Menu
InformatiWeb Pro
  • Index
  • Admin système
  • Virtualisation

Connexion

Inscription Mot de passe perdu ?
US
  • Windows Server
    • WMS 2012
    • WS2012 R2
    • WS2016
  • Citrix
    • Citrix NetScaler Gateway
    • Citrix XenApp / XenDesktop
    • Citrix XenServer
  • VMware
    • VMware ESXi
    • VMware vSphere
    • VMware Workstation
  • Microsoft
    • Hyper-V
  • RAID
    • Adaptec SmartRAID
  • UPS
    • APC Back-UPS Pro
  • InformatiWeb Pro
  • Admin système
  • Windows Server
  • Formations
  • Apprendre à utiliser les services de certificats Active Directory (AD CS) sous WS 2016
  • Installer et configurer un répondeur OCSP
17 / 21
  • Créer un agent de récupération
  • Sauvegarder et restaurer une CA
  • Windows Server
  • 10 novembre 2023 à 13:13
  • InformatiWeb
  • 1/4

Installer et configurer un répondeur OCSP pour gérer la révocation des certificats sous Windows Server 2016

Lorsque vous déployez une infrastructure PKI, vous émettez des certificats grâce à votre propre autorité de certification et vous pouvez révoquer certains de ceux-ci avant leur date d'expiration si un certificat n'est plus utilisé ou que vous pensez qu'un pirate a pu accéder à la clé privée associée à ce certificat.
Par défaut, vos clients peuvent vérifier la révocation d'un certificat en téléchargeant les listes de révocation de certificats publiées automatiquement par votre autorité.
Néanmoins, depuis Windows Server 2008 et Windows Vista, vous pouvez utiliser un nouveau protocole nommé OCSP pour la vérification de la révocation de vos certificats.

  1. Qu'est-ce qu'OCSP ?
  2. Installer un répondeur en ligne (serveur OCSP)
  3. Créer un modèle de certificat personnalisé pour la signature de réponse OCSP
  4. Ajouter le chemin du répondeur en ligne (OCSP) dans vos certificats
  5. Configuration du répondeur en ligne (OCSP)
  6. Tester l'accès à l'adresse OCSP (via le composant : PKI d'entreprise)
  7. Régénérer le certificat : Echange d'autorité de certification (CAExchange)
  8. Demander un nouveau certificat (qui inclura le support de l'OCSP)
  9. Tester l'accès à l'adresse OCSP (via l'outil certutil)

1. Qu'est-ce qu'OCSP ?

OCSP (Online Certificate Status Protocol) est un nouveau protocole apparu avec Windows Server 2008 et Windows Vista et qui permet à un client de vérifier rapidement si un certificat spécifique a été révoqué ou non par votre autorité de certification.

Le principal avantage d'OCSP est que la vérification de la révocation d'un certificat est beaucoup plus rapide et qu'elle nécessite moins de bande passante réseau.

En effet, en temps normal, lorsqu'un client souhaite vérifier si un certificat a été révoqué par votre autorité de certification, il télécharge les listes de révocation publiées par celle-ci pour vérifier si le numéro de série du certificat souhaité s'y trouve.
Ce qui nécessite de télécharger beaucoup de fichiers ".crl" pour vérifier un seul certificat.

Lorsque vous utilisez un répondeur en ligne (pour bénéficier du protocole OCSP) :

  • le répondeur en ligne (OCSP) télécharge les listes de révocation de votre autorité de certification à intervalle régulier.
  • le client envoit une requête au répondeur en ligne (OCSP) pour savoir si un certificat spécifique a été révoqué.
  • le répondeur en ligne vérifie si le certificat souhaité a été révoqué et renvoit une réponse signée au client pour lui indiquer si oui ou non, celui-ci a été révoqué.

2. Installer un répondeur en ligne (serveur OCSP)

Pour installer un répondeur en ligne (serveur OCSP), ouvrez le gestionnaire de serveur et cliquez sur : Ajouter des rôles et des fonctionnalités.

Choisissez : Installation basée sur un rôle ou une fonctionnalité.

Dans notre cas, nous installerons ce répondeur en ligne sur le même serveur que notre autorité de certification.

Déployez le noeud "Services de certificats Active Directory" et cochez la case "Répondeur en ligne".

Lancez l'installation du nouveau service de rôle : Répondeur en ligne.

Patientez pendant l'installation du répondeur en ligne.

Une fois l'installation de ce service de rôle terminée, cliquez sur le lien "Configurer les services de certificats Active Directory sur le serveur de destination" qui s'affiche.

L'assistant de configuration des services de certificats Active Directory apparait.
Cliquez sur Suivant.

Cochez la case "Répondeur en ligne" et cliquez sur Suivant.

Cliquez sur Configurer.

Le statut "Configuration réussie" apparait.
Cliquez sur Fermer.

Cliquez sur Fermer.

Si vous ouvrez le gestionnaire des services Internet (IIS) sur le serveur où vous venez d'installer votre répondeur en ligne, vous verrez qu'un nouveau dossier "ocsp" a apparu dans le site web par défaut (Default Web Site).

Pour configurer votre répondeur en ligne, vous devrez ouvrir la console : Gestion des répondeurs en ligne.

La console "Gestion des répondeurs en ligne" apparait.

Page suivante

Partager ce tutoriel

Partager
Tweet

A voir également

  • A quoi sert et comment fonctionne le chiffrement ?

    Articles 8/9/2023

    A quoi sert et comment fonctionne le chiffrement ?

  • SafeNet Authentication Client (SAC) - Installation et présentation

    Articles 26/1/2024

    SafeNet Authentication Client (SAC) - Installation et présentation

  • WS 2016 - AD CS - Acheter des cartes à puce et se connecter via celles-ci

    Windows Server 19/1/2024

    WS 2016 - AD CS - Acheter des cartes à puce et se connecter via celles-ci

  • WS 2016 - AD CS - Activer et utiliser l'inscription automatique de certificats

    Windows Server 13/10/2023

    WS 2016 - AD CS - Activer et utiliser l'inscription automatique de certificats

Commentaires

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

  • Logiciels (Admin système)
  • Logiciels Linux
  • Nos programmes
  • Conditions générales
  • Donnez votre avis

Contact

  • Livre d'or
  • Support technique
  • Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.