Durchführen der Notfallsignierung von Zertifikatsperrlisten

Die wichtigste Komponente eine PKI in Hinsicht auf die Verfügbarkeit ist nicht, wie häufig angenommen die Zertifizierungsstelle, sondern die Sperrlistenverteilpunkte. Sollte eine Zertifizierungsstelle nicht verfügbar sein, können zunächst lediglich keine neuen Zertifikate ausgestellt werden, die bereits ausgestellten Zertifikate können jedoch ungehindert weiter genutzt werden, solange deren Sperrstatus überprüfbar ist. Neben der reinen Verfügbarkeit der Sperrlistenverteilpunkte müssen die Sperrinformationen natürlich auch in Hinsicht auf ihre Signatur gültig sein. Sperrlisten haben ein definiertes Ablaufdatum, nachdem sie nicht mehr verwendet werden können. Ist nun eine Zertifizierungsstelle ausgefallen, kann sie auch keine neuen Sperrlisten mehr veröffentlichen. Für diesen Fall ist der Prozess der Notfalsignierung der Sperrlisten vorgesehen.

Grundlagen

Der Grundgedanke bei der Notfallsignierung ist, eine vorhandene Sperrliste unter Umgehung der Zertifizierungsstelle direkt mit dem privaten Schlüssel neu zu signieren und hierbei ein neues, verlängertes Ablaufdatum in die Sperrliste einzutragen. Sollte der Ausfall der Zertifizierungsstelle also länger dauern als die Gültigkeit der Sperrliste, kann diese durch die Notfallsperrliste beliebig verlängert werden, solange der Zugriff auf den privaten Schlüssel der Zertifizierungsstelle möglich ist.

Der erste durchzuführende Schritt nach einem Ausfall der Zertifizierungsstelle sollte also nicht sein, den Fehler zu analysieren oder gar die Zertifizierungsstelle aus der Sicherung wiederherzustellen, sondern zunächst eine Notfallsperrliste zu erzeugen.

Es spricht auch nichts dagegen, diesen Prozess proaktiv durchzuführen, solange die Zertifizierungsstelle noch einwandfrei arbeitet. So hat man für den Fall eines Ausfalls der Zertifizierungsstelle bereits vorgesorgt. Auch für die Migration einer Zertifizierungsstelle auf einen anderen Server oder bei anstehenden Wartungsarbeiten kann eine vorige Notfallsignierung sehr hilfreich sein.

Durchführung der Notfallsignierung

Ist die Zertifizierungsstelle nicht mehr verfügbar, muss zunächst der private Schlüssel der Zertifizierungsstelle auf einem anderen System wiederhergestellt wird. Siehe hierzu folgende Artikel:

Die Notfallsinierung der Sperrliste wird mit folgendem Kommandozeilenbefehl ausgeführt:

certutil -sign {Sperrliste-Alt}.crl {Sperrliste-Neu}.crl now+{Tage}:{Stunden} -2.5.29.46

Das Argument -2.5.29.46 entfernt die "Freshest CRL" Erweiterung aus der generierten Notfallsperrliste. Diese Erweiterung verweist normalerweise auf eine Deltasperrliste, welche natürlich ebenso wie die Basissperrliste ablaufen würde. Aus diedem Grund wird der Verweis auf die Deltasperrliste entfernt.

Soll beispielsweise eine Sperrlste mit dem Dateinamen crl.crl in eine Notfallsperrliste namens emergency.crl und einer Gültigkeit von 30 Tagen geschrieben werden, würde man folgenden Befehl ausführen.

certutil -sign crl.crl emergency.crl now+30:00 -2.5.29.46

Während des Signaturprozesses wird man aufgefordert, ein Zertifikat für die Signatur der Sperrlisten auszuwählen. Hier muss exakt das zur Sperrliste passende Zertifizierungsstellenzertifikat ausgewählt werden. Insbesondere, wenn die Zertifizierungsstelle mehrere Zertifizierungsstellen-Zertifikate und Schlüssel besitzt, muss auf diesem Umstand geachtet werden, da die Sperrliste andernfalls keine gültige Signatur besitzen wird.

Die nun generierte Notfallsperrliste sollte ein Ablaufdatum von 30 Tagen ab dem Zeitpunkt der Notfallsignatur haben.

Veröffentlichung der Notfallsperrlisten auf die Sperrlistenverteilpunkte

Die Notfallsperrliste kann nun entweder für den Notfall verwahrt werden oder direkt auf die Sperrlistenverteilpunkte veröffentlicht werden.

Weiterführende Links:

Externe Quellen

de_DEDeutsch