par jackced sur Mar 27 Juil 2004, 16:27
Bonjour,
J'étudie les possibilité de smart card logon, j'ai alors réalisé une maquette (avec des machines virtuels).
J'ai un réseau avec trois machines :
* une machine-controleur de domaine : AD + DNS (windows 2003 server Standard)
* une machine-AC Enterprise (windows 2003 server Enterprise)
* une machine cliente (Windows XP Pro) sur laquelle j'utilise le smart card logon (clé USB aladdin) pour ouvrir une session d'un utilisateur du domaine.
Je demande un certificat qui s'installe correctement sur ma clé USB et je peux ouvrir une session depuis ma machine cliente.
Mon problème arrive quand je veux tester la révocation du certificat. Je révoque le certificat depuis une console MMC avec le composant de mon AC.
Ensuite je force la publication de la CLR toujours avec ma MMC. Pour vérifier, je regarde le fichier "crl" publié dans l'application web "certsrv" je retrouve bien le numéro de série du certificat qui a été révoqué. Donc la publication a à priori bien eu lieu.
Mais quand j'essaye d'ouvrir une session sur ma machine cliente et bien la session s'ouvre sans problème, ce qui n'est pas normal.
J'ai trouvé que sous 2000 il pouvait y a avoir une histoire de cache du fichier crl. J'ai alors descendue l'interval de publication du fichier crl à une fois/heure. Puis j'ai redemandé un certificat, j'ai retesté l'ouverture de session : pas de problème. Ensuite j'ai révoqué le certificat, j'ai publié le fichier crl, attendu 1h30 pour être sûr que la publication programmée ai lieu, j'ai retesté l'ouverture de session : problème, elle s'ouvre ...
Est-ce quelqu'un à une idée ? Est-ce que quelqu'un l'a déja fait et la révocation marche ?
Je vous remercie d'avance pour votre aide
Cordialement
Jackced
