[AD CS] Configuration la durée de vie de la liste de révocation

Les listes de révocations doivent être régulièrement mises à jour et leur durée de validité est limitée.

La liste de révocation est générée régulièrement par le serveur dans l'emplacement définit dans les extensions. Dans le cas d'une autorité d'entreprise, il n'est pas forcément utile de générer les listes de révocations manuellement si l'autorité est en mesure d'écrire directement dans le dossier servant à la diffusion. La durée de vie dans ce cas peut être assez réduite et il est possible d'utiliser des listes de révocations delta. Dans le cas d'une autorité racine autonome, souvent conservée à l'arrêt, il est préférable d'allonger la durée de vie de la CRL, cela réduit les opérations. Pour rappel, une autorité racine autonome sert avant tout à générer des certificats pour une ou plusieurs autorités secondaires.

Dans notre exemple, nous allons définir une durée de vie de la liste de révocation de 3 mois, mais il est tout à fait possible d'utiliser des valeurs comme 1 ou 2 ans.

Dans les outils d'administrations, ouvrez la console « Autorité de certification » ou « certsrv.msc ».

Faites un clic droit sur « certificats révoqués », puis « propriétés ».

Dans la partie « paramètres de publication de la liste de révocation des certificats », définissez la valeur et l'intervalle de temps, dans notre exemple « 3 » et « mois », puis cliquez sur OK.

 

Il est également possible de modifier les valeurs avec les commandes :

Certutil -setreg CA\CRLPeriodUnits 12

Certutil -setreg CA\CRLPeriod "Months"

 

Lorsque vous modifier la durée de vie de la liste de révocation, les valeurs suivantes dans le registre sont modifiées :

Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA-NAME

CRLPeriod

CRLPeriodUnits

 

 

 

Theme: 

Systeme: 

Annee: