Frage zu Sperrlisten in einer PKI-Umgebung

[RalphT 15]

Hallo,

ich habe eine Verständnisfrage zu einer zweistufigen PKI. Wenn ich von der SUB-CA das ZertifizierungsstellenZertifikat erneuere, dann habe ich eine weitere Sperrliste in der SUB-CA. Zu sehen in der MMC unter Gesperrte Zertifikate - Eigenschaften - Reiter "Zertifikatsperrliste anzeigen". Dann stehen dort zwei oder mehr Sperrlisten. Einmal für den Schlüsselindex 0 und
dann weiter forlaufend.
Auch die CRL-Dateien unter C:\Windows\System32\CertSrv\CertEnroll sind dann entsprechend vorhanden.

 

Meine Frage ist jetzt: Kann man die alten Sperrlisten und auch Deltasperrlisten löschen?
Für mich ist das eigentlich nur ein "optisches" Problem. Sie stören ja nicht.

[NilsK 2.940]

Moin,

 

die kannst du erst dann löschen, wenn die zugehörigen Zertifikate nirgends mehr verwendet werden. Da man bei einer Sub die Verlängerung oft vor dem Ablauf des CA-Zertifikats macht, muss man den Ablauf des alten Zertifikats erst abwarten, bevor man die Sperrliste löscht. Es könnte ja bei einem Client noch in Benutzung sein, und der muss feststellen können, ob es noch gültig ist.

 

Gruß, Nils

 

[RalphT 15]

Danke dir. Kannst du mir noch sagen, wie man die Sperrlisten löschen kann, bzw. wo man das macht?

[NilsK 2.940]

Moin,

 

Entf drücken?

 

Gruß, Nils

 

[RalphT 15]

Nein, das ist nicht möglich. Nicht dass wir aneinander vorbeireden: Ich bin in der MMC unter Gesperrte Zertifikate - Eigenschaften - Reiter "Zertifikatsperrliste anzeigen"

ENTF geht nicht und ein Kontextmenü ist auch nicht vorhanden.

[NorbertFe 2.050]

Wieso sollte man die denn dort auch löschen können? Die wird doch irgendwo veröffentlicht. Üblicherweise im ldap und/oder per http. Dort kannst du sie löschen und das ist auch der einzig entscheidende Ort, denn woanders holt sie sich der client ja auch nicht.

[zahni 554]

Die Sperrinformationen müssen erhalten bleiben. Sonst sind ehemals gesperrte Zertifikate u.U. wieder gültig.

[RalphT 15]

Ok, dann kann (sollten) die Einträge ja erhalten bleiben.

 

Nun war ich doch etwas schneller und habe im LDAP die beiden Sperrlisten gelöscht. Ich war in diesem Pfad:

CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration

Auch in dem Pfad, wo die Zertifikate und Sperrlisten für http stehen habe ich bereinigt.

 

Jetzt wird mir in der MMC jeweils bei den beiden Sperrlisten ein Fehler angezeigt. Das ist jetzt nicht weiter tragisch, da sich das hier um eine Testumgebung handelt. Ich meine diesen Fehler bekommt man wieder weg, indem man wieder das ZertifizierungsstellenZertifikat erneuert.

 

Was ich bisher nicht wusste, dass man die alten Sperrlisten noch aufbewahren sollte, damit die Sperrinformationen von den älteren Zertifikaten weiterhin überprüft werden kann. Ich bin bislang davon ausgegangen, dass alles in einer Sperrliste vorhanden ist.

[NorbertFe 2.050]

vor 2 Minuten schrieb RalphT:

Ich bin bislang davon ausgegangen, dass alles in einer Sperrliste vorhanden ist.

Schau doch rein in die Listen. Da siehst du doch dann was drin steht. :)

[RalphT 15]

Stimmt. Da nichts gesperrt wurde, gab es auch keine Einträge.

[NilsK 2.940]

Moin,

 

es klingt für mich, als solltest du dich mal intensiver mit den Grundlagen befassen. Es gibt ein aktuelles Buch von Rheinwerk zum Thema.

 

vor 41 Minuten schrieb zahni:

Die Sperrinformationen müssen erhalten bleiben. Sonst sind ehemals gesperrte Zertifikate u.U. wieder gültig.

So ähnlich, aber nicht ganz. Die Sperrlisten müssen so lange erhalten bleiben, wie es aktive Zertifikate von der CA gibt, die noch im Umlauf sind, die also selbst weder gesperrt noch abgelaufen sind. Wenn eine Sperrliste benötigt, aber nicht gefunden wird, dann wird ein gesperrtes Zertifikat nicht wieder gültig, sondern die meisten Clients (= Windows, bei anderen Systemen oder Applikationen kann es sein, dass Sperrlisten gar nicht geprüft werden) akzeptieren es dann nicht, eben weil sie die Gültigkeit nicht prüfen können. Solche Clients akzeptieren dann aber kein Zertifikat dieser CA.

 

Gruß, Nils

[zahni 554]

@Nils,

 

sicher, das ausgestellte Zertifikat muss ansonsten gütig sein. Die Frage ist, ob man es schafft die CRL an sich beizubehalten und nur den Inhalt zu leeren.

[NilsK 2.940]

Moin,

 

nein, die eigentliche Frage war ja, wann man eine CRL löschen kann. Und das ist beantwortet.

 

Eine fehlende CRL, die noch benötigt wird, führt, wie gesagt, bei den meisten Clients dazu, dass kein Zertifikat akzeptiert wird, das auf die CRL verweist (sofern die Clients die CRL nicht mehr im Cache haben). Daher sollte man den CRL-Server auch hochverfügbar halten.

 

Gruß, Nils

 

[NorbertFe 2.050]

es sei denn, man schaltet die Prüfung im Client ab, was leider gar nicht so selten ist. Einziger Dienst mir gerade bekannter Dienst bei dem das nicht funktioniert, ist der DA Client.

[RalphT 15]

Dann bedanke ich mich für eure Antworten. Dann kann ich das Thema ja als gelöst markieren.