05/12/2025

Révoquer un certificat sur une CA AD CS

Révoquer un certificat

I. Présentation

Ce chapitre aborde la gestion du cycle de vie des certificats, en mettant l'accent sur les situations pouvant conduire à leur révocation avant leur expiration naturelle.

Un certificat peut arriver à expiration et être remplacé par un nouveau, mais un autre événement peut survenir avant sa fin de validité qui nécessitera de le révoquer :

  • Compromission : une cyberattaque est intervenue et le certificat est compromis,
  • Erroné : les noms d'objets sont incorrects/mal orthographiés,
  • Changement de propriétaire : une nouvelle autorité a été établie et le certificat doit être réémis depuis cette nouvelle autorité,
  • Évolution standard sécurité : le niveau de chiffrement (algorithme, longueur de clé) est jugé insuffisant, aussi il a été élevé.

II. Révoquer un certificat

Depuis la "console de gestion d'autorité" pour l'autorité qui contient dans sa base le certificat pour lequel une action de révocation est nécessaire, accédez à "Certificats délivrés" puis dans "Toutes les tâches" > "Révoquer un certificat".

Il vous est alors possible de spécifier une raison justifiant la révocation. Dans la liste déroulante "Code de la raison", faites votre choix. Attention, cette révocation est irréversible, sauf si le motif choisi est "Certificat retenu" (voir la section Annuler la révocation de ce chapitre).

En plus du motif, il vous est possible de définir la date et l'heure auxquelles la révocation sera effective. Si vous laissez par défaut, la révocation sera immédiate.

Le certificat passe alors dans la vue "Certificats révoqués".

Toutefois, il faut attendre la publication de la CRL pour s'assurer que la révocation soit réellement effective. Si vous ne souhaitez pas patienter jusqu'au prochain intervalle de publication, vous pouvez forcer sa publication. Accédez pour cela au menu "Toutes les tâches" > "Publier", en opérant un clic-droit sur "Certificats révoqués".

Une nouvelle fenêtre apparaît alors. Il vous suffira de cliquer sur "OK" pour déclencher la publication vers les emplacements désignés comme points de distribution de la CRL.

III. Annuler la révocation d'un certificat

Si je tente d'annuler la révocation d'un certificat pour lequel le code de raison est autre chose que "Certificat retenu", j'obtiens un code d'erreur : "La commande de dérévocation a échouée..." précise ce message.

Logique. À présent, si je tente la même opération avec un certificat révoqué dont le code de raison est "Certificat retenu", tout fonctionne. Le certificat sort de la liste de révocation et il repasse dans "Certificats délivrés". Il y a donc une réelle incidence sur la faisabilité de cette action en fonction du code de raison retenu.

IV. Comment afficher la CRL ?

La vérification de révocation par un client utilise le ou les points de distribution fixés lors de l'émission du certificat. Il peut s'agir d'une URL qui pointe vers un fichier .crl ou le service OCSP, ou encore un chemin LDAP. En ouvrant les détails d'un certificat, on peut l'observer dans l'onglet "Détails".

Le chemin du service OCSP est quant à lui visible sous "Accès aux informations sur l’autorité" :

Pour afficher la liste de révocation de l'autorité, depuis la "console de gestion de l'autorité", accédez à la rubrique "Certificats révoqués". Faites un "clic-droit" > "Propriétés".

En accédant à l'onglet "Afficher la liste…", puis en cliquant sur le bouton "Afficher", une nouvelle fenêtre s'ouvrira, dans laquelle la liste de révocation sera visible.

V. Conclusion

La révocation d'un certificat fait partie du cycle de vie d'un certificat. D'autres tâches d'administration sont accessibles via les rubriques "Demandes ayant échoué ou Demandes en attente", aussi il sera intéressant de parcourir ces emplacements.

Désormais, direction le prochain module de ce cours où nous allons nous intéresser à la sécurisation de la plateforme de PKI.

Chapitre Précédent
Retour à la/au Module
Chapitre Suivant
author avatar
Hugues MOCCAND Architecte Systèmes
Architecte Systèmes en poste chez CHEOPS TECHNOLOGY, spécialiste des infrastructures informatiques sécurisées, l’un des leaders du Cloud Computing en France, organisé en 4 Divisions, Cloud & Managed Services, Infrastructure, Cyberdéfense, Modernisation Technologique, avec plus de 600 collaborateurs et 12 agences en France et en Suisse (DFI). Plusieurs fois certifiés Microsoft, je travaille en mode projets pour accompagner nos clients lors de leur transformation numérique principalement sur les sujets Microsoft : Azure, Microsoft 365, sécurité et produits on-premises, tels que Active Directory, PKI, RDS et Exchange Server.
Voir la bio complète
social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Windows 11 24H2 - La mise à niveau échoue - Erreur 0x80240069

Erreur 0x80240069 : Microsoft reconnaît un problème de mise à niveau vers Windows 11 24H2 avec WSUS

Florian BURNEL 1
Cyberattaque Boeing LockBit Octobre 2023

Les cybercriminels de LockBit revendiquent une cyberattaque contre Boeing !

Florian BURNEL 0

Bon plan Xiaomi : Redmi Note 10 Pro, Redmi Note 10S, Mi Band 6, etc…

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.