Um feststellen zu können, ob ein Zertifikat von einer als vertrauenswürdig eingestuften Zertifizierungsstelle ausgestellt wurde, muss eine Vertrauenskette (engl. Trust Chain) gebildet werden. Hierfür müssen alle Zertifikate in der Kette ermittelt und überprüft werden. Die Microsoft CryptoAPI bildet alle möglichen Zertifikatketten und liefert diejenigen mit der höchsten Qualität an die anfragende Anwendung zurück.
Continuer la lecture de « Grundlagen: Auffinden von Zertifikaten und Validierung des Zertifizierungspfades »Month: septembre 2020
Principes de base : vérification du statut de révocation des certificats
Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.
Continuer la lecture de « Grundlagen: Überprüfung des Sperrstatus von Zertifikaten »Den Onlineresponder (OCSP) mit einem SafeNet Hardware Security Module (HSM) verwenden
Mit dem SafeNet Key Storage Provider ist es nicht möglich, Berechtigungen auf die privaten Schlüssel zu setzen: die Microsoft Management Console (MMC) wird hierbei abstürzen.
Continuer la lecture de « Den Onlineresponder (OCSP) mit einem SafeNet Hardware Security Module (HSM) verwenden »Limiter l'utilisation de la clé étendue (EKU) pour les certificats d'autorité de certification racine importés
Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.
Im Fall einer Kompromittierung der Zertifizierungsstelle ist der Schaden dann auf diese Extended Key Usages beschränkt. Das Smart Card Logon Extended Key Usage wäre dann nur in dem Zertifizierungsstellen-Zertifikat derjenigen Zertifizierungsstelle, die auch tatsächlich solche Zertifikate ausstellt, vorhanden.
Continuer la lecture de « Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken »Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle
Stammzertifizierungsstellen (Root CA) erzeugen bei Erneuerung des Zertifizierungsstellen-Zertifikats sogenannte Kreuzzertifizierungsstellen-Zertifikate (Cross Signing).
Mitunter kann es sein, dass hierbei Probleme auftreten, wie beispielsweise im Artikel „Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“" décrit.
In einem solchen Fall möchte man vielleicht die Erstellung der Kreuzzertifizierungsstellen-Zertifikate unterbinden.
Continuer la lecture de « Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle »Utilisation de HTTP via Transport Layer Security (HTTPS) pour les points de distribution de listes de blocage (CDP) et le répondeur en ligne (OCSP)
In Hinsicht auf die Gestaltung der Infrastruktur zur Bereitstellung der Sperrinformationen – also der Sperrlistenverteilungspunkte (CRL Distribution Point, CSP) sowie der Online Responder (Online Certificate Status Protocol, OCSP) kommt die Frage auf, ob man diese über Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) „absichern“ sollte.
Continuer la lecture de « Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP) »Accents dans les certificats d'autorité de certification
Internationalisierte Domänennamen (Internationalized Domain Names, IDNs) werden seit Windows Server 2012 im Rahmen der Zertifizierungsstelle und den dazugehörigen Komponenten offiziell unterstützt.
Möchte man diese in seine Zertifizierungsstellen-Zertifikaten benutzen, gibt es jedoch einige Besonderheiten zu beachten.
Continuer la lecture de « Umlaute in Zertifizierungsstellen-Zertifikaten »
Français 
Deutsch 
English