Ajouter la publication de la CRL en http

*Dans cet article nous allons voir à travers un exemple comment géré la publication de la liste de révocations des certificats (CRL). Il existe plusieurs possibilités pour diffuser la CRL dont entre autre dans Active Directory, sur un partage de fichier et dans un lien internet (http). Par défaut lors de l'installation d'une autorité de certification d'entreprise et donc intégré à Active Directory la liste de révocation est automatique publié dans un dossier partagé « CertEnroll » ainsi que dans la partition de configuration de l'annuaire, mais la publication Web n'est pas configuré par défaut. L'autre point à comprendre concernant les listes de révocations de certificat et qu'il est possible d'inscrire les différents chemins d'accès à la liste de révocation sur le certificat. Dans cette présentation nous allons voir ou sont stockés les CRL, comment ajouter la publication Web et ajouter le chemin de la liste de révocation sur les certificats.

Pour commencer nous ouvrons la console « Autorité de certification », suivi d'un clic droit sur le nom « phil-CA » et propriété :

Dans les propriétés de l'autorité de certification, dans la partie « extensions »

Dossier de stockage de la liste de révocation nous sélectionnons « Points de distribution de liste de révocation des certificats (CDP) ».

Dans la liste ci-dessous nous retrouvons 4 éléments. Le premier est un dossier local du serveur « c:\windows\CertSrv\CertEnroll » et ne permet pas de l'inclure dans les certificats mais juste de publier puisqu'il s'agit d'un chemin local.

Pour la 2ème option « ldap » il s'agit de publier la CRL directement dans Active Directory. Comme vous pouvez le constater dans l'image ci-dessous, la CRL est par défaut publié dans Active Directory et son chemin d'accès est inscrit sur le certificat.

Pour la 4ème option il s'agit d'un dossier partagé sur le serveur. Par défaut le chemin du partage n'est pas inclus dans les chemins d'accès à la CRL sur le certificat et l'autorité de certification ne publie pas la CRL dans ce partage. Sauf que comme nous le montre l'image suivante le partage « CertEnroll » est fait sur le dossier « c:\windows\CertSrv\CertEnroll » dans lequel est déjà publiée la liste de révocation dans la ligne 1. Si vous souhaitez utiliser un partage de fichier comme point de distribution de la CRL il suffirait de cocher les options « Inclure dans les listes de révocations de certificats … », ainsi que « inclure dans l'extension CDP des certificats émis ».

 

Enfin j'ai volontairement gardé la 3ème option en « http » pour la fin.

Nous allons voir comment ajouter la publication en tant que lien http. Le premier élément c'est qu'il faut disposer d'un site internet. Cette condition est remplie puisque lors de l'installation nous avions ajouté en plus de « autorité de certification » la fonction d' « inscription de certificat par les services Web » et qui a automatiquement proposé l'installation d'IIS.

En ouvrant le gestionnaire IIS on peut constater qu'il existe un site « CertEnroll » qui est dirigé sur le dossier « c :\windows\CertSrv\CertEnroll ». 

Néanmoins par défaut l'accès aux dossiers n'est pas activer. Pour cela il suffit de cliquer sur « exploration de répertoire » :

 

Puis sur « Activer » dans le menu d'action à droite.

On réinitialise les services IIS.

 

Et depuis notre poste client nous pouvons maintenant voir le contenu du dossier.

Pour ajouter dans les prochains certificats émis, le lien vers la CRL en « http », nous sélectionnons la 3ème ligne et les options « Inclure dans les listes de révocations de certificats … », ainsi que « inclure dans l'extension CDP des certificats émis ».

Une fois la modification validée, un redémarrage des services de certificats est demandé.

 

 

Si nous effectuons une demande de certificat depuis un poste client nous pouvons constater la présence du lien Web vers la liste de révocation.

Tags: 

Theme: 

Systeme: 

Annee: 

Type: 

Commentaires

CRL Delta

Bonjour, J'ai bien galéré, du coup je laisse une information qui pourra peut-être servir à d'autres... Depuis IIS7 la sécurité par défaut refuse le signe "+" dans ses url. Par contre, le IIS du CA shinte cette règle pour permettre l'accès à la crl delta "http:// ... +.crl". Ceci est parfait, mais si vous faite de la réécriture d'url comme moi car votre frontal n'est pas le CA vous obtiendrez un 404 sur le crl delta depuis l'exterieur. La solution consiste à shinter le filtrage dans votre web.config de redirection dans "system.webServer/security/requestFiltering" et de définir "allowDoubleEscaping" à True.

Re : CRL Delta

Merci d'avoir partagé votre expérience,