Schlagwort: Zertifikatsperrliste (CRL)

Grundlagen: Überprüfung des Sperrstatus von Zertifikaten

Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.

„Grundlagen: Überprüfung des Sperrstatus von Zertifikaten“ weiterlesen

Funktionstest durchführen für eine Zertifizierungsstelle

Nach der Installation einer Zertifizierungsstelle, nach der Migration auf einen neuen Server, oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten der Zertifizierungsstelle wie gewünscht arbeiten.

„Funktionstest durchführen für eine Zertifizierungsstelle“ weiterlesen

Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

In manchen Fällen (beispielsweise bei einer Offline-Zertifizierungsstelle, oder wenn vom Standard abweichende LDAP-Sperrlistenverteilungspunkte konfiguriert wurden) muss die Zertifikatsperrliste manuell ins Active Directory veröffentlicht werden.

„Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)“ weiterlesen

Erstellen und Veröffentlichen einer Zertifikatsperrliste

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

Nachdem ein Zertifikat widerrufen wurde, muss eine neue Sperrliste erstellt und veröffentlicht werden, damit Entitäten, die den Sperrstatus überprüfen, über die Sperrung informiert werden. Da die Sperrliste ein verhältnismäßig kurzes Ablaufdatum hat, muss sie auch ohne inhaltliche Änderung in regelmäßigen Abständen neu ausgestellt werden.

„Erstellen und Veröffentlichen einer Zertifikatsperrliste“ weiterlesen

Widerrufen eines ausgestellten Zertifikats

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

Beim Widerrufen eines Zertifikats wird dessen Seriennummer auf die Sperrliste gesetzt. Entitäten, die die Sperrung eines Zertifikats überprüfen, betrachten es dann als nicht mehr gültig.

„Widerrufen eines ausgestellten Zertifikats“ weiterlesen

Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt

Folgendes Szenario angenommen:

  • Eine Zertifizierungsstelle verfügt über mehrere Zertifizierungsstellen-Zertifikate.
  • Mehr als ein Zertifizierungsstellen-Zertifikat verwendet den gleichen privaten Schlüssel, da z.B. das Zertifizierungsstellen-Zertifikat mit dem gleichen Schlüsselpaar erneuert wurde.
  • Wird eines dieser Zertifizierungsstellen-Zertifikate widerrufen, werden auch für die anderen Zertifizierungsstellen-Zertifikate, welche den gleichen Schlüssel verwenden, keine Sperrlisten mehr von der Zertifizierungsstelle ausgestellt.
„Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt“ weiterlesen

Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?

Leider kommt es in der Praxis hin und wieder vor, dass die Sperrliste einer übergeordneten Zertifizierungsstelle abläuft und eine Erneuerung ausbleibt. Auch kann dies planmäßig, etwa bei Außerbetriebnahme einer alten Hierarchie geschehen.

„Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?“ weiterlesen

Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen

Alle Anwendungen, die das Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) verwenden, haben einen Mechanismus für die Zwischenspeicherung von Sperrinformationen für Zertifikate (Zertifikatsperrlisten und OCSP-Antworten).

Es kann somit nicht garantiert werden, dass beispielsweise eine neu veröffentlichte Sperrliste von den Teilnehmern verwendet wird, bevor die vorige Sperrliste, die sich noch im Cache befindet, abgelaufen ist.

Nachfolgend wird beschrieben, wie man den Sperrlisten-Cache einsehen und beeinflussen kann.

„Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen“ weiterlesen

Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn die Sperrinformationen für eines der Zertifizierungsstellen-Zertifikate der Zertifizierungsstelle nicht abgerufen werden können.

Dieser Fall kann auch planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.

„Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)"

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)"“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"“ weiterlesen

Grundlagen Public Key Infrastrukturen (PKI)

Eine Public Key Infrastruktur umfasst alle Komponenten (Hardware, Software, Personen und Prozesse), welche für die Verwendung digitaler Zertifikate benötigt werden. Eine PKI besteht aus einer oder mehreren Zertifizierungsstellen (engl. Certification Authority, CA). Die Aufgaben einer PKI sind unter Anderem:

  • Sicherstellung der Authentizität der Schlüssel, d.h. das Herstellen einer nachvollziehbaren Verbindung zwischen einem Schlüssel und seiner Herkunft, um Missbrauch zu unterbinden.
  • Sperrung von Zertifikaten, d.h. sicherzustellen, dass außer Betrieb genommene oder kompromittierte (z.B. gestohlene) Schlüssel nicht mehr verwendet werden können.
  • Gewährleistung der Verbindlichkeit (Nichtabstreitbarkeit), d.h. z.B. dass der Besitzer eines Schlüssels nicht abstreiten kann, dass er ihm gehört.
  • Durchsetzen von Richtlinien (engl. Policies), d.h. standardisierter Vorgehensweisen für die Verwendung von Zertifikaten.
„Grundlagen Public Key Infrastrukturen (PKI)“ weiterlesen

Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"

Folgendes Szenario angenommen:

  • Man installiert ein neues Zertifizierungsstellen-Zertifikat auf der Zertifizierungsstelle, entweder weil die Zertifizierungsstelle neu installiert wurde, oder weil das Zertifizierungsstellen-Zertifikat erneuert wurde.
  • Das Zertifizierungsstellen-Zertifikat wurde von einer übergeordneten Zertifizierungsstelle ausgestellt.
  • Bei der Installation erhält man folgende Fehlermeldung:
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
„Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"“ weiterlesen

Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"

Folgendes Szenario angenommen:

  • Man versucht, auf einer Zertifizierungsstelle eine neue Zertifikatsperrliste (CRL) zu veröffentlichen
  • Die Zertifizierungsstelle ist für die Veröffentlichung der Zertifikatsperrlisten ins Active Directory (LDAP CDP) konfiguriert.
  • Die Veröffentlichung der Zertifikatsperrliste schlägt mit folgender Fehlermeldung fehl: 
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
„Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“ weiterlesen

Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Man versucht, auf einer Zertifizierungsstelle eine neue Zertifikatsperrliste (CRL) zu veröffentlichen.
  • Die Zertifizierungsstelle ist für die Veröffentlichung der Zertifikatsperrlisten ins Active Directory (LDAP CDP) konfiguriert.
  • Die Veröffentlichung der Zertifikatsperrliste schlägt mit folgender Fehlermeldung fehl:
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
„Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)"“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch