Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.
Nachdem ein Zertifikat widerrufen wurde, muss eine neue Sperrliste erstellt und veröffentlicht werden, damit Entitäten, die den Sperrstatus überprüfen, über die Sperrung informiert werden. Da die Sperrliste ein verhältnismäßig kurzes Ablaufdatum hat, muss sie auch ohne inhaltliche Änderung in regelmäßigen Abständen neu ausgestellt werden.
Benötigte Berechtigungen
Für die Erstellung einer Sperrliste benötigt der ausführende Benutzer das Recht "Manage CA" auf der Zertifizierungsstelle, auf welcher die Sperrliste ausgestellt werden soll.
Erstellen einer Sperrliste über die Kommandozeile
Die Erstellung einer Sperrliste kann mit folgendem Kommadozeilenbefehl mit erhöhten Rechten ("Als Administrator ausführen") vorgenommen werden:
certutil -crl
Man bekommt über die Kommandozeile mitgeteilt, ob der Befehl erfolgreich war.
Erstellen einer Sperrliste über die graphische Benutzeroberfläche
In der Zertifizierungsstellen-Verwaltungskosole (certsrv.msc) wird rechts auf "Revoked Certificates" geklickt und "All Tasks" – "Publish" ausgewählt.
Im nachfolgenden Dialog wird gewählt, ob man eine Basissperrliste oder (falls aktiviert) eine Deltasperrliste ausstellen möchte.
Man erhält kein direktes Feedback, ob der Befehl erfolgreich war. Wenn keine Fehlermeldung kommt, wurde die Sperrliste ausgestellt.
Veröffentlichen der Sperrliste
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Je nach Konfiguration der Zertifizierungsstelle kann es nun noch erforderlich sein, die Zertifikatsperrlisten auf den Sperrlistenverteilungspunkten (CRL Distribution Point, CDP) zu veröffentlichen.
- Die Konfiguration der Sperrlistenverteilungspunkte einer Zertifizierungsstelle ist im Artikel "Konfiguration der Sperrlistenverteilpunkte (CDP) und der Authority Information Access (AIA) Erweiterung einer Zertifizierungsstelle" beschrieben.
- Die manuelle Veröffentlichung auf einen LDAP-CDP ist im Artikel "Veröffentlichen einer Zertifikatsperrliste auf einem Active Directory Sperrlistenverteilungspunkt" beschrieben.
Optional: Durchführen der Notfallsignierung von Zertifikatsperrlisten
Die wichtigste Komponente eine PKI in Hinsicht auf die Verfügbarkeit ist nicht, wie häufig angenommen die Zertifizierungsstelle, sondern die Sperrlistenverteilpunkte. Sollte eine Zertifizierungsstelle nicht verfügbar sein, können zunächst lediglich keine neuen Zertifikate ausgestellt werden, die bereits ausgestellten Zertifikate können jedoch ungehindert weiter genutzt werden, solange deren Sperrstatus überprüfbar ist. Neben der reinen Verfügbarkeit der Sperrlistenverteilpunkte müssen die Sperrinformationen natürlich auch in Hinsicht auf ihre Signatur gültig sein. Sperrlisten haben ein definiertes Ablaufdatum, nachdem sie nicht mehr verwendet werden können. Ist nun eine Zertifizierungsstelle ausgefallen, kann sie auch keine neuen Sperrlisten mehr veröffentlichen. Für diesen Fall ist der Prozess der Notfalsignierung der Sperrlisten vorgesehen.
Die Vorgehensweise zur Durchführung einer Notfallsignierung einer Sperrliste ist im Artikel "Durchführen der Notfallsignierung von Zertifikatsperrlisten " beschrieben.
Weiterführende Links:
- Widerrufen eines ausgestellten Zertifikats
- Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt
- Durchführen der Notfallsignierung von Zertifikatsperrlisten
- Veröffentlichen einer Zertifikatsperrliste auf einem Active Directory Sperrlistenverteilungspunkt
- Konfiguration der Sperrlistenverteilpunkte (CDP) und der Authority Information Access (AIA) Erweiterung einer Zertifizierungsstelle
- Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"
- Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)"
- Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"
- Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"
Deutsch 
English
9 Gedanken zu „Erstellen und Veröffentlichen einer Zertifikatsperrliste“
Kommentare sind geschlossen.