CDP- en AIA-punten kunnen soms verwarrend zijn, maar zijn de belangrijkste pijlers van een functioneel PKI Omgeving. Configuratie van correcte CDP- en AIA-punten kan resulteren in een betere en gezonde PKI-omgeving, en het debuggen van deze problemen kan net zo lastig zijn. Dit artikel is bedoeld als een manier om CDP/AIA-problemen te voorkomen die u kunt tegenkomen tijdens de configuratie en het debuggen van PKI.
Configuratie van CDP/AIA-punten
Het correct configureren van CDP- en AIA-punten kan lastig zijn. Het vereist de juiste toestemming voor waar CRL's moeten worden gepubliceerd en waar ze toegankelijk zijn.
Een onjuiste configuratie van CDP kan leiden tot twee scenario's
- CRL kan niet worden gepubliceerd, of
- CRL's zijn niet toegankelijk
Als AIA niet goed is geconfigureerd, zijn de certificaten van root- en uitgevende CA's ook niet toegankelijk.
In beide scenario's functioneert PKI niet goed.
Configuratie van AIA
AIA is het eenvoudigst te configureren. Als OCSP wordt gebruikt, kan de AIA-decimaal 34 bevatten; anders is het altijd 2.
| Weergavenaam | Decimale waarde |
|---|---|
| Publiceren op deze locatie | 1 |
| Opnemen in de AIA-verlenging van uitgegeven certificaten | 2 |
| Opnemen in de Online Certificate Status Protocol (OCSP)-extensie | 32 |
Decimale waarde 1 wordt opgenomen bij publicatie in de %windir%\System32\certsrv\CertEnroll locatie. Het kan ook worden opgenomen om direct op de AIA-locatie te publiceren als de juiste rechten zijn verleend.
[Opmerking: Als de locatie zich achter een load balancer bevindt, heeft de CA geen toegang tot beide servers, wat tot een storing kan leiden. Publiceer niet op deze locaties; in plaats daarvan wordt handmatige kopie aanbevolen]
Decimale waarde 2 wordt toegevoegd wanneer de URL aan de uitgegeven certificaten moet worden toegevoegd. Deze URL's fungeren als AIA-punten van waaruit de certificaten kunnen worden opgehaald.
Voorbeeld:
Hier bieden we een lokale CertEnroll-map aan met decimale waarde 1, aangezien dit de locatie is waar de AIA wordt gepubliceerd. De HTTP-locatie heeft decimale waarde 2, waar we de certificaten niet publiceren, maar die wel fungeert als AIA-locatie van waaruit andere clients toegang hebben tot het certificaat.
Configuratie van CDP
De configuratie van CDP kan afhankelijk zijn van hoe de CA is geconfigureerd, hoe de CRL's worden gepubliceerd en geraadpleegd, en als Delta CRL's worden gepubliceerd.
| Weergavenaam | Beschrijving | Decimale waarde |
|---|---|---|
| CRL's op deze locatie publiceren | Wordt door de CA gebruikt om te bepalen of basis-CRL's naar deze locatie moeten worden gepubliceerd | 1 |
| Opnemen in het CRL-distributiepunt (CDP) van uitgegeven certificaten | Wordt door klanten gebruikt tijdens het controleren op intrekkingen om de basislocatie van de CRL te vinden | 2 |
| Opnemen in [basis]CRL's | Wordt door cliënten gebruikt tijdens het controleren op intrekkingen om de locatie van de delta-CRL te vinden op basis van de basis-CRL's | 4 |
| Opnemen in alle CRL's | Een offline CA kan dit gebruiken om de LDAP-URL voor handmatige publicatie van CRL's te specificeren. U moet ook de expliciete configuratiecontainer in de URL of de DSConfigDN waarde in het register. certutil -setreg CA\DSConfigDN CN= |
8 |
| 16 | ||
| 32 | ||
| Delta CRL's publiceren op deze locatie | Wordt door de CA gebruikt om te bepalen of Delta CRL's naar deze locatie moeten worden gepubliceerd | 64 |
Decimale waarden worden gebruikt op basis van hoe het CDP moet worden geconfigureerd.
Decimale waarde 1 wordt meestal gebruikt om CRL's te publiceren %windir%\System32\certsrv\CertEnroll locatie of naar die locaties waar CA de juiste toegangsrechten heeft. Als er ook Delta CRL's worden gepubliceerd, wordt 65 (1+64) gebruikt.
[Opmerking: Als de locatie zich achter een load balancer bevindt, heeft de CA geen toegang tot beide servers, wat tot een storing kan leiden. Publiceer niet op deze locaties; in plaats daarvan wordt handmatige kopie aanbevolen]
Decimale waarde 2 bevat de URL of locatie en zorgt ervoor dat deze fungeert als CDP-locatie van waaruit basis- of delta-CRL's worden geopend.
Voorbeeld
Decimale waarde 79 = CRL's worden op die locatie gepubliceerd (1) + Locatie wordt toegevoegd aan CDP (2) + Delta CRL-locatie (4) + Opnemen in alle CRL's (8) + Delta CRL op deze locatie publiceren (64)
Decimale waarde 65 = Publiceer CRL op deze locatie (1) + Publiceer Delta CRL op deze locatie (64)
Decimale waarde 6 = Locatie wordt toegevoegd aan CDP (2) + Delta CRL-locatie (4)
CRL-vervangende tokens
In de bovenstaande voorbeelden bent u mogelijk %1, %3, %4, %8 en %9 tegengekomen. Dit geeft aan hoe de CA is geconfigureerd en wat de bestandsnaam zou moeten zijn. Als de bestanden worden hernoemd, kunnen de AIA- en CDP-punten mislukken omdat de naamgevingsconventie niet overeenkomt.
| Token Name | Beschrijving | Kaartwaarde |
|---|---|---|
| ServerDNS-naam | De DNS-naam van de CA-server | %1 |
| ServerShortName | De NetBIOS-naam van de server | %2 |
| CAName | De naam van de CA | %3 |
| Cert_Suffix | De verlenging van de CA | %4 (volgens Windows 2000-toewijzing) |
| Certificaatnaam | %4 (volgens Windows 2003-toewijzing | |
| ConfiguratieContainer | De locatie van de configuratiecontainer in AD | %6 |
| CATruncatedName | De ‘gezuiverde’ naam van de CA | %7 |
| CRLNaamSuffix | De verlenging van de CRL | %8 |
| DeltaCRLAtoegestaan | Als Delta CRL is toegestaan, wordt er + aan het einde van het bestand toegevoegd om een delta crl aan te geven | %9 |
| CDPObjectClass | % 10 | |
| CAObjectClass | % 11 |
Op basis van de toewijzingswaarde krijgen de AIA- en CDP-punten een naamgevingsconventie om op die locaties het juiste bestand te vinden.
Debuggen van CDP/AIA-locatieproblemen
Als de CDP/AIA-locaties correct zijn geconfigureerd, kunnen deze stappen de problemen tijdelijk verhelpen. We gebruiken bijvoorbeeld AIA-problemen, wat ook werkt voor CDP-problemen.
Nadat we PKIView.msc hebben geopend en gecontroleerd, kunnen we zien waar het probleem zit. We kunnen de URL naar een kladblok kopiëren voor verder onderzoek.
De AD heeft ons certificaat niet als het probleem zich op de LDAP-locatie bevindt. Dit is vrij eenvoudig op te lossen.
Certificaten die via LDAP worden opgehaald, worden opgehaald van de domeincontroller. Als we Domeincontroller en ADSIEdit.msc openen, kunnen we navigeren naar Services > Public Key Services > AIA en de aanwezige certificaten controleren. Omdat onze Uitgevende CA Certificaat is afwezig, de PKI-omgeving kan het certificaat niet van die locatie ophalen.
Om dit op te lossen, navigeren we naar onze uitgevende CA en voeren we de opdracht uit
certutil -dspublish -f SubCA
Zodra de opdracht succesvol is uitgevoerd, kunnen we onze PKIView.msc vernieuwen om te controleren of het probleem is opgelost. We zouden dan een schone lei moeten zien.
Als AIA-locatie #2 of de HTTP-locatie echter fouten veroorzaakt, komt deze fout doordat het certificaat niet aanwezig is op het servereindpunt.
Om dit probleem op te lossen, kopiëren we het certificaat van de locatie %windir%\System32\certsrv\CertEnroll naar onze webserver, waar ons certificaat wordt gehost.
Daarmee is ons probleem opgelost en kunnen we het nogmaals controleren in PKIView.msc.
Conclusie
Problemen met CDP- en AIA-locaties kunnen lastig zijn. Verkeerde configuratie kan vaak problemen veroorzaken, die moeilijker te traceren zijn. Met deze handleiding hopen we de configuratie van CDP/AIA-punten aanzienlijk te vereenvoudigen met debugstappen om eventuele technische problemen te verhelpen.
