Veröffentlichung der Zertifikatsperrliste (Certificate Revocation List, CRL) der Stammzertifizierungsstelle

Organisationen müssen ihre Stammzertifizierungsstellen (CAs) CRL ein- bis zweimal im Jahr. Dieser Vorgang ist wichtig und notwendig, um sicherzustellen, dass die Microsoft PKI bleibt funktionsfähig und vertrauenswürdig. Wird die CRL der Root-CA nicht rechtzeitig veröffentlicht, kann dies zu einem Abbruch des Vorgangs und zum Stillstand aller Prozesse führen. Die PKI wäre dann nicht mehr vertrauenswürdig, was verheerende Folgen für den Betrieb haben könnte.

Die gesamte PKI und die Infrastruktur, die ihr Zertifikat verwendet, würden funktionsunfähig und es könnte zu einem Ausfall der Organisation kommen.

Voraussetzungen:

Zuerst öffnen wir PKIView.msc und prüfen, wann die CRL der Stammzertifizierungsstelle abläuft.

CRL auf der Stammzertifizierungsstelle veröffentlichen

1. Als Nächstes navigieren wir zur Stammzertifizierungsstelle und öffnen die Eingabeaufforderung mit Administratorrechten.

   

2. Wir führen den Befehl aus certutil -crl um die CRL der Stammzertifizierungsstelle zu veröffentlichen. Dadurch wird eine neue CRL für die Stammzertifizierungsstelle veröffentlicht.

   

3. Anschließend öffnen wir den Ordner in „C:\Windows\System32\CertSrv\CertEnroll\“, um zu prüfen, ob die CRL vorhanden ist.

   

4. Wir öffnen die CRL-Datei, um das Ablaufdatum zu überprüfen.

   

5. Nun kopieren wir die Datei auf ein USB-Laufwerk oder einen temporären Ordner. Da die Stammzertifizierungsstelle offline sein soll, empfehlen wir, die Datei auf ein USB-Laufwerk zu kopieren, damit wir sie auf unsere ausstellenden Zertifizierungsstellen kopieren können. CDP Servers

Kopieren Sie die CRL auf die ausstellenden CA- und CDP-Server.

Hinweis: Anstelle der ausstellenden Zertifizierungsstelle können wir auch jede beliebige Maschine verwenden, die der Domäne beigetreten ist.

1. Wir kopieren die CRL-Datei in eine unserer ausstellenden CAs (oder einen anderen der Domäne beigetretenen Computer).

   

2. Wir öffnen eine Eingabeaufforderung mit Administratorrechten und navigieren zu dem Ordner, der die CRL-Datei enthält.

   

3. Jetzt führen wir den Befehl aus certutil -f -dspublish „*.crl“

   

   Hinweis: In diesem Fall ist CA01 der Hostname der RootCA.

4. Als nächstes kopieren wir die CRL auf jeden Server, der als CDP/AIA-Punkt.

   

5. Unsere CRL-Dateien sollten an alle Orte verteilt werden, die für die Funktion der PKI erforderlich sind.

Verification

1. Jetzt navigieren wir zurück zur ausstellenden Zertifizierungsstelle, aktualisieren PKIView.msc und prüfen, wann die neuen CRLs ablaufen.

   

   Die neuen Termine sollten nun von den Terminen abweichen, die wir in den Voraussetzungen vermerkt haben.

2. Wir öffnen nun eine Eingabeaufforderung mit Administratorrechten auf der ausstellenden Zertifizierungsstelle und führen den Befehl aus certutil -crl

   

3. Sobald beides erfüllt ist, können wir dieses Ziel als erreicht betrachten.

Fazit

Wie kann Encryption Consulting helfen?

Encryption Consulting bietet spezialisierte Dienstleistungen an, die darauf ausgerichtet sind, Schwachstellen zu identifizieren und Risiken zu minimieren, indem sie PKI-DiensteUnsere strategische Beratung richtet PKI-Lösungen an den Unternehmenszielen aus, steigert die Effizienz und minimiert die Kosten. Durch die Partnerschaft mit Encryption Consulting können Unternehmen das volle Potenzial von PKI-Lösungen ausschöpfen, spürbare finanzielle Vorteile erzielen und gleichzeitig strenge Sicherheitsmaßnahmen einhalten. 

Verschlüsselungsberatung PKIaaS bietet eine flexible und sichere PKI-Lösung, die auf Ihre spezifischen Bedürfnisse zugeschnitten ist und Vorteile wie anpassbare Optionen, hohe Sicherheitsstandards und einen risikoarmen Managementansatz bietet. PKIaaS automatisiert Schlüssel- und Zertifikatsverwaltungsaufgaben, reduziert den Betriebsaufwand und minimiert das Risiko menschlicher Fehler. Darüber hinaus verbessert es die Netzwerktransparenz durch die Anforderung von Zertifikaten für den Zugriff. PKIaaS übernimmt den Aufbau der PKI-Infrastruktur zur Leitung und Verwaltung der PKI-Umgebung (Cloud/Hybrid oder On-Premise) Ihres Unternehmens.

CertSecure Manager verfügt über umfassende Funktionen für das Lebenszyklusmanagement. Von der Erkennung und Inventarisierung bis hin zur Ausgabe, Bereitstellung, Erneuerung, Sperrung und Berichterstellung. CertSecure bietet eine umfassende Lösung. Intelligente Berichterstellung, Warnmeldungen, Automatisierung, automatische Bereitstellung auf Servern und Zertifikatsregistrierung Fügen Sie weitere Ebenen der Raffinesse hinzu und machen Sie es zu einem vielseitigen und intelligenten Vermögenswert.