Procédure d'exploitation pour la révocation des certificats SIA et Personae
###########################################################################

Cette section fait référence au chapitre :ref:`integration_certificats_SIA_Personae`. 

La version 1.10.0 (« R8 ») apporte une nouvelle fonctionnalité permettant la révocation des certificats SIA et Personae afin d’empecher des accès non autorisés aux API :term:`VITAM` (vérification dans la couche https des CRL). 

Le fonctionnement de la validation des certifcats :term:`VITAM` SIA et Personae par CRL est le suivant : 

* Le système :term:`VITAM` récupère le CRL d'un CA qui a émis le certificat présent dans :term:`VITAM`, via le point d'API suivant : http://{{hosts-security-internal}}:{{vitam.security_internal.port_admin}}/v1/api/crl

.. caution:: La CRL fournie doit être obligatoirement au format DER (cf. http://www.ietf.org/rfc/rfc3280.txt">RFC 3280: Internet X.509 Public Key Infrastructure Certificate and CRL Profile) 

* Le système va contrôler tous les certificats (collections identity.Certificate et identity.PersonalCertificate) émis par le 'IssuerDN' correspondant à la CRL en vérifiant si ces derniers sont révoqués ou non. Si c'est le cas, alors Le système :term:`VITAM` positionne le statut du certificat révoqué à 'REVOKED'. Cela a pour conséquence le rejet de tout accès aux API :term:`VITAM` avec utilisation du certificat révoqué (les filtres de sécurité émettront des exceptions dans les journaux de log). 

* Une alerte de sécurité est émise dans les journaux en cas de révocation. 

Procédure de révocation
=======================

La prise en compte d'une CRL par le système :term:`VITAM` s'effecture via la commande suivante:

.. code-block:: bash

	curl -v -X POST -u {{ admin_basic_auth_user }}:{{ admin_basic_auth_password }}  http://{{hosts-security-internal}}:{{vitam.security_internal.port_admin}}/v1/api/crl -H 'Content-Type: application/octet-stream' --data-binary @/path/to/crl/my.crl

.. note:: Un retour arrière est possible en modifiant le statut du certificat directement dans la base MongoDB (collection identity.Certificate), en passant le champ 'Status' de 'REVOKED' à 'VALID'.