Combinaison d'un répondeur en ligne (OCSP) avec Delta CRL et un point de distribution de listes de révocation (CDP) sans liste de révocation Delta pour une résilience accrue

Auteur Uwe GradeneggerPublié le Catégories Protocole de statut des certificats en ligne (OCSP)Étiquettes

Les réponses OCSP d'un répondeur OCSP Microsoft sont valables aussi longtemps que la liste de révocation sous-jacente. Dans certains cas, il peut être souhaitable de réduire la durée de validité des OCSP en utilisant des CRL delta. Dans le même temps, aucune CRL delta ne doit être utilisée pour les listes de révocation enregistrées dans les chemins CDP afin de permettre un repli vers une CRL valable plus longtemps.

Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .

La configuration décrite ici fonctionne certes dans la pratique, mais elle n'a pas été testée par le fabricant (Microsoft) et n'est donc pas officiellement prise en charge.

Configuration de l'autorité de certification : enregistrement

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Les listes de blocage Delta doivent être activées sur la CA.

Configuration de l'autorité de certification : extensions

L'option „ Include in CRLs. Clients use this to find Delta CRL locations. “ doit être désactivée pour chaque chemin CDP publié (LDAP ou HTTP) afin que la CRL ne contienne pas d'extension „ Freshest CRL “.

En même temps, activez la fonction „ Publier les CRL delta à cet emplacement “ sur les emplacements de stockage pour CDP (LDAP ou fichier).

Le service CA doit être redémarré une fois après la modification. Ensuite, une CRL delta doit être générée par la publication d'une nouvelle CRL.

La base CRL ne doit pas contenir d'extension „ Freshest CRL “.

Configuration du répondeur OCSP

Les fournisseurs de révocation doivent désormais être renseignés manuellement dans le répondeur OCSP, car les listes de blocage de base ne contiennent délibérément aucune référence à la liste Delta CRL.

Exemple

Liste de blocage de base

  • ldap:///cn=FabrikamIssuingCA,cn=CDP,cn=Public Key Services,CN=services,CN=Configuration,DC=Fabrikam,DC=com?liste de révocation de certificats?base?objectClass=cRLDistributionPoint
  • http://pki.fabrikam.com/CertData/FabrikamIssuingCA.crl

Liste de blocage du delta

  • ldap:///cn=FabrikamIssuingCA,cn=CDP,cn=Public Key Services,CN=services,CN=Configuration,DC=Fabrikam,DC=com?deltaRevocationList?base?objectClass=cRLDistributionPoint
  • http://pki.fabrikam.com/CertData/FabrikamIssuingCA+.crl

Si la Delta CRL expire, la CAPI2 revient à la Base CRL.

----------------  Certificate AIA  ----------------
   Verified "Certificate (0)" Time: 0
     [0.0] http://pki.fabrikam.com/certdata/FabrikamIssuingCA.crt
  
   Verified "Certificate (0)" Time: 0
     [1.0] ldap:///cn=FabrikamIssuingCA,cn=aia,cn=public%20key%20services,cn=services,CN=Configuration,DC=Fabrikam,DC=com?cACertificate?base?objectClass=certificationAuthority
  
   ----------------  Certificate CDP  ----------------
   Verified "Base CRL (1c)" Time: 0
     [0.0] http://pki.fabrikam.com/certdata/FabrikamIssuingCA.crl
  
   Verified "Base CRL (1c)" Time: 0
     [1.0] ldap:///cn=FabrikamIssuingCA,cn=cdp,cn=public%20key%20services,cn=services,CN=Configuration,DC=Fabrikam,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
  
   ----------------  Base CRL CDP  ----------------
   No URLs "None" Time: 0
   ----------------  Certificate OCSP  ----------------
   Expired "OCSP" Time: 0
     [0.0] http://ocsp.fabrikam.com/ocsp
  
 […]
  
 Verified Issuance Policies: All
 Verified Application Policies:
     1.3.6.1.4.1.311.21.5 Private Key Archival
 Leaf certificate revocation check passed
 CertUtil: -verify command completed successfully

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais