Lorsque vous déployez une infrastructure PKI, vous émettez des certificats grâce à votre propre autorité de certification et vous pouvez révoquer certains de ceux-ci avant leur date d'expiration si un certificat n'est plus utilisé ou que vous pensez qu'un pirate a pu accéder à la clé privée associée à ce certificat.
Par défaut, vos clients peuvent vérifier la révocation d'un certificat en téléchargeant les listes de révocation de certificats publiées automatiquement par votre autorité.
Néanmoins, depuis Windows Server 2008 et Windows Vista, vous pouvez utiliser un nouveau protocole nommé OCSP pour la vérification de la révocation de vos certificats.

1. Qu'est-ce qu'OCSP ?
2. Installer un répondeur en ligne (serveur OCSP)
3. Créer un modèle de certificat personnalisé pour la signature de réponse OCSP
4. Ajouter le chemin du répondeur en ligne (OCSP) dans vos certificats
5. Configuration du répondeur en ligne (OCSP)
6. Tester l'accès à l'adresse OCSP (via le composant : PKI d'entreprise)
7. Régénérer le certificat : Echange d'autorité de certification (CAExchange)
8. Demander un nouveau certificat (qui inclura le support de l'OCSP)
9. Tester l'accès à l'adresse OCSP (via l'outil certutil)

1. Qu'est-ce qu'OCSP ?

OCSP (Online Certificate Status Protocol) est un nouveau protocole apparu avec Windows Server 2008 et Windows Vista et qui permet à un client de vérifier rapidement si un certificat spécifique a été révoqué ou non par votre autorité de certification.

Le principal avantage d'OCSP est que la vérification de la révocation d'un certificat est beaucoup plus rapide et qu'elle nécessite moins de bande passante réseau.

En effet, en temps normal, lorsqu'un client souhaite vérifier si un certificat a été révoqué par votre autorité de certification, il télécharge les listes de révocation publiées par celle-ci pour vérifier si le numéro de série du certificat souhaité s'y trouve.
Ce qui nécessite de télécharger beaucoup de fichiers ".crl" pour vérifier un seul certificat.

Lorsque vous utilisez un répondeur en ligne (pour bénéficier du protocole OCSP) :

• le répondeur en ligne (OCSP) télécharge les listes de révocation de votre autorité de certification à intervalle régulier.
• le client envoit une requête au répondeur en ligne (OCSP) pour savoir si un certificat spécifique a été révoqué.
• le répondeur en ligne vérifie si le certificat souhaité a été révoqué et renvoit une réponse signée au client pour lui indiquer si oui ou non, celui-ci a été révoqué.

2. Installer un répondeur en ligne (serveur OCSP)

Pour installer un répondeur en ligne (serveur OCSP), ouvrez le gestionnaire de serveur et cliquez sur : Ajouter des rôles et des fonctionnalités.

Choisissez : Installation basée sur un rôle ou une fonctionnalité.

Dans notre cas, nous installerons ce répondeur en ligne sur le même serveur que notre autorité de certification.

Déployez le noeud "Services de certificats Active Directory" et cochez la case "Répondeur en ligne".

Lancez l'installation du nouveau service de rôle : Répondeur en ligne.

Patientez pendant l'installation du répondeur en ligne.

Une fois l'installation de ce service de rôle terminée, cliquez sur le lien "Configurer les services de certificats Active Directory sur le serveur de destination" qui s'affiche.

L'assistant de configuration des services de certificats Active Directory apparait.
Cliquez sur Suivant.

Cochez la case "Répondeur en ligne" et cliquez sur Suivant.

Cliquez sur Configurer.

Le statut "Configuration réussie" apparait.
Cliquez sur Fermer.

Cliquez sur Fermer.

Si vous ouvrez le gestionnaire des services Internet (IIS) sur le serveur où vous venez d'installer votre répondeur en ligne, vous verrez qu'un nouveau dossier "ocsp" a apparu dans le site web par défaut (Default Web Site).

Pour configurer votre répondeur en ligne, vous devrez ouvrir la console : Gestion des répondeurs en ligne.

La console "Gestion des répondeurs en ligne" apparait.