Hantera återkallande av certifikat

Som en del av hanteringen av en certifikatlivscykel behöver du inte bara kontrollera utfärdandet utan också hålla reda på deras användning och, när det behövs, framtvinga deras återkallande. Detta är viktigt för att minimera och åtgärda potentiellt komprometterande av certifikatbaserad säkerhet.

Vad är återkallande av certifikat?

Återkallande är den process där du inaktiverar giltigheten för ett eller flera certifikat. Genom att initiera återkallningsprocessen publicerar du ett tumavtryck för certifikat i motsvarande CRL. Detta anger att ett specifikt certifikat inte längre är giltigt.

Återkallningsprocessen består vanligtvis av följande stegsekvens:

1. Återkalla ett certifikat och ange orsaken och måldatum och måltid. Du kan utföra den här uppgiften från CA-konsolen.
2. Publicera en CRL. Du kan välja att utlösa publicering från CA-konsolen eller schemalägga automatisk publicering med jämna mellanrum. Du kan publicera CRL:er i AD DS, i en delad mapp eller på en webbplats.
3. Om ett operativsystem, program eller en tjänst initierar en säker åtgärd som inbegriper användning av ett certifikat utlöser det en automatisk kontroll av certifikatets återkallningsstatus genom att fråga den utfärdande certifikatutfärdaren och motsvarande CDP-plats. Den här processen avgör om certifikatet har återkallats.

Windows-operativsystem inkluderar CryptoAPI, som ansvarar för processer för återkallande av certifikat och statuskontroll. CryptoAPI använder följande faser i processen för certifikatkontroll:

• Certifikatidentifiering. Certifikatidentifiering samlar in CA-certifikat, AIA-information i utfärdade certifikat och information om processen för certifikatregistrering.
• Sökvägsverifiering. Sökvägsverifiering är processen att verifiera certifikatet via CA-kedjan eller sökvägen tills rotcertifikatutfärdarcertifikatet har nåtts.
• Återkallningskontroll. Varje certifikat i certifikatkedjan verifieras för att säkerställa att inget av certifikaten återkallas.
• Nätverkshämtning och cachelagring. Nätverkshämtning utförs med hjälp av OCSP. CryptoAPI ansvarar för att kontrollera den lokala cachen först för återkallningsinformation, och om det inte finns någon matchning gör du ett anrop med ocsp, som baseras på den URL som det utfärdade certifikatet tillhandahåller.

Vad är en onlinesvarartjänst?

En Online Responder-tjänst är ett effektivare sätt att kontrollera statusen för återkallade certifikat. Online responder-tjänsten förlitar sig på OCSP för att fastställa återkallningsstatusen för ett certifikat. OCSP skickar begäranden om certifikatstatus med hjälp av HTTP.

Klienter får åtkomst till CRL:er för att fastställa återkallningsstatus för ett certifikat. CRL:er kan vara stora och klienter kan använda en betydande mängd tid för att söka igenom dessa CRL:er. En onlinesvarartjänst kan söka i dessa CRL:er dynamiskt efter klienterna och svara på klienten med statusen för det begärda certifikatet. Du kan använda en enskild onlinesvarare för att fastställa återkallningsstatusinformation för certifikat som utfärdas av en enda certifikatutfärdare eller av flera certifikatutfärdare. Du kan också implementera flera onlinesvarare för att distribuera begäranden om återkallade certifikat.

Du måste konfigurera certifikatutfärdarna så att de inkluderar URL:en för onlinesvararen i AIA-tillägget för utfärdade certifikat. OCSP-klienten använder den här URL:en för att verifiera certifikatstatusen. Du måste också utfärda certifikatmallen OCSP-svarssignering så att onlinesvarare kan registrera certifikatet.

Demonstration

Följande video visar hur du:

• Konfigurera CRL-publicering.
• Konfigurera CDP-plats.

De viktigaste stegen i processen är:

1. Skapa en AD DS-miljö. Skapa en AD DS-skog med en domän.
2. Distribuera en företagsrot-CA.
3. Konfigurera CRL-publicering. Använd certifikatutfärdarkonsolen för att konfigurera CRL-publicering.
4. Konfigurera CDP-plats. Använd certifikatutfärdarkonsolen för att konfigurera CDP-plats.