Publier des CRLs accessibles via le web (HTTP) sur une autorité sous Windows Server 2016

8. Tester la validité des chemins d'accès présents dans les extensions CDP et AIA des certificats (via certutil)

Pour tester la validité des chemins d'accès présents dans les extensions CDP et AIA de vos certificats depuis n'importe quel serveur ou ordinateur, vous pouvez utiliser l'outil : certutil.
Néanmoins, pour cela, vous aurez besoin d'un certificat récent où les nouveaux chemins d'accès (CDP et AIA) ont été inclus.

Dans notre cas, nous utiliserons le certificat que nous avons délivré à notre serveur web après l'ajout des chemins d'accès en HTTP.

Lancez un invite de commandes et utilisez la commande ci-dessous en adaptant le chemin du certificat que vous souhaitez tester :

certutil -url C:\Users\Administrateur.INFORMATIWEB\Documents\web.cer

Bien que "certutil" soit un outil en ligne de commandes, vous verrez que cette fois-ci, une fenêtre "Outil de récupération d'URL" apparaitra.
En bas à gauche de cette fenêtre, vous verrez l'objet (nom commun) du certificat référencé dans la commande exécutée précédemment.

Pour tester l'accès aux listes de révocation de certificats de ce certificat depuis le serveur ou ordinateur où vous vous trouvez, spécifier un délai d'expiration à gauche (3 secondes sont suffisantes en local) et sélectionnez l'option "Listes CRL (de CDP)" (en bas à droite), puis cliquez sur : Extraire.

Certutil va détecter les URLs présentes dans l'extension "Points de distribution de la liste de révocation des certificats" (CDP) de votre certificat et tester s'il peut accéder à celles-ci.
Si le statut est "Vérifié", c'est bon.

Sinon, vérifiez que le chemin d'accès détecté est correct et vérifiez que vous pouvez y accéder depuis ce serveur ou ordinateur.

Important : si une des URLs est incorrecte et que vous la corrigez via l'onglet "Extensions" des propriétés de votre autorité de certification, rappelez-vous que vous devrez régénérer le certificat concerné pour que les nouveaux chemins d'accès soient présents dans l'extension CDP de ce certificat.

Vous pouvez également détecter et tester les URLS présentes dans l'extension "Accès aux informations sur l'autorité" (AIA) de votre certificat en sélectionnant "Certificats (de AIA)", puis en cliquant à nouveau sur : Extraire.

Cet outil de récupération d'URL va détecter les chemins d'accès AIA présents dans le certificat souhaité et tester s'il peut accéder à ces URLs.
Si cet outil peut accéder à ces URLs, le statut sera "Vérifié".

9. Tester la validité des chemins d'accès présents dans les extensions CDP et AIA des certificats (via le composant PKI Entreprise)

Sur votre autorité de certification, vous pourrez tester graphiquement les URLs CDP et AIA configurées dans les extensions de celle-ci en lançant une console "mmc".

Dans la console qui s'affiche, cliquez sur : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.

Sélectionnez le composant "PKI d'entreprise" et cliquez sur : Ajouter.

Note : ce composant logiciel enfichable correspond au fichier "pkiview.msc".

Ensuite, cliquez sur OK.

Ce composant "PKI d'entreprise" testera automatiquement l'accès aux différents emplacements configurés dans les extensions de votre autorité de certification :

• Certificat d'autorité de certification
• Emplacement de AIA #1 et #2
• Emplacement de CDP #1 et #2
• Emplacement de DeltaCRL #1