Sage24 10 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Hallo. Kurze Frage: Ich habe eine root-CA die Offline geschaltet wird. Und natürlich eine SubCA. Nun stelle ich die CRL- Zeit auf 26Wochen. Nun der Kern der Frage: Wann muss ich die root-CA wieder online schalten? vor Ablauf der 26Wochen? Oder ist es geschickter die DRL-Zeit auf z.B. 2Jahre festzusetzen und die root-CA dann spät. alle zwei Jahre hochzufahren? Hintergrund ist, dass der Aufwand die RootCA wieder online zu schalten sehr groß ist... Grüße Adrian Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Hallo, die CRL sollte gar nicht von der Offline Root CA bezogen werden. Daher sollte in allen zertifikaten ein anderer Donwload Pfad für die CRL angegeben werden: Microsoft Corporation Zitieren Link zu diesem Kommentar
Sage24 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Dann kann man aber die SubCA ja nicht sperren odeR? Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Was meinst du mit sperren? Du musst die CRL auch nicht auf der SubCA veröffentlichen, das kann theoretisch irgendein HTTP oder FTP Server sein. Nur muss diese Adresse in den Zertifikaten stehen. Zitieren Link zu diesem Kommentar
Sage24 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Entschuldige habe mich da recht ungenau ausgedrückt. Wenn die SubCA kompromitiert wird dann kann ich diese ja nicht über die RootCA sperren lassen, da keine Sperlisten noch DeltaSL auf der RootCA, die ja Offline ist veröffentlicht werden. Die CRL können irgendwo veröffentlicht werden das ist soweit klar. Aber es existiert ja auch eine Zertifikatsverbindung von RootC(Offline) zur SubCA (online). Diese Verindung muss man doch auch sperren können?? Klar bei einer macht es nciht so viel Sinn, aber wenn es etwas mehr wächst und darunter auch weitere SubCAs dazukommen..... Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Schau mal in das Zertifikat der SubCA. Steht dort ein CRL Pfad drin? Zitieren Link zu diesem Kommentar
Sage24 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Es ist keine Reale Umgebung!! Noch nicht... Ich habe vorerst etwas in der VM laufen da ist im SubCA-Zertifikat noch der HTTP- Pfad der Stammzertifizierungsstelle hinterlegt. Ich habe da noch nichts umgestellt. Aber wieso ist das SubCA- Zertifikat und deren CRL- Pfad wichtig? Wichtig für meine Frage ist doch dass die Offline- CA einen Pfad hat, diesen aber nciht befeuern kann, weil die ja offline ist... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Hi, Christian hat nach der CRL im SubCA Zertifikat gefragt, weil dieser Pfad genau der Pfad ist, auf dem die CRL der RootCA veröffentlicht wird. Sperrst Du bei einem Problem mit der SubCA das Zertifikat derselben, kannst Du das nur auf der RootCA durchführen. Danach muß die CRL der RootCA veröffentlicht werden (an dem Verteilungspunkt / den Verteilungspunkten, die im SubCA Zertifikat angegeben wurden). Danach müssen sich die Clients die CRL ziehen. Hierbei wird eine Zeit lang ein CRL-Cache verwendet, so daß dies ein wenig dauern kann - es sei denn, Du löschst den Cache manuell (z.B. mittels certutil). Da ein Client zur Verifizierung der Zertifikatkette (der "certificate chain") alle Zertifikate der ausstellenden Instanzen durchläuft und deren CRLs prüft, wird er irgendwann (nach dem oben angesprochenen Ablauf des lokalen Caches) die aktuelle RootCA CRL bekommen und ab diesem Zeitpunkt ist das zurückgezogene SubCA Zertifikat ungültig - und damit alle Zertifikate, die durch die SubCA ausgestellt wurden. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.