Zarządzanie odwoływaniem certyfikatów

  • 14 min

W ramach zarządzania cyklem życia certyfikatu nie tylko trzeba kontrolować ich wystawianie, ale także śledzić ich użycie i, zawsze, gdy jest to konieczne, wymusić ich odwołanie. Ma to kluczowe znaczenie dla ograniczenia i skorygowania potencjalnego naruszenia zabezpieczeń opartych na certyfikatach.

Co to jest odwołanie certyfikatu?

Odwołanie to proces, w którym można wyłączyć ważność co najmniej jednego certyfikatu. Inicjując proces odwołania, należy opublikować odcisk palca certyfikatu w odpowiedniej liście CRL. Oznacza to, że określony certyfikat nie jest już prawidłowy.

Ważne

Każdy certyfikat ma własny okres ważności, po którym nie jest już uznawany za ważny. W przypadku odwołania można unieważnić certyfikat przed upływem tego okresu, na przykład w celu skorygowania naruszenia zabezpieczeń certyfikatu.

Kilka etapów cyklu życia urzędu certyfikacji, koncentrując się na odwołaniu certyfikatów.

Proces odwoływania składa się zazwyczaj z następującej sekwencji kroków:

  1. Odwołaj certyfikat i podaj przyczynę oraz datę i godzinę docelową. To zadanie można wykonać z poziomu konsoli urzędu certyfikacji.
  2. Publikowanie listy CRL. Istnieje możliwość wyzwolenia publikowania z konsoli urzędu certyfikacji lub zaplanowanie automatycznego publikowania w regularnych odstępach czasu. Listy CRL można publikować w usługach AD DS, w folderze udostępnionym lub w witrynie internetowej.
  3. Jeśli systemy operacyjne, aplikacje lub usługa inicjują bezpieczną akcję, która obejmuje użycie certyfikatu, wyzwala automatyczne sprawdzanie stanu odwołania tego certyfikatu przez wysłanie zapytania do urzędu wystawiającego certyfikat i odpowiednią lokalizację usługi CDP. Ten proces określa, czy certyfikat jest odwołany.

Ważne

Obsługa automatycznego sprawdzania stanu odwołania certyfikatu zależy od sposobu implementacji systemu operacyjnego, aplikacji lub usługi. Większość nowoczesnych programów komercyjnych obsługuje tę funkcję.

Systemy operacyjne Windows obejmują interfejs CryptoAPI, który jest odpowiedzialny za procesy odwoływania certyfikatów i sprawdzania stanu. CryptoAPI używa następujących faz w procesie sprawdzania certyfikatów:

  • Odnajdywanie certyfikatów. Odnajdywanie certyfikatów zbiera certyfikaty urzędu certyfikacji, informacje dotyczące AIA w wystawionych certyfikatach i szczegóły procesu rejestracji certyfikatu.
  • Weryfikacja ścieżki. Weryfikacja ścieżki to proces weryfikowania certyfikatu za pośrednictwem łańcucha urzędu certyfikacji lub ścieżki do momentu osiągnięcia certyfikatu głównego urzędu certyfikacji.
  • Sprawdzanie odwołania. Każdy certyfikat w łańcuchu certyfikatów jest weryfikowany, aby upewnić się, że żaden z certyfikatów nie zostanie odwołany.
  • Pobieranie sieci i buforowanie. Pobieranie sieci jest wykonywane przy użyciu dostawcy OCSP. CryptoAPI jest odpowiedzialny za sprawdzenie lokalnej pamięci podręcznej najpierw w celu odwołania informacji, a jeśli nie ma dopasowania, wykonanie wywołania za pomocą dostawcy OCSP, który jest oparty na adresie URL, który został udostępniony przez wystawiony certyfikat.

Co to jest usługa odpowiadania w trybie online?

Usługa odpowiadania w trybie online oferuje bardziej wydajny sposób sprawdzania stanu odwołania certyfikatów. Usługa odpowiadania w trybie online opiera się na dostawcy OCSP w celu określenia stanu odwołania certyfikatu. OCSP przesyła żądania stanu certyfikatu przy użyciu protokołu HTTP.

Klienci uzyskują dostęp do list CRL w celu określenia stanu odwołania certyfikatu. Listy CRL mogą być duże, a klienci mogą używać znacznego czasu do wyszukiwania tych list CRL. Usługa odpowiadania w trybie online może dynamicznie wyszukiwać te listy CRL dla klientów i odpowiadać klientowi na stan żądanego certyfikatu. Aby określić informacje o stanie odwołania dla certyfikatów wystawionych przez pojedynczy urząd certyfikacji lub wielu urzędów certyfikacji, można użyć jednego obiektu odpowiadającego online. Można również zaimplementować wiele osób odpowiadających w trybie online w celu dystrybucji żądań odwołania urzędu certyfikacji.

Należy skonfigurować urzędy certyfikacji, aby uwzględnić adres URL obiektu odpowiadającego online w rozszerzeniu AIA wystawionych certyfikatów. Klient OCSP używa tego adresu URL do sprawdzania stanu certyfikatu. Należy również wydać szablon certyfikatu podpisywania odpowiedzi OCSP, aby osoby reagujące w trybie online mogły zarejestrować ten certyfikat.

Pokaz

W poniższym filmie wideo pokazano, jak:

  • Konfigurowanie publikowania listy CRL.
  • Konfigurowanie lokalizacji usługi CDP.

Główne kroki procesu to:

  1. Tworzenie środowiska usług AD DS. Utwórz las usług AD DS z jedną domeną.
  2. Wdrażanie głównego urzędu certyfikacji przedsiębiorstwa.
  3. Konfigurowanie publikowania listy CRL. Użyj konsoli urząd certyfikacji, aby skonfigurować publikowanie listy CRL.
  4. Konfigurowanie lokalizacji usługi CDP. Użyj konsoli urząd certyfikacji, aby skonfigurować lokalizację usługi CDP.