Cette section fournit des instructions sur la configuration de l'autorité de certification OpenXPKI version 2.5.x à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).
Remarques :
Connectez la machine à l'aide de PuTTY ou d'un autre client.
A partir du client, exécutez la commande pour accéder à l'utilisateur racine.
Saisissez le mot de passe racine.
Dans nano /etc/apt/sources.list, modifiez la source pour l'installation des mises à jour.
Mettez à jour le fichier. Par exemple :
# # deb cdrom:[Debian GNU/Linux 8.11.1 _Jessie_ - Official amd64 CD Binary-1 20190211-02:10]/ jessie local main # deb cdrom:[Debian GNU/Linux 8.11.1 _Jessie_ - Official amd64 CD Binary-1 20190211-02:10]/ jessie local main deb http://security.debian.org/ jessie/updates main deb-src http://security.debian.org/ jessie/updates main # jessie-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/jessie-updates main deb-src http://ftp.debian.org/debian/jessie-updates main deb http://ftp.us.debian.org/debian/jessie main
Enregistrez le fichier.
Exécutez les commandes suivantes :
Mettez à jour les listes de certificats CA du serveur à l'aide de .
Installez le paramètre local en_US.utf8 locale à l'aide des paramètres locaux .
Sélectionnez le paramètre local en_US.UTF-8 UTF-8, puis définissez-le comme paramètre local par défaut pour le système.
Vérifiez les paramètres locaux que vous avez générés à l'aide de .
C C.UTF-8 en_IN en_IN.utf8 en_US.utf8 POSIX
Copiez l'empreinte du package OpenXPKI à l'aide de . Dans ce cas, copiez la clé dans /home.
Saisissez comme valeur.
Exécutez la commande suivante :
Ajoutez le package à l'aide de la commande .
Ajoutez le référentiel à votre liste source (jessie) à l'aide de , puis .
Installez la liaison MySQL et Perl MySQL à l'aide de .
Installez apache2.2-common à l'aide de .
Dans nano /etc/apt/sources.list, installez le module fastcgi pour accélérer l'interface utilisateur.
Ajoutez la ligne dans le fichier, puis enregistrez-la.
Exécutez les commandes suivantes :
Activez le module fastcgi à l'aide de .
Installez le package principal OpenXPKI à l'aide de .
Redémarrez le serveur Apache en utilisant le .
Vérifiez si l'installation est réussie à l'aide de .
Créez la base de données vide, puis affectez l'utilisateur de la base de données à l'aide de .
Remarques :
CREATE DATABASE openxpki CHARSET utf8; CREATE USER 'openxpki'@'localhost' IDENTIFIED BY 'openxpki'; GRANT ALL ON openxpki.* TO 'openxpki'@'localhost'; flush privileges;
Si le service MySQL n'est pas en cours d'exécution, exécutez pour lancer le service.
Saisissez pour quitter MySQL.
Stockez les informations d'identification utilisées dans /etc/openxpki/config.d/system/database.yaml.
debug: 0 type: MySQL name: openxpki host: localhost port: 3306 user: openxpki passwd: openxpki
Enregistrez le fichier.
Pour un schéma de base de données vide, exécutez à partir du fichier de schéma fourni.
Saisissez le mot de passe de la base de données.
Décompressez l'exemple de script pour installer le certificat à l'aide de .
Exécutez le script à l'aide de .
Confirmez la configuration à l'aide de .
=== functional token === scep (scep): Alias : scep-1 Identifier: YsBNZ7JYTbx89F_-Z4jn_RPFFWo NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 vault (datasafe): Alias : vault-1 Identifier: lZILS1l6Km5aIGS6pA7P7azAJic NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 ca-signer (certsign): Alias : ca-signer-1 Identifier: Sw_IY7AdoGUp28F_cFEdhbtI9pE NotBefore : 2015-01-30 20:44:40 NotAfter : 2018-01-29 20:44:40 === root ca === current root ca: Alias : root-1 Identifier: fVrqJAlpotPaisOAsnxa9cglXCc NotBefore : 2015-01-30 20:44:39 NotAfter : 2020-01-30 20:44:39 upcoming root ca: not set
Vérifiez si l'installation est réussie à l'aide de .
Starting OpenXPKI... OpenXPKI Server is running and accepting requests. DONE.
Pour accéder au serveur OpenXPKI, procédez comme suit :
Depuis un navigateur Web, saisissez .
Connectez-vous en tant qu'opérateur. Le mot de passe par défaut est .
Créez une demande de certificat, puis testez-la.
Pour configurer l'autorité de certification OpenXPKI manuellement, créez les éléments suivants :
Certificat CA racine. Pour plus d'informations, reportez-vous à la section Création d'un certificat CA racine.
Certificat du signataire de l'autorité de certification, signé par l'autorité de certification racine. Pour plus d'informations, reportez-vous à la section Création d'un certificat de signataire.
Certificat du coffre de données, auto-signé. Pour plus d'informations, reportez-vous à la section Création d'un certificat de coffre.
Certificat SCEP, signé par le certificat du signataire.
Remarques :
Pour cette instance, nous utilisons le répertoire /etc/certs/openxpki_ca-one/ pour la génération de certificats. Cependant, vous pouvez utiliser n'importe quel répertoire.
Exécutez la commande suivante :
# x509_extensions = v3_ca_extensions # x509_extensions = v3_issuing_extensions # x509_extensions = v3_datavault_extensions # x509_extensions = v3_scep_extensions # x509_extensions = v3_web_extensions # x509_extensions = v3_ca_reqexts # not for root self-signed, only for issuing ## x509_extensions = v3_datavault_reqexts # not required self-signed # x509_extensions = v3_scep_reqexts # x509_extensions = v3_web_reqexts [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] domainComponent = Domain Component commonName = Common Name [ v3_ca_reqexts ] subjectKeyIdentifier = hash keyUsage = digitalSignature, keyCertSign, cRLSign [ v3_datavault_reqexts ] subjectKeyIdentifier = hash keyUsage = keyEncipherment extendedKeyUsage = emailProtection [ v3_scep_reqexts ] subjectKeyIdentifier = hash [ v3_web_reqexts ] subjectKeyIdentifier = hash keyUsage = critical, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth [ v3_ca_extensions ] subjectKeyIdentifier = hash keyUsage = digitalSignature, keyCertSign, cRLSign basicConstraints = critical,CA:TRUE authorityKeyIdentifier = keyid:always,issuer [ v3_issuing_extensions ] subjectKeyIdentifier = hash keyUsage = digitalSignature, keyCertSign, cRLSign basicConstraints = critical,CA:TRUE authorityKeyIdentifier = keyid:always,issuer:always crlDistributionPoints = URI:http://FQDN of the server/CertEnroll/MYOPENXPKI.crl authorityInfoAccess = caIssuers;URI:http://FQDN of the server/CertEnroll/MYOPENXPKI.crt [ v3_datavault_extensions ] subjectKeyIdentifier = hash keyUsage = keyEncipherment extendedKeyUsage = emailProtection basicConstraints = CA:FALSE authorityKeyIdentifier = keyid:always,issuer [ v3_scep_extensions ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE authorityKeyIdentifier = keyid,issuer [ v3_web_extensions ] subjectKeyIdentifier = hash keyUsage = critical, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth basicConstraints = critical,CA:FALSE subjectAltName = DNS:stlopenxpki.dhcp.indiadev.lexmark.com crlDistributionPoints = URI:http://FQDN of the server/CertEnroll/MYOPENXPKI_ISSUINGCA.crl authorityInfoAccess = caIssuers;URI:http://FQDN of the server/CertEnroll/MYOPENXPKI_ISSUINGCA.crt
Modifiez l'adresse IP et le nom du certificat CA avec vos informations de configuration.
Enregistrez le fichier.
Exécutez la commande suivante :
Saisissez votre mot de passe.
Enregistrez le fichier.
Exécutez les commandes suivantes :
Exécutez la commande suivante :
Remplacez l'objet de la demande par vos informations d'autorité de certification en utilisant .
Faites signer le certificat par l'autorité de certification racine à l'aide de .
Remarques :
Exécutez la commande suivante :
Remplacez l'objet de la demande par vos informations d'autorité de certification en utilisant .
Exécutez la commande suivante :
Exécutez les commandes suivantes :
Copiez les fichiers de clés dans /etc/openxpki/ca/ca-one/.
cp /etc/certs/openxpki_ca-one/ca-signer-1.key /etc/openxpki/ca/ca-one/ cp /etc/certs/openxpki_ca-one/vault-1.key /etc/openxpki/ca/ca-one/ cp /etc/certs/openxpki_ca-one/scep-1.key /etc/openxpki/ca/ca-one/
Créez le lien symbolique.
ln -s /etc/openxpki/ca/ca-one/ca-signer-1.key /etc/openxpki/ca/ca-one/ca-signer-1.pem ln -s /etc/openxpki/ca/ca-one/scep-1.key /etc/openxpki/ca/ca-one/scep-1.pem ln -s /etc/openxpki/ca/ca-one/vault-1.key /etc/openxpki/ca/ca-one/vault-1.pem
Importez le certificat racine, le certificat du signataire, le certificat du coffre et le certificat SCEP dans la base de données avec les jetons appropriés.
Exécutez les commandes suivantes :
Vérifiez si l'importation est réussie à l'aide de .
=== functional token === scep (scep): Alias : scep-1 Identifier: YsBNZ7JYTbx89F_-Z4jn_RPFFWo NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 vault (datasafe): Alias : vault-1 Identifier: lZILS1l6Km5aIGS6pA7P7azAJic NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 ca-signer (certsign): Alias : ca-signer-1 Identifier: Sw_IY7AdoGUp28F_cFEdhbtI9pE NotBefore : 2015-01-30 20:44:40 NotAfter : 2018-01-29 20:44:40 === root ca === current root ca: Alias : root-1 Identifier: fVrqJAlpotPaisOAsnxa9cglXCc NotBefore : 2015-01-30 20:44:39 NotAfter : 2020-01-30 20:44:39 upcoming root ca: not set
Exécutez la commande .
Starting OpenXPKI... OpenXPKI Server is running and accepting requests. DONE.
Pour accéder au serveur OpenXPKI, procédez comme suit :
Depuis un navigateur Web, saisissez .
Connectez-vous en tant qu'opérateur. Le mot de passe par défaut est .
Créez une demande de certificat, puis testez-la.
Arrêtez le service OpenXPKI à l'aide de .
Dans nano /etc/openxpki/config.d/realm/ca-one/publishing.yaml, mettez à jour les éléments suivants de la section :
class: Connector::Builtin::File::Path LOCATION: /var/www/openxpki/CertEnroll/ file: "[% ARGS.0 %].crl" content: "[% pem %]"
Dans nano /etc/openxpki/config.d/realm/ca-one/profile/default.yaml, mettez à jour les éléments suivants :
Section
critical: 0
uri:
- http://FQDN of the server/CertEnroll/[% ISSUER.CN.0 %].crl
- ldap://localhost/[% ISSUER.DN %]Section
critical: 0 ca_issuers: http://FQDN of the server/CertEnroll/MYOPENXPKI.crt ocsp: http://ocsp.openxpki.org/
Modifiez l'adresse IP et le nom du certificat CA en fonction de votre serveur CA.
Dans nano /etc/openxpki/config.d/realm/ca-one/crl/default.yaml, procédez comme suit :
Si nécessaire, mettez à jour et .
Ajoutez à la section suivante :
extensions:
authority_info_access:
critical: 0
# ca_issuers and ocsp can be scalar or list
ca_issuers: http://FQDN of the server/CertEnroll/MYOPENXPKI.crt
#ocsp: http://ocsp.openxpki.org/
Modifiez l'adresse IP et le nom du certificat CA en fonction de votre serveur CA.
Démarrez le service OpenXPKI à l'aide de .
Arrêtez le service Apache à l'aide de .
Créez un répertoire CertEnroll pour crl dans le répertoire /var/www/openxpki/.
Définissez openxpki comme propriétaire de ce répertoire, puis configurez les autorisations pour permettre à Apache de lire et d'exécuter, et aux autres services de lire uniquement.
chown openxpki /var/www/openxpki/CertEnroll
chmod 755 /var/www/openxpki/CertEnroll
Ajoutez une référence au fichier de configuration alias.conf à l'aide de .
Après la section , ajoutez ce qui suit :
Alias /CertEnroll/ "/var/www/openxpki/CertEnroll/"
<Directory "/var/www/openxpki/CertEnroll">
Options FollowSymlinks
AllowOverride None
Require all granted
</Directory>Ajoutez une référence dans le fichier apache2.conf à l'aide de nano /etc/apache2/apache2.conf.
Ajoutez ce qui suit dans la section :
<Directory /var/www/openxpki/CertEnroll>
Options FollowSymlinks
AllowOverride None
Allow from all
</Directory>Démarrez le service Apache à l'aide de .
Arrêtez le service OpenXPKI à l'aide de .
Installez le package openca-tools à l'aide de .
Démarrez le service OpenXPKI à l'aide de .
Testez le service à l'aide de n'importe quel client, tel que certnanny avec SSCEP.
Pour les demandes de certificat automatiques, nous utilisons la fonction du certificat du signataire pour le compte de d'OpenXPKI.
Arrêtez le service OpenXPKI à l'aide de .
Dans nano /etc/openxpki/config.d/realm/ca-one/scep/generic.yaml, depuis la section , ajoutez une règle pour le nom d'objet du certificat du signataire.
rule1:
# Full DN
subject: CN=Markvision_.*
Remarques :
Enregistrez le fichier.
Démarrez le service OpenXPKI à l'aide de .
Arrêtez le service OpenXPKI à l'aide de .
Dans nano /etc/openxpki/config.d/realm/ca-one/scep/generic.yaml, mettez à jour les éléments section :
eligible:
initial:
value@: connector:scep.generic.connector.initial
args: '[% context.cert_subject_parts.CN.0 %]'
expect:
- Build
- Neweligible: initial: value: 1 # value@: connector:scep.generic.connector.initial # args: '[% context.cert_subject_parts.CN.0 %]' # expect: # - Build # - New
Remarques :
Enregistrez le fichier.
Démarrez le service OpenXPKI à l'aide de .
Dans OpenXPKI, vous pouvez configurer plusieurs structures PKI dans le même système. Les rubriques suivantes expliquent comment créer un autre domaine pour MVE nommé ca-two.
Copiez l'exemple d'arborescence /etc/openxpki/config.d/realm/ca-one dans un nouveau répertoire (cp -avr /etc/openxpki/config.d/realm/ca-one /etc/openxpki/config.d/realm/ca-two) dans le répertoire de domaine.
Dans etc/openxpki/config.d/system/realms.yaml, mettez à jour la section suivante :
# This is the list of realms in this PKI
# You only need to enable the realms which are visible on the server
ca-one:
label: Verbose name of this realm
baseurl: https://pki.example.com/openxpki/
#ca-two:
# label: Verbose name of this realm
# baseurl: https://pki.acme.org/openxpki/# This is the list of realms in this PKI
# You only need to enable the realms which are visible on the server
ca-one:
label: CA-ONE
baseurl: https://pki.example.com/openxpki/
ca-two:
label: CA-TWO
baseurl: https://pki.example.com/openxpki/Enregistrez le fichier.
Les instructions suivantes indiquent comment générer le certificat du signataire, le certificat du coffre et le certificat SCEP. L'autorité de certification racine signe le certificat du signataire, puis le certificat du signataire signe le certificat SCEP. Le certificat du coffre est auto-signé.
Générez, puis signez les certificats. Pour plus d'informations, reportez-vous à la section Configuration manuelle de l'autorité de certification OpenXPKI.
Copiez les fichiers de clés dans /etc/openxpki/ca/ca-two/.
cp /etc/certs/openxpki_ca-two/ca-signer-1.key /etc/openxpki/ca/ca-two/ cp /etc/certs/openxpki_ca-two/vault-1.key /etc/openxpki/ca/ca-two/ cp /etc/certs/openxpki_ca-two/scep-1.key /etc/openxpki/ca/ca-two/
Créez le lien symbolique. Créez également un lien symbolique pour le certificat CA racine.
ln -s /etc/openxpki/ca/ca-one/ca-root-1.crt /etc/openxpki/ca/ca-two/ca-root-1.crt ln -s /etc/openxpki/ca/ca-two/ca-signer-1.key /etc/openxpki/ca/ca-two/ca-signer-1.pem ln -s /etc/openxpki/ca/ca-two/scep-1.key /etc/openxpki/ca/ca-two/scep-1.pem ln -s /etc/openxpki/ca/ca-two/vault-1.key /etc/openxpki/ca/ca-two/vault-1.pem
Importez le certificat du signataire, le certificat du coffre et le certificat SCEP dans la base de données avec les jetons appropriés pour .
openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/ca-signer-1.crt --realm ca-two –issuer /etc/openxpki/ca/ca-two/ca-one-1.crt --token certsign openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/scep-1.crt --realm ca-two --token scep openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/vault-1.crt --realm ca-two --token datasafe
Vérifiez si l'importation est réussie à l'aide de .
=== functional token === scep (scep): Alias : scep-1 Identifier: YsBNZ7JYTbx89F_-Z4jn_RPFFWo NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 vault (datasafe): Alias : vault-1 Identifier: lZILS1l6Km5aIGS6pA7P7azAJic NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 ca-signer (certsign): Alias : ca-signer-1 Identifier: Sw_IY7AdoGUp28F_cFEdhbtI9pE NotBefore : 2015-01-30 20:44:40 NotAfter : 2018-01-29 20:44:40 === root ca === current root ca: Alias : root-1 Identifier: fVrqJAlpotPaisOAsnxa9cglXCc NotBefore : 2015-01-30 20:44:39 NotAfter : 2020-01-30 20:44:39 upcoming root ca: not set
Dans ce cas, les informations de l'autorité de certification racine sont les mêmes pour et .
Si vous avez modifié le mot de passe de la clé de certificat lors de la création du certificat, alors mettez à jour nano /etc/openxpki/config.d/realm/ca-two/crypto.yaml.
Générez les CRL pour ce domaine. Pour plus d'informations, reportez-vous à la section Génération des informations CRL.
Publier les CRL pour ce domaine. Pour plus d'informations, reportez-vous à la section Configuration de l'accessibilité CRL.
Redémarrez le service OpenXPKI à l'aide de .
Stopping OpenXPKI Stopping gracefully, 3 (sub)processes remaining... DONE. Starting OpenXPKI... OpenXPKI Server is running and accepting requests. DONE.
Pour accéder au serveur OpenXPKI, procédez comme suit :
Depuis un navigateur Web, saisissez .
Connectez-vous en tant qu'opérateur. Le mot de passe par défaut est .
Le point de terminaison SCEP du domaine par défaut est http://<ipaddress>/scep/scep. Si vous disposez de plusieurs domaines, configurez un point de terminaison SCEP unique (fichier de configuration différent) pour chaque domaine. Dans les instructions suivantes, nous utilisons deux domaines PKI, et .
Copiez le fichier de configuration par défaut dans cp /etc/openxpki/scep/default.conf /etc/openxpki/scep/ca-one.conf.
Dans penxpki/scep/ca-one.conf, définissez la valeur du domaine sur .
Créez un autre fichier de configuration dans cp /etc/openxpki/scep/default.conf /etc/openxpki/scep/ca-two.conf.
Dans nano /etc/openxpki/scep/ca-two.conf, définissez la valeur du domaine sur .
Redémarrez le service OpenXPKI à l'aide de .
Les points de terminaison SCEP sont les suivants :
—http://ipaddress/scep/ca-one
—http://ipaddress/scep/ca-two
Si vous souhaitez faire la différence entre les informations d'identification de connexion et les modèles de certificat par défaut pour différents domaines PKI, vous aurez peut-être besoin d'une configuration avancée.
Par défaut, dans OpenXPKI, un seul certificat avec le même nom d'objet peut être actif à la fois. Cependant, lorsque vous appliquez plusieurs Certificats nommés, plusieurs certificats actifs portant le même nom d'objet doivent être présents à la fois.
Dans /etc/openxpki/config.d/realm/REALM NAME/scep/generic.yaml, dans la section , remplacez la valeur de par .
Remarques :
Redémarrez le service OpenXPKI à l'aide de .
Par défaut, Apache écoute dans le numéro de port 80. Définissez le numéro de port par défaut de l'autorité de certification OpenXPKI pour éviter les conflits.
Dans /etc/apache2/ports.conf, ajoutez ou modifiez un port. Par exemple, .
Dans /etc/apache2/sites-enabled/000-default.conf, ajoutez ou modifiez la section pour mapper le nouveau port. Par exemple, .
Redémarrez le serveur Apache à l'aide de .
Pour vérifier l'état, exécutez . L'URL SCEP OpenXPKI est désormais http://ipaddress:8080/scep/ca-one, et l'URL Web est http://ip address:8080/openxpki.
Par défaut, OpenXPKI accepte les demandes sans vérifier le mot de passe de challenge. La demande de certificat n'est pas rejetée et l'administrateur de l'autorité de certification et l'autorité de certification déterminent s'il faut approuver ou rejeter la demande. Pour éviter tout problème de sécurité potentiel, désactivez cette fonction afin que toute demande de certificat contenant des mots de passe non valides soit immédiatement rejetée. Dans MVE, Mot de passe de challenge est requis uniquement lors de la génération du certificat d'agent d'inscription.
Dans etc/openxpki/config.d/realm/REALM NAME/scep/generic.yaml, à partir de la section , remplacez la valeur de par .
Remarques :
Redémarrez le service OpenXPKI à l'aide de .
Dans /etc/openxpki/config.d/realm/REALM NAME/profile/I18N_OPENXPKI_PROFILE_TLS_SERVER.yaml, depuis la section remplacez la valeur par .
Remarques :
Redémarrez le service OpenXPKI à l'aide de .
Par défaut, OpenXPKI lit uniquement le CN de l'objet du certificat demandeur. Les autres informations, telles que le pays, la localité et DC, sont codées en dur. Par exemple, si un objet de certificat est , , , , , , alors après avoir signé le certificat via SCEP, le sujet est remplacé par , , .
Dans /etc/openxpki/config.d/realm/REALM NAME/profile/I18N_OPENXPKI_PROFILE_TLS_SERVER.yaml, dans la section , modifiez la valeur comme suit :
CN=[% CN.0 %][% IF OU %][% FOREACH entry = OU %],OU=[% entry %][% END %][% END %][% IF O %][% FOREACH entry = O %],O=[% entry %][% END %][% END %][% IF L %],L=[% L.0 %][% END %][% IF ST %],ST=[% ST.0 %][% END %][% IF C %],C=[% C.0 %][% END %][% IF DC %][% FOREACH entry = DC %],DC=[% entry %][% END %][% END %][% IF EMAIL %][% FOREACH entry = EMAIL %],EMAIL=[% entry %][% END %][% END %]
Enregistrez le fichier.
Créez un fichier intitulé l.yaml dans le répertoire /etc/openxpki/config.d/realm/REALM NAME/profile/template.
Ajoutez ce qui suit :
id: L label: L description: I18N_OPENXPKI_UI_PROFILE_L_DESC preset: L type: freetext width: 60 placeholder: Kolkata
Enregistrez le fichier.
Créez un fichier intitulé st.yaml dans le répertoire /etc/openxpki/config.d/realm/REALM NAME/profile/template.
Ajoutez ce qui suit :
id: ST label: ST description: I18N_OPENXPKI_UI_PROFILE_ST_DESC preset: ST type: freetext width: 60 placeholder: WB
Enregistrez le fichier.
Redémarrez le service OpenXPKI à l'aide de .
Accédez au serveur OpenXPKI.
Depuis un navigateur Web, saisissez .
Connectez-vous en tant qu'opérateur. Le mot de passe par défaut est .
Cliquez sur Recherche de flux > Rechercher maintenant.
Cliquez sur un certificat à révoquer, puis cliquez sur le lien du certificat.
Dans la section Action, cliquez sur demande de révocation.
Saisissez les valeurs appropriées, puis cliquez sur Continuer > Envoyer la demande.
Sur la page suivante, approuvez la demande. La révocation du certificat attend la prochaine publication de CRL.
Dans la section Fonctionnement PKI, cliquez sur Emettre une liste de révocation de certificat (CRL).
Cliquez sur Appliquer la création de listes de révocation > Continuer.
Dans la section Fonctionnement PKI, cliquez sur Publier CA/CRL.
Cliquez sur Recherche de flux > Rechercher maintenant.
Cliquez sur le certificat révoqué de type certificate_revocation_request_v2.
Cliquez sur Forcer la réactivation.
Dans le nouveau CRL, vous trouverez le numéro de série et le motif de révocation du certificat révoqué.