Správa odvolání certifikátu

  • 14 min

V rámci správy životního cyklu certifikátů potřebujete nejen řídit jejich vystavování, ale také sledovat jejich využití a kdykoli je to potřeba, vynutit odvolání. To je důležité pro zmírnění a nápravu potenciálního ohrožení zabezpečení založeného na certifikátech.

Co je odvolání certifikátu?

Odvolání je proces, při kterém zakážete platnost jednoho nebo více certifikátů. Zahájením procesu odvolání publikujete kryptografický otisk certifikátu do odpovídajícího seznamu CRL. To znamená, že konkrétní certifikát už není platný.

Důležité

Každý certifikát má vlastní dobu platnosti, po které se už nepovažuje za platnou. Při odvolání můžete certifikát před uplynutím daného období zneplatnit, například k nápravě ohrožení zabezpečení certifikátu.

Několik fází životního cyklu certifikační autority, které se zaměřují na odvolání certifikátu.

Proces odvolání se obvykle skládá z následující posloupnosti kroků:

  1. Odvolání certifikátu a poskytnutí důvodu a cílového data a času Tuto úlohu můžete provést z konzoly certifikační autority.
  2. Publikování seznamu CRL Můžete aktivovat publikování z konzoly certifikační autority nebo naplánovat automatické publikování v pravidelných intervalech. Seznamy CRL můžete publikovat ve službě AD DS, ve sdílené složce nebo na webu.
  3. Pokud operační systémy, aplikace nebo služba zahájí zabezpečenou akci, která zahrnuje použití certifikátu, aktivuje automatickou kontrolu stavu odvolání tohoto certifikátu dotazováním vydávající certifikační autority a odpovídajícího umístění CDP. Tento proces určuje, jestli je certifikát odvolán.

Důležité

Podpora automatické kontroly stavu odvolání certifikátu závisí na způsobu implementace operačního systému, aplikace nebo služby. Většina moderního komerčního softwaru tuto funkci podporuje.

Operační systémy Windows zahrnují CryptoAPI, která zodpovídá za procesy odvolání certifikátu a kontroly stavu. CryptoAPI používá v procesu kontroly certifikátů následující fáze:

  • Zjišťování certifikátů. Zjišťování certifikátů shromažďuje certifikáty certifikační autority, informace O AIA v vydaných certifikátech a podrobnosti o procesu zápisu certifikátu.
  • Ověření cesty Ověření cesty je proces ověření certifikátu prostřednictvím řetězu certifikační autority nebo cesty, dokud se nedosáhne kořenového certifikátu certifikační autority.
  • Kontrola odvolání. Každý certifikát v řetězu certifikátů je ověřený, aby se zajistilo, že se neodvolají žádné certifikáty.
  • Načítání a ukládání do mezipaměti sítě Načítání sítě se provádí pomocí OCSP. CryptoAPI zodpovídá za první kontrolu místní mezipaměti za informace o odvolání a pokud se neshoduje, volání pomocí OCSP, které je založeno na adrese URL, kterou vystavený certifikát poskytuje.

Co je služba Online Responder?

Služba Online Responder nabízí efektivnější způsob, jak zkontrolovat stav odvolání certifikátu. Služba Online Responder spoléhá na OCSP k určení stavu odvolání certifikátu. OCSP odesílá žádosti o stav certifikátu pomocí protokolu HTTP.

Klienti přistupí k seznamům CRL, aby zjistili stav odvolání certifikátu. Seznamy CRL můžou být velké a klienti můžou k prohledávání těchto seznamů CRL použít značné množství času. Služba online respondéru může dynamicky vyhledávat klienty a reagovat na klienta se stavem požadovaného certifikátu. Pomocí jednoho online respondéru můžete určit informace o stavu odvolání certifikátů vydaných jednou certifikační autoritou nebo několika certifikačními autoritami. Můžete také implementovat více online respondérů pro distribuci žádostí o odvolání certifikační autority.

Certifikační autority musíte nakonfigurovat tak, aby zahrnovaly adresu URL online respondéru v rozšíření AIA vydaných certifikátů. Klient OCSP používá tuto adresu URL k ověření stavu certifikátu. Musíte také vydat šablonu certifikátu OCSP Response Signing Certificate, aby mohli online respondenti tento certifikát zaregistrovat.

Ukázka

Následující video ukazuje, jak:

  • Konfigurace publikování seznamu CRL
  • Nakonfigurujte umístění CDP.

Hlavními kroky v procesu jsou:

  1. Vytvořte prostředí SLUŽBY AD DS. Vytvořte doménovou strukturu SLUŽBY AD DS s jednou doménou.
  2. Nasaďte kořenovou certifikační autoritu organizace.
  3. Konfigurace publikování seznamu CRL Ke konfiguraci publikování seznamu CRL použijte konzolu certifikační autority.
  4. Nakonfigurujte umístění CDP. Ke konfiguraci umístění CDP použijte konzolu certifikační autority.

Kontrola znalostí

1.

Co je potřeba k publikování seznamu CRL do sdílené složky pomocí konzoly certifikační autority?