Sage24 10 Geschrieben 3. Juni 2008 Melden Geschrieben 3. Juni 2008 Hallo. Kurze Frage: Ich habe eine root-CA die Offline geschaltet wird. Und natürlich eine SubCA. Nun stelle ich die CRL- Zeit auf 26Wochen. Nun der Kern der Frage: Wann muss ich die root-CA wieder online schalten? vor Ablauf der 26Wochen? Oder ist es geschickter die DRL-Zeit auf z.B. 2Jahre festzusetzen und die root-CA dann spät. alle zwei Jahre hochzufahren? Hintergrund ist, dass der Aufwand die RootCA wieder online zu schalten sehr groß ist... Grüße Adrian
ChristianHemker 10 Geschrieben 3. Juni 2008 Melden Geschrieben 3. Juni 2008 Hallo, die CRL sollte gar nicht von der Offline Root CA bezogen werden. Daher sollte in allen zertifikaten ein anderer Donwload Pfad für die CRL angegeben werden: Microsoft Corporation
Sage24 10 Geschrieben 3. Juni 2008 Autor Melden Geschrieben 3. Juni 2008 Dann kann man aber die SubCA ja nicht sperren odeR?
ChristianHemker 10 Geschrieben 3. Juni 2008 Melden Geschrieben 3. Juni 2008 Was meinst du mit sperren? Du musst die CRL auch nicht auf der SubCA veröffentlichen, das kann theoretisch irgendein HTTP oder FTP Server sein. Nur muss diese Adresse in den Zertifikaten stehen.
Sage24 10 Geschrieben 3. Juni 2008 Autor Melden Geschrieben 3. Juni 2008 Entschuldige habe mich da recht ungenau ausgedrückt. Wenn die SubCA kompromitiert wird dann kann ich diese ja nicht über die RootCA sperren lassen, da keine Sperlisten noch DeltaSL auf der RootCA, die ja Offline ist veröffentlicht werden. Die CRL können irgendwo veröffentlicht werden das ist soweit klar. Aber es existiert ja auch eine Zertifikatsverbindung von RootC(Offline) zur SubCA (online). Diese Verindung muss man doch auch sperren können?? Klar bei einer macht es nciht so viel Sinn, aber wenn es etwas mehr wächst und darunter auch weitere SubCAs dazukommen.....
ChristianHemker 10 Geschrieben 3. Juni 2008 Melden Geschrieben 3. Juni 2008 Schau mal in das Zertifikat der SubCA. Steht dort ein CRL Pfad drin?
Sage24 10 Geschrieben 3. Juni 2008 Autor Melden Geschrieben 3. Juni 2008 Es ist keine Reale Umgebung!! Noch nicht... Ich habe vorerst etwas in der VM laufen da ist im SubCA-Zertifikat noch der HTTP- Pfad der Stammzertifizierungsstelle hinterlegt. Ich habe da noch nichts umgestellt. Aber wieso ist das SubCA- Zertifikat und deren CRL- Pfad wichtig? Wichtig für meine Frage ist doch dass die Offline- CA einen Pfad hat, diesen aber nciht befeuern kann, weil die ja offline ist...
olc 18 Geschrieben 3. Juni 2008 Melden Geschrieben 3. Juni 2008 Hi, Christian hat nach der CRL im SubCA Zertifikat gefragt, weil dieser Pfad genau der Pfad ist, auf dem die CRL der RootCA veröffentlicht wird. Sperrst Du bei einem Problem mit der SubCA das Zertifikat derselben, kannst Du das nur auf der RootCA durchführen. Danach muß die CRL der RootCA veröffentlicht werden (an dem Verteilungspunkt / den Verteilungspunkten, die im SubCA Zertifikat angegeben wurden). Danach müssen sich die Clients die CRL ziehen. Hierbei wird eine Zeit lang ein CRL-Cache verwendet, so daß dies ein wenig dauern kann - es sei denn, Du löschst den Cache manuell (z.B. mittels certutil). Da ein Client zur Verifizierung der Zertifikatkette (der "certificate chain") alle Zertifikate der ausstellenden Instanzen durchläuft und deren CRLs prüft, wird er irgendwann (nach dem oben angesprochenen Ablauf des lokalen Caches) die aktuelle RootCA CRL bekommen und ab diesem Zeitpunkt ist das zurückgezogene SubCA Zertifikat ungültig - und damit alle Zertifikate, die durch die SubCA ausgestellt wurden. Viele Grüße olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden