Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. PKI

Wat is certificaatintrekking en hoe wordt het gebruikt?

Posted byHemant Bhatt 05 Minuten
Lijst met ingetrokken certificaten
Inhoudsopgave

Certificaat intrekking is het proces waarbij het gebruik van een certificaat wordt beëindigd voordat de geldigheidsperiode verstrijkt. De keuze om een ​​certificaat in te trekken, houdt in dat u de beschikbare intrekkingsredenen kent, deze koppelt aan het intrekkingsbeleid van uw organisatie en vervolgens de intrekking uitvoert.

Redenen voor certificaatintrekking

Certificaten worden ingetrokken door ze ongeldig te verklaren als de vertrouwende partijen ze niet gebruiken. Er kunnen verschillende redenen zijn om een ​​certificaat in te trekken, namelijk:

  1. Aansluiting gewijzigd

    Een persoon wordt ontslagen, neemt ontslag of overlijdt, of het computeraccount waarvoor het certificaat is afgegeven, is niet langer in gebruik. Deze intrekkingsredenen kunnen ook worden gebruikt als iemand van rol verandert binnen een organisatie en het certificaat dat aan zijn vorige rol was gekoppeld, niet langer nodig heeft.

    Een werknemer kan bijvoorbeeld van de afdeling Inkoop overstappen en geen certificaat meer nodig hebben om inkoopaanvragen te autoriseren.

  2. CACompromise

    Je vermoedt dat een CA's De privésleutel is gecompromitteerd en in handen van een onbevoegd persoon. Als de privésleutel van een CA wordt ingetrokken, beschouwt de CA-hiërarchie alle certificaten onder die CA (certificeringsinstantie) als ingetrokken.

  3. Certificaat vasthouden

    Een tijdelijke intrekking geeft aan dat een CA een certificaat op dat specifieke moment niet zal valideren.

    Let op: Met CertificateHold kunt u de intrekking van een certificaat ongedaan maken, maar het gebruik van de CertificateHold-redencode wordt afgeraden. Dit maakt het namelijk lastig om te bepalen of een certificaat op een bepaald moment geldig was.

  4. Beëindiging van de operatie

    Een server of werkstation wordt buiten gebruik gesteld en alle aan de server uitgegeven certificaten zijn niet langer nodig. Wanneer u een CA buiten gebruik stelt, kunt u deze reden voor intrekking ook gebruiken.

  5. KeyCompromise

    U vermoedt dat de persoonlijke sleutel die aan een certificaat is gekoppeld, is gecompromitteerd.

    Als bijvoorbeeld de laptop van een gebruiker in uw organisatie wordt gestolen, kunnen de persoonlijke sleutels die op de laptop zijn opgeslagen, in gevaar komen.

  6. VerwijderenUitCRL

    U kunt een ingetrokken certificaat ongedaan maken met CertificateHold. Het certificaat staat nog steeds vermeld in de CRL na het ongedaan maken van de intrekking, maar het verschijnt ook in een delta-CRL met de intrekkingscode ingesteld op RemoveFromCRL. De CA verwijdert het certificaat uit alle formulieren van de CRL wanneer de volgende basis-CRL wordt gepubliceerd. Als er geen delta-CRL's worden gebruikt, wordt het certificaat verwijderd uit de volgende basis-CRL.

  7. Vervangen

    Er moet een nieuw certificaat worden uitgegeven als een uitgegeven certificaat om welke reden dan ook wordt vervangen door een nieuw, bijgewerkt certificaat. Als u bijvoorbeeld een certificaatsjabloon bijwerkt en certificaten opnieuw uitgeeft, kunt u het vorige certificaat met deze redencode intrekken.

  8. Niet opgegeven

    U kunt een certificaat intrekken zonder een specifieke intrekkingscode op te geven. Ongespecificeerd wordt echter niet aanbevolen, omdat het geen controletraject biedt dat aangeeft waarom een ​​certificaat is ingetrokken.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Hoe kan ik een certificaat intrekken?

Om een ​​certificaat in te trekken, moet een gebruiker worden aangewezen als certificaatbeheerder. U wijst een gebruiker aan als certificaatbeheerder door de gebruiker of een groep waarin de gebruiker zich bevindt de machtiging 'Certificaten uitgeven en beheren' toe te wijzen bij de uitgevende CA. De toewijzing van de machtigingen wordt uitgevoerd door een CA-beheerder, een gebruiker met de machtiging 'CA beheren'. Voer de volgende stappen uit om de benodigde machtigingen te verlenen:

  1. Open de console Certificeringsinstantie vanuit Systeembeheer.

    CA-machtigingen beheren

  2. Klik in de consolestructuur met de rechtermuisknop op CAName (waarbij CAName de logische naam van de CA is) en klik vervolgens op Eigenschappen.

    Machtiging voor het beheren van certificaten bij de uitgevende CA

  3. Selecteer in het dialoogvenster CAName-eigenschappen het tabblad Beveiliging om ervoor te zorgen dat aan het gebruikersaccount of een groep waarvan de gebruiker lid is, de machtiging Certificaten uitgeven en beheren is toegewezen.

    Machtiging Certificaten beheren.

Zodra u de benodigde machtigingen hebt toegewezen, wordt een certificaat via de volgende procedure ingetrokken:

  1. Open de console Certificeringsinstantie vanuit Systeembeheer.

    CA-machtigingen beheren

  2. Vouw CAName uit in de consoleboom en klik op Uitgegeven certificaten

    CAName

  3. Zoek in het detailvenster het certificaat dat u wilt intrekken, klik met de rechtermuisknop op het certificaat, wijs Alle taken aan en klik op Certificaat intrekken.

    certificaat dat u moet intrekken

  4. Selecteer de juiste redencode in de vervolgkeuzelijst Redencode in het dialoogvenster Certificaatintrekking en klik vervolgens op Ja.

    Certificaat intrekkenEncryptie Consulting Certificaatintrekking

  5. Controleer of het onlangs ingetrokken certificaat zichtbaar is in het gedeelte met ingetrokken certificaten.

    ingetrokken certificaten

Hoe herken ik ingetrokken certificaten?

Public Key Infrastructure (PKI) biedt drie manieren om vast te stellen of een certificaat is ingetrokken:

  • Basis CRL

    De certificaatintrekkingslijst (CRL) bevat de serienummers van certificaten die door de CA zijn ingetrokken en die zijn ondertekend met de persoonlijke sleutel van de CA. Als u een certificaat van een CA verlengt met een nieuw sleutelpaar, onderhoudt de CA twee afzonderlijke CRL's: één voor elk sleutelpaar dat door de CA wordt beheerd. Alle versies van het Microsoft Windows-besturingssysteem herkennen basis-CRL's.

  • Delta CRL

    Dit bevat alleen de serienummers van certificaten die door de CA zijn ingetrokken sinds de laatste publicatie van de basis-CRL. Ook hier geldt dat als het certificaat van de CA wordt verlengd met een nieuw sleutelpaar, er aparte delta-CRL's worden bijgehouden voor elk CA-sleutelpaar. Delta-CRL's stellen u in staat om intrekkingsinformatie sneller te publiceren en kleinere updates te downloaden door clientcomputers.

  • OCSP

    Online Certificate Status Protocol (OCSP) biedt een antwoordservice die rechtstreeks verbinding kan maken met een CA-database of de basis- en delta-CRL's kan inspecteren die door de CA zijn gepubliceerd om de intrekkingsstatus van een specifiek certificaat te bepalen.

Conclusie

We moeten de certificaten intrekken wanneer ze niet worden gebruikt door partijen die ons ervan weerhouden zichzelf voor te doen en aanzienlijke schade te veroorzaken. Voor meer informatie kunt u contact met ons opnemen via: info@encryptionconsulting.com

Referentie: PKI en certificaatbeveiliging door Brian Komar

Ontdek onze

Gerelateerde blogs

Inzicht in Active Directory-certificaatservices

Inzicht in Active Directory-certificaatservicecontainers

27 april 2026
CEP en CES

Jouw ultieme gids voor het begrijpen van CEP en CES

26 april 2026
PKI-onderhoud en driemaandelijkse opschoning voor Microsoft CA

PKI-onderhoud en driemaandelijkse opschoning voor Microsoft CA

15 april 2026

Bestudeer

Meer onderwerpen