Combinaison d'un répondeur en ligne (OCSP) avec Delta CRL et un point de distribution de listes de révocation (CDP) sans liste de révocation Delta pour une résilience accrue

Auteur Uwe GradeneggerPublié le Catégories Protocole de statut des certificats en ligne (OCSP)Étiquettes

OCSP Antworten eines Microsoft OCSP Resonders sind genau so lange gültig wie die zugrunde liegende Sperrliste. In manchen Szenarien möchte man die Gültigkeitszeiten von OCSP verringern, indem man Delta CRLs verwendet. Gleichzeitig soll aber bei den in den CDP Pfaden eingetragenen Sperrlisten keine Delta CRL verwendet werden, um einen Fallback auf eine länger gültige CRL zu ermöglichen.

Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .

La configuration décrite ici fonctionne certes dans la pratique, mais elle n'a pas été testée par le fabricant (Microsoft) et n'est donc pas officiellement prise en charge.

Konfiguration der Zertifizierungsstelle: Registrierung

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Delta Sperrlisten müssen auf der CA aktiviert sein.

Konfiguration der Zertifizierungsstelle: Erweiterungen

Die Option „Include in CRLs. Clients use this to find Delta CRL locations.“ muss für jeden veröffentlichten (LDAP oder HTTP) CDP Pfad deaktiviert sein, damit die CRL keine „Freshest CRL“ Erweiterung enthält.

Gleichzeitig aktiviert man jedoch die Funktion „Publish Delta CRLs to this location“ auf den Speicherorten für CDP (LDAP oder File).

Der CA Dienst muss nach der Änderung einmal neu gestartet werden. Anschließend muss eine Delta CRL durch Veröffentlichung einer neuen CRL erzeugt werden.

Die Base CRL sollte keine „Freshest CRL“ Erweiterung beinhalten.

Konfiguration OCSP Responder

Die Revocation Provider müssen auf dem OCSP Responder nun manuell befüllt werden, da in den Base Sperrlisten bewußt kein Hinweis auf die Delta CRL enthalten ist.

Exemple

Liste de blocage de base

  • ldap:///cn=FabrikamIssuingCA,cn=CDP,cn=Public Key Services,CN=services,CN=Configuration,DC=Fabrikam,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
  • http://pki.fabrikam.com/CertData/FabrikamIssuingCA.crl

Liste de blocage du delta

  • ldap:///cn=FabrikamIssuingCA,cn=CDP,cn=Public Key Services,CN=services,CN=Configuration,DC=Fabrikam,DC=com?deltaRevocationList?base?objectClass=cRLDistributionPoint
  • http://pki.fabrikam.com/CertData/FabrikamIssuingCA+.crl

Wenn die Delta CRL ablaufen sollte, fällt die CAPI2 auf die Base CRL zurück.

----------------  Certificate AIA  ----------------
   Verified "Certificate (0)" Time: 0
     [0.0] http://pki.fabrikam.com/certdata/FabrikamIssuingCA.crt
  
   Verified "Certificate (0)" Time: 0
     [1.0] ldap:///cn=FabrikamIssuingCA,cn=aia,cn=public%20key%20services,cn=services,CN=Configuration,DC=Fabrikam,DC=com?cACertificate?base?objectClass=certificationAuthority
  
   ----------------  Certificate CDP  ----------------
   Verified "Base CRL (1c)" Time: 0
     [0.0] http://pki.fabrikam.com/certdata/FabrikamIssuingCA.crl
  
   Verified "Base CRL (1c)" Time: 0
     [1.0] ldap:///cn=FabrikamIssuingCA,cn=cdp,cn=public%20key%20services,cn=services,CN=Configuration,DC=Fabrikam,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
  
   ----------------  Base CRL CDP  ----------------
   No URLs "None" Time: 0
   ----------------  Certificate OCSP  ----------------
   Expired "OCSP" Time: 0
     [0.0] http://ocsp.fabrikam.com/ocsp
  
 […]
  
 Verified Issuance Policies: All
 Verified Application Policies:
     1.3.6.1.4.1.311.21.5 Private Key Archival
 Leaf certificate revocation check passed
 CertUtil: -verify command completed successfully

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais