Was ist eine Zertifikatssperrung und wie wird sie verwendet?

Widerruf des Zertifikats ist der Vorgang, bei dem die Nutzung eines Zertifikats vor Ablauf der Gültigkeitsdauer beendet wird. Um ein Zertifikat widerrufen zu können, müssen Sie die verfügbaren Widerrufsgründe kennen, diese den Widerrufsrichtlinien Ihres Unternehmens zuordnen und den Widerruf anschließend durchführen.

Gründe für den Zertifikatswiderruf

Zertifikate werden widerrufen, indem sie für ungültig erklärt werden, wenn die vertrauenden Parteien sie nicht verwenden. Es kann mehrere Gründe für den Widerruf eines Zertifikats geben:

1. Zugehörigkeit geändert

   Eine Person wird entlassen, kündigt oder verstirbt, oder das Computerkonto, für das das Zertifikat ausgestellt wurde, wird nicht mehr verwendet. Diese Widerrufsgründe können auch verwendet werden, wenn eine Person innerhalb einer Organisation die Rolle wechselt und das mit der vorherigen Rolle verknüpfte Zertifikat nicht mehr benötigt.

   Beispielsweise könnte ein Mitarbeiter aus der Einkaufsabteilung wechseln und für die Autorisierung von Kaufanfragen kein Zertifikat mehr benötigen.

2. CAKompromiss

   Sie vermuten, dass ein Zertifizierungsstellen Der private Schlüssel wurde kompromittiert und befindet sich in den Händen einer nicht autorisierten Person. Wenn der private Schlüssel einer Zertifizierungsstelle widerrufen wird, betrachtet die Zertifizierungsstellenhierarchie alle Zertifikate unterhalb dieser Zertifizierungsstelle als widerrufen.

3. Zertifikatsbesitz

   Ein vorübergehender Widerruf weist darauf hin, dass eine Zertifizierungsstelle ein Zertifikat zu diesem bestimmten Zeitpunkt nicht validieren wird.

   Hinweis: Obwohl CertificateHold die Rücknahme eines Zertifikats ermöglicht, wird die Verwendung des CertificateHold-Ursachencodes nicht empfohlen, da es dadurch schwierig wird, festzustellen, ob ein Zertifikat zu einem bestimmten Zeitpunkt gültig war.

4. Einstellung des Betriebs

   Ein Server oder eine Workstation wird außer Betrieb genommen, und alle für den Server ausgestellten Zertifikate werden nicht mehr benötigt. Beim Außerbetriebnehmen einer Zertifizierungsstelle können Sie diesen Sperrgrund ebenfalls angeben.

5. Schlüsselkompromiss

   Sie vermuten, dass der mit einem Zertifikat verknüpfte private Schlüssel kompromittiert ist.

   Wenn beispielsweise der Laptop eines Benutzers in Ihrer Organisation gestohlen wird, können alle auf dem Laptop gespeicherten privaten Schlüssel kompromittiert werden.

6. RemoveFromCRL

   Sie können die Sperre eines mit CertificateHold gesperrten Zertifikats aufheben. Das Zertifikat ist nach der Aufhebung der Sperre weiterhin in der Zertifikatssperrliste aufgeführt, erscheint aber auch in einer Delta-Zertifikatssperrliste mit dem Sperrcode „RemoveFromCRL“. Die Zertifizierungsstelle entfernt das Zertifikat aus allen Formen der Zertifikatssperrliste, wenn die nächste Basis-Zertifikatssperrliste veröffentlicht wird. Wenn keine Delta-Zertifikatssperrlisten verwendet werden, wird das Zertifikat aus der folgenden Basis-Zertifikatssperrliste entfernt.

7. Abgelöst

   Wenn ein ausgestelltes Zertifikat aus irgendeinem Grund durch ein neues, aktualisiertes Zertifikat ersetzt wird, muss ein neues Zertifikat ausgestellt werden. Wenn Sie beispielsweise eine Zertifikatvorlage aktualisieren und Zertifikate neu ausstellen, können Sie das vorherige Zertifikat mit diesem Ursachencode widerrufen.

8. Nicht spezifiziert

   Sie können ein Zertifikat widerrufen, ohne einen bestimmten Widerrufscode anzugeben. Die Option „Unspecified“ wird jedoch nicht empfohlen, da sie keinen Prüfpfad mit den Gründen für den Widerruf des Zertifikats bereitstellt.

Wie führe ich eine Zertifikatssperrung durch?

Um ein Zertifikat zu widerrufen, muss ein Benutzer als Zertifikatsmanager benannt werden. Sie benennen einen Benutzer als Zertifikatsmanager, indem Sie dem Benutzer oder einer Gruppe, die den Benutzer enthält, die Berechtigung „Zertifikate ausstellen und verwalten“ bei der ausstellenden Zertifizierungsstelle zuweisen. Die Berechtigungszuweisung erfolgt durch einen Zertifizierungsstellenadministrator, d. h. einen Benutzer mit der Berechtigung „Zertifizierungsstelle verwalten“. Führen Sie die folgenden Schritte aus, um die erforderlichen Berechtigungen bereitzustellen:

1. Öffnen Sie in den Verwaltungstools die Konsole der Zertifizierungsstelle.

   

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf CAName (wobei CAName der logische Name der Zertifizierungsstelle ist) und klicken Sie dann auf Eigenschaften.

   

3. Wählen Sie im Dialogfeld „CAName-Eigenschaften“ die Registerkarte „Sicherheit“ aus, um sicherzustellen, dass dem Benutzerkonto oder einer Gruppe, deren Mitglied der Benutzer ist, die Berechtigung „Zertifikate ausstellen und verwalten“ zugewiesen ist.

   

Nachdem Sie die erforderlichen Berechtigungen zugewiesen haben, wird ein Zertifikat mit dem folgenden Verfahren widerrufen:

1. Öffnen Sie in den Verwaltungstools die Konsole der Zertifizierungsstelle.

   

2. Erweitern Sie in der Konsolenstruktur CAName und klicken Sie auf Ausgestellte Zertifikate

   

3. Suchen Sie im Detailbereich das Zertifikat, das Sie widerrufen möchten, klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf „Alle Aufgaben“ und klicken Sie auf „Zertifikat widerrufen“.

   

4. Wählen Sie im Dialogfeld „Zertifikatsperrung“ in der Dropdownliste „Grundcode“ den entsprechenden Grundcode aus und klicken Sie dann auf „Ja“.

   

5. Überprüfen Sie, ob das kürzlich widerrufene Zertifikat im Abschnitt „Widerrufene Zertifikate“ angezeigt wird.

   

Wie identifiziere ich widerrufene Zertifikate?

Die Public Key Infrastructure (PKI) bietet drei Möglichkeiten, um festzustellen, ob ein Zertifikat widerrufen wurde:

• Basis-CRL

  Die Zertifikatsperrliste (CRL) enthält die Seriennummern der von der Zertifizierungsstelle gesperrten Zertifikate, die mit dem privaten Schlüssel der Zertifizierungsstelle signiert sind. Wenn Sie das Zertifikat einer Zertifizierungsstelle mit einem neuen Schlüsselpaar erneuern, verwaltet die Zertifizierungsstelle zwei separate CRLs – eine für jedes von der Zertifizierungsstelle verwaltete Schlüsselpaar. Alle Versionen des Microsoft Windows-Betriebssystems erkennen Basis-CRLs.

• Delta-Zertifikatssperrliste

  Diese enthält nur die Seriennummern der Zertifikate, die von der Zertifizierungsstelle seit der letzten Veröffentlichung der Basis-CRL widerrufen wurden. Auch hier gilt: Wird das Zertifikat der Zertifizierungsstelle mit einem neuen Schlüsselpaar erneuert, werden für jedes CA-Schlüsselpaar separate Delta-CRLs geführt. Mit Delta-CRLs können Sie Widerrufsinformationen schneller veröffentlichen und kleinere Updates von Clientcomputern herunterladen.

• OCSP

  Das Online Certificate Status Protocol (OCSP) bietet einen Antwortdienst, der entweder eine direkte Verbindung zu einer CA-Datenbank herstellen oder die von der CA veröffentlichten Basis- und Delta-CRLs überprüfen kann, um den Widerrufsstatus eines bestimmten Zertifikats zu bestimmen.

Fazit

Wir müssen die Zertifikate widerrufen, wenn sie nicht verwendet werden, indem wir uns darauf verlassen, dass die Angreifer sich nicht als andere ausgeben und erheblichen Schaden anrichten können. Für weitere Informationen kontaktieren Sie uns bitte unter: info@encryptionconsulting.com

Literaturhinweis : PKI und Zertifikatssicherheit von Brian Komar