Installer et configurer un répondeur OCSP pour gérer la révocation des certificats sous Windows Server 2016

7. Régénérer le certificat : Echange d'autorité de certification (CAExchange)

Si une erreur survient pour l'accès à l'emplacement de OCSP, il se peut que le problème vienne simplement du certificat "Echange d'autorité de certification (CAExchange)" qui a été inscrit (délivré) automatiquement de manière transparente.

Source : OCSP Responder - Error in pkiview.msc - Microsoft TechCenter.

En effet, si vous ouvrez la console "Autorité de certification", vous verrez qu'un certificat "Echange d'autorité de certification (CAExchange)" a été délivré.

Pour régler le problème, il suffit de révoquer celui existant en faisant un clic droit "Toutes les tâches -> Révoquer un certificat" sur celui-ci.

Sélectionnez "Certificat remplacé" comme raison de révocation (par exemple).

Ensuite, générer un nouveau certificat d'échange d'autorité de certification (CAExchange) en exécutant la commande suivante :

Batch

certutil -cainfo xchg

Ce qui affichera ceci :

Plain Text

Certificat d'échange d'autorité de certification[0]:
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxx...
-----END CERTIFICATE-----
...

Si vous rafraichissez la liste des certificats délivrés sur votre autorité de certification, vous verrez qu'un nouveau certificat "Echange d'autorité de certification (CAExchange)" a été délivré.

Si vous faites un double clic sur ce certificat et que vous sélectionnez le champ "Accès aux informations de l'autorité", vous verrez que les informations concernant le protocole "OCSP" y ont été ajoutées.

Ce qui n'était pas le cas précédemment.

Maintenant, si vous retestez l'accès à l'emplacement "OCSP" via le composant "PKI d'entreprise", le test devrait réussir.

8. Demander un nouveau certificat (qui inclura le support de l'OCSP)

Maintenant que votre répondeur en ligne et votre autorité de certification sont correctement configurés pour supporter la vérification de la révocation de certificats via le protocole OCSP, il est nécessaire de renouveler les certificats déjà générés (le cas échéant) si vous souhaitez que le protocole OCSP soit utilisable pour ces certificats.
Pour ce tutoriel, nous allons demander un nouveau certificat pour notre serveur web (utilisé uniquement à titre de test).

Pour cela, nous allons utiliser la console "mmc" (par exemple).

Nous choisissons notre modèle de certificat "Serveur Web v2" créé dans notre tutoriel "Sécuriser un serveur web IIS sous Windows Server 2016".

Une fois ce nouveau certificat inscrit, cliquez sur "Détails", puis sur le bouton : Afficher le certificat.

Note : le certificat inscrit est aussi disponible dans votre magasin de certificats "Personnel".

Allez dans l'onglet "Détails" du certificat qui s'affiche et sélectionnez le champ "Accès aux informations de l'autorité".
Si vous regardez à la fin de ce champ, vous verrez qu'une nouvelle section y a été ajoutée :

Plain Text

[3]Accès aux informations sur l'autorité
   Méthode d'accès=Protocole d'état de certificat en ligne (1.3.6.1.5.5.7.48.1)
   Autre nom :
     URL=http://ca.informatiweb.lan/ocsp

9. Tester l'accès à l'adresse OCSP (via l'outil certutil)

Pour tester l'accès à l'adresse OCSP depuis n'importe quel serveur ou ordinateur, vous pouvez utiliser l'outil "certutil".
Néanmoins, pour cela, vous aurez besoin d'un certificat récent (= incluant l'adresse de votre répondeur en ligne OCSP).

Dans notre cas, nous allons exporter le certificat demandé pour notre serveur web via la console "mmc".

Exportez ce certificat sans la clé privée pour obtenir un certificat au format ".cer".

Laissez le format ".cer" sélectionné par défaut.

Le certificat souhaité a été exporté au format ".cer".

Maintenant, pour tester l'accès à l'adresse OCSP qui s'y trouve utilisez l'outil "certutil" en indiquant le chemin du certificat souhaité pour le paramètre "-url" :

Batch

certutil -url nom_du_certificat.cer

Bien qu'il s'agisse d'un outil en ligne de commandes en temps normal, vous verrez que le paramètre "-url" de certutil affichera une fenêtre "Outil de récupération d'URL".
Pour détecter et tester le chemin OCSP qui se trouve dans votre certificat, sélectionnez l'option "OCSP (de AIA)" et cliquez sur le bouton : Extraire.

L'adresse OCSP détectée dans ce certificat apparait et l'état sera "Vérifié" si certutil arrive à accéder à cette adresse OCSP.