Configuration OCSP
La page Configuration OCSP affiche les configurations de répondeur OCSP dans le référentiel de données de certificat. Vous pouvez ajouter des configurations OCSP à partir de cette page.
casso127figsbrfr
HID_ocsp-list-and-config
La page Configuration OCSP affiche les configurations de répondeur OCSP dans le référentiel de données de certificat. Vous pouvez ajouter des configurations OCSP à partir de cette page.
2
Liste des configurations OCSP
Cette boîte de dialogue contient les informations suivantes :
Filtrer les configurations OCSP
Vous pouvez réduire la liste des configurations OCSP. Vous pouvez filtrer à l'aide d'un ensemble d'options pour définir la recherche.
Vous pouvez appliquer les filtres suivants :
- Alias
- Répondeur
- Alias de répondeur
- Alias de signature
Pour spécifier un filtre de recherche :
- Ouvrez la boîte de dialogue Configuration OCSP.
- Dans la section Filtrer les configurations OCSP, configurez la recherche en suivant les instructions suivantes :
- Dans le champ Rechercher, sélectionnez les éléments de votre recherche.
- Dans le menu déroulant du champ du milieu, sélectionnez un opérateur.
- Dans le troisième champ, entrez une chaîne sans apostrophes. Cette chaîne est la valeur du filtre de recherche.Pour récupérer la liste complète, laissez le troisième champ vide. Vous pouvez également saisir <Tout> ou un astérisque (*). Vous ne pouvez pas utiliser l'astérisque comme caractère générique intégré. Par exemple, vous pouvez saisir un astérisque seul, mais vous ne pouvez pas saisir la valeurpartner*.
- Pour initialiser la recherche, cliquez sur Aller à.
Liste des configurations OCSP
La liste affiche tous les répondeurs OCSP disponibles dans le référentiel de données de certificat. Tenez particulièrement compte des colonnes suivantes :
- AliasAffiche l'alias associé à l'entrée de liste.
- RépondeurRépertorie les noms des répondeurs OCSP.
Affichage, modification et suppression des entrées de liste
Pour afficher, modifier ou supprimer une entrée, sélectionnez-la dans la liste et sélectionnez l'option de votre choix dans le menu Action.
Configuration du répondeur OCSP
La boîte de dialogue Ajouter une configuration OCSP permet d'ajouter une entrée de répondeur OCSP au référentiel de données de certificat.
Cette boîte de dialogue contient les paramètres suivants :
- Alias de l'émetteurAlias du certificat d'autorité de certification fournissant le service OCSP.
- Activer le proxy HTTP(Facultatif) Indique au serveur de stratégies qu'il doit envoyer la demande OCSP au serveur proxy et non au serveur Web. Si vous sélectionnez cette option, les champs suivants apparaissent :
- Emplacement du proxy HTTP: spécifie l'URL du serveur proxy. Cette valeur est requise uniquement si le paramètre HttpProxyEnabled est défini sur Oui. Entrez une adresse URL commençant par http://.Remarque :N'entrez pas d'adresse URL commençant par https://.
- Nom d'utilisateur proxy HTTP: informations d'identification de connexion au serveur proxy. Ce nom d'utilisateur doit être le nom d'un utilisateur valide au niveau du serveur proxy. Saisissez une chaîne alphanumérique.
- Mot de passe du proxy HTTP: le mot de passe correspondant au nom d'utilisateur du serveur proxy. Ce mot de passe doit être une entrée valide dans la configuration de l'utilisateur du proxy. Saisissez une chaîne alphanumérique.
- Période de grâce(Facultatif) Spécifie la période (en jours) après laquelle un certificat révoqué est invalidé. La période de grâce OCSP vous offre un délai suffisant pour mettre à jour les certificats et garantir le bon fonctionnement de la configuration. Si vous définissez ce champ sur 0, un certificat révoqué devient immédiatement non valide.Si vous ne spécifiez aucune valeur, le système utilise la période de grâce de révocation par défaut spécifiée dans les paramètres du référentiel de données de certificat.
- Nom unique de l'émetteur secondaire(Facultatif) Spécifie un nom unique d'émetteur secondaire ou un nom unique inversé pour l'émetteur de certificat d'autorité de certification.
- Ignorer l'extension de valeur unique(Facultatif) Indique au système de ne pas inclure la valeur unique dans la demande OCSP lorsque vous cochez cette case. La valeur unique est utilisée une seule fois. Cette valeur numérique est parfois incluse dans les demandes d'authentification afin d'empêcher la réutilisation d'une réponse.
- Utiliser une extension AIA(Facultatif) Spécifie si le système utilise l'extension d'accès aux informations de l'autorité (AIA) dans le certificat pour localiser des informations de validation.Vous pouvez utiliser les paramètres Utiliser une extension AIA ou Emplacement de répondeur, mais tenez compte des informations suivantes :
- Si vous sélectionnez le paramètre Utiliser une extension AIA sans configurer le paramètre Emplacement de répondeur, le système utilise l'extension AIA du certificat pour la validation. L'extension doit se trouvée dans le certificat.
- Si vous sélectionnez le paramètre Utiliser une extension AIA et que vous attribuez une valeur au paramètre Emplacement de répondeur, le système utilise l'emplacement de répondeur pour la validation. Le paramètre Emplacement de répondeur a priorité sur l'extension AIA.
- Si le paramètre Utiliser une extension AIA n'est pas sélectionné, le paramètre Emplacement de répondeur est utilisé. Si l'extension AIA existe, elle est ignorée.
- Emplacement de répondeur(Facultatif) Indique l'emplacement du serveur de répondeur OCSP.Vous pouvez utiliser le paramètre Emplacement de répondeur ou le paramètre Utiliser une extension AIA, mais tenez compte des conditions suivantes :
- Si le paramètre Emplacement de répondeur est vide, sélectionnez le paramètre Utiliser une extension AIA. Par ailleurs, une extension AIA doit se trouver dans le certificat.
- Si le paramètre Emplacement de répondeur a une valeur et l'option Utiliser une extension AIA est sélectionnée, l'emplacement de répondeur est utilisé pour la validation. Le paramètre Emplacement de répondeur a priorité sur l'extension AIA.
- Si le répondeur OCSP spécifié pour ce paramètre est hors service et le paramètre Utiliser une extension AIA est sélectionné, l'authentification échoue. Le système n'utilise pas le répondeur spécifié dans l'extension AIA du certificat.
Entrez une URL et le numéro de port du serveur de répondeur. - Alias de certificat de répondeur(Requis pour la fédération uniquement). Spécifie le nom de l'alias du certificat qui vérifie la signature de la réponse OCSP. Pour que la vérification de la signature de la réponse soit effectuée, spécifiez un alias pour ce paramètre. Dans le cas contraire, l'émetteur d'autorité d'autorisation n'a aucune configuration OCSP disponible.Remarque :Ce paramètre n'est pas utilisé pour l'authentification de certificat X.509.Entrez une chaîne qui nomme l'alias.
- Activer la demande signée(Facultatif) Indique au système de signer la demande OCSP générée. Cochez cette case pour utiliser la fonctionnalité de signature.Cette valeur est indépendante de toutes les signatures de certificat d'utilisateur et ne s'applique qu'à la demande OCSP.Ce paramètre est requis uniquement si le répondeur OCSP requiert des demandes signées. Si vous sélectionnez cette option, les champs suivants apparaissent :
- Alias de signature: spécifie l'alias de la paire clé-certificat qui signe la demande OCSP envoyée à un répondeur OCSP. Cette paire clé-certificat doit être spécifiée dans le référentiel de données de certificat. Entrez un alias à l'aide de caractères alphanumériques ASCII minuscules.
- Digest de la signatureFacultatif. Désigne l'algorithme que le serveur de stratégies utilise lorsque vous signez la demande OCSP. Ce paramètre n'est pas sensible à la casse.Les options disponibles sont les suivantes : SHA1, SHA224, SHA256, SHA384 et SHA512Valeur par défaut: SHA1
- Activer le basculement de validité de certificat(Facultatif) Indique au système de basculer entre les méthodes de validation de certificat OCSP et CRL. Si vous sélectionnez cette option, le champ suivant s'affiche :
- Méthode de validation principale: indique la méthode principale (OCSP ou CRL) que le serveur de stratégies utilise pour valider les certificats. Sélectionnez OCSP ou CRL.Valeur par défaut: OCSP