Cas :
SSL-VPN sur FortiGate avec LDAP et certificats clients. CA racine importée dans le FG. Configuration typique, simple.
Question : Comment configurer un FortiGate pour effectuer une recherche si un certificat utilisateur a été révoqué ? Je vois que vous pouvez importer une CRL en tant que fichier ou indiquer un fichier via HTTP ou même vers un serveur LDAP, mais je ne sais pas comment forcer le FortiGate à faire une vérification.
En CLI, il existe une
‘’’
config vpn certificate crl
‘’’
option mais je ne trouve pas de références CLI…
Il n’y a pas non plus de guides spécifiques concernant les CRL/certificats utilisateur révoqués.
Merci d’avance pour votre aide :).
Une fois que vous l’importez / c’est actif et la porte forcera si un certificat révoqué est listé dans la CRL.
Pour être 100% clair - si je mets un lien vers un endroit où la CRL est hébergée, le portail la vérifiera-t-il à chaque tentative de connexion d’un utilisateur avec un certificat ?
La porte vérifie contre sa copie locale de la CRL qu’elle possède. Et vous pouvez configurer la fréquence de mise à jour de cette copie. En passant, vous devez aussi connaître la fenêtre de mise à jour du CA pour sa CRL. Cela signifie que si votre CA a une mise à jour par défaut toutes les 8 heures, si vous révoquez un certificat, il peut prendre jusqu’à 8 heures avant que la CRL ne soit mise à jour par le CA… puis vous devez prendre en compte la fonction de récupération de la nouvelle copie de la CRL par la porte.
Merci beaucoup, c’est une excellente explication claire ! Je vais discuter avec nos magiciens Windows et j’espère que nous déterminerons les délais :).