Управление отзывом сертификата

Завершено

В рамках управления жизненным циклом сертификатов необходимо не только управлять их выдачей, но и отслеживать их использование, а также при необходимости принудительно их отзывать. Это крайне важно для устранения и исправления потенциальных нарушений безопасности на основе сертификатов.

Что такое отзыв сертификата?

Отзыв — это процесс отключения одного сертификата или нескольких. Инициируя процесс отзыва, вы публикуете отпечаток сертификата в соответствующем списке отзыва сертификатов. Это означает, что конкретный сертификат больше не действителен.

Внимание

У каждого сертификата имеется собственный срок действия, по истечении которого он становится недействительным. Путем отзыва можно сделать сертификат недействительным до окончания этого периода, например для исправления взлома сертификата.

Процесс отзыва обычно состоит из следующей последовательности действий.

1. Отзыв сертификата с указанием причины и целевых даты и времени. Эту задачу можно выполнить из консоли центра сертификации.
2. Публикация списка отзыва сертификатов. Можно активировать публикацию из консоли центра сертификации или запланировать автоматическую публикацию с регулярными интервалами. Списки отзыва сертификатов можно публиковать в доменных службах Active Directory, в общей папке или на веб-сайте.
3. Если операционные системы, приложения или службы инициируют безопасное действие, включающее использование сертификата, активируется автоматическая проверка состояния отзыва этого сертификата путем запроса выдающего ЦС и расположения соответствующей точки CDP. Этот процесс позволяет определить, отозван ли сертификат.

Внимание

Поддержка автоматической проверки состояния отзыва сертификата зависит от способа реализации операционной системы, приложения или службы. Эта функция поддерживается большинством современных коммерческих программ.

Операционные системы Windows включают интерфейс CryptoAPI, отвечающий за отзыв сертификатов и процессы проверки состояния. Процесс проверки сертификатов интерфейсом CryptoAPI состоит из следующих этапов.

• Обнаружение сертификатов. При обнаружении сертификатов собираются сертификаты центра сертификации, сведения о доступе к информации о центрах сертификации в выданных сертификатах, а также сведения о процессе регистрации сертификата.
• Проверка пути. Проверка пути — это процесс проверки сертификата путем прохождения по цепочке центров сертификации (пути) до сертификата корневого ЦС.
• Проверка отзыва. Все сертификаты в цепочке сертификатов проверяются, чтобы гарантировать, что ни один из них не будет отозван.
• Получение и кэширование в сети. Получение в сети выполняется с помощью OCSP. Интерфейс CryptoAPI отвечает за проверку локального кэша для получения сведений об отзыве. Если совпадений нет, то он выполняет вызов с помощью OCSP на основе URL-адреса, предоставляемого выданным сертификатом.

Что такое служба сетевого ответчика?

Служба сетевого ответчика предлагает более эффективный способ проверки состояния отзыва сертификата. Для определения состояния отзыва сертификата служба сетевого ответчика использует протокол OCSP. OCSP отправляет запросы о состоянии сертификата с помощью HTTP.

Клиенты обращаются к спискам отзыва сертификатов для определения состояния отзыва сертификата. Списки отзыва сертификатов могут быть длинными, вследствие чего у клиентов может уйти на поиск значительное количество времени. Служба сетевого ответчика выполняет для клиентов динамический поиск в этих списках отзыва сертификатов и отправляет клиенту в ответ состояние запрошенного сертификата. Для определения сведений о состоянии отзыва сертификатов, выданных одним центром сертификации или несколькими, можно использовать один сетевой ответчик. Кроме того, можно реализовать несколько сетевых ответчиков для распространения запросов отзыва центра сертификации.

Центр сертификации необходимо настроить таким образом, чтобы в него входил URL-адрес сетевого ответчика в AIA-расширении выданных сертификатов. Клиент OCSP использует этот URL-адрес для проверки состояния сертификата. Кроме того, необходимо выдать шаблон сертификата для подписи ответа OCSP, чтобы сетевые ответчики могли зарегистрировать этот сертификат.

Демонстрация

В приведенном ниже видео демонстрируются следующие операции.

• Настройка публикации списка отзыва сертификатов.
• Настройка расположения точки распространения списка отзыва сертификатов.

Основные этапы процесса следующие.

1. Создание среды доменных служб Active Directory. Создание леса доменных служб Active Directory с одним доменом.
2. Развертывание корневого ЦС предприятия.
3. Настройка публикации списка отзыва сертификатов. Настройка публикации списка отзыва сертификатов с помощью консоли центра сертификации.
4. Настройка расположения точки распространения списка отзыва сертификатов. Настройка расположения списка отзыва сертификатов с помощью консоли центра сертификации.

---

Проверьте свои знания

1.

Какое действие необходимо выполнить, чтобы опубликовать список отзыва сертификатов в общей папке с помощью консоли центра сертификации?

Настроить параметры расширений центра сертификации.

Настроить параметры модуля политики центра сертификации.

Настроить параметры хранилища центра сертификации.

Вы должны ответить на все вопросы перед проверкой.