Gerenciar a revogação de certificado

Concluído

Como parte do gerenciamento de um ciclo de vida do certificado, você não precisa apenas controlar a sua emissão, mas também o seu uso e, sempre que necessário, impor sua revogação. Isso é crítico para atenuar e corrigir o comprometimento potencial da segurança baseada em certificado.

O que é uma revogação de certificado?

Uma revogação é o processo no qual você desabilita a validade de um ou mais certificados. Ao iniciar um processo de revogação, você publica uma impressão digital do certificado na CRL correspondente. Isso indica que um certificado específico deixou de ser válido.

Importante

Cada certificado tem seu próprio período de validade, após o qual ele não será mais considerado válido. Com a revogação, você pode invalidar o certificado antes que esse período se esgote, por exemplo, para corrigir o comprometimento do certificado.

Geralmente, o processo de revogação é composto pela seguinte sequência de etapas:

1. Revogar um certificado e fornecer o motivo, além da data e hora de revogação. Você pode executar essa tarefa no console da AC.
2. Publicar uma CRL. Você tem a opção de disparar a publicação no console da AC ou agendar a publicação automática em intervalos regulares. Você pode publicar CRLs no AD DS, em uma pasta compartilhada ou em um site.
3. Se sistemas operacionais, aplicativos ou serviços iniciarem uma ação segura que envolva o uso de um certificado, isso acionará uma verificação automática do status de revogação desse certificado por meio da consulta à AC emissora e ao local de CDP correspondente. Esse processo determina se o certificado está revogado.

Importante

O suporte para a verificação automática de um status de revogação de certificado depende de como um sistema operacional, aplicativo ou serviço foi implementado. A maioria dos produtos de software comerciais modernos dá suporte a essa funcionalidade.

Os sistemas operacionais Windows incluem o CryptoAPI, que é responsável pelos processos de revogação e verificação de status de certificados. O CryptoAPI usa as seguintes fases no processo de verificação de certificado:

• Descoberta do certificado. A descoberta do certificado coleta certificados de AC, informações do AIA em certificados emitidos e detalhes do processo de registro de certificado.
• Validação de caminho. A validação de caminho é o processo de verificar o certificado por meio da cadeia de AC ou do caminho, até que o certificado de AC raiz seja atingida.
• Verificação de revogação. Cada certificado na cadeia de certificados é verificado para garantir que nenhum dos certificados esteja revogado.
• Recuperação de rede e cache. A recuperação de rede é executada usando o OCSP. A CryptoAPI é responsável por verificar o cache local para, primeiro, obter informações de revogação e, se não houver nenhuma correspondência, fazer uma chamada usando o OCSP, que se baseia na URL fornecida pelo certificado emitido.

O que é um serviço Respondente Online?

Um serviço Respondente Online oferece uma maneira mais eficiente de verificar o status de revogação do certificado. O serviço Respondente Online depende do OCSP para determinar o status de revogação de um certificado. O OCSP envia solicitações de status de certificado usando HTTP.

Os clientes acessam as CRLs para determinar o status de revogação de um certificado. Pode ser que as CRLs sejam grandes, e os clientes podem levar uma quantidade significativa de tempo para pesquisá-las. Um serviço Respondente Online pode pesquisar essas CRLs dinamicamente para os clientes e responder ao cliente com o status do certificado solicitado. Você pode usar um único Respondente Online para determinar informações de status de revogação de certificados emitidos por uma única ou várias ACs. Você também pode implementar vários Respondentes Online para distribuir solicitações de revogação de AC.

Você deve configurar as ACs para incluir a URL do Respondente Online na extensão do AIA de certificados emitidos. O cliente OCSP usa essa URL para validar o status do certificado. Você também deve emitir o modelo de certificado de autenticação de resposta do OCSP, para que Respondentes Online possam registrar esse certificado.

Demonstração

O vídeo a seguir demonstra como:

• Configurar a publicação da CRL.
• Configurar o local do CDP.

As principais etapas do processo são:

1. Criar um ambiente AD DS. Criar uma floresta de AD DS de domínio único.
2. Implantar uma AC raiz corporativa.
3. Configurar a publicação da CRL. Use o console da Autoridade de certificação para configurar a publicação da CRL.
4. Configurar o local do CDP. Use o console da Autoridade de certificação para configurar o local do CPD.

---

Verifique seu conhecimento

1.

O que é necessário para publicar uma CRL em um compartilhamento de arquivos usando o console da Autoridade de certificação?

Definir as configurações de extensões da AC.

Definir as configurações do Módulo de política da AC.

Definir as configurações de armazenamento da AC.

É necessário responder a todas as perguntas antes de verificar o trabalho.