Gerenciar revogação de certificados

Concluído

Como parte do gerenciamento do ciclo de vida de um certificado, você não só precisa controlar sua emissão, mas também acompanhar seu uso e, sempre que necessário, impor sua revogação. Isso é fundamental para mitigar e remediar possíveis comprometimentos da segurança baseada em certificados.

O que é a revogação de certificados?

A revogação é o processo no qual você desabilita a validade de um ou mais certificados. Ao iniciar o processo de revogação, você publica uma impressão digital do certificado na CRL correspondente. Isso indica que um certificado específico não é mais válido.

Importante

Cada certificado tem o seu próprio período de validade, findo o qual deixa de ser considerado válido. Com a revogação, você pode invalidar o certificado antes que esse período passe, por exemplo, para corrigir o comprometimento do certificado.

O processo de revogação consiste tipicamente na seguinte sequência de etapas:

1. Revogue um certificado e forneça o motivo, a data e a hora de destino. Você pode executar essa tarefa no console da autoridade de certificação.
2. Publique uma CRL. Você tem a opção de acionar a publicação a partir do console da autoridade de certificação ou agendar a publicação automática em intervalos regulares. Você pode publicar CRLs no AD DS, em uma pasta compartilhada ou em um site.
3. Se um sistema operacional, aplicativos ou serviço iniciar uma ação segura que envolva o uso de um certificado, isso acionará uma verificação automática do status de revogação desse certificado consultando a autoridade de certificação emissora e o local da CDP correspondente. Este processo determina se o certificado é revogado.

Importante

O suporte para a verificação automática do status de revogação de um certificado depende da maneira como um sistema operacional, aplicativo ou serviço foi implementado. A maioria dos softwares comerciais modernos suporta esta funcionalidade.

Os sistemas operacionais Windows incluem CryptoAPI, que é responsável pelos processos de revogação de certificados e verificação de status. CryptoAPI usa as seguintes fases no processo de verificação de certificado:

• Descoberta de certificado. A descoberta de certificados coleta certificados de CA, informações AIA em certificados emitidos e detalhes do processo de registro de certificados.
• Validação de caminho. A validação de caminho é o processo de verificação do certificado através da cadeia de autoridade de certificação, ou caminho, até que o certificado de autoridade de certificação raiz seja alcançado.
• Verificação de revogação. Cada certificado na cadeia de certificados é verificado para garantir que nenhum dos certificados seja revogado.
• Recuperação de rede e armazenamento em cache. A recuperação de rede é realizada usando OCSP. A CryptoAPI é responsável por verificar primeiro o cache local em busca de informações de revogação e, se não houver correspondência, fazer uma chamada usando o OCSP, que se baseia na URL fornecida pelo certificado emitido.

O que é um serviço de Respondente Online?

Um serviço de Respondente Online oferece uma maneira mais eficiente de verificar o status de revogação do certificado. O serviço Respondente Online depende do OCSP para determinar o status de revogação de um certificado. O OCSP envia solicitações de status de certificado usando HTTP.

Os clientes acessam CRLs para determinar o status de revogação de um certificado. As CRLs podem ser grandes e os clientes podem usar uma quantidade significativa de tempo para pesquisar essas CRLs. Um serviço de Respondente Online pode pesquisar essas CRLs dinamicamente para os clientes e responder ao cliente com o status do certificado solicitado. Você pode usar um único Respondente Online para determinar as informações de status de revogação para certificados emitidos por uma única autoridade de certificação ou por várias autoridades de certificação. Você também pode implementar vários Respondentes Online para distribuir solicitações de revogação de CA.

Você deve configurar as autoridades de certificação para incluir a URL do Respondente Online na extensão AIA dos certificados emitidos. O cliente OCSP usa essa URL para validar o status do certificado. Você também deve emitir o modelo de certificado de Assinatura de Resposta OCSP, para que os Respondentes Online possam registrar esse certificado.

Demonstração

O vídeo a seguir demonstra como:

• Configure a publicação de CRL.
• Configure o local da CDP.

As principais etapas do processo são:

1. Crie um ambiente AD DS. Crie uma floresta do AD DS de domínio único.
2. Implante uma autoridade de certificação raiz corporativa.
3. Configure a publicação de CRL. Use o console da Autoridade de Certificação para configurar a publicação de CRL.
4. Configure o local da CDP. Use o console da Autoridade de Certificação para configurar o local da CDP.

---

Verifique o seu conhecimento

1.

O que é necessário para publicar uma CRL em um compartilhamento de arquivos usando o console da Autoridade de Certificação?

Configure as configurações de extensões da autoridade de certificação.

Configure as configurações do Módulo de Política da AC.

Configure as configurações de armazenamento da autoridade de certificação.

Tem de responder a todas as questões antes de verificar o seu trabalho.