L’onglet OCSP est utilisé par les administrateurs pour ajouter des URL de répondeurs OCSP (Online Certificate Status Protocol) à l’émission des certificats de l’autorité de certification ; ces certificats sont distribués par la stratégie de groupe aux membres de domaine Active Directory. Cela permet aux organisations d’ajouter des répondeurs OCSP à une infrastructure à clé publique (PKI) existante sans devoir réémettre le certificat de l’autorité de certification ou les certificats précédemment émis par l’autorité de certification. Les URL de répondeurs OCSP fournies de cette façon servent à vérifier l’état de révocation des certificats émis par l’autorité de certification.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs de l’entreprise.
Pour ajouter une URL de répondeur OCSP à un certificat de l’autorité de certification |
Cliquez sur Démarrer, puis sur Exécuter. Tapez gpmc.msc, puis cliquez sur OK pour ouvrir la Console de gestion des stratégies de groupe.
Dans l’arborescence de la console, développez la forêt et le domaine contenant la stratégie à modifier, puis cliquez sur Objets de stratégie de groupe.
Cliquez avec le bouton droit sur la stratégie à modifier, puis cliquez sur Modifier.
Dans l’arborescence de la console, sous Configuration ordinateur, développez Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de clé publique et Autorités intermédiaires.
Si aucun certificat de l’autorité de certification n’est affiché, exportez le certificat de l’autorité de certification à partir de l’autorité de certification émettrice, puis importez le certificat dans Autorités intermédiaires. Voir Exporter un certificat.
Cliquez avec le bouton droit sur le certificat de l’autorité de certification, cliquez sur Propriétés, puis sur l’onglet OCSP.
Tapez une URL de répondeur OCSP, puis cliquez sur Ajouter une URL.
Si vous souhaitez empêcher les membres de domaine de télécharger des listes de révocation de certificats à partir des points de distribution de listes de révocation de certificats spécifiés dans les certificats émis, activez la case à cocher Désactiver des listes de révocation des certificats.
Attention La désactivation des listes de révocation de certificats n’est pas recommandée. Le protocole OCSP est prioritaire sur les listes de révocation de certificats lorsque des URL sont fournies pour ces deux catégories. Toutefois, le processus de vérification de la révocation détermine le stade où le téléchargement et la mise en cache d’une seule liste de révocation de certificats s’avèrent plus efficaces que plusieurs requêtes OCSP.
Cliquez sur OK pour enregistrer les modifications.
Remarques | |
Les modifications de la stratégie de groupe sont appliquées par les membres de domaine de manière périodique en fonction de l’intervalle d’actualisation de la stratégie de groupe, durant le démarrage de l’ordinateur et durant l’ouverture de session de l’utilisateur. L’intervalle d’actualisation par défaut est de 90 minutes. Pour actualiser immédiatement la stratégie de groupe sur un membre de domaine, exécutez la commande Gpupdate. |
Références supplémentaires
- Configuration de services de répondeur en ligne sur un réseau (
https://go.microsoft.com/fwlink/?LinkId=143098 ) - Afficher les propriétés d’un certificat