Le composant le plus important d'une PKI en termes de disponibilité n'est pas, comme on le suppose souvent, l'autorité de certification, mais les points de distribution des listes de révocation. Si une autorité de certification n'est pas disponible, seuls les nouveaux certificats ne peuvent être délivrés, mais les certificats déjà délivrés peuvent continuer à être utilisés sans restriction tant que leur statut de révocation peut être vérifié. Outre la simple disponibilité des points de distribution des listes de révocation, les informations de révocation doivent bien sûr également être valides en termes de signature. Les listes de révocation ont une date d'expiration définie, après laquelle elles ne peuvent plus être utilisées. Si une autorité de certification est hors service, elle ne peut plus publier de nouvelles listes de révocation. Dans ce cas, le processus de signature d'urgence des listes de révocation est prévu.
Principes de base
L'idée de base de la signature de secours est de signer à nouveau une liste de révocation existante directement avec la clé privée, en contournant l'autorité de certification et en inscrivant une nouvelle date d'expiration prolongée dans la liste de révocation. Si la panne de l'autorité de certification devait donc durer plus longtemps que la validité de la liste de blocage, celle-ci pourrait être prolongée à volonté par la liste de blocage d'urgence, tant que l'accès à la clé privée de l'autorité de certification est possible.
La première chose à faire après une panne de l'autorité de certification ne devrait donc pas être d'analyser l'erreur, ni même de la corriger. restaurer l'autorité de certification à partir de la sauvegarde, Il n'est pas nécessaire de créer une liste de blocage d'urgence, mais de créer d'abord une liste de blocage d'urgence.
Rien n'empêche non plus d'effectuer ce processus de manière proactive tant que l'autorité de certification fonctionne encore correctement. Ainsi, on est déjà paré en cas de défaillance de l'autorité de certification. De même, pour les Migration d'une autorité de certification vers un autre serveur ou en cas de travaux de maintenance à venir, une signature d'urgence préalable peut s'avérer très utile.
Réalisation de la signature d'urgence
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Si l'autorité de certification n'est plus disponible, la clé privée de l'autorité de certification doit d'abord être restaurée sur un autre système. Voir à ce sujet les articles suivants :
- Récupération d'un certificat d'autorité de certification avec une clé logicielle
- Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)
L'archivage d'urgence de la liste de blocage est effectué à l'aide de la commande de ligne de commande suivante :
certutil -sign {Sperrliste-Alt}.crl {Sperrliste-Neu}.crl now+{Tage}:{Stunden} -2.5.29.46
L'argument -2.5.29.46 supprime l'extension „Freshest CRL“ de la liste de blocage d'urgence générée. Cette extension renvoie normalement à une liste de blocage delta, qui expirerait naturellement de la même manière que la liste de blocage de base. Pour cette raison, la référence à la liste de blocage delta est supprimée.
Par exemple, si vous voulez créer une barre de blocage avec le nom de fichier crl.crl dans une liste de blocage d'urgence appelée emergency.crl et une validité de 30 jours on exécuterait la commande suivante.
certutil -sign crl.crl emergency.crl now+30:00 -2.5.29.46
Pendant le processus de signature, il est demandé de choisir un certificat pour la signature des listes de blocage. Ici, il faut choisir exactement le certificat d'autorité de certification correspondant à la liste de blocage. Si l'autorité de certification possède plusieurs certificats et clés d'autorité de certification, il faut faire attention à ce point, sinon la liste de blocage n'aura pas de signature valable.
La liste de blocage d'urgence qui vient d'être générée devrait avoir une date d'expiration de 30 jours à compter de la date de la signature d'urgence.
Publication des listes de blocage d'urgence sur les points de distribution des listes de blocage
La liste de blocage d'urgence peut désormais être conservée en cas d'urgence ou être publiée directement sur les points de distribution de la liste de blocage.
Français 
Deutsch 
English
Les commentaires sont fermés.