Jump to content
Sign in to follow this  
RalphT

Frage zu Sperrlisten in einer PKI-Umgebung

Recommended Posts

Hallo,

ich habe eine Verständnisfrage zu einer zweistufigen PKI. Wenn ich von der SUB-CA das ZertifizierungsstellenZertifikat erneuere, dann habe ich eine weitere Sperrliste in der SUB-CA. Zu sehen in der MMC unter Gesperrte Zertifikate - Eigenschaften - Reiter "Zertifikatsperrliste anzeigen". Dann stehen dort zwei oder mehr Sperrlisten. Einmal für den Schlüsselindex 0 und
dann weiter forlaufend.
Auch die CRL-Dateien unter C:\Windows\System32\CertSrv\CertEnroll sind dann entsprechend vorhanden.

 

Meine Frage ist jetzt: Kann man die alten Sperrlisten und auch Deltasperrlisten löschen?
Für mich ist das eigentlich nur ein "optisches" Problem. Sie stören ja nicht.

Share this post


Link to post
Share on other sites

Moin,

 

die kannst du erst dann löschen, wenn die zugehörigen Zertifikate nirgends mehr verwendet werden. Da man bei einer Sub die Verlängerung oft vor dem Ablauf des CA-Zertifikats macht, muss man den Ablauf des alten Zertifikats erst abwarten, bevor man die Sperrliste löscht. Es könnte ja bei einem Client noch in Benutzung sein, und der muss feststellen können, ob es noch gültig ist.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Nein, das ist nicht möglich. Nicht dass wir aneinander vorbeireden: Ich bin in der MMC unter Gesperrte Zertifikate - Eigenschaften - Reiter "Zertifikatsperrliste anzeigen"

ENTF geht nicht und ein Kontextmenü ist auch nicht vorhanden.

Share this post


Link to post
Share on other sites

Wieso sollte man die denn dort auch löschen können? Die wird doch irgendwo veröffentlicht. Üblicherweise im ldap und/oder per http. Dort kannst du sie löschen und das ist auch der einzig entscheidende Ort, denn woanders holt sie sich der client ja auch nicht.

Share this post


Link to post
Share on other sites

Die Sperrinformationen müssen erhalten bleiben. Sonst sind ehemals gesperrte Zertifikate u.U. wieder gültig.

Share this post


Link to post
Share on other sites

Ok, dann kann (sollten) die Einträge ja erhalten bleiben.

 

Nun war ich doch etwas schneller und habe im LDAP die beiden Sperrlisten gelöscht. Ich war in diesem Pfad:

CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration

Auch in dem Pfad, wo die Zertifikate und Sperrlisten für http stehen habe ich bereinigt.

 

Jetzt wird mir in der MMC jeweils bei den beiden Sperrlisten ein Fehler angezeigt. Das ist jetzt nicht weiter tragisch, da sich das hier um eine Testumgebung handelt. Ich meine diesen Fehler bekommt man wieder weg, indem man wieder das ZertifizierungsstellenZertifikat erneuert.

 

Was ich bisher nicht wusste, dass man die alten Sperrlisten noch aufbewahren sollte, damit die Sperrinformationen von den älteren Zertifikaten weiterhin überprüft werden kann. Ich bin bislang davon ausgegangen, dass alles in einer Sperrliste vorhanden ist.

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb RalphT:

Ich bin bislang davon ausgegangen, dass alles in einer Sperrliste vorhanden ist.

Schau doch rein in die Listen. Da siehst du doch dann was drin steht. :)

Share this post


Link to post
Share on other sites

Moin,

 

es klingt für mich, als solltest du dich mal intensiver mit den Grundlagen befassen. Es gibt ein aktuelles Buch von Rheinwerk zum Thema.

 

vor 41 Minuten schrieb zahni:

Die Sperrinformationen müssen erhalten bleiben. Sonst sind ehemals gesperrte Zertifikate u.U. wieder gültig.

So ähnlich, aber nicht ganz. Die Sperrlisten müssen so lange erhalten bleiben, wie es aktive Zertifikate von der CA gibt, die noch im Umlauf sind, die also selbst weder gesperrt noch abgelaufen sind. Wenn eine Sperrliste benötigt, aber nicht gefunden wird, dann wird ein gesperrtes Zertifikat nicht wieder gültig, sondern die meisten Clients (= Windows, bei anderen Systemen oder Applikationen kann es sein, dass Sperrlisten gar nicht geprüft werden) akzeptieren es dann nicht, eben weil sie die Gültigkeit nicht prüfen können. Solche Clients akzeptieren dann aber kein Zertifikat dieser CA.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

@Nils,

 

sicher, das ausgestellte Zertifikat muss ansonsten gütig sein. Die Frage ist, ob man es schafft die CRL an sich beizubehalten und nur den Inhalt zu leeren.

Share this post


Link to post
Share on other sites

Moin,

 

nein, die eigentliche Frage war ja, wann man eine CRL löschen kann. Und das ist beantwortet.

 

Eine fehlende CRL, die noch benötigt wird, führt, wie gesagt, bei den meisten Clients dazu, dass kein Zertifikat akzeptiert wird, das auf die CRL verweist (sofern die Clients die CRL nicht mehr im Cache haben). Daher sollte man den CRL-Server auch hochverfügbar halten.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

es sei denn, man schaltet die Prüfung im Client ab, was leider gar nicht so selten ist. Einziger Dienst mir gerade bekannter Dienst bei dem das nicht funktioniert, ist der DA Client.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...