Nous avions déjà vu comment publier la liste de révocation sur un serveur racine autonome, généralement conservé hors ligne. Dans le cas d'une autorité secondaire d'entreprise, nous avons vu dans les paragraphes précédents, comment donner accès au serveur directement sur un partage à la source de la diffusion de la CRL. Il n'y a donc pas besoin de la copier manuellement sur le point de diffusion.
Depuis la console de l'autorité de certification ou « certsrv.msc », faites un clic droit sur « certificats révoqués » puis « toutes les tâches » et « publier».
Nous avions déjà vu dans l'article précédent comment gérer la durée de vie des listes de révocation sur l'autorité de certification racine autonome. Le principe de configuration reste identique, dans le cas de l'autorité secondaire d'entreprise. Cependant, dans le cas de l'autorité secondaire intégré dans Active Directory, nous allons publier les informations automatiquement sur un partage de fichier.
Pour configurer l'autorité secondaire, ouvrez la console « Autorité de certification » ou « certsrv.msc ».
Ouvrez une session sur l'autorité de certification. Copiez le certificat de l'autorité secondaire qui se trouve par défaut dans « C:\Windows\System32\CertSrv\CertEnroll » vers le partage \\lab-IIS\CRL\Subca et renommez-le, en fonction de l'URL que vous avez défini :
Ouvrez la console de l'autorité de certification, soit depuis le gestionnaire de serveur ou avec la commande «certsrv.msc ». Faites un clic droit sur le nom de l'autorité de certification dans le volet de gauche et sélectionnez propriétés.
Ouvrez la page « Extensions » , et sélectionnez dans le menu déroulant « Point de distributions de la liste de révocations des certificats (CPD) ».
Ouvrez une session sur le serveur IIS (dans notre exemple « LAB-IIS »). Sur le dossier CRL que nous avons créé lors de la configuration de la publication de l'autorité racine, rechercher le dossier CRL.
Faites un clic droit propriété et accéder aux dossier partage.
Nous avons déjà vu dans un chapitre précédent comment configurer les extensions pour l'autorité racine. Comme pour l'autorité racine, les informations à publier sont le certificat de l'autorité ainsi que les listes de révocation. Dans une autorité d'entreprise, il est possible de stocker ces informations sur plusieurs emplacements.
Par défaut, ces informations sont enregistrées dans l'annuaire Active Directory avec des liens LDAP.
