Révocation de certificats

Découvrez comment révoquer un certificat ou une autorité de certification pour protéger les ressources en cas de non-approbation d'un certificat.

Vous pouvez retirer un certificat ou une autorité de certification pour l'invalider en tant que ressource approuvée pour diverses raisons. La révocation vous permet d'indiquer qu'une version spécifique d'un certificat ou d'une autorité de certification n'est plus fiable et de la marquer comme non valide avant la fin de sa période de validité. Bien que vous puissiez révoquer des versions spécifiques, vous devez toujours disposer d'au moins une version d'un certificat ou d'une autorité de certification, sauf si vous supprimez complètement la ressource. Si vous décidez de supprimer une autorité de certification, nous vous recommandons de révoquer d'abord l'autorité de certification.

Pour révoquer une version de certificat ou d'autorité de certification, vous devez émettre et publier une liste de révocation de certificats. Les listes de révocation de certificats sont publiées lorsqu'une version d'autorité de certification ou de certificat est révoquée, et lorsqu'une autorité de certification est créée. Une CRL répertorie les certificats X.509 qu'une autorité de certification a révoqués avant leur date d'expiration. Lors de la création initiale d'une autorité de certification, la liste de révocation de certificats est vide.

Si vous ne configurez pas une autorité de certification pour la révocation lorsque vous la créez, vous pourrez configurer la révocation plus tard. Toute version de certificat ou d'autorité de certification que vous révoquez avant de configurer la révocation, opération qui inclut la publication d'une liste de révocation de certificats, est publiée dans cette liste lorsqu'elle est disponible.

Dans une LCR, le statut de révocation inclut un motif de révocation et il n'est pas nécessaire que le statut de révocation d'une autorité de certification et de ses certificats concorde. Les statuts de révocation peuvent être les suivants :

• NON SPÉCIFIÉ. Aucun motif particulier. (Bien que vous puissiez révoquer un certificat sans préciser pourquoi, cette pratique n'est pas recommandée.)
• KEY_COMPROMISE. La clé privée correspondant à la clé publique du certificat est compromise, ou soupçonnée de l'être. Par exemple, le périphérique utilisé pour stocker la clé privée a été perdu ou volé. (Ce motif est utilisé pour les certificats d'entité finale.)
• CA_COMPROMISE. Une autorité de certification ou la clé privée correspondant à la clé publique dans le certificat de l'autorité de certification, est compromise ou soupçonnée de l'être. Par exemple, le périphérique utilisé pour stocker la clé privée a été perdu ou volé.
• AFFILIATION_CHANGED. Les informations sur le sujet du certificat ou d'autres détails du certificat ont été modifiés car une personne a quitté l'organisation indiquée dans l'attribut de nom distinctif du certificat.
• REMPLACER. Un certificat de remplacement a été émis, qui remplace le certificat annulé, et le motif n'est pas l'un des autres motifs de révocation.
• CESSATION_OF_OPERATION. L'autorité de certification cesse son activité et ne publie plus de listes de révocation de certificats pour les certificats émis.
• PRIVILEGE_WITHDRAWN. Le détenteur du certificat ne dispose plus des privilèges requis pour continuer à utiliser le certificat.
• AA_COMPROMISE. L'autorité d'authentification validée dans le certificat est compromise ou soupçonnée de l'être.

Pour valider un certificat, les clients d'un certificat obtiennent le fichier .crl hébergé au point d'extrémité désigné dans le certificat en tant que point de distribution de liste de révocation de certificats (CDP). Ensuite, ils vérifient si le fichier contient le numéro de série du certificat. Tout certificat inclus dans la liste de révocation de certificats est considéré comme non valide et rejeté.

Vous devez disposer d'un seau dédié et unique d'Oracle Cloud Infrastructure Object Storage où vous pouvez stocker la liste de révocation de certificats avant de créer une autorité de certification ou avant de configurer une autorité de certification pour la révocation. Si le service ne peut pas publier une LCR dans le service de stockage d'objets après plusieurs tentatives, la tentative suivante de publication a lieu lorsque le certificat suivant est révoqué.

Les listes de révocation de certificats sont publiées avec une période de validité de sept jours et sont actualisées tous les trois jours, avant leur expiration ou chaque fois qu'un certificat est révoqué. Une autorité de certification peut actualiser une liste de révocation de certificats tant que l'état du cycle de vie de l'autorité de certification est "actif".

Vous devez faire en sorte que le point d'extrémité du CDP soit accessible aux clients. Le service ne valide pas les points d'extrémité CDP. Le CDP d'un certificat est inclus dans le certificat et dans le certificat de l'autorité de certification émettrice. Vous ne pouvez utiliser une adresse HTTPS comme CDP que si vous pouvez garantir qu'il n'existe aucune dépendance circulaire dans la vérification de la chaîne HTTPS.

La mise à jour des détails de la CRL, y compris le seau de stockage d'objets où elle est stockée ou l'URL du CDP, ne met pas automatiquement à jour le certificat de la version de l'autorité de certification courante. Si vous souhaitez émettre un nouveau certificat pour refléter un nouveau CDP, vous devez créer une nouvelle version de l'autorité de certification.

La révocation d'un certificat fait passer l'état du cycle de vie de la ressource à 'Mise à jour' jusqu'à ce que la liste de révision soit publiée dans le seau de stockage d'objets, si l'AC émettrice est configurée pour publier cette liste. Si la publication de la liste de révocation de certificats échoue pour une raison quelconque, l'état du cycle de vie de la ressource que vous avez tenté de révoquer passe de "Mise à jour" à "Actif" afin que vous puissiez effectuer d'autres actions sur la ressource, si nécessaire. Une autorité de certification révoquée, en particulier, reste à l'état "Actif", car vous pouvez toujours la renouveler. Seule la version de l'autorité de certification est révoquée. En outre, la révocation d'une autorité de certification n'a aucune incidence sur le statut de révocation d'une autorité de certification subordonnée ni des certificats qu'elle a émis. Nous vous recommandons de supprimer tous les descendants de la hiérarchie si une autorité de certification émettrice est compromise.