Dies ist ein Ort in Form von URLs, an dem die ausstellenden Zertifizierungsstellen Basis-Zertifikatsperrliste (CRL) wird veröffentlicht. Wenn die Sperrprüfung aktiviert ist, verwendet eine Anwendung die URL, um eine aktualisierte Version der CRL abzurufen. URLs können verwenden Hypertext Transfer Protocol (HTTP), LDAP oder Datei.
Bedeutung
Mithilfe von CDP kann eine Anwendung oder ein Website-Besucher die CRL abrufen und dadurch feststellen, ob die digitales Zertifikat vertrauenswürdig ist oder nicht. Dies kann sie vor dem Besuch oder Zugriff auf betrügerische Websites schützen und vor Man-in-the-Middle-AngriffeOhne CRL sind sie möglicherweise anfällig für Datendiebstahl, Malware, Betrug, finanzielle Verluste usw.
Definition von CRL-Verteilungspunkten (CDPs)
Sie können die CDP-URLs einer CA definieren, indem Sie die certutil Befehl zum Bearbeiten des Registrierungseintrags CRLPublicationURLs. Mit dem Befehl können Sie eine oder mehrere URLs sowie die für jede URL aktivierten CRL-Veröffentlichungsoptionen festlegen.
Betrachten Sie zum Beispiel Folgendes certutil Befehl, der die CDP-Erweiterung definiert:
certutil -setreg CACRLPublicationURLs “1:C:Windowssystem32CertSrvCertEnroll%3%8%9.crln10:ldap:///CN=%7%8,CN=%2, CN=CDP,CN=Public Key Services,CN=Services, %6%10n2:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl”
Dieser Befehl definiert drei separate URLs. Die URL-Reihenfolge ist wichtig bei der Implementierung
Windows-Clients, da diese Angabe die Reihenfolge festlegt, in der die Zertifikatsketten-Engine URLs durchsucht, um eine aktualisierte CRL-Version abzurufen. Die Zahl vor jeder URL repräsentiert die für diese URL aktivierten Optionen.
1:C:Windowssystem32CertSrvCertEnroll%3%8%9.crl : Diese URL stellt sicher, dass
Die CRL-Datei wird jedes Mal in das lokale Dateisystem kopiert, wenn die CRL automatisch oder manuell veröffentlicht wird.
10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Dienste,%6%10 : Diese URL ermöglicht zwei Werte: 2, um den Veröffentlichungspunkt der CRL in AD DS festzulegen, und 8, um die CDP-URL in alle von der Zertifizierungsstelle ausgestellten Zertifikate aufzunehmen.
2:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl : Diese URL stellt sicher, dass
Die URL pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl ist in der CDP-Erweiterung aller ausgestellten Zertifikate enthalten.
CDP-Variablen
| Variable | Name | Beschreibung |
|---|---|---|
| %1 | ServerDNSName | Der Domain Name System (DNS)-Name des CA-Computers |
| %2 | ServerShortName | Der NetBIOS-Name des CA-Computers |
| %3 | CA-Name | Der logische Name der CA |
| %6 | Konfigurations-DN | Der LDAP-Pfad (Lightweight Directory Access Protocol) des Konfigurationsnamenskontexts des Gesamtstrukturplans für die Gesamtstruktur |
| %8 | CRLNameSuffix | Die Verlängerung der CRL-Erneuerung |
| %9 | DeltaCRLAllowed | Gibt an, ob Delta-CRLs von der CA unterstützt werden |
| %10 | CDPObjectClass | Gibt an, dass das Objekt ein CDP-Objekt in AD DS ist |
CRL-Publikationsoptionen
| Variable | Name | Beschreibung |
|---|---|---|
| %1 | ServerDNSName | Der DNS-Name des CA-Computers |
| %2 | ServerShortName | Der NetBIOS-Name des CA-Computers |
| %3 | CA-Name | Der logische Name der CA |
| %6 | Konfigurations-DN | Der LDAP-Pfad des Konfigurationsnamenskontexts der Gesamtstruktur |
| %8 | CRLNameSuffix | Die Verlängerung der CRL-Erneuerung |
| %9 | DeltaCRLAllowed | Gibt an, ob Delta-CRLs von der CA unterstützt werden |
| %10 | CDPObjectClass | Gibt an, dass das Objekt ein CDP-Objekt in AD DS ist |
So fügen Sie einen CDP hinzu
Befehl:
Add-CRLDistributionPoint [-InputObject] [-URI] [ ]
Parameter:
-Eingabeobjekt -> Gibt das CRLDistributionPoint-Objekt an, dem neue CDPs hinzugefügt werden.
[-URI] -> Dies gibt neue Verteilungspunkte zur Veröffentlichung von CRL-Dateien für eine bestimmte Zertifizierungsstelle an.
<Gemeinsame Parameter> : Das Cmdlet unterstützt gängige Parameter wie: Debug (db), ErrorAction (ea), ErrorVariable (ev), InformationAction (infa), InformationVariable (iv), OutVariable (ov), OutBuffer (ob), PipelineVariable (pv), Verbose (vb), WarningAction (wa), WarningVariable (wv)
Fazit
Das CDP ist ein X.509 Version 3 Zertifikatserweiterung, die den Standort des CRL Aus der Quelle kann der Widerruf des angeforderten Zertifikats überprüft werden.
Die Anwendung, die das Zertifikat verarbeitet, kann über diese Erweiterung den Speicherort der CRL abrufen, die CRL herunterladen und anschließend den Widerrufsstatus des angeforderten Zertifikats überprüfen.
