Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
In manchen Fällen (beispielsweise bei einer Offline-Zertifizierungsstelle, oder wenn vom Standard abweichende LDAP-Sperrlistenverteilungspunkte konfiguriert wurden) muss die Zertifikatsperrliste manuell ins Active Directory veröffentlicht werden.
Autorisations nécessaires
Für die Veröffentlichung der Sperrliste im Active Directory benötigt man Schreibrechte auf dem entsprechenden cRLDistributionPoint Objekt im CDP-Pfad unterhalb des Public Key Services Containers in der Configuration Partition der Active Directory Gesamtstruktur. Dieses Recht haben in der Standardeinstellung:
- Die Sicherheitsgruppe „Administrators“ der Wurzel-Domäne der Gesamtstruktur
- Die Sicherheitsgruppe „Domain Admins“ der Wurzel-Domäne der Gesamtstruktur
- Die Sicherheitsgruppe „Enterprise Admins“ der Gesamtstruktur
- Die Sicherheitsgruppe „Cert Publishers“ der Wurzel-Domäne der Gesamtstruktur
Benötigte Konfiguration auf der Zertifizierungsstelle
Damit die Sperrliste manuell ins Active Directory geschrieben werden kann, ist eine Erweiterung „Published CRL Locations“ innerhalb der Sperrliste erforderlich.
Diese Erweiterung wird nur dann in die Sperrliste geschrieben, wenn für die entsprechende CEP Erweiterung auf der Zertifizierungsstelle die Option „Include in all CRLs. Specifies where to publish in the Active Directory when publishing manually.“ gesetzt wurde.
Erstellen einer Zertifikatsperrliste
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Sofern noch keine aktuelle Sperrliste erzeugt wurde, muss diese zunächst erstellt werden. Die Vorgehensweise ist im Artikel „Création et publication d'une liste de révocation de certificats" décrit.
Veröffentlichen der Zertifikatsperrliste im Active Directory
Die Veröffentlichung der Zertifikatsperrliste kann mit folgendem Kommandozeilenbefehl ausgeführt werden.
certutil -dspublish {Dateiname}
Wie bereits zuvor erwähnt, benötigt der ausführende Benutzer Schreibrechte auf dem entsprechenden Objekt.
Falls das Objekt noch nicht existiert, muss es mit dem Schalter „-f“ erst erzeugt werden. Hierfür sind Schreibrechte auf den übergeordneten LDAP-Pfad erforderlich.
Liens complémentaires :
- Création et publication d'une liste de révocation de certificats
- La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".
- La publication manuelle d'une liste de révocation de certificats (CRL) dans Active Directory échoue avec le message d'erreur 0x8007202b (WIN32 : 8235 ERROR_DS_REFERRAL)
Français 
Deutsch 
English
Les commentaires sont fermés.