Jump to content

PKI Implementierung CRL Fragen (bei Offline CA)?

steven20

Von steven20
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

steven20 Rising Star

steven20   10

Geschrieben
Geschrieben

Hallo Liebes Forum,

 

ich bin gerade dabei die Vorbereitungen für eine Implementierung einer 2 Stufen PKI zu machen.

Eine CA Soll Standalone und Prinzippiell Offline sein.

Danach soll eine untergeordnete Enterprise CA Erstellt werden.

 

Da ich relativ neu bei dem Thema bin hab ich noch ein zwei Fragen:

 

Was macht ein Windows Client wenn er keine CRL Findet bzw diese Abgelaufen ist?

 

Prinzipiell soll die Root CA ja offline sein. Müsst ich diese dann nicht gelegentlich Hochfahren und neue CRL von dieser manuell veröffentlichen?

 

Hat hier jemand ein paar Tips?

 

mit lieben grüßen

Stefan

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi Stefan,

 

Was macht ein Windows Client wenn er keine CRL Findet bzw diese Abgelaufen ist?

 

Letztendlich regelt das die jeweilige Applikation. Das korrekte Verhalten wäre, ab dem Zeitpunkt einer abgelaufenen CRL keine Authentifizierung oder ähnliches mehr mit den entsprechenden Zertifikaten durchzuführen.

 

Bei den meisten mir bekannten von MS hergestellten Applikationen bzw. bei allen MS Betriebssystemen ist das der Fall. Je nach Einsatzzweck ist das jeweilige Zertifikat dann nicht mehr nutzbar. Dieses Verhalten läßt sich jedoch auch deaktivieren.

 

Aber wie gesagt entscheidet das die Applikation selbst.

 

Prinzipiell soll die Root CA ja offline sein. Müsst ich diese dann nicht gelegentlich Hochfahren und neue CRL von dieser manuell veröffentlichen?

 

Die Offline-CA stellt nur die Zertifikate für die direkt untergeordneten Issuing-CAs aus. D.h. die Clients bekommen von der Offline-Root-CA keine Zertifikate, sondern nur von den Issuing-CAs.

 

Diese Issuing-CAs veröffentlichen eigene CRLs, auf die der Client Zugriff haben muß - genauso wie auf die CRL der Root-CA, wenn die Kette komplett sein soll.

 

Du wählst meist recht lange Intervalle zur CRL Veröffentlichung der Root-CA CRLs. Du mußt diese dann in dem Veröffentlichungszeitrahmen wieder temporär in Betrieb nehmen, die CRLs erzeugen und diese dann an einem oder mehreren Orten veröffentlichen, die auch nach dem erneuten Offline-nehmen der CA zugegriffen werden kann, so z.B. LDAP (AD), HTTP, FTP etc. Diese Orte stehen im Zertifikat der Issuing-CA, denn dieses wurde von der Root-CA ausgestellt.

 

Alles in allem heißt das also, daß Du ab und an die Root-CA einschalten und die CRLs an den definierten Stellen veröffentlichen mußt (zusätzlich zu den CRLs der Issuing-CA).

 

Certificate Revocation and Status Checking

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...