Lorsque vous déployez une infrastructure PKI, vous émettez des certificats grâce à votre propre autorité de certification et vous pouvez révoquer certains de ceux-ci avant leur date d'expiration si un certificat n'est plus utilisé ou que vous pensez qu'un pirate a pu accéder à la clé privée associée à ce certificat.
Par défaut, vos clients peuvent vérifier la révocation d'un certificat en téléchargeant les listes de révocation de certificats publiées automatiquement par votre autorité.
Néanmoins, depuis Windows Server 2008 et Windows Vista, vous pouvez utiliser un nouveau protocole nommé OCSP pour la vérification de la révocation de vos certificats.
OCSP (Online Certificate Status Protocol) est un nouveau protocole apparu avec Windows Server 2008 et Windows Vista et qui permet à un client de vérifier rapidement si un certificat spécifique a été révoqué ou non par votre autorité de certification.
Le principal avantage d'OCSP est que la vérification de la révocation d'un certificat est beaucoup plus rapide et qu'elle nécessite moins de bande passante réseau.
En effet, en temps normal, lorsqu'un client souhaite vérifier si un certificat a été révoqué par votre autorité de certification, il télécharge les listes de révocation publiées par celle-ci pour vérifier si le numéro de série du certificat souhaité s'y trouve.
Ce qui nécessite de télécharger beaucoup de fichiers ".crl" pour vérifier un seul certificat.
Lorsque vous utilisez un répondeur en ligne (pour bénéficier du protocole OCSP) :
Pour installer un répondeur en ligne (serveur OCSP), ouvrez le gestionnaire de serveur et cliquez sur : Ajouter des rôles et des fonctionnalités.
Choisissez : Installation basée sur un rôle ou une fonctionnalité.
Dans notre cas, nous installerons ce répondeur en ligne sur le même serveur que notre autorité de certification.
Déployez le noeud "Services de certificats Active Directory" et cochez la case "Répondeur en ligne".
Lancez l'installation du nouveau service de rôle : Répondeur en ligne.
Patientez pendant l'installation du répondeur en ligne.
Une fois l'installation de ce service de rôle terminée, cliquez sur le lien "Configurer les services de certificats Active Directory sur le serveur de destination" qui s'affiche.
L'assistant de configuration des services de certificats Active Directory apparait.
Cliquez sur Suivant.
Cochez la case "Répondeur en ligne" et cliquez sur Suivant.
Cliquez sur Configurer.
Le statut "Configuration réussie" apparait.
Cliquez sur Fermer.
Cliquez sur Fermer.
Si vous ouvrez le gestionnaire des services Internet (IIS) sur le serveur où vous venez d'installer votre répondeur en ligne, vous verrez qu'un nouveau dossier "ocsp" a apparu dans le site web par défaut (Default Web Site).
Pour configurer votre répondeur en ligne, vous devrez ouvrir la console : Gestion des répondeurs en ligne.
La console "Gestion des répondeurs en ligne" apparait.
Windows Server 3/11/2023
Windows Server 5/1/2024
Windows Server 24/11/2023
Windows Server 15/12/2023
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire