Partager via

Déterminer si vous devez activer la vérification de la révocation des certificats sur des clients (Mode natif)

  • Article

Mis à jour: juin 2009

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

La liste de révocation des certificats est un composant facultatif du déploiement d'une infrastructure à clés publiques (PKI). Il s'agit d'un fichier créé et signé par une autorité de certification et qui contient une liste des certificats qu'elle a émis, puis annulés. Les certificats peuvent être annulés par l'administrateur d'une autorité de certification, par exemple, si un certificat émis est altéré ou suspecté de l'être.

Lorsqu'une liste de révocation des certificats est utilisée avec le déploiement d'une infrastructure de clé publique, les applications peuvent vérifier l'état de révocation des certificats qu'elles utilisent et des certificats qui s'enchaînent à la certification racine approuvée. Ce contrôle est effectué en vérifiant qu'aucun certificat de la chaîne ne figure sur la liste de révocation des certificats. Si l'un des certificats figure sur la liste de révocation, le certificat utilisé par l'application est considéré non valide, même s'il provient d'une source approuvée et se trouve dans sa période de validité.

Si la vérification de la révocation des certificats est activée pour les clients Configuration Manager 2007 en mode natif, ceux-ci vérifient la liste de révocation des certificats chaque fois qu'ils communiquent avec l'un des systèmes de site suivants configurés pour le mode natif :

  • points de gestion,

  • Points de distribution qui n'utilisent pas de partage de système de site ou qui sont configurés comme points de distribution de branche

  • points de mise à jour logicielle,

  • Points de migration de l'état

Important

Les fonctions de clients résultant d'actions de séquence de tâches vérifient toujours la liste de révocation de certificats lorsque le client utilise une version antérieure à Configuration Manager 2007 SP2.

Si les clients utilisent la vérification de la révocation des certificats mais qu'ils ne parviennent pas à localiser la liste de révocation des certificats, tous les certificats de la chaîne de certification sont considérés comme révoqués puisque leur absence sur la liste ne peut pas être vérifiée. Dans ce scénario, toutes les connexions qui nécessitent des certificats et utilisent une liste de révocation des certificats échouent, et le client Configuration Manager 2007 envoie un message d'erreur au point d'état de secours.

La vérification de la liste de révocation des certificats chaque fois qu'un certificat est utilisé offre un niveau de sécurité supérieur par rapport au recours à un certificat qui a été révoqué, mais ajoute un délai de connexion et de traitement sur le client. Ce contrôle de sécurité supplémentaire s'adresse sans doute plus à la gestion de clients Internet qu'aux sites en mode natif sur l'intranet.

Le paramètre par défaut de la vérification de la liste de révocation des certificats sur un site Configuration Manager varie selon que le site a été installé en mode natif ou qu'il a été installé en mode mixte puis migré en mode natif. La vérification de la liste de révocation des certificats est activée par défaut pour les clients en mode natif lorsque le site Configuration Manager est installé dans ce mode. Cependant, elle est désactivée par défaut lorsque le site est installé en mode mixte, puis migré en mode natif.

Adressez-vous aux administrateurs de l'infrastructure de clé publique avant de décider d'activer la vérification par révocation des certificats sur les clients, puis pensez à activer cette option dans Configuration Manager 2007 si les deux conditions suivantes sont réunies :

  • Votre infrastructure de clé publique prend en charge une liste de révocation des certificats, et est publiée là où tous les clients Configuration Manager 2007 peuvent la localiser (y compris les clients sur Internet si vous optez pour la gestion des clients Internet).

  • La nécessité de vérifier la liste de révocation des certificats pour chaque connexion sur un système de site configuré avec un certificat est supérieure à la nécessité de disposer de connexions plus rapides et un traitement efficace sur le client, mais également supérieure au risque d'échec de connexion des clients sur les serveurs si la liste de révocation des certificats est introuvable.

Notes

Pour plus d'informations sur la révocation des certificats, consultez la section sur la gestion de la révocation des certificats dans l'aide du produit Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=78786).

La vérification de la révocation des certificats est activée par défaut dans IIS. Ainsi, si vous utilisez une liste de révocation des certificats avec un déploiement PKI, aucune autre configuration n'est nécessaire sur les systèmes de site Configuration Manager.

Les clients de périphériques mobiles en mode natif n'utilisent pas de listes de révocation des certificats, bien que leurs certificats puissent être révoqués ou vérifiés par des systèmes de site en mode natif.

Voir aussi

Tâches

Comment bloquer des clients Configuration Manager
Comment activer ou désactiver la vérification de la liste de révocation des certificats sur les clients

Autres ressources

Déploiement des certificats d'infrastructure à clés publiques requis pour le mode natif.

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.