Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.
In manchen Fällen (beispielsweise bei einer Offline-Zertifizierungsstelle, oder wenn vom Standard abweichende LDAP-Sperrlistenverteilungspunkte konfiguriert wurden) muss die Zertifikatsperrliste manuell ins Active Directory veröffentlicht werden.
Benötigte Berechtigungen
Für die Veröffentlichung der Sperrliste im Active Directory benötigt man Schreibrechte auf dem entsprechenden cRLDistributionPoint Objekt im CDP-Pfad unterhalb des Public Key Services Containers in der Configuration Partition der Active Directory Gesamtstruktur. Dieses Recht haben in der Standardeinstellung:
- Die Sicherheitsgruppe "Administrators" der Wurzel-Domäne der Gesamtstruktur
- Die Sicherheitsgruppe "Domain Admins" der Wurzel-Domäne der Gesamtstruktur
- Die Sicherheitsgruppe "Enterprise Admins" der Gesamtstruktur
- Die Sicherheitsgruppe "Cert Publishers" der Wurzel-Domäne der Gesamtstruktur
Benötigte Konfiguration auf der Zertifizierungsstelle
Damit die Sperrliste manuell ins Active Directory geschrieben werden kann, ist eine Erweiterung "Published CRL Locations" innerhalb der Sperrliste erforderlich.
Diese Erweiterung wird nur dann in die Sperrliste geschrieben, wenn für die entsprechende CEP Erweiterung auf der Zertifizierungsstelle die Option "Include in all CRLs. Specifies where to publish in the Active Directory when publishing manually." gesetzt wurde.
Erstellen einer Zertifikatsperrliste
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Sofern noch keine aktuelle Sperrliste erzeugt wurde, muss diese zunächst erstellt werden. Die Vorgehensweise ist im Artikel "Erstellen und Veröffentlichen einer Zertifikatsperrliste" beschrieben.
Veröffentlichen der Zertifikatsperrliste im Active Directory
Die Veröffentlichung der Zertifikatsperrliste kann mit folgendem Kommandozeilenbefehl ausgeführt werden.
certutil -dspublish {Dateiname}
Wie bereits zuvor erwähnt, benötigt der ausführende Benutzer Schreibrechte auf dem entsprechenden Objekt.
Falls das Objekt noch nicht existiert, muss es mit dem Schalter "-f" erst erzeugt werden. Hierfür sind Schreibrechte auf den übergeordneten LDAP-Pfad erforderlich.
Weiterführende Links:
- Erstellen und Veröffentlichen einer Zertifikatsperrliste
- Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)"
- Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
Deutsch 
English
6 Gedanken zu „Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)“
Kommentare sind geschlossen.