Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une liste de révocation de certificats répertorie les certificats numériques qui ont été révoqués par l’autorité de certification avant leur date d’expiration prévue. Un certificat numérique est utilisé pour vérifier l’identité d’un utilisateur, d’un ordinateur ou d’une autre entité dans un environnement en réseau.
Si une méthode d’authentification basée sur un certificat, comme EAP-TLS ou PEAP-TLS, est utilisée, le client envoie des certificats au serveur de stratégie réseau (NPS). Par défaut, le NPS vérifie l’état de révocation de tous les certificats de la chaîne de certificats. Si la vérification de révocation de certificat échoue pour l’un des certificats de la chaîne, la tentative de connexion est refusée. Une autorité de certification publie les informations sur les certificats révoqués dans une liste de révocation de certificats.
La vérification de la révocation de certificat peut empêcher l’accès client si la liste de révocation de certificats d’un certificat de la chaîne a expiré ou n’est pas disponible. Pour éviter cela, concevez votre infrastructure à clé publique (PKI) pour une haute disponibilité des listes de révocation de certificats. Par exemple, configurez plusieurs points de distribution de liste de révocation de certificats pour chaque autorité de certification dans la hiérarchie des certificats et configurez des calendriers de publication qui garantissent que la liste de révocation de certificats la plus récente est toujours disponible. La vérification de la révocation de certificat est aussi précise que la liste de révocation de certificats sur le NPS. Les listes de révocation de certificats sont publiées par l’autorité de certification selon un calendrier qui peut être configuré et mis en cache sur un serveur NPS pendant leur durée de validité.
Si un certificat est révoqué, la nouvelle liste de révocation de certificats, qui contient le certificat qui vient d’être révoqué, n’est pas automatiquement publiée. De plus, la liste de révocation de certificats du serveur NPS n’est pas mise à jour tant que la liste de révocation de certificats mise en cache est valide. Le certificat révoqué peut toujours être utilisé pour s’authentifier jusqu’à ce que la nouvelle liste de révocation de certificats soit publiée par l’autorité de certification et mise à jour sur le NPS. Pour éviter que cela ne se produise, l’administrateur réseau doit publier manuellement la liste de révocation de certificats mise à jour et la mettre à jour manuellement sur le serveur NPS. Demandez à l’administrateur de l’infrastructure à clé publique comment publier la liste de révocation de certificats.
Important
Lorsque vous utilisez des certificats pour l’authentification des ordinateurs ou des utilisateurs, assurez-vous que les listes de révocation de certificats sont publiées à un emplacement principal et à au moins un emplacement secondaire accessibles par tous les ordinateurs, en particulier par tous les serveurs NPS et autres serveurs RADIUS. Si les serveurs NPS tentent d’effectuer une validation de liste de révocation de certificats d’utilisateur ou d’ordinateur, mais qu’ils ne parviennent pas à localiser les listes de révocation de certificats, le serveur NPS rejette toutes les tentatives de connexion basées sur un certificat, et l’authentification échoue.
Échecs de la vérification de la révocation de certificat
La vérification de la révocation d’un certificat peut échouer pour les raisons suivantes :
Le certificat a été révoqué.
Le certificat n’inclut pas les informations de la liste de révocation de certificats.
La liste de révocation de certificats pour le certificat n’est pas accessible ou n’est pas disponible. Les autorités de certification gèrent les listes de révocation de certificats et les publient sur les points de distribution de ces listes. Les points de distribution des listes de révocation de certificats sont inclus dans la propriété 'CRL Distribution Points' du certificat. Si les points de distribution des listes de révocation de certificats sont injoignables, la vérification de la révocation du certificat échoue, et la demande d’accès est refusée. Si le certificat ne comprend aucun point de distribution de liste de révocation de certificats, la vérification de la révocation échoue, et la demande d’accès est refusée.
L’éditeur de la liste de révocation de certificats n’a pas délivré le certificat. La liste de révocation de certificats inclut l’autorité de certification de publication. Si l’autorité de certification de publication de la liste de révocation de certificats ne correspond pas à l’autorité de certification émettrice du certificat en cours de vérification, la vérification de la révocation du certificat échoue et la demande d’accès est refusée.
La liste de révocation de certificats n’est pas à jour. Une liste de révocation de certificats n’est valable que pour une durée limitée. Si la liste de révocation de certificats a expiré, elle est considérée comme non valide, la vérification de la révocation du certificat échoue, et la demande d’accès est refusée. Les nouvelles listes de révocation de certificats doivent être publiées avant la date d’expiration de la dernière liste de révocation de certificats publiée.
Étapes suivantes
Le comportement de la vérification de la révocation de certificat sur le NPS peut être modifié avec les paramètres du registre. Pour plus d’informations sur la modification de ces paramètres, consultez Configurer les paramètres de registre de vérification de la liste de révocation de certificats du serveur de stratégie réseau.