Im Public-Key-Infrastruktur (PKI) In einer Umgebung sind Zertifizierungsstellen (CAs) die wichtigsten Komponenten, die als Quelle für Sicherheit und Integrität der digitalen Kommunikation fungieren. Die Erneuerung von Stamm- und ausstellenden Zertifizierungsstellen (CAs) ist ein kritischer Prozess, der Kontinuität und Sicherheit im digitalen Identitätsmanagement gewährleistet.
In diesem Blog erfahren Sie mehr über die Best Practices zur Erneuerung von Stamm- und ausstellenden Zertifizierungsstellen, einschließlich Überlegungen zur Lebensdauer der Zertifizierungsstelle, zu den Zeitplänen für die Veröffentlichung von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und anderen wichtigen Überlegungen.
Definitionen von Stamm- und ausstellenden Zertifizierungsstellen
Bevor wir uns in den Erneuerungsprozess stürzen, werfen wir einen kurzen Blick auf die Rollen der Stamm- und ausstellenden Zertifizierungsstellen:
- Stammzertifizierungsstelle: Die Root-CA ist die oberste CA in der PKI-Hierarchie. Sie ist für die Ausstellung von Zertifikaten an ausstellende CAs (auch untergeordnete CAs genannt) verantwortlich. Das Zertifikat der Root-CA ist selbstsigniert, d. h., es signiert sein eigenes Zertifikat. Die Stammzertifizierungsstelle wird normalerweise offline gehalten und ist nicht mit der Domäne verbunden, um das Risiko einer Kompromittierung zu minimieren.
- Ausstellende Zertifizierungsstelle: Ausstellende CAs sind der Root-CA untergeordnet und für die Ausstellung von End-Entity-Zertifikaten verantwortlich (z. B. SSL/TLS-Zertifikate, E-Mail-Zertifikate, Webserver-Zertifikate usw.). Ausstellende CAs sind online, um die Zertifikatsausstellung für die Endteilnehmer (Benutzer, Systeme, Geräte, Anwendungen usw.) zu erleichtern.
Bevor wir uns näher mit der CA-Erneuerungsstrategie befassen, wollen wir verstehen, was Zertifikatsperrlisten (CRL), Verteilungspunkte (CDP) und Authority Information Access (AIA) sind.
Was ist die Erneuerung eines CA-Zertifikats?
In einfacher Sprache, Zertifizierungsstelle (CA) Bei der Zertifikatserneuerung wird vor Ablauf des bestehenden Zertifikats ein neues CA-Zertifikat generiert. Dieser Prozess ist für einen reibungslosen Übergang und die Kontinuität des Vertrauens erforderlich. Bei der Erneuerung eines Zertifikats wird immer empfohlen, ein neues Schlüsselpaar für das neue Zertifikat zu generieren.
Best Practices für die Erneuerung von Stamm- und ausstellenden CA-Zertifikaten
CA-Lebensdauer
Beim Entwurf Ihrer PKI-Hierarchie ist es auch wichtig, die Lebensdauer der Zertifizierungsstelle festzulegen. Die Lebensdauer bestimmt, wie lange eine Zertifizierungsstelle Zertifikate ausstellen kann, bevor diese erneuert werden müssen. Im Folgenden finden Sie einige Best Practices zur Bestimmung der Lebensdauer der Zertifizierungsstelle:
- Gültigkeit der Stammzertifizierungsstelle: Stammzertifizierungsstellen haben in der Regel eine längere Lebensdauer als ausstellende Zertifizierungsstellen. Üblicherweise wird eine Lebensdauer von 10–15 Jahren festgelegt. Die längere Lebensdauer ist gerechtfertigt, da die Stammzertifizierungsstelle offline bleibt und so das Risiko einer Kompromittierung reduziert wird. Allerdings muss ein Gleichgewicht zwischen Sicherheit und betrieblicher Effizienz gefunden werden. Eine sehr lange Lebensdauer kann es schwierig machen, auf kryptografische Fortschritte zu reagieren (z. B. die Notwendigkeit, auf einen neuen kryptografischen Algorithmus umzusteigen).
- Gültigkeit der ausstellenden CA: Ausstellende Zertifizierungsstellen sollten eine kürzere Lebensdauer haben, typischerweise zwischen 3 und 5 Jahren. Die kürzere Lebensdauer ist auf das höhere Risiko zurückzuführen, das mit der Online-Nutzung ausstellender Zertifizierungsstellen verbunden ist. Darüber hinaus ermöglicht eine kürzere Lebensdauer häufigere Aktualisierungen der kryptografischen Algorithmen und Schlüsselgrößen, wodurch die PKI auch vor neuen Bedrohungen geschützt bleibt.
Stellen Sie sicher, dass die erneuerten Root-CA- und Issuing-CA-Zertifikate starke kryptografische Algorithmen verwenden, wie z. B. (RSA 4096 oder Post-Quanten-Kryptographie (PQC) Algorithmen wie empfohlen von NIST).
Validieren Sie die Einhaltung von Industriestandards und Best Practices wie NIST SP 800 57 und FIPS 140-2 / 140-3.
Die folgende Tabelle ist ein Beispiel, das die Schlüssellängen, Lebensdauern und Erneuerungsstrategien für die CA-Zertifikate für eine zweistufige PKI-Hierarchie auflistet.
| CA-Name | Algorithmen/Schlüssellänge | Gültigkeit des Zertifikats | Erneuerungsstrategie |
| Stammzertifizierungsstelle | SHA256, RSA/4096 Bit | 10 Jahre | Erneuerung nach 5 Jahren zur Ausstellung von Zertifikaten an die ausstellenden Zertifizierungsstellen. |
| Ausstellende CA 1 | SHA256, RSA/4096 Bit | 5 Jahre | Erneuerung nach 2 Jahren zur Ausstellung von Endteilnehmerzertifikaten. |
| Ausstellende CA 2 | SHA256, RSA/4096 Bit | 5 Jahre | Erneuerung nach 2 Jahren zur Ausstellung von Endteilnehmerzertifikaten. |
Was ist eine Zertifikatssperrung?
Jedes Zertifikat hat eine definierte Gültigkeitsdauer, nach deren Ablauf es nicht mehr gültig ist. In manchen Fällen muss die Organisation Zertifikate ungültig machen (widerrufen) vor dem Ende ihrer Gültigkeitsdauer. Dies kann daran liegen, dass der Schlüssel verloren gegangen oder kompromittiert wurde, die Beziehung zum Inhaber beendet wurde oder das Zertifikat einfach vor dem Ablaufdatum durch ein neues ersetzt wurde.
Zertifikatssperrlisten (CRLs)
CRLs sind von einer Zertifizierungsstelle signierte Dateien, die eine Liste der Seriennummern widerrufener Zertifikate enthalten. Clients laden CRLs herunter, um die Gültigkeit eines Zertifikats zu überprüfen. Die Microsoft Crypto API speichert abgerufene CRLs bis zur nächsten CRL-Aktualisierung im Cache. Daher erkennen Clients möglicherweise Out-of-Band-Updates von CRLs nicht, die vor der nächsten CRL-Aktualisierung veröffentlicht werden.
In dieser Situation, Delta-Zertifikatsperrlisten werden empfohlen. Delta-CRLs werden zwischen den Veröffentlichungen der vollständigen (oder Basis-)CRLs herausgegeben und enthalten nur die Zertifikate, die seit der letzten CRL-Veröffentlichung widerrufen wurden. Ein Clientcomputer kann somit die Basis-CRL und die neueste Delta-CRL kombinieren, um den Widerrufsstatus des Zertifikats zu bestimmen und so die Auswirkungen auf die Netzwerkinfrastruktur zu reduzieren.
CRL-Veröffentlichungszeitplan/-intervall
Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) dienen dazu, Benutzer über Zertifikate zu informieren, die vor ihrem Ablaufdatum widerrufen wurden. Die ordnungsgemäße Verwaltung von CRLs ist wichtig für die Aufrechterhaltung der Sicherheit der PKI.
Das Veröffentlichungsintervall der Zertifikatssperrliste muss unter Berücksichtigung der Anforderungen an die Zertifikatsvertrauenswürdigkeit und der Auswirkungen auf die Netzwerkinfrastruktur festgelegt werden. Eine häufigere Veröffentlichung der Zertifikatssperrliste ermöglicht kurzfristige Zertifikatssperrungen, was für Authentifizierungszertifikate von Vorteil sein kann. Dies erhöht jedoch auch den Netzwerkverkehr und den Verwaltungsaufwand, was sich negativ auf die Systemverfügbarkeit und die Wiederherstellungszeiten auswirkt.
Neben dem Veröffentlichungsintervall beeinflusst auch der Überlappungszeitraum die Gültigkeitsdauer einer Sperrliste. Der Überlappungszeitraum ist das Zeitintervall zwischen dem nächsten geplanten Veröffentlichungszeitpunkt und dem tatsächlichen Ablauf der Sperrliste. Die Gesamtgültigkeitsdauer der Sperrliste entspricht der Summe aus dem Veröffentlichungsintervall und dem Überlappungszeitraum. Dasselbe Konzept gilt für Delta-Sperrlisten.
Die folgende Abbildung veranschaulicht die Beziehung zwischen dem CRL-Veröffentlichungsintervall und dem Überlappungszeitraum. Bei einem Veröffentlichungsintervall von 5 Tagen (B) und einem Überlappungszeitraum von 3 Tagen ergibt sich eine Gesamtgültigkeitsdauer von 8 Tagen (C).
Die Gesamtgültigkeitsdauer der Sperrliste entspricht der Summe aus dem Veröffentlichungsintervall der Sperrliste und dem Überlappungszeitraum. Dasselbe Konzept gilt für Delta-Sperrlisten.
CRL-Veröffentlichungsintervall
| CA-Name | Von der Zertifizierungsstelle ausgestellte Zertifikate | CRL-Veröffentlichungsintervall | CRL-Überlappungszeitraum |
| Stammzertifizierungsstelle | Ausstellen von CA-Zertifikaten | 1 Jahr | 1 Monat |
| Ausstellende CA1 | Ausstellen von Maschinenzertifikaten | 5 Tage | 3 Tage |
| Ausstellende CA2 | Ausstellen von Benutzerzertifikaten | 5 Tage | 3 Tage |
CRL-Verteilungspunkt
Informationen zum Zertifikatswiderruf müssen für jeden Clientcomputer zugänglich sein, der auf die Zertifikate vertraut. Diese Informationen sollten jederzeit verfügbar sein, wenn ein Zertifikatsstatus überprüft werden muss. Um diese Anforderungen zu erfüllen, werden üblicherweise mehrere Zertifikatsverteilungspunkte (Certificate Distribution Points, CDPs) zur Verteilung der CRLs definiert. Diese CDPs verwenden interne und externe (Internet-)URLs und häufig unterschiedliche Zugriffsprotokolle wie http:// und LDAP.
AIA-Erweiterung
Die AIA-Erweiterung verweist auf das aktuell veröffentlichte CA-Zertifikat. Mithilfe der AIA-Erweiterung können Clientcomputer CA-Zertifikate während des Kettenaufbaus dynamisch finden. Die Windows-PKI-Implementierung nutzt diese Erweiterung zum Aufbau von Vertrauensketten zur Validierung von Zertifikaten. Der Hauptvorteil besteht darin, dass nur der Stammzertifizierungsstelle vertraut werden muss; alle untergeordneten CA-Zertifikate werden zum Aufbau der Zertifikatskette vom AIA-Locator abgerufen.
Dokumentation und Kommunikation
Eine ordnungsgemäße Dokumentation und Kommunikation sind für einen reibungslosen CA-Erneuerungsprozess unerlässlich. Es wird empfohlen, den gesamten CA-Erneuerungsprozess zu dokumentieren, einschließlich Schlüsselgenerierung, Zertifikatsausstellung, CRL-Veröffentlichung und Neuausstellung von Endteilnehmerzertifikaten. Diese Dokumentation sollte detailliert sein und Schritt-für-Schritt-Anleitungen enthalten. Kommunizieren Sie den Erneuerungsplan mit allen Beteiligten, einschließlich IT-Teams, Sicherheitsteams und vertrauenden Parteien. Stellen Sie sicher, dass alle über den Zeitplan und mögliche Auswirkungen auf die Dienste informiert sind. Testen Sie den Erneuerungsprozess vor der Implementierung in der Produktion in einer Staging-Umgebung. Diese Tests helfen, Probleme zu identifizieren und einen reibungslosen Ablauf in der Produktion sicherzustellen.
Überwachung und Auditierung
Kontinuierliche Überwachung der Veröffentlichung von CRLs, um sicherzustellen, dass die CRLs rechtzeitig veröffentlicht werden und Clients darauf zugreifen können. Verzögerungen oder Fehler bei der CRL-Veröffentlichung sollten umgehend untersucht und behoben werden.
Mit regelmäßigen Audits PKI stellt sicher, dass Sicherheitsrichtlinien und Branchenstandards eingehalten werden. Das Audit sollte die Schlüsselverwaltung, die Zertifikatsausstellung, die CRL-Veröffentlichung und andere Aspekte des PKI-Betriebs abdecken.
Es ist außerdem empfehlenswert und unerlässlich, alle Aktivitäten im Zusammenhang mit der Zertifizierungsstelle zu protokollieren, einschließlich der Ausstellung, Sperrung und Erneuerung von Zertifikaten. Überprüfen Sie diese Protokolle regelmäßig, um verdächtige Aktivitäten oder potenzielle Sicherheitsvorfälle zu erkennen.
Wie kann Encryption Consulting helfen?
Encryption Consulting LLC (EC) kann Ihnen helfen, den Prozess der Zertifikatslebenszyklusverwaltung zu automatisieren, indem CertSecure Manager – eine Lösung für das Zertifikatslebenszyklusmanagement in Ihrer Umgebung zur Verfolgung und Automatisierung der CA-Erneuerungen. CertSecure Manager kann in ITSM-Tools wie ServiceNow integriert werden, um automatisierte Warnmeldungen und Erneuerungs-Workflows zu ermöglichen.
Fazit
Die Erneuerung von Root- und Issuing-CAs ist ein kritischer Prozess in PKI-VerwaltungDurch die Befolgung der in diesem Blog beschriebenen Best Practices können Unternehmen sicherstellen, dass ihre PKI sicher, konform und widerstandsfähig gegenüber neuen Bedrohungen bleibt. Gute Planung, Automatisierung und Kommunikation sind der Schlüssel zu einem erfolgreichen CA-Erneuerungsprozess. Darüber hinaus trägt die ständige Aktualisierung der kryptografischen Entwicklungen und die kontinuierliche Überwachung der PKI dazu bei, das Vertrauen und die Integrität der digitalen Kommunikation zu wahren.
