Afficher Sommaire / Index / Recherche

Configuration de la vérification de la révocation des certificats

Les connexions Reflection SSL/TLS et Secure Shell peuvent être configurées de manière à utiliser des certificats numériques pour l'authentification des hôtes. Pour vous assurer que les certificats n'ont pas été révoqués, vous pouvez configurer Reflection afin qu'il vérifie leur révocation au moyen de listes CRL ou d'un serveur OCSP.

Lorsque la vérification CRL est activée, Reflection recherche toujours des CRL dans l'emplacement spécifié dans le champ CDP (CRL Distribution Point) du certificat. De plus, Reflection peut également être configuré pour rechercher les CRL situées dans un répertoire LDAP ou pour utiliser un serveur OCSP.

La valeur par défaut de Reflection pour la vérification CRL dépend de votre paramétrage système actuel. Si votre système est configuré pour la vérification CRL, toutes les sessions Reflection utiliseront les CRL par défaut pour vérifier la révocation des certificats.

Remarque : Lorsque Reflection s'exécute en mode Infrastructure de clés publiques DOD (Department of Defense, Département de la Défense des États-Unis), la révocation des certificats ne peut pas être désactivée.

Pour activer la vérification CRL pour votre système :

  1. Lancez Internet Explorer.
  2. Accédez à Outils > Options Internet > Avancés.
  3. Sous Sécurité, sélectionnez Vérifier la révocation du certificat de serveur.

Dans Reflection, vous pouvez activer la vérification de la révocation des certificats en utilisant un fichier CRL ou un serveur OCSP.

Pour activer la vérification CRL pour les sessions Secure Shell :

  1. Cliquez sur l'onglet Infrastructure de clés publiques de la boîte de dialogue Paramètres de Reflection Secure Shell.
  2. Cochez la case Utiliser OCSP ou Utiliser CRL.

Pour activer la vérification CRL pour les sessions SSL/TLS :

  1. Ouvrez la boîte de dialogue Propriétés relatives à la sécurité.
  2. Dans l'onglet SSL/TLS, cliquez sur Configuration de l'infrastructure de clés publiques. ((L'option Utiliser la sécurité SSL/TLS doit être sélectionnée.)
  3. Cochez la case Utiliser OCSP ou Utiliser CRL.

Remarque : Les listes CRL et/ou les serveurs OCSP requis par un certificat sont identifiés dans l'extension AIA et/ou CDP du certificat. Si le certificat ne précise pas ces informations, vous pouvez utiliser les onglets OCSP et LDAP du Gestionnaire de certificats de Reflection pour les configurer.