que son renouvellement soit aussi automatique.

Pour cela :

  • choisissez l'option : Sélectionner automatiquement un certificat de signature
  • assurez-vous que cette case est cochée : Inscription automatique pour un certificat de signature OCSP
  • sélectionnez le nouveau modèle de certificat "Signature de réponse OCSP v2" créé précédemment (si ce n'est pas déjà fait automatiquement)

Ensuite, cliquez sur Suivant.

A l'étape "Fournisseur de révocation", cliquez sur le bouton "Fournisseur" affiché.

Comme expliqué au début de ce tutoriel, le répondeur en ligne (OCSP) télécharge périodiquement les listes de révocations de certificats (CRL et CRL delta) publiées par votre autorité de certification.
Ce qui lui permet ensuite de répondre aux clients lorsque ceux-ci souhaitent vérifier la révocation d'un certificat émis par votre autorité de certification.

Pour le moment, notre répondeur connait l'adresse des listes de révocation des certificats de base (CRL), mais pas l'adresse pour les listes delta (CRL delta).
Etant donné que le chemin "ldap://" est identique pour les listes de révocation des certificats de base (CRL) et pour les listes delta (CRL delta), il vous suffit de copier le chemin "ldap://" fourni et de le coller pour le téléchargement des listes delta.

Pour cela, sélectionnez le chemin "ldap://" proposé dans la 1ère liste (Listes de révocation des certificats de base) et cliquez sur le bouton : Modifier.

Copiez le lien qui s'affiche et fermez cette fenêtre.

Cliquez sur le bouton "Ajouter" sous la 2ème liste (Listes de révocation des certificats delta).

Collez le chemin "ldap://" copié précédemment et cliquez sur OK.

Le lien "ldap://" copié-collé apparait également dans la liste "Listes de révocation des certificats delta".

Notez que par défaut, le répondeur en ligne télécharge périodiquement (le délai utilisé correspond à la durée de validité de ces listes de révocation configurée dans les propriétés de votre autorité de certification).
Pour changer ce délai (de minimum 3 minutes), décochez la case "Actualiser les listes de révocation des certificats sur la base de leur période de validité" et indiquez le délai souhaité en minutes dans la case "Mettre à jour les listes de révocation des certificats selon cet intervalle d'actualisation (minutes)".
Dans notre cas, nous avons spécifié un délai de 10 minutes.

Ensuite, cliquez sur OK.

Pour finir, cliquez sur : Terminer.

Si la configuration de votre répondeur en ligne se passe bien, vous verrez que l'état de configuration de révocation est "En cours de calcul" et que l'icône est verte.
Sinon, reportez-vous à l'erreur affichée.

Si vous déployez le noeud "Configuration de groupe" et que vous sélectionnez le nom DNS de votre serveur, vous verrez que le certificat de signature est OK.

Note : si le certificat de signature est manquant alors que vous aviez choisi l'inscription automatique durant l'assistant de configuration de votre répondeur en ligne, c'est qu'un problème de droit s'est produit.
Assurez-vous que le compte d'utilisateur avec lequel vous êtes connecté, ainsi que le compte d'ordinateur correspondant au serveur où le répondeur en ligne est installé possèdent les droits "Lecture" et "Inscrire".
Ensuite, supprimez la configuration créée ici et recommencez l'assistant pour que l'inscription automatique du certificat de signature de réponse OCSP ait de nouveau lieu.

Si vous cliquez sur le lien "Afficher un certificat de signature" affiché, vous verrez que le rôle de ce certificat est : Signature OCSP.

6. Tester l'accès à l'adresse OCSP (via le composant : PKI d'entreprise)

Pour tester l'accès à l'adresse OCSP configurée dans les extensions de votre autorité de certification, ouvrez une console "mmc" sur votre autorité de certification et allez dans : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.

Sélectionnez le composant "PKI d'entreprise" et cliquez sur : Ajouter.

Note : ce composant n'est présent que sur le serveur où vous avez installé le service de rôle "Autorité de certification".

Ensuite, cliquez sur OK.

Ce composant "PKI d'entreprise" va détecter et tester automatiquement l'accès aux différents emplacements :

  • AIA : pour l'accès aux informations concernant votre autorité de certification.
  • CDP : pour l'accès aux listes de révocation publiées par votre autorité de certification.
  • OCSP : pour l'accès au répondeur en ligne (OCSP) permettant aux clients de vérifier rapidement la révocation d'un certificat via le protocole OCSP.

Si tout se passe bien, le statut devrait être "OK" pour tous ces emplacements.
Si une erreur survient pour l'accès à l'emplacement OCSP, référez-vous à l'étape suivante de ce tutoriel.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.