Auch wenn ein Onlineresponder im Netzwerk vorhanden ist, und die Zertifizierungsstellen dessen Adresse in die Authority Information Access (AIA) Erweiterung der ausgestellten Zertifikate eingetragen hat, ist nicht immer garantiert, dass der Onlineresponder tatsächlich verwendet wird.
Eine Stellgröße hierbei ist die "Magic Number", welche auf jedem Windows Betriebssystem vorhanden ist. Sie bewirkt, dass das System auf (falls vorhanden) Sperrlisten zurückfällt, wenn für die gleiche Zertifizierungsstelle zu oft Anfragen per OCSP erfolgen.
Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".
Der Sinn ist, dass es bei zunehmender Anzahl von OCSP Anfragen für Zertifikate der gleichen Zertifizierungsstelle oft effizientet ist, stattdessen einmal die Zertifikatsperrliste herunterzuladen und diese lokal zu verwenden.
Ein gängiges Beispiel ist der Domänencontroller, der Smartcard-Anmeldungen von Benutzern verarbeitet. Hier wird von einem oder von einigen wenigen Servern der Sperrstatus für sehr viele Zertifikate, welche von der gleichen Zertifizierungsstelle kommen, überprüft.
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Standardwert anpassen
Der Standardwert für die "Magic Number" ist auf 50 Anfragen konfiguriert und kann per Gruppenrichtlinien angepasst werden.
Die Einstellung befindet sich unter "Computer Configuration" – "Windows Settings" – "Security Settings" – "Public Key policies" – "Certificate Path Validation Settings".
In der Karteikarte "Revocation" kann nun die Option "Prefer CRL over OCSP responses if number of cached OCSP responses corresponding to the same CRL distribution point is greater than" konfiguriert werden.
Der höchste Wert, der eingetragen werden kann ist: 2147483647.
Wird diese Gruppenrichtlinie angewendet, wird ein Registry-Wert namens "CryptnetCachedOcspSwitchToCrlCount" in folgendem Registrierungs-Schlüssel erzeugt:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config
Weiterführende Links:
Externe Quellen
- Optimizing the Revocation Experience / Defining Default Behavior (Microsoft)
- OCSP Magic Number (PKI Solutions, Inc.)
4 Gedanken zu „Die "Magic Number" für den Onlineresponder konfigurieren“
Kommentare sind geschlossen.