Chapitre 21. Invalider rapidement un groupe spécifique de certificats apparentés
En tant qu'administrateur système, si vous souhaitez pouvoir invalider rapidement un groupe spécifique de certificats apparentés :
- Concevez vos applications de manière à ce qu'elles ne fassent confiance qu'aux certificats émis par une sous-CA de gestion d'identité (IdM) légère spécifique. Par la suite, vous pourrez invalider tous ces certificats en révoquant uniquement le certificat de la sous-CA de gestion d'identité (IdM) qui a émis ces certificats. Pour plus de détails sur la création et l'utilisation d'un sous-CA léger dans IdM, voir rapidement Invalider un groupe spécifique de certificats liés.
Pour garantir que tous les certificats émis par la sous-CA IdM à révoquer sont immédiatement invalides, configurez les applications qui s'appuient sur ces certificats pour qu'elles utilisent les répondeurs OCSP de l'IdM. Par exemple, pour configurer le navigateur Firefox afin qu'il utilise les répondeurs OCSP, assurez-vous que la case
Query OCSP responder servers to confirm the current validity of certificates
est cochée dans les préférences de Firefox.Dans l'IdM, la liste de révocation des certificats (CRL) est mise à jour toutes les quatre heures. d Pour invalider tous les certificats émis par une sous-CA de l'IdM, révoquez le certificat de la sous-CA de l'IdM. En outre, désactivez les ACL de l'autorité de certification concernée et envisagez de désactiver la sous-AAC IdM. La désactivation de l'AC secondaire empêche l'AC secondaire d'émettre de nouveaux certificats, mais permet de produire des réponses OCSP (Online Certificate Status Protocol) pour les certificats précédemment émis, car les clés de signature de l'AC secondaire sont conservées.
Ne supprimez pas le sous-CA si vous utilisez OCSP dans votre environnement. La suppression du sous-CA supprime les clés de signature du sous-CA, ce qui empêche la production de réponses OCSP pour les certificats émis par ce sous-CA.
Le seul cas où il est préférable de supprimer un sous-CA plutôt que de le désactiver est celui où l'on souhaite créer un nouveau sous-CA avec le même Subject distinguished name (DN) mais une nouvelle clé de signature.
21.1. Désactivation des listes de contrôle d'accès aux CA dans l'interface de gestion de l'IdM
Lorsque vous souhaitez retirer un service IdM ou un groupe de services IdM, envisagez de désactiver toutes les ACL correspondantes existantes.
Complétez cette section pour désactiver l'ACL TLS_web_server_authentication CA qui empêche le serveur web fonctionnant sur votre client IdM de demander un certificat devant être émis par la sous-CA IdM webserver-ca
, et pour désactiver l'ACL TLS_web_client_authentication CA qui empêche les utilisateurs IdM de demander un certificat d'utilisateur devant être émis par la sous-CA IdM webclient-ca
.
Procédure
En option, pour afficher toutes les ACL de votre environnement IdM, entrez la commande
ipa caacl-find
:$ ipa caacl-find ----------------- 3 CA ACLs matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE ACL name: TLS_web_server_authentication Enabled: TRUE ACL name: TLS_web_client_authentication Enabled: TRUE
En option, pour afficher les détails d'une CA ACL, entrez la commande
ipa caacl-show
et indiquez le nom de la CA ACL :$ ipa caacl-show TLS_web_server_authentication ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COM
Pour désactiver une CA ACL, entrez la commande
ipa caacl-disable
et indiquez le nom de la CA ACL.Pour désactiver l'ACL TLS_web_server_authentication CA, entrez :
$ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------
Pour désactiver l'ACL TLS_web_client_authentication CA, entrez :
$ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
La seule CA ACL activée actuellement est la CA ACL hosts_services_caIPAserviceCert.
ImportantSoyez extrêmement prudent lorsque vous désactivez l'ACL
hosts_services_caIPAserviceCert
. La désactivation dehosts_services_caIPAserviceCert
, sans une autre ACL CA accordant aux serveurs IdM l'utilisation de l'ACipa
avec le profilcaIPAserviceCert
signifie que le renouvellement des certificats IdMHTTP
etLDAP
échouera. Les certificats expirés des serveurs IdMHTTP
etLDAP
finiront par provoquer une défaillance du système IdM.