La révocation d’un certificat invalide le certificat en tant qu’informations d’identification approuvées avant l’expiration planifiée de sa période de validité. Une infrastructure à clé publique (PKI) dépend de la vérification distribuée des informations d’identification de sécurité dans laquelle il n’est pas nécessaire d’établir une communication directe avec l’entité approuvée centrale garantissant les informations d’identification.

Pour prendre en charge efficacement la révocation des certificats, l’ordinateur client doit déterminer si le certificat est valide ou a été révoqué. Afin de prévoir plusieurs scénarios, les services de certificats Active Directory prennent en charge les méthodes standard de révocation des certificats. Il s’agit notamment de la publication de listes de révocation de certificats et de listes de révocation de certificats différentielles accessibles aux clients à plusieurs emplacements, notamment les services de domaine Active Directory, les serveurs Web et les partages de fichiers réseau. Dans Windows, les données de révocation peuvent également être rendues disponibles dans divers paramètres via les réponses de protocole OCSP (Online Certificate Status Protocol).

Remarques

Les listes de révocation de certificats sont publiées périodiquement à des emplacements de réseau spécifiés où elles peuvent ensuite être téléchargées par des ordinateurs clients. Les réponses OCSP sont des réponses à signature numérique indiquant si un certificat individuel a été révoqué ou suspendu, ou si son statut est inconnu. Les réponses de protocole de statut de certificat en ligne obtiennent leurs données des listes de révocation de certificats publiées, mais peuvent aussi être mises à jour directement depuis la base de données de statut de certificat d’une Autorité de certification.

De plus, la stratégie de groupe de clé publique permet aux administrateurs d’améliorer l’utilisation des listes de révocation de certificats et des répondeurs OCSP, en particulier dans des situations où des listes de révocation de certificats extrêmement volumineuses nuisent aux performances.

Cette rubrique comprend des procédures pour les tâches suivantes :

Configuration des paramètres de révocation sur un ordinateur local

Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs.

Pour configurer les paramètres de révocation sur un ordinateur local

  1. Cliquez sur Démarrer, tapez gpedit.msc dans la zone Rechercher les programmes et fichiers, puis appuyez sur Entrée.

  2. Dans l’arborescence de la console, sous Stratégie de l’ordinateur local\Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, cliquez sur Stratégies de clé publique.

  3. Double-cliquez sur Paramètres de validation du chemin d’accès de certificat, puis cliquez sur l’onglet Révocation.

  4. Activez la case à cocher Définir ces paramètres de stratégie, sélectionnez les paramètres de stratégie à appliquer, puis cliquez sur OK pour appliquer les nouveaux paramètres.

Configuration des paramètres de révocation d’un domaine

Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Admins du domaine.

Pour configurer les paramètres de révocation d’un domaine.

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

  2. Sous Résumé des fonctionnalités, cliquez sur Ajouter des fonctionnalités. Activez la case à cocher Gestion de stratégie de groupe, cliquez sur Suivant, puis sur Installer.

  3. Une fois que la page Résultats de l’installation indique que l’installation de la console de gestion des stratégies de groupe (GPMC) a réussi, cliquez sur Fermer.

  4. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion de la stratégie de groupe.

  5. Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine qui contiennent l’objet de stratégie de groupe Stratégie de domaine par défaut que vous souhaitez modifier.

  6. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Stratégie de domaine par défaut, puis cliquez sur Modifier.

  7. Dans l’arborescence de la console, sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, cliquez sur Stratégies de clé publique.

  8. Double-cliquez sur Paramètres de validation du chemin d’accès de certificat, puis cliquez sur l’onglet Révocation.

  9. Activez la case à cocher Définir ces paramètres de stratégie, sélectionnez les paramètres de stratégie à appliquer, puis cliquez sur OK pour appliquer les nouveaux paramètres.

Extension de la période de validité des réponses de listes de révocation de certificats et OCSP pour un ordinateur local

Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs.

Pour étendre la période de validité des réponses de liste de révocation de certificats et protocole de statut de certificat en ligne pour un ordinateur local

  1. Cliquez sur Démarrer, tapez gpedit.msc dans la zone Rechercher les programmes et fichiers, puis appuyez sur Entrée.

  2. Dans l’arborescence de la console, sous Stratégie de l’ordinateur local\Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, cliquez sur Stratégies de clé publique.

  3. Double-cliquez sur Paramètres de validation du chemin d’accès de certificat, puis cliquez sur l’onglet Révocation.

  4. Activez la case à cocher Définir ces paramètres de stratégie, puis la case à cocher Autoriser une validité des réponses de liste de révocation de certificats et de protocole OCSP supérieure à leur durée de vie.

  5. Dans la zone Temps par défaut, la période de validité peut être étendue, entrez une valeur de temps (en heures), puis cliquez sur OK pour appliquer les nouveaux paramètres.

Extension de la période de validité des réponses de listes de révocation de certificats et OCSP pour un domaine

Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Admins du domaine.

Pour étendre la période de validité des réponses de liste de révocation de certificats et protocole de statut de certificat en ligne pour un domaine

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

  2. Sous Résumé des fonctionnalités, cliquez sur Ajouter des fonctionnalités. Activez la case à cocher Gestion des stratégies de groupe, cliquez sur Suivant, puis sur Installer.

  3. Une fois que la page Résultats de l’installation indique que l’installation de la console de gestion des stratégies de groupe (GPMC) a réussi, cliquez sur Fermer.

  4. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion des stratégies de groupe.

  5. Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine qui contiennent l’objet de stratégie de groupe Stratégie de domaine par défaut que vous souhaitez modifier.

  6. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Stratégie de domaine par défaut, puis cliquez sur Modifier.

  7. Dans l’arborescence de la console, sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, cliquez sur Stratégies de clé publique.

  8. Double-cliquez sur Paramètres de validation du chemin d’accès de certificat, puis cliquez sur l’onglet Révocation.

  9. Activez la case à cocher Définir ces paramètres de stratégie, puis la case à cocher Autoriser une validité des réponses de liste de révocation de certificats et de protocole OCSP supérieure à leur durée de vie.

  10. Dans la zone Temps par défaut, la période de validité peut être étendue, entrez une valeur de temps (en heures), puis cliquez sur OK pour appliquer les nouveaux paramètres.

Références supplémentaires

Table des matières