Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Beim Widerrufen eines Zertifikats wird dessen Seriennummer auf die Sperrliste gesetzt. Entitäten, die die Sperrung eines Zertifikats überprüfen, betrachten es dann als nicht mehr gültig.
Autorisations nécessaires
Um ein Zerifikat zu widerrufen benötigt der ausführende Benutzer das Recht „Issue and Manage Certificates“ auf der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.
Benötigte Informationen
Für den Widerruf eines Zertifikats werden folgende Informationen benötigt:
- Seriennummer des Zertifikats
- Grund für die Sperrung
Die Serienummer kann unter Anderem über den „Details“ Karteireiter eines Zertifikats ermittelt werden.
Als Grund für den Widerruf kommen folgende Möglichkeiten in Betracht:
| Code | Désignation | Description |
|---|---|---|
| 0 | Non spécifié | Il s'agit du paramètre par défaut, qui indique qu'il n'y a pas de raison particulière pour la révocation. |
| 1 | Compromis clé | La clé privée d'un certificat a été dérobée ou connue d'une autre manière par des tiers non autorisés. |
| 2 | CA Compromise | La clé privée de l'autorité de certification a été dérobée ou connue d'une autre manière par des tiers non autorisés. |
| 3 | Affiliation Changed | Si le contenu du certificat a changé (par ex. le nom de l'utilisateur), un nouveau certificat doit être émis. |
| 4 | Superseded | Le certificat révoqué a été remplacé par un nouveau certificat. |
| 5 | Cessation d'activité | L'exploitation du service faisant partie du certificat a été interrompue, par exemple parce qu'il existe un nouveau service sous un autre nom. |
| 6 | Certificate Hold | Le certificat est révoqué temporairement. Ce type de révocation est le seul qui permette d'annuler la révocation ultérieurement. |
| 8 | Remove from CRL | Si un certificat a été révoqué avec le motif "Certificate Hold" et que des listes de blocage delta sont utilisées, le certificat révoqué avec ce code est maintenu dans la liste de blocage delta jusqu'à ce que l'entrée dans la liste de blocage principale soit supprimée. |
| -1 | Unrevoke | Si un certificat a été révoqué avec le motif "Certificate Hold", ce code permet de le débloquer par ligne de commande. De même, le code d'auditÉvénement 4870 l'annulation de la révocation d'un certificat est signalée par ce code. |
Nur der Widerruf-Grund Nummer 6 (Certificate Hold) ermöglicht es später, ein Zertifikat wieder von der Sperrliste zu entfernen.
Details: Widerrufen eines ausgestellten Zertifikats über die Kommandozeile
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Der Widerruf eines Zertifikats kann mit folgendem Kommandozeilenbefehl erfolgen.
certutil -revoke {Seriennummer} {Grundcode}
Der Befehl kann wie oben aufgeführt direkt auf der Zertifizierungsstelle ausgeführt werden. Bei einer Active Directory integrierten Zertifizierungsstelle kann er auch von einem anderen Domänenmitglied ausgeführt werden, wenn der -config Schalter mit dem Config String (Servername\Common-Name) als Argument mit angegeben wird.
Details: Widerrufen eines ausgestellten Zertifikats über die graphische Benutzeroberfläche
In der Zertifizierungsstellen-Verwaltungskosole (certsrv.msc) wird das zu widerrufene Zertifikat zunächst identifiziert. Anschließend wird mit rechts auf den Datenbankeintrag geklickt und „All Tasks“ – „Revoke Certificate“ gewählt.
Im nachfolgenden Dialog wird der Grund für den Widerruf angegeben. Optional kann ein Datum angegeben werden, ab wann das Zertifikat widerrufen werden soll. Somit kann ein planmäßiger Widerruf bereits im Vorfeld realisiert werden.
Veröffentlichen einer neuen Zertifikatsperrliste
Das Zertifikat ist zunächst nur in der Zertifizierungsstellen-Datenbank als gesperrt markiert. Es wird bei der nächsten Veröffentlichung der Sperrliste auf diese eingetragen.
Die Zertifikatsperrliste wird von der Zertifizierungsstelle automatisch veröffentlicht. In der Regel ist es nicht erforderlich, außerplanmäßg neue Zertifikatsperrlisten zu veröffentlichen. Falls doch gewünscht ist die Vorgehensweise zum Veröffentlichen einer Zertifikatsperrliste im Artikel „Création et publication d'une liste de révocation de certificats" décrit.
Bitte beachten, dass nicht garantiert werden kann, dass eine Zertifikatsperrung von allen Teilnehmern direkt auch erkannt wird, da clientseitig Sperrinformationen zwischengespeichert werden können.
Bitte beachten, dass abgelaufene Zertifikate (mit Ausnahme von Codesignaturzertifikaten) wieder aus der Sperrliste entfernt werden.
Liens complémentaires :
- Création et publication d'une liste de révocation de certificats
- Principes de base : vérification du statut de révocation des certificats
- Traitement des certificats expirés lors de la délivrance de listes de révocation de certificats
- Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)
Français 
Deutsch 
English
Les commentaires sont fermés.