Die Microsoft-Zertifizierungsstelle signiert Zertifikate immer mit dem zum aktuellsten Zertifizierungsstellen-Zertifikat gehörenden Schlüssel. Das Signaturzertifikat für eine OCSP-Antwort sollte gemäß RFC 6960 jedoch vom gleichen Schlüssel signiert werden, wie das zu überprüfende Zertifikat:
The CA SHOULD use the same issuing key to issue a delegation certificate as that used to sign the certificate being checked for revocation.
https://tools.ietf.org/html/rfc6960#section-4.2.2.2
Wird das Zertifizierungsstellen-Zertifikat erneuert und dabei ein neues Schlüsselpaar verwendet, ist es jedoch erforderlich, dass der Onlineresponder weiterhin gültige Signaturzertifikate für die mit dem vorigen Zertifizierungsstellen-Zertifikat ausgestellten Zertifikate vorhält, da diese schließlich weiterhin gültig sind und auf Sperrung überprüft werden müssen.
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Um dies zu gewährleisten, ist es also erforderlich, dass der Onlineresponder für jeden Zertifizierungsstellen-Schlüssel, zu welchem es ausgestellte, zeitlich gültige Zertifikate gibt, eine entsprechende Sperrkonfiguration vorhält und Signaturzertifikate beantragt.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Damit das beantragte Signaturzertifikat durch die Zertifizierungsstelle mit dem passenden Schlüssel signiert wird, beinhaltet die jeweilige Zertifikatanforderung eine Erweiterung namens „Authority Key Identifier“ (AKI), durch welche die Signatur mit diesem Schlüssel durch die Zertifizierungsstelle angefragt werden kann.
In der Standardeinstellung wird die Microsoft-Zertifizierungsstelle die AKI-Erweiterung jedoch ignorieren und die Zertifikatanforderung mit dem aktuellsten Schlüssel signieren.
Um die Zertifizierungsstelle dazu zu bringen, die AKI-Erweiterung zu berücksichtigen, muss folgender Kommandozeilenbefehl auf der Zertifizierungsstelle ausgeführt werden:
certutil -setreg CA\UseDefinedCACertInRequest 1
Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden, damit die Änderungen an der Konfiguration angewendet werden.
Liens complémentaires :
- Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)“
- Inspecter une demande de certificat (CSR)
Sources externes
- RFC 6969 – X.509 Internet Public Key Infrastructure – Online Certificate Status Protocol – OCSP (Internet Engineering Task Force)
Français 
Deutsch 
English
Les commentaires sont fermés.