管理憑證撤銷
在管理憑證生命週期的過程中,您不只需要控制其發行,也要追蹤其使用方式,並在必要時強制其撤銷。 這一點很重要,因為可以降低及補救憑證式安全性的潛在危害。
什麼是憑證撤銷?
撤銷是您停用一或多個憑證有效性的程序。 藉由起始撤銷程序,您可以在對應的 CRL 中發佈憑證指紋。 這表示特定憑證已不再有效。
重要
每個憑證都有自己的有效期間,之後便不再被視為有效。 有了撤銷,您就可以在該期間過後讓憑證失效,例如補救憑證洩露。
撤銷程序通常包含下列一連串的步驟:
- 撤銷憑證,並提供原因和目標日期和時間。 您可以從 CA 主控台執行這項工作。
- 發佈 CRL。 您可以選擇從 CA 主控台觸發發佈,或是排程定期自動發佈。 您可以在 AD DS、共用資料夾或網站上發佈 CRL。
- 如果作業系統、應用程式或服務起始的安全動作需要使用憑證,則會藉由查詢發行 CA 和對應 CDP 位置來觸發該憑證撤銷狀態的自動檢查。 此程序會判斷憑證是否已撤銷。
重要
憑證撤銷狀態的自動檢查支援取決於作業系統、應用程式或服務的實作方式。 大部分新式商務軟體都支援此功能。
Windows 作業系統包括 CryptoAPI,負責憑證撤銷和狀態檢查程序。 CryptoAPI 在憑證檢查程序中使用下列階段:
- 憑證探索。 憑證探索會收集 CA 憑證、已發行憑證中的 AIA 資訊,以及憑證註冊程序的詳細資料。
- 路徑驗證。 路徑驗證是透過 CA 鏈結或路徑驗證憑證的程序,直到達到根 CA 憑證為止。
- 撤銷檢查。 憑證鏈結中的每個憑證都會經過驗證,以確保不會撤銷任何憑證。
- 網路擷取和快取。 使用 OCSP 執行網路擷取。 CryptoAPI 負責先檢查本機快取中的撤銷資訊,如果沒有相符項目,則使用 OCSP 進行呼叫,這是以發行的憑證所提供的 URL 為基礎。
什麼是線上回應者服務?
線上回應者服務可提供更有效率的方式來檢查憑證撤銷狀態。 線上回應者服務依賴 OCSP 來判斷憑證的撤銷狀態。 OCSP 會使用 HTTP 來提交憑證狀態要求。
用戶端會存取 CRL 來判斷憑證的撤銷狀態。 CRL 可能很大,而且用戶端可能會使用很長的時間來搜尋這些 CRL。 線上回應者服務可以針對用戶端動態搜尋這些 CRL,並以要求的憑證狀態回應用戶端。 您可以使用單一線上回應者,來判斷由單一 CA 或多個 CA 所發行憑證的撤銷狀態資訊。 您也可以實作多個線上回應者,以散發 CA 撤銷要求。
您必須將 CA 設定為在已發行憑證的 AIA 延伸中包含線上回應者的 URL。 OCSP 用戶端會使用此 URL 來驗證憑證狀態。 您也必須發行 OCSP 回應簽署憑證範本,讓線上回應者可以註冊該憑證。
示範
下列影片示範如何:
- 設定 CRL 發佈。
- 設定 CDP 位置。
此程序的主要步驟如下:
- 建立 AD DS 環境。 建立單一網域 AD DS 樹系。
- 部署企業根 CA。
- 設定 CRL 發佈。 使用憑證授權單位主控台來設定 CRL 發佈。
- 設定 CDP 位置。 使用憑證授權單位主控台來設定 CDP 位置。