Le composant le plus important d'une PKI en termes de disponibilité n'est pas, comme on le suppose souvent, l'autorité de certification, mais les points de distribution des listes de révocation. Si une autorité de certification n'est pas disponible, seuls les nouveaux certificats ne peuvent être délivrés, mais les certificats déjà délivrés peuvent continuer à être utilisés sans restriction tant que leur statut de révocation peut être vérifié. Outre la simple disponibilité des points de distribution des listes de révocation, les informations de révocation doivent bien sûr également être valides en termes de signature. Les listes de révocation ont une date d'expiration définie, après laquelle elles ne peuvent plus être utilisées. Si une autorité de certification est hors service, elle ne peut plus publier de nouvelles listes de révocation. Dans ce cas, le processus de signature d'urgence des listes de révocation est prévu.
Principes de base
Der Grundgedanke bei der Notfallsignierung ist, eine vorhandene Sperrliste unter Umgehung der Zertifizierungsstelle direkt mit dem privaten Schlüssel neu zu signieren und hierbei ein neues, verlängertes Ablaufdatum in die Sperrliste einzutragen. Sollte der Ausfall der Zertifizierungsstelle also länger dauern als die Gültigkeit der Sperrliste, kann diese durch die Notfallsperrliste beliebig verlängert werden, solange der Zugriff auf den privaten Schlüssel der Zertifizierungsstelle möglich ist.
Der erste durchzuführende Schritt nach einem Ausfall der Zertifizierungsstelle sollte also nicht sein, den Fehler zu analysieren oder gar die Zertifizierungsstelle aus der Sicherung wiederherzustellen, sondern zunächst eine Notfallsperrliste zu erzeugen.
Es spricht auch nichts dagegen, diesen Prozess proaktiv durchzuführen, solange die Zertifizierungsstelle noch einwandfrei arbeitet. So hat man für den Fall eines Ausfalls der Zertifizierungsstelle bereits vorgesorgt. Auch für die Migration d'une autorité de certification vers un autre serveur oder bei anstehenden Wartungsarbeiten kann eine vorige Notfallsignierung sehr hilfreich sein.
Durchführung der Notfallsignierung
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Ist die Zertifizierungsstelle nicht mehr verfügbar, muss zunächst der private Schlüssel der Zertifizierungsstelle auf einem anderen System wiederhergestellt wird. Siehe hierzu folgende Artikel:
- Récupération d'un certificat d'autorité de certification avec une clé logicielle
- Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)
Die Notfallsinierung der Sperrliste wird mit folgendem Kommandozeilenbefehl ausgeführt:
certutil -sign {Sperrliste-Alt}.crl {Sperrliste-Neu}.crl now+{Tage}:{Stunden} -2.5.29.46
Das Argument -2.5.29.46 entfernt die „Freshest CRL“ Erweiterung aus der generierten Notfallsperrliste. Diese Erweiterung verweist normalerweise auf eine Deltasperrliste, welche natürlich ebenso wie die Basissperrliste ablaufen würde. Aus diedem Grund wird der Verweis auf die Deltasperrliste entfernt.
Soll beispielsweise eine Sperrlste mit dem Dateinamen crl.crl in eine Notfallsperrliste namens emergency.crl und einer Gültigkeit von 30 Tagen geschrieben werden, würde man folgenden Befehl ausführen.
certutil -sign crl.crl emergency.crl now+30:00 -2.5.29.46
Während des Signaturprozesses wird man aufgefordert, ein Zertifikat für die Signatur der Sperrlisten auszuwählen. Hier muss exakt das zur Sperrliste passende Zertifizierungsstellenzertifikat ausgewählt werden. Insbesondere, wenn die Zertifizierungsstelle mehrere Zertifizierungsstellen-Zertifikate und Schlüssel besitzt, muss auf diesem Umstand geachtet werden, da die Sperrliste andernfalls keine gültige Signatur besitzen wird.
Die nun generierte Notfallsperrliste sollte ein Ablaufdatum von 30 Tagen ab dem Zeitpunkt der Notfallsignatur haben.
Veröffentlichung der Notfallsperrlisten auf die Sperrlistenverteilpunkte
Die Notfallsperrliste kann nun entweder für den Notfall verwahrt werden oder direkt auf die Sperrlistenverteilpunkte veröffentlicht werden.
Français 
Deutsch 
English
Les commentaires sont fermés.