Vous pouvez ajuster la relation entre une liste de révocation de certificats (CRL) et une liste de révocation de certificats delta (CRL delta) en configurant une période de chevauchement entre elles. Ce réglage est particulièrement utile lorsque la publication de la base suivante ou de la liste CRL delta est reportée, ou lorsque le client est dans l’incapacité d’obtenir une nouvelle liste CRL ou CRL delta au moment de la publication.

La période de chevauchement des listes de révocation de certificats est la durée allouée à l’issue de la durée de vie d’une liste de révocation de certificats publiée qu’un client peut utiliser pour obtenir une nouvelle liste de révocation de certificats avant que la précédente ne soit inutilisable. Le réglage par défaut de cette valeur est de 10 pour cent de la durée de vie d’une liste de révocation de certificats. Ce réglage peut être configuré manuellement pour certains environnements qui demandent plus de temps pour répliquer une liste CRL.

Remarques

La valeur maximale de la période de chevauchement des listes CRL ou CRL delta est de 12 heures.

Lorsqu’une liste CRL de base et une liste CRL delta ont été publiées récemment, un certificat révoqué peut apparaître dans les deux listes CRL. Cela est dû au fait que la nouvelle liste CRL delta peut encore pointer vers une ancienne liste CRL de base alors que la nouvelle est en cours de réplication. Le fait qu’un certificat apparaisse dans les deux listes CRL vous permet de vous assurer que les informations de révocation sont disponibles.

Pour mener à bien cette procédure, vous devez être un administrateur d’autorité de certification. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.

Pour configurer la période de chevauchement de liste CRL et CRL delta
  1. À l’invite de commandes, tapez :

    certutil -setreg ca\CRLOverlapUnits Value

    certutil -setreg ca\CRLOverlapPeriod Units

    certutil -setreg ca\CRLDeltaOverlapUnits Value

    certutil -setreg ca\DeltaOverlapPeriod Units

  2. Ouvrez le composant logiciel enfichable Autorité de certification.

  3. Dans l’arborescence de la console, cliquez sur le nom de l’autorité de certification.

  4. Dans le menu Action, pointez sur Toutes les tâches puis cliquez sur Arrêter le service pour arrêter le service.

  5. Dans le menu Action, pointez sur Toutes les tâches puis cliquez sur Démarrer le service pour démarrer le service.

Attention

Toute modification incorrecte du Registre peut endommager gravement votre système. Avant d’apporter des modifications au Registre, sauvegardez toutes les données importantes présentes sur l’ordinateur.

Le tableau suivant énumère les valeurs qui peuvent être utilisées dans la syntaxe de Certutil décrite dans cette procédure.

Valeur Description

Certutil

Spécifie le nom de l’outil de ligne de commande.

-setreg

Modifie le Registre.

ca\CRLOverlapUnits

Indique la valeur de Registre qui stocke la valeur du paramètre de chevauchement de liste CRL.

ca\CRLDelataOverlapUnits

Indique la valeur de Registre qui stocke la valeur du paramètre de chevauchement de liste CRL delta.

Valeur

Fournit la valeur numérique à affecter à cette option.

ca\CRLOverlapPeriod

Indique la valeur de Registre qui stocke la valeur du paramètre de type d’unité de chevauchement de liste CRL.

ca\DeltaOverlapPeriod

Indique la valeur de Registre qui stocke la valeur du paramètre de type d’unité de chevauchement de liste CRL delta.

Unités

Fournit le type d’unité utilisé pour la période de chevauchement. Les valeurs valides sont les minutes, les heures et les jours.

Remarques

Si votre environnement n’est pas configuré pour émettre des listes CRL delta, les paramètres pour CRLDeltaOverlapUnits et DeltaOverlapPeriod n’auront pas d’effet.

Considérations supplémentaires

  • Pour ouvrir une invite de commandes, cliquez sur Démarrer, pointez sur Tous les programmes, pointez sur Accessoires, puis cliquez sur Invite de commandes.

Références supplémentaires


Table des matières