Schlagwort: Zertifikatsperrliste (CRL)

Widerrufen eines ausgestellten Zertifikats

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

Beim Widerrufen eines Zertifikats wird dessen Seriennummer auf die Sperrliste gesetzt. Entitäten, die die Sperrung eines Zertifikats überprüfen, betrachten es dann als nicht mehr gültig.

„Widerrufen eines ausgestellten Zertifikats“ weiterlesen

Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt

Folgendes Szenario angenommen:

  • Eine Zertifizierungsstelle verfügt über mehrere Zertifizierungsstellen-Zertifikate.
  • Mehr als ein Zertifizierungsstellen-Zertifikat verwendet den gleichen privaten Schlüssel, da z.B. das Zertifizierungsstellen-Zertifikat mit dem gleichen Schlüsselpaar erneuert wurde.
  • Wird eines dieser Zertifizierungsstellen-Zertifikate widerrufen, werden auch für die anderen Zertifizierungsstellen-Zertifikate, welche den gleichen Schlüssel verwenden, keine Sperrlisten mehr von der Zertifizierungsstelle ausgestellt.
„Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt“ weiterlesen

Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?

Leider kommt es in der Praxis hin und wieder vor, dass die Sperrliste einer übergeordneten Zertifizierungsstelle abläuft und eine Erneuerung ausbleibt. Auch kann dies planmäßig, etwa bei Außerbetriebnahme einer alten Hierarchie geschehen.

„Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?“ weiterlesen

Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen

Alle Anwendungen, die das Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) verwenden, haben einen Mechanismus für die Zwischenspeicherung von Sperrinformationen für Zertifikate (Zertifikatsperrlisten und OCSP-Antworten).

Es kann somit nicht garantiert werden, dass beispielsweise eine neu veröffentlichte Sperrliste von den Teilnehmern verwendet wird, bevor die vorige Sperrliste, die sich noch im Cache befindet, abgelaufen ist.

Nachfolgend wird beschrieben, wie man den Sperrlisten-Cache einsehen und beeinflussen kann.

„Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen“ weiterlesen

Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn die Sperrinformationen für eines der Zertifizierungsstellen-Zertifikate der Zertifizierungsstelle nicht abgerufen werden können.

Dieser Fall kann auch planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.

„Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)"

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)"“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"“ weiterlesen

Grundlagen Public Key Infrastrukturen (PKI)

Eine Public Key Infrastruktur umfasst alle Komponenten (Hardware, Software, Personen und Prozesse), welche für die Verwendung digitaler Zertifikate benötigt werden. Eine PKI besteht aus einer oder mehreren Zertifizierungsstellen (engl. Certification Authority, CA). Die Aufgaben einer PKI sind unter Anderem:

  • Sicherstellung der Authentizität der Schlüssel, d.h. das Herstellen einer nachvollziehbaren Verbindung zwischen einem Schlüssel und seiner Herkunft, um Missbrauch zu unterbinden.
  • Sperrung von Zertifikaten, d.h. sicherzustellen, dass außer Betrieb genommene oder kompromittierte (z.B. gestohlene) Schlüssel nicht mehr verwendet werden können.
  • Gewährleistung der Verbindlichkeit (Nichtabstreitbarkeit), d.h. z.B. dass der Besitzer eines Schlüssels nicht abstreiten kann, dass er ihm gehört.
  • Durchsetzen von Richtlinien (engl. Policies), d.h. standardisierter Vorgehensweisen für die Verwendung von Zertifikaten.
„Grundlagen Public Key Infrastrukturen (PKI)“ weiterlesen

Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"

Folgendes Szenario angenommen:

  • Man installiert ein neues Zertifizierungsstellen-Zertifikat auf der Zertifizierungsstelle, entweder weil die Zertifizierungsstelle neu installiert wurde, oder weil das Zertifizierungsstellen-Zertifikat erneuert wurde.
  • Bei der Installation erhält man folgende Fehlermeldung:
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
„Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"“ weiterlesen

Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"

Folgendes Szenario angenommen:

  • Man versucht, auf einer Zertifizierungsstelle eine neue Zertifikatsperrliste (CRL) zu veröffentlichen
  • Die Zertifizierungsstelle ist für die Veröffentlichung der Zertifikatsperrlisten ins Active Directory (LDAP CDP) konfiguriert.
  • Die Veröffentlichung der Zertifikatsperrliste schlägt mit folgender Fehlermeldung fehl: 
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
„Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“ weiterlesen

Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Man versucht, auf einer Zertifizierungsstelle eine neue Zertifikatsperrliste (CRL) zu veröffentlichen.
  • Die Zertifizierungsstelle ist für die Veröffentlichung der Zertifikatsperrlisten ins Active Directory (LDAP CDP) konfiguriert.
  • Die Veröffentlichung der Zertifikatsperrliste schlägt mit folgender Fehlermeldung fehl:
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
„Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)"“ weiterlesen

Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenario angenommen:

  • Man erstellt eine neue Sperrliste auf der Zertifizierungsstelle.
  • Die Zertifizierungsstelle ist konfiguriert, Sperrlisten in einen Netzwerkpfad zu veröffentlichen.
  • Die Veröffentlichung schlägt mit folgender Fehlermeldung fehl:
Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen

Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"

Folgendes Szenario angenommen:

  • Man erstellt eine neue Sperrliste auf der Zertifizierungsstelle.
  • Die Veröffentlichung schlägt mit folgender Fehlermeldung fehl:
The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)
„Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"“ weiterlesen

Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)

Folgendes Szenario angenommen:

  • Es wurde eine Offline Root Zertifizierungsstelle installiert. Der Server, auf welchem die Zertifizierungsstelle installiert ist, ist kein Domänenmitglied.
  • Diese ist für die Veröffentlichungen von Sperrlisten im Active Directory konfiguriert.
  • Die Sperrlisten werden mittels certutil -dspublish ins Active Directory hochgeladen.
  • Der Vorgang schlägt fehl mit der folgenden Fehlermeldung:
certutil -dspublish "ADCS Labor Root CA.crl"
 ldap:///CN=ADCS Labor Root CA,CN=ADCS Labor Root CA,CN=cdp,CN=Public Key Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList
 ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-03100835, data 0, 1 access points
         ref 1: 'unavailableconfigdn'
 CertUtil: -dsPublish command FAILED: 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
 CertUtil: A referral was returned from the server.
„Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch