Um feststellen zu können, ob ein Zertifikat von einer als vertrauenswürdig eingestuften Zertifizierungsstelle ausgestellt wurde, muss eine Vertrauenskette (engl. Trust Chain) gebildet werden. Hierfür müssen alle Zertifikate in der Kette ermittelt und überprüft werden. Die Microsoft CryptoAPI bildet alle möglichen Zertifikatketten und liefert diejenigen mit der höchsten Qualität an die anfragende Anwendung zurück.
„Grundlagen: Auffinden von Zertifikaten und Validierung des Zertifizierungspfades“ weiterlesenMonat: September 2020
Grundlagen: Überprüfung des Sperrstatus von Zertifikaten
Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.
„Grundlagen: Überprüfung des Sperrstatus von Zertifikaten“ weiterlesenDen Onlineresponder (OCSP) mit einem SafeNet Hardware Security Module (HSM) verwenden
Mit dem SafeNet Key Storage Provider ist es nicht möglich, Berechtigungen auf die privaten Schlüssel zu setzen: die Microsoft Management Console (MMC) wird hierbei abstürzen.
„Den Onlineresponder (OCSP) mit einem SafeNet Hardware Security Module (HSM) verwenden“ weiterlesenDie erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken
Eine sinnvolle Härtungsmaßnahme für Zertifizierungsstellen ist das Einschränken der Zertifizierungsstellen-Zertifikate, sodass diesen nur für die tatsächlich ausgestellten erweiterten Schlüsselverwendungen (Extended Key Usage) vertraut wird.
Im Fall einer Kompromittierung der Zertifizierungsstelle ist der Schaden dann auf diese Extended Key Usages beschränkt. Das Smart Card Logon Extended Key Usage wäre dann nur in dem Zertifizierungsstellen-Zertifikat derjenigen Zertifizierungsstelle, die auch tatsächlich solche Zertifikate ausstellt, vorhanden.
„Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken“ weiterlesenDeaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle
Stammzertifizierungsstellen (Root CA) erzeugen bei Erneuerung des Zertifizierungsstellen-Zertifikats sogenannte Kreuzzertifizierungsstellen-Zertifikate (Cross Signing).
Mitunter kann es sein, dass hierbei Probleme auftreten, wie beispielsweise im Artikel "Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"" beschrieben.
In einem solchen Fall möchte man vielleicht die Erstellung der Kreuzzertifizierungsstellen-Zertifikate unterbinden.
„Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle“ weiterlesenVerwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP)
In Hinsicht auf die Gestaltung der Infrastruktur zur Bereitstellung der Sperrinformationen – also der Sperrlistenverteilungspunkte (CRL Distribution Point, CSP) sowie der Online Responder (Online Certificate Status Protocol, OCSP) kommt die Frage auf, ob man diese über Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) "absichern" sollte.
„Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP)“ weiterlesenUmlaute in Zertifizierungsstellen-Zertifikaten
Internationalisierte Domänennamen (Internationalized Domain Names, IDNs) werden seit Windows Server 2012 im Rahmen der Zertifizierungsstelle und den dazugehörigen Komponenten offiziell unterstützt.
Möchte man diese in seine Zertifizierungsstellen-Zertifikaten benutzen, gibt es jedoch einige Besonderheiten zu beachten.
„Umlaute in Zertifizierungsstellen-Zertifikaten“ weiterlesen