Jump to content

Frage zu Sperrlisten in einer PKI-Umgebung


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe eine Verständnisfrage zu einer zweistufigen PKI. Wenn ich von der SUB-CA das ZertifizierungsstellenZertifikat erneuere, dann habe ich eine weitere Sperrliste in der SUB-CA. Zu sehen in der MMC unter Gesperrte Zertifikate - Eigenschaften - Reiter "Zertifikatsperrliste anzeigen". Dann stehen dort zwei oder mehr Sperrlisten. Einmal für den Schlüsselindex 0 und
dann weiter forlaufend.
Auch die CRL-Dateien unter C:\Windows\System32\CertSrv\CertEnroll sind dann entsprechend vorhanden.

 

Meine Frage ist jetzt: Kann man die alten Sperrlisten und auch Deltasperrlisten löschen?
Für mich ist das eigentlich nur ein "optisches" Problem. Sie stören ja nicht.

Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

die kannst du erst dann löschen, wenn die zugehörigen Zertifikate nirgends mehr verwendet werden. Da man bei einer Sub die Verlängerung oft vor dem Ablauf des CA-Zertifikats macht, muss man den Ablauf des alten Zertifikats erst abwarten, bevor man die Sperrliste löscht. Es könnte ja bei einem Client noch in Benutzung sein, und der muss feststellen können, ob es noch gültig ist.

 

Gruß, Nils

 

Link zu diesem Kommentar

Ok, dann kann (sollten) die Einträge ja erhalten bleiben.

 

Nun war ich doch etwas schneller und habe im LDAP die beiden Sperrlisten gelöscht. Ich war in diesem Pfad:

CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration

Auch in dem Pfad, wo die Zertifikate und Sperrlisten für http stehen habe ich bereinigt.

 

Jetzt wird mir in der MMC jeweils bei den beiden Sperrlisten ein Fehler angezeigt. Das ist jetzt nicht weiter tragisch, da sich das hier um eine Testumgebung handelt. Ich meine diesen Fehler bekommt man wieder weg, indem man wieder das ZertifizierungsstellenZertifikat erneuert.

 

Was ich bisher nicht wusste, dass man die alten Sperrlisten noch aufbewahren sollte, damit die Sperrinformationen von den älteren Zertifikaten weiterhin überprüft werden kann. Ich bin bislang davon ausgegangen, dass alles in einer Sperrliste vorhanden ist.

Link zu diesem Kommentar

Moin,

 

es klingt für mich, als solltest du dich mal intensiver mit den Grundlagen befassen. Es gibt ein aktuelles Buch von Rheinwerk zum Thema.

 

vor 41 Minuten schrieb zahni:

Die Sperrinformationen müssen erhalten bleiben. Sonst sind ehemals gesperrte Zertifikate u.U. wieder gültig.

So ähnlich, aber nicht ganz. Die Sperrlisten müssen so lange erhalten bleiben, wie es aktive Zertifikate von der CA gibt, die noch im Umlauf sind, die also selbst weder gesperrt noch abgelaufen sind. Wenn eine Sperrliste benötigt, aber nicht gefunden wird, dann wird ein gesperrtes Zertifikat nicht wieder gültig, sondern die meisten Clients (= Windows, bei anderen Systemen oder Applikationen kann es sein, dass Sperrlisten gar nicht geprüft werden) akzeptieren es dann nicht, eben weil sie die Gültigkeit nicht prüfen können. Solche Clients akzeptieren dann aber kein Zertifikat dieser CA.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

nein, die eigentliche Frage war ja, wann man eine CRL löschen kann. Und das ist beantwortet.

 

Eine fehlende CRL, die noch benötigt wird, führt, wie gesagt, bei den meisten Clients dazu, dass kein Zertifikat akzeptiert wird, das auf die CRL verweist (sofern die Clients die CRL nicht mehr im Cache haben). Daher sollte man den CRL-Server auch hochverfügbar halten.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...