Kategorie: Zertifizierungsstelle

Widerrufen eines ausgestellten Zertifikats

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

Beim Widerrufen eines Zertifikats wird dessen Seriennummer auf die Sperrliste gesetzt. Entitäten, die die Sperrung eines Zertifikats überprüfen, betrachten es dann als nicht mehr gültig.

„Widerrufen eines ausgestellten Zertifikats“ weiterlesen

Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"

Folgendes Szenario angenommen:

  • Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
  • Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
„Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"“ weiterlesen

Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren

Für eine stärkere Kontrolle über die von einer Zertifizierungsstelle ausstellbaren Zertifikate kann eine Einschränkung der Pfadlänge (Path Length Constraint) eingerichtet werden, sodass Zertifizierungsstellen ab einer definierten Hierarchieebene nicht mehr in der Lage sind untergeordnete Zertifizierungsstellen-Zertifikate auszustellen

Für eine Erklärung der Funktionsweise der Einschränkung der Pfadlänge siehe Artikel "Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint)".

„Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren“ weiterlesen

Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt

Folgendes Szenario angenommen:

  • Eine Zertifizierungsstelle verfügt über mehrere Zertifizierungsstellen-Zertifikate.
  • Mehr als ein Zertifizierungsstellen-Zertifikat verwendet den gleichen privaten Schlüssel, da z.B. das Zertifizierungsstellen-Zertifikat mit dem gleichen Schlüsselpaar erneuert wurde.
  • Wird eines dieser Zertifizierungsstellen-Zertifikate widerrufen, werden auch für die anderen Zertifizierungsstellen-Zertifikate, welche den gleichen Schlüssel verwenden, keine Sperrlisten mehr von der Zertifizierungsstelle ausgestellt.
„Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt“ weiterlesen

Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup)

Nachfolgend wird die Wiederherstellung einer Zertifizierungsstelle aus der Sicherung beschrieben. Neben dem Katastrophenfall ist diese Vorgehensweise auch Teil der Migration eine Zertifizierungsstelle auf einen neuen Server.

„Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup)“ weiterlesen

Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

„Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)“ weiterlesen

Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

„Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel“ weiterlesen

Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle?

Zertifizierungsstellen-Zertifikate haben ein definiertes Anfangs- und Enddatum, sodass es während des Lebenszyklus einer Zertifizierungsstelle unausweichlich ist, dass Zertifizierungsstellen-Zertifikate ablaufen.

Nachfolgend werden die Auswirkungen eines ablaufenden Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle beschrieben.

„Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle?“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "0x800b0101 (-2146762495 CERT_E_EXPIRED)"

Folgendes Szenario angenommen:

  • Ein Benutzer beantragt ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority)
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl.
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "0x800b0101 (-2146762495 CERT_E_EXPIRED)"“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)."

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The data is invalid. 0xd (WIN32: 13 ERROR_INVALID_DATA)
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)."“ weiterlesen

Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle

Im Laufe der Lebenszeit einer Zertifizierungsstelle werden Zertifizierungsstellen-Zertifikate gemäß der Planung für deren Lebenszyklus erneuert. Hierbei kann optional ein neues Schlüsselpaar verwendet werden. Die vorigen Zertifizierungsstellen-Zertifikate laufen ab oder werden widerrufen.

Abgelaufene Zertifizierungsstellen-Zertifikate können unter Umständen zum Problem werden, wenn beispielsweise die zugehörigen privaten Schlüssel auf alten Hardware Security Modulen (HSM) gespeichert sind, und diese nur unter größeren Schwierigkeiten auf neue Hardware migriert werden können.

In einem solchen Fall kann es sinnvoll sein, alte Zertifizierungsstellen-Zertifikate aus der Konfiguration der Zertifizierungsstelle zu entfernen.

„Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle“ weiterlesen

Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen

Zu einem professionellen Betrieb einer Zertifizierungsstelle gehört auch die regelmäßige Erstellung von Sicherungen.

Nachfolgend wird beschrieben, welche Komponenten gesichert werden müssen und wie die dazugehörige Vorgehensweise aussieht.

„Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen“ weiterlesen

Eine Sicherung (Backup) des privaten Schlüssels einer Zertifizierungsstelle erstellen

Zu einer Sicherung einer Zertifizierungsstelle gehört auch die Sicherung des privaten Schlüsselmaterials. Dessen Sicherung wird bewusst getrennt beschrieben, da diese gesondert erfolgen sollte und auch deren Sicherungen getrennt von denen der Zertifizierungsstelle aufbewahrt werden sollten.

„Eine Sicherung (Backup) des privaten Schlüssels einer Zertifizierungsstelle erstellen“ weiterlesen

Durchführen der Notfallsignierung von Zertifikatsperrlisten

Die wichtigste Komponente eine PKI in Hinsicht auf die Verfügbarkeit ist nicht, wie häufig angenommen die Zertifizierungsstelle, sondern die Sperrlistenverteilpunkte. Sollte eine Zertifizierungsstelle nicht verfügbar sein, können zunächst lediglich keine neuen Zertifikate ausgestellt werden, die bereits ausgestellten Zertifikate können jedoch ungehindert weiter genutzt werden, solange deren Sperrstatus überprüfbar ist. Neben der reinen Verfügbarkeit der Sperrlistenverteilpunkte müssen die Sperrinformationen natürlich auch in Hinsicht auf ihre Signatur gültig sein. Sperrlisten haben ein definiertes Ablaufdatum, nachdem sie nicht mehr verwendet werden können. Ist nun eine Zertifizierungsstelle ausgefallen, kann sie auch keine neuen Sperrlisten mehr veröffentlichen. Für diesen Fall ist der Prozess der Notfalsignierung der Sperrlisten vorgesehen.

„Durchführen der Notfallsignierung von Zertifikatsperrlisten“ weiterlesen

Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?

Leider kommt es in der Praxis hin und wieder vor, dass die Sperrliste einer übergeordneten Zertifizierungsstelle abläuft und eine Erneuerung ausbleibt. Auch kann dies planmäßig, etwa bei Außerbetriebnahme einer alten Hierarchie geschehen.

„Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch