Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

In manchen Fällen (beispielsweise bei einer Offline-Zertifizierungsstelle, oder wenn vom Standard abweichende LDAP-Sperrlistenverteilungspunkte konfiguriert wurden) muss die Zertifikatsperrliste manuell ins Active Directory veröffentlicht werden.

Benötigte Berechtigungen

Für die Veröffentlichung der Sperrliste im Active Directory benötigt man Schreibrechte auf dem entsprechenden cRLDistributionPoint Objekt im CDP-Pfad unterhalb des Public Key Services Containers in der Configuration Partition der Active Directory Gesamtstruktur. Dieses Recht haben in der Standardeinstellung:

  • Die Sicherheitsgruppe "Administrators" der Wurzel-Domäne der Gesamtstruktur
  • Die Sicherheitsgruppe "Domain Admins" der Wurzel-Domäne der Gesamtstruktur
  • Die Sicherheitsgruppe "Enterprise Admins" der Gesamtstruktur
  • Die Sicherheitsgruppe "Cert Publishers" der Wurzel-Domäne der Gesamtstruktur

Benötigte Konfiguration auf der Zertifizierungsstelle

Damit die Sperrliste manuell ins Active Directory geschrieben werden kann, ist eine Erweiterung "Published CRL Locations" innerhalb der Sperrliste erforderlich.

Diese Erweiterung wird nur dann in die Sperrliste geschrieben, wenn für die entsprechende CEP Erweiterung auf der Zertifizierungsstelle die Option "Include in all CRLs. Specifies where to publish in the Active Directory when publishing manually." gesetzt wurde.

Erstellen einer Zertifikatsperrliste

Sofern noch keine aktuelle Sperrliste erzeugt wurde, muss diese zunächst erstellt werden. Die Vorgehensweise ist im Artikel "Erstellen und Veröffentlichen einer Zertifikatsperrliste" beschrieben.

Veröffentlichen der Zertifikatsperrliste im Active Directory

Die Veröffentlichung der Zertifikatsperrliste kann mit folgendem Kommandozeilenbefehl ausgeführt werden.

certutil -dspublish <Dateiname>

Wie bereits zuvor erwähnt, benötigt der ausführende Benutzer Schreibrechte auf dem entsprechenden Objekt.

Falls das Objekt noch nicht existiert, muss es mit dem Schalter "-f" erst erzeugt werden. Hierfür sind Schreibrechte auf den übergeordneten LDAP-Pfad erforderlich.

Weiterführende Links: