Configuration de la vérification de la révocation des certificats

Les connexions Reflection SSL/TLS et Secure Shell peuvent être configurées de manière à utiliser des certificats numériques pour l'authentification des hôtes. Pour vous assurer que les certificats n'ont pas été révoqués, vous pouvez configurer Reflection afin qu'il vérifie leur révocation au moyen de listes CRL ou d'un serveur OCSP.

Lorsque la vérification CRL est activée, Reflection recherche toujours des CRL dans l'emplacement spécifié dans le champ CDP (CRL Distribution Point) du certificat. De plus, Reflection peut également être configuré pour rechercher les listes CRL situées dans un répertoire LDAP ou pour utiliser un serveur OCSP.

La valeur par défaut de Reflection pour la révocation des certificats dépend de votre paramétrage système actuel. Si votre système est configuré pour la vérification CRL, toutes les sessions Reflection utiliseront les listes CRL par défaut pour vérifier la révocation des certificats.

Remarque : Lorsque Reflection s'exécute en mode Infrastructure de clés publiques DOD (Department of Defense, Ministère de la Défense des États-Unis), la révocation des certificats ne peut pas être désactivée.

Pour activer la vérification CRL pour toutes les sessions SSH

  1. Dans Internet Explorer, sélectionnez Outils > Options Internet > Avancé.
  2. Sous Sécurité, sélectionnez Vérifier la révocation du certificat serveur.

Dans Reflection, vous pouvez activer la vérification de la révocation des certificats en utilisant un fichier CRL ou un serveur OCSP.

Pour activer la vérification CRL pour une session Secure Shell

  1. Ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell.
  2. Cliquez sur l'onglet Infrastructure de clés publiques.
  3. Sélectionnez Utiliser OCSP (Online Certificate Status Protocol) ou Utiliser CRL (Certificate Revocation List).

Pour activer la vérification CRL pour les sessions SSL/TLS

  1. Ouvrez la boîte de dialogue Propriétés relatives à la sécurité.
  2. Dans l'onglet SSL/TLS, cliquez sur Configuration de l'infrastructure de clés publiques. (L'option Utiliser la sécurité SSL/TLS doit être sélectionnée.)
  3. Sélectionnez Utiliser OCSP (Online Certificate Status Protocol) ou Utiliser CRL (Certificate Revocation List).

Remarque : Les listes CRL et/ou les serveurs OCSP requis par un certificat sont identifiés dans l'extension AIA et/ou CDP du certificat. Si le certificat ne précise pas ces informations, vous pouvez utiliser les onglets OCSP et LDAP du Gestionnaire de certificats de Reflection pour les configurer.