Detta är en plats i form av URL:er där utfärdande CA:er baslistan för återkallelse av certifikat (CRL) publiceras. Om återkallningskontroll är aktiverad kommer ett program att använda URL:en för att hämta en uppdaterad version av CRL:en. URL:er kan använda Protokoll för hypertextöverföring (HTTP), LDAP eller Fil.
Betydelse
Med hjälp av CDP kan en applikation eller en webbplatsbesökare hämta CRL:n och därigenom avgöra om digitalt certifikat är pålitligt eller inte. Detta kan skydda dem från att besöka eller få åtkomst till bedrägliga webbplatser och från man-i-mitten-attackerI avsaknad av CRL kan de vara sårbara för datastöld, skadlig programvara, bedrägerier, ekonomisk förlust etc.
Definiera CRL-distributionspunkter (CDP:er)
Du kan definiera en CA:s CDP-URL:er med hjälp av certutil kommandot för att redigera registerposten CRLPublicationURLs. Med kommandot kan du ange en eller flera URL:er samt vilka CRL-publiceringsalternativ som är aktiverade för varje URL.
Tänk till exempel på följande certutil kommando som definierar CDP-tillägget:
certutil -setreg CACRLPublicationURLs “1:C:Windowssystem32CertSrvCertEnroll%3%8%9.crln10:ldap:///CN=%7%8,CN=%2, CN=CDP,CN=Public Key Services,CN=Services, %6%10n2:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl”
Det här kommandot definierar tre separata URL:er. URL-ordningen är viktig vid implementering
Windows-klienter, eftersom den anger i vilken ordning certifikatkedjemotorn söker efter URL:er när en uppdaterad CRL-version hämtas. På samma sätt representerar numret som föregår varje URL de aktiverade alternativen för varje URL.
1:C:Windowssystem32CertSrvCertEnroll%3%8%9.crl Den här URL:en säkerställer att
CRL-filen kopieras till det lokala filsystemet varje gång CRL:n publiceras automatiskt eller manuellt.
10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Tjänster för offentlig nyckel,CN=Tjänster,%6%10 : Den här URL:en möjliggör två värden: 2 för att ange CRL:ens publiceringspunkt i AD DS och 8 för att inkludera CDP-URL:en i alla certifikatutfärdare.
2:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl Den här URL:en säkerställer att
URL:en pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl ingår i CDP-tillägget för alla utfärdade certifikat.
CDP-variabler
| Variabel | Namn | BESKRIVNING |
|---|---|---|
| %1 | Server-DNS-namn | CA-datorns DNS-namn (Domain Name System) |
| %2 | ServerShortName | CA-datorns NetBIOS-namn |
| %3 | CA-namn | CA:s logiska namn |
| %6 | Konfigurations-DN | LDAP-sökvägen (Lightweight Directory Access Protocol) för skogens konfigurationsnamngivningskontext för skogen |
| %8 | CRL-namnsuffix | CRL:s förlängning av förnyelse |
| %9 | DeltaCRL Tillåten | Anger om delta-CRL:er stöds av CA:n |
| % 10 | CDPObject-klass | Indikerar att objektet är ett CDP-objekt i AD DS |
CRL-publikationsalternativ
| Variabel | Namn | BESKRIVNING |
|---|---|---|
| %1 | Server-DNS-namn | CA-datorns DNS-namn |
| %2 | ServerShortName | CA-datorns NetBIOS-namn |
| %3 | CA-namn | CA:s logiska namn |
| %6 | Konfigurations-DN | LDAP-sökvägen för skogens konfigurationsnamngivningskontext för skogen |
| %8 | CRL-namnsuffix | CRL:s förlängning av förnyelse |
| %9 | DeltaCRL Tillåten | Anger om delta-CRL:er stöds av CA:n |
| % 10 | CDPObject-klass | Indikerar att objektet är ett CDP-objekt i AD DS |
Hur man lägger till en CDP
kommando:
Lägg till CRLDistributionPoint [-InputObject] [-URI] [ ]
Parametrar:
-InputObject -> Anger CRLDistributionPoint-objektet till vilket nya CDP:er läggs till
[-URI] -> Detta anger nya distributionspunkter för publicering av CRL-filer för en viss certifikatutfärdare.
<Vanliga parametrar> : Cmdlet:en stöder vanliga parametrar som: Debug (db), ErrorAction (ea), ErrorVariable (ev), InformationAction (infa), InformationVariable (iv), OutVariable (ov), OutBuffer (ob), PipelineVariable (pv), Verbose (vb), WarningAction (wa), WarningVariable (wv)
Slutsats
CDP är en X.509 version 3 certifikattillägg som identifierar platsen för CRL från vilken återkallelsen av det begärda certifikatet kan kontrolleras.
Programmet som bearbetar certifikatet kan hämta platsen för CRL:n från detta tillägg, ladda ner CRL:n och därefter validera återkallningsstatusen för det begärda certifikatet.
