6.5.3 Configuration de la vérification de la révocation des certificats

Les connexions Reflection SSL/TLS et Secure Shell peuvent être configurées de manière à utiliser des certificats numériques Partie intégrante d'une infrastructure de clés publiques. Les certificats numériques (également appelés certificats X.509) sont émis par une autorité de certification, qui veille à la validité des informations précisées sur le certificat. Chaque certificat contient des informations d’identification relatives à son propriétaire, une copie de la clé publique de son propriétaire (utilisée pour le chiffrement et le déchiffrement des messages et des signatures numériques), ainsi qu’une signature numérique (générée par l’autorité de certification à partir du contenu du certificat). La signature numérique permet à un destinataire de vérifier la fiabilité du certificat en s’assurant qu’il n’a pas été falsifié. pour l'authentification des hôtes. Pour vous assurer que les certificats n'ont pas été révoqués, vous pouvez configurer Reflection afin qu'il vérifie leur révocation au moyen de listes CRL Liste signée numériquement de certificats révoqués par l’autorité de certification. Les certificats identifiés dans une CRL ne sont plus valides. ou d'un serveur OCSP Protocole (utilisant le canal HTTP) pouvant être utilisé en remplacement de la vérification CRL pour confirmer la validité d’un certificat. Un répondeur OCSP répond aux demandes de statut des certificats avec l’une des trois réponses signées numériquement suivantes : « valide », « révocation » et « inconnu ». L'utilisation du protocole OCSP évite aux serveurs et/ou aux clients d'avoir à obtenir et à trier des listes CRL volumineuses. .

Lorsque la vérification CRL est activée, Reflection recherche toujours des CRL dans l'emplacement spécifié dans le champ CDP (CRL Distribution Point) du certificat. De plus, Reflection peut également être configuré pour rechercher les listes CRL situées dans un répertoire LDAP Protocole standard utilisé pour stocker des informations dans un emplacement centralisé et les distribuer aux utilisateurs. ou pour utiliser un serveur OCSP Protocole (utilisant le canal HTTP) pouvant être utilisé en remplacement de la vérification CRL pour confirmer la validité d’un certificat. Un répondeur OCSP répond aux demandes de statut des certificats avec l’une des trois réponses signées numériquement suivantes : « valide », « révocation » et « inconnu ». L'utilisation du protocole OCSP évite aux serveurs et/ou aux clients d'avoir à obtenir et à trier des listes CRL volumineuses. .

La valeur par défaut de Reflection pour la révocation des certificats dépend de votre paramétrage système actuel. Si votre système est configuré pour la vérification CRL, toutes les sessions Reflection utiliseront les listes CRL par défaut pour vérifier la révocation des certificats.

REMARQUE :Lorsque Reflection s'exécute en mode Infrastructure de clés publiques DOD (Department of Defense, Ministère de la Défense des États-Unis), la révocation des certificats ne peut pas être désactivée.

Pour activer la vérification CRL pour toutes les sessions SSH

  1. Dans Internet Explorer, sélectionnez Outils > Options Internet > Avancé.

  2. Sous Sécurité, sélectionnez Vérifier la révocation du certificat serveur.

Dans Reflection, vous pouvez activer la vérification de la révocation des certificats en utilisant un fichier CRL ou un serveur OCSP.

Pour activer la vérification CRL pour une session Secure Shell

  1. Ouvrez la boîte de dialogue Paramètres de Secure Shell.

  2. Cliquez sur l'onglet Infrastructure de clés publiques.

  3. Sélectionnez Utiliser OCSP (Online Certificate Status Protocol) ou Utiliser CRL (Certificate Revocation List).

Pour activer la vérification CRL pour les sessions SSL/TLS

  1. Ouvrez la boîte de dialogue Propriétés relatives à la sécurité.

  2. Dans l'onglet SSL/TLS, cliquez sur Configuration de l'infrastructure de clés publiques. ( L'option Utiliser la sécurité SSL/TLS doit être sélectionnée.)

  3. Sélectionnez Utiliser OCSP (Online Certificate Status Protocol) ou Utiliser CRL (Certificate Revocation List).

REMARQUE :Les listes CRL et/ou les serveurs OCSP requis par un certificat sont identifiés dans l'extension AIA et/ou CDP du certificat. Si le certificat ne précise pas ces informations, vous pouvez utiliser les onglets OCSP et LDAP du Gestionnaire de certificats de Reflection pour les configurer.