Die "Magic Number" für den Onlineresponder konfigurieren

Auch wenn ein Onlineresponder im Netzwerk vorhanden ist, und die Zertifizierungsstellen dessen Adresse in die Authority Information Access (AIA) Erweiterung der ausgestellten Zertifikate eingetragen hat, ist nicht immer garantiert, dass der Onlineresponder tatsächlich verwendet wird.

Eine Stellgröße hierbei ist die "Magic Number", welche auf jedem Windows Betriebssystem vorhanden ist. Sie bewirkt, dass das System auf (falls vorhanden) Sperrlisten zurückfällt, wenn für die gleiche Zertifizierungsstelle zu oft Anfragen per OCSP erfolgen.

Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".

Der Sinn ist, dass es bei zunehmender Anzahl von OCSP Anfragen für Zertifikate der gleichen Zertifizierungsstelle oft effizientet ist, stattdessen einmal die Zertifikatsperrliste herunterzuladen und diese lokal zu verwenden.

Ein gängiges Beispiel ist der Domänencontroller, der Smartcard-Anmeldungen von Benutzern verarbeitet. Hier wird von einem oder von einigen wenigen Servern der Sperrstatus für sehr viele Zertifikate, welche von der gleichen Zertifizierungsstelle kommen, überprüft.

Standardwert anpassen

Der Standardwert für die "Magic Number" ist auf 50 Anfragen konfiguriert und kann per Gruppenrichtlinien angepasst werden.

Die Einstellung befindet sich unter "Computer Configuration" – "Windows Settings" – "Security Settings" – "Public Key policies" – "Certificate Path Validation Settings".

In der Karteikarte "Revocation" kann nun die Option "Prefer CRL over OCSP responses if number of cached OCSP responses corresponding to the same CRL distribution point is greater than" konfiguriert werden.

Der höchste Wert, der eingetragen werden kann ist: 2147483647.

Wird diese Gruppenrichtlinie angewendet, wird ein Registry-Wert namens "CryptnetCachedOcspSwitchToCrlCount" in folgendem Registrierungs-Schlüssel erzeugt:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config

Weiterführende Links:

Externe Quellen