Publier des CRLs accessibles via le web (HTTP) sur une autorité sous Windows Server 2016 - Windows Server - Tutoriels

Par défaut, les listes de révocation de certificats complètes (CRL) et les listes de révocation de certificats delta (CRL delta) sont accessibles uniquement via le protocole LDAP.
Autrement dit, par défaut, seuls les ordinateurs et serveurs membres de votre domaine Active Directory peuvent vérifier la révocation des certificats utilisés dans votre entreprise.

Néanmoins, vous verrez qu'il est également possible d'accéder à ces listes de révocation (CRL et CRL delta) via le protocole HTTP si vous le souhaitez.

1. Installer l'interface web de votre autorité de certification

Pour que vos clients puissent accéder aux listes de révocation grâce au protocole HTTP, vous avez évidemment besoin d'un serveur web (IIS dans le cas de Windows Server).
Néanmoins, vous pouvez aussi installer l'interface web de votre autorité de certification comme expliqué dans notre tutoriel : Installer l'interface web d'une autorité de certification (CA) sous Windows Server 2016.

En effet, lorsque vous installez ce service de rôle, le serveur web IIS sera installé et configuré automatiquement pour permettre l'accès aux listes de révocation en HTTP.

L'ajout du service de rôle "Inscription de l'autorité de certification via le Web" ajoutera aussi le rôle "Serveur Web (IIS)" pour le support du protocole HTTP.

2. Interface web de l'autorité de certification installée

Une fois le service de rôle "Inscription de l'autorité de certification via le Web" de votre autorité de certification installé et configuré, ouvrez le gestionnaire des services Internet (IIS) qui a été automatiquement installé.
Dans ce gestionnaire des services Internet (IIS), déployez le noeud "Default Web Site" et vous verrez que 2 dossiers sont présents pour ce site :

CertEnroll : contient le certificat public de votre autorité, ainsi que les listes de révocation de certificats complètes (CRL) et delta (CRL delta).
CertSrv : permet d'accéder à l'interface web de votre autorité de certification pour demander des certificats depuis n'importe quel ordinateur ou serveur autorisé à le faire ou télécharger le certificat de votre autorité de certification.

Comme vous pouvez le voir, si vous accédez au dossier "certsrv" de ce serveur web via un navigateur web, vous arriverez sur l'interface web de votre autorité de certification.

3. Listes de révocation de certificats accessible via le web

Comme expliqué précédemment, lorsque vous installez l'interface web de votre autorité de certification, un dossier virtuel nommé "CertEnroll" est également configuré par défaut sur le site web par défaut (Default Web Site).
Pour voir son contenu, sélectionnez ce dossier "CertEnroll" et cliquez sur le lien "Explorer" (dans la colonne de droite).

Comme vous pouvez le voir, ce dossier virtuel "CertEnroll" présent sous IIS pointe sur le dossier physique "C:\Windows\system32\CertSrv\CertEnroll".
Dans ce dossier, vous trouverez :

un certificat "[nom DNS de l'autorité de certification]_[nom commun de l'autorité de certification].crt" : correspond au certificat public de votre autorité de certification.
un fichier "[nom de l'autorité de certification].crl" : la liste de révocation de certificats complète (CRL)
un fichier "[nom de l'autorité de certification]+.crl" : la liste de révocation de certificats delta (CRL delta)
nsrev_[nom de l'autorité de certification].asp : un script utilisé par IIS.

Si vous ouvrez le certificat ".crt" présent, vous verrez qu'il s'agit effectivement du certificat de votre autorité de certification.
Celui-ci est référencé dans vos certificats grâce à l'extension AIA incluse dans vos certificats.

Si vous allez dans l'onglet "Détails" de ce certificat et que vous sélectionnez le champ "Contraintes de base", vous verrez qu'il s'agit d'un certificat d'autorité de certification.

Si vous faites un double clic sur le fichier "[nom de l'autorité de certification].crl", vous verrez qu'il s'agit de la liste de révocation de certificats complète (CRL) de votre autorité de certification.

Si vous allez dans l'onglet "Liste de révocation" de cette liste de révocation de certificats, vous verrez la liste des numéros de série des certificats qui ont été révoqués sur votre autorité de certification.

Si vous faites un double clic sur le fichier avec un "+" à la fin ([nom de l'autorité de certification].crl), vous verrez qu'il s'agit de la liste de révocation de certificats delta (CRL delta) de votre autorité de certification.

Si vous allez dans l'onglet "Liste de révocation" de cette liste de révocation des certificats delta (CRL delta), vous pourrez voir la liste des certificats qui ont été révoqués après la publication de la liste de révocation des certificats complète (CRL).

Comme vous pouvez le voir, le script ASP présent dans ce dossier est utilisé pour la vérification de la révocation des certificats.

Notez que pour que les listes de révocation delta soient aussi accessibles via ce dossier virtuel "CertEnroll", il faut qu'un paramètre de configuration spécifique soit correctement configuré.
Ce qui est le cas par défaut si vous avez installé l'interface web de votre autorité de certification.

Néanmoins, si vous avez créé manuellement ce dossier virtuel sur un serveur web IIS déjà existant, il est nécessaire de vérifier sa configuration.
Pour cela, sélectionnez votre dossier virtuel "CertEnroll" et allez dans l'éditeur de configuration.

Dans l'éditeur de configuration qui apparait, allez dans la section : system.webServer\security\requestFiltering.

Dans le tableau qui apparait, assurez-vous que la valeur du paramètre "allowDoubleEscaping" est "True".
Ce qui autorise l'accès aux fichiers contenant des caractères spéciaux dans leur nom (dont la liste de révocation de certificats delà dont le nom de fichier termine par un "+").