Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.
Beim Widerrufen eines Zertifikats wird dessen Seriennummer auf die Sperrliste gesetzt. Entitäten, die die Sperrung eines Zertifikats überprüfen, betrachten es dann als nicht mehr gültig.
Benötigte Berechtigungen
Um ein Zerifikat zu widerrufen benötigt der ausführende Benutzer das Recht "Issue and Manage Certificates" auf der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.
Benötigte Informationen
Für den Widerruf eines Zertifikats werden folgende Informationen benötigt:
- Seriennummer des Zertifikats
- Grund für die Sperrung
Die Serienummer kann unter Anderem über den "Details" Karteireiter eines Zertifikats ermittelt werden.
Als Grund für den Widerruf kommen folgende Möglichkeiten in Betracht:
Code | Bezeichnung | Beschreibung |
---|---|---|
0 | Unspecified | Dies ist die Standardeinstellung und gibt an, dass es keinen speziellen Grund für den Widerruf gibt. |
1 | Key Compromise | Der private Schlüssel eines Zertifikats wurde entwendet oder anderweitig unbefugten Dritten bekannt. |
2 | CA Compromise | Der private Schlüssel der Zertifizierungsstelle wurde entwendet oder anderweitig unbefugten Dritten bekannt. |
3 | Affiliation Changed | Wenn sich der Inhalt des Zertifikats (z.B. der Name des Benutzers) geändert hat, muss ein neues Zertifikat ausgestellt werden. |
4 | Superseded | Das widerrufene Zertifikat wurde durch ein neues Zertifikat ersetzt. |
5 | Cessation of Operation | Der Betrieb des zum Zertifikate gehörenden Dienstes wurde eingestellt, etwa weil es einen neuen Dienst unter anderem Namen gibt. |
6 | Certificate Hold | Das Zertifikat wird vorübergebend widerrufen. Dieser Sperrungstyp ist der einzige, bei dem die Sperrung nachträglich wieder rückgängig gemacht werden kann. |
8 | Remove from CRL | Wurde ein Zertifikat mit Grund "Certificate Hold" widerrufen und werden Deltasperrlisten verwendet, wird das entsperrte Zertifikat mit diesem Code in der Deltasperrliste geführt bis der Eintrag in der Haupt-Sperrliste entfällt. |
-1 | Unrevoke | Wurde ein Zertifikat mit Grund "Certificate Hold" widerrufen, kann mit diesem Code eine Entsperrung per Kommandozeile erfolgen. Ebenso wird im Audit-Ereignis 4870 die Rückgängigmachung einer Zertifikatsperrung mit diesem Code kenntlich gemacht. |
Nur der Widerruf-Grund Nummer 6 (Certificate Hold) ermöglicht es später, ein Zertifikat wieder von der Sperrliste zu entfernen.
Details: Widerrufen eines ausgestellten Zertifikats über die Kommandozeile
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Der Widerruf eines Zertifikats kann mit folgendem Kommandozeilenbefehl erfolgen.
certutil -revoke {Seriennummer} {Grundcode}
Der Befehl kann wie oben aufgeführt direkt auf der Zertifizierungsstelle ausgeführt werden. Bei einer Active Directory integrierten Zertifizierungsstelle kann er auch von einem anderen Domänenmitglied ausgeführt werden, wenn der -config Schalter mit dem Config String (Servername\Common-Name) als Argument mit angegeben wird.
Details: Widerrufen eines ausgestellten Zertifikats über die graphische Benutzeroberfläche
In der Zertifizierungsstellen-Verwaltungskosole (certsrv.msc) wird das zu widerrufene Zertifikat zunächst identifiziert. Anschließend wird mit rechts auf den Datenbankeintrag geklickt und "All Tasks" – "Revoke Certificate" gewählt.
Im nachfolgenden Dialog wird der Grund für den Widerruf angegeben. Optional kann ein Datum angegeben werden, ab wann das Zertifikat widerrufen werden soll. Somit kann ein planmäßiger Widerruf bereits im Vorfeld realisiert werden.
Veröffentlichen einer neuen Zertifikatsperrliste
Das Zertifikat ist zunächst nur in der Zertifizierungsstellen-Datenbank als gesperrt markiert. Es wird bei der nächsten Veröffentlichung der Sperrliste auf diese eingetragen.
Die Zertifikatsperrliste wird von der Zertifizierungsstelle automatisch veröffentlicht. In der Regel ist es nicht erforderlich, außerplanmäßg neue Zertifikatsperrlisten zu veröffentlichen. Falls doch gewünscht ist die Vorgehensweise zum Veröffentlichen einer Zertifikatsperrliste im Artikel "Erstellen und Veröffentlichen einer Zertifikatsperrliste" beschrieben.
Bitte beachten, dass nicht garantiert werden kann, dass eine Zertifikatsperrung von allen Teilnehmern direkt auch erkannt wird, da clientseitig Sperrinformationen zwischengespeichert werden können.
Bitte beachten, dass abgelaufene Zertifikate (mit Ausnahme von Codesignaturzertifikaten) wieder aus der Sperrliste entfernt werden.
7 Gedanken zu „Widerrufen eines ausgestellten Zertifikats“
Kommentare sind geschlossen.