CRL
Guide pratique
Activation de la CRLCes paramètres ne doivent être appliqués qu’au SCEPman App Service, et non au Certificate Master. Veuillez vous référer à SCEPman Settings.
Pour une comparaison générale des techniques de contrôle de la validité des certificats, consultez notre article de blog.
AppConfig:CRL:RequestToken
Linux : AppConfig__CRL__RequestToken
Applicable à la version 2.3 et ultérieure
Valeur : Une chaîne secrète personnalisée composée de caractères alphanumériques et de tirets
Description : Si vous définissez cette valeur sur autre chose qu’une chaîne vide, vous pouvez télécharger une liste de révocation de certificats (CRL) depuis SCEPman. L’URL de la CRL est https://scepman.contoso.de/crl/{RequestToken}, où scepman.contoso.de est le domaine de votre instance SCEPman et {RequestToken} est le jeton configuré ici.
La CRL ne contient actuellement pas tous les certificats révoqués. Ainsi, des attaquants possédant un certificat révoqué et ayant accès à la CRL pourraient l’utiliser pour tenter de convaincre une partie que leur certificat révoqué n’est en réalité pas révoqué, car il n’apparaît pas dans la liste. Par conséquent, vous devez considérer le RequestToken comme un secret et, en général, n’activer cette fonctionnalité que si vous en avez besoin. Vous ne devez utiliser la CRL que lorsqu’il n’est pas possible d’utiliser l’OCSP, qui est supérieur. Gardez à l’esprit que des équipements réseau comme des proxys peuvent consigner l’URL de la CRL.
AppConfig:CRL:Source
Linux : AppConfig__CRL__Source
Applicable à la version 2.4 et ultérieure
Valeur : Aucun (par défaut) ou Stockage
Description : Si vous définissez cette valeur sur Aucun, la CRL générée ne contiendra aucun certificat révoqué. Si vous définissez cette valeur sur Stockage, la CRL contiendra tous les certificats révoqués manuellement qui sont stockés dans le stockage Azure.
Les certificats qui sont automatiquement révoqués via OCSP ne seront pas inclus dans la CRL. Par exemple, si vous désactivez un appareil, le certificat de l’appareil sera automatiquement révoqué via OCSP. Cependant, le certificat ne sera pas inclus dans la CRL.
AppConfig:CRL:AddCdp
Linux : AppConfig__CRL__AddCdp
Applicable à la version 2.10 et ultérieure
Valeur : false (par défaut) ou true
Description : Si vous définissez cette valeur sur true, SCEPman ajoute une extension Point de distribution de liste de révocation de certificats (CDP) aux certificats émis, qui contient l’URL à partir de laquelle télécharger la CRL actuelle depuis SCEPman.
AppConfig:CRL:ValidityDays
Linux : AppConfig__CRL__ValidityDays
Valeur : Nombre à virgule flottante
Description : Le nombre de jours pendant lesquels une CRL émise est valide. Si rien n’est configuré, les CRL seront valides pendant 0,1 jour = 2,4 heures (SCEPman 2.4 et versions plus récentes) ou 30 jours (SCEPman 2.3).
Mis à jour
Ce contenu vous a-t-il été utile ?