Einsicht in die Sperrlisten-Tabelle der Zertifizierungsstellen-Datenbank

Autor Uwe GradeneggerVeröffentlicht am Kategorien Troubleshooting, Zertifizierungsstellen-Datenbank, Zertifizierungsstellen-WartungSchlagwörter

In der Standardeinstellung speichert die Zertifizierungsstelle alle Sperrlisten, die noch nicht abgelaufen sind, in der Zertifizierungsstellen-Datenbank.

Unter Umständen, etwa durch ein fehlkonfiguriertes Script, werden auf diese Weise sehr viele Sperrlisten in der Datenbank abgespeichert, was zu einem entsprechenden Wachstum der Datenbank führen kann (etwa wenn große Sperrlisten sehr oft neu erstellt werden).

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Datenbankschema für die Sperrlistentabelle

Um Abfragen gegen die CRL-Tabelle der Zertifizierungsstellen-Datenbank vorzunehmen, muss man zunächst die benötigten Datenbankfelder identifizieren. Dies kann mit folgendem Befehl erfolgen:

certutil -schema CRL

Auflisten der Sperrlisten in der Sperrlistentabelle

Eine Übersicht der in der CRL-Tabelle vorgehaltenen Sperrlisten kann dann beispielsweise mit folgendem Befehl erfolgen:

certutil -view -out "CRLNumber,CRLThisUpdate,CRLNextUpdate" CRL csv

Löschung von Einträgen aus der Sperrlistentabelle

Eine Sperrliste kann unter Angabe der Sperrlistennummer mit folgendem Kommandozeilenbefehl aus der Zertifizierungsstellen-Datenbank gelöscht werden.

certutil -deleterow {CRL-Nummer} CRL

Speicherverhalten für Sperrlisten ermitteln und verändern

Ob die Zertifizierungsstelle abgelaufene Sperrlisten aus der Zertifizierungsstellen-Datenbank entfernt (Standardeinstellung) oder nicht bestimmt das Flag CRLF_DELETE_EXPIRED_CRLS inerhalb des CRLFlags Registrierungswertes. Dieser kann mit folgendem Befehl ermittelt werden.

certutil -v -getreg CA\CRLFlags

Mit diesem Befehl kann die Löschung abgelaufener Sperrlisten aus der Zertifizierungsstellen-Datenbank abgeschaltet werden:

certutil -setreg CA\CRLFlags -CRLF_DELETE_EXPIRED_CRLS

Mit diesem Befehl kann die Löschung abgelaufener Sperrlisten aus der Zertifizierungsstellen-Datenbank wieder eingeschaltet werden: 

certutil -setreg CA\CRLFlags +CRLF_DELETE_EXPIRED_CRLS

Die Änderungen werden erst nach einem Neustart des Zertifizierungsstellen-Dienstes aktiv.

Weiterführende Links:

de_DEDeutsch
en_USEnglish de_DEDeutsch