Nach Teil 4 Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen beschäftigt sich dieser Teil mit Sperrlisten und der Sperrung von Zertifikaten. Eine Zertifikatssperrung erfolgt durch den Administrator der Zertifizierungstelle. Dieser Artikel ist Teil 5 der Serie Active Directory Zertifikatsdienste.
Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA
Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen
Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen
Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats
Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents
Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents
Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA
Grundlegendes zu Sperrlisten
Wird ein Zertifikat gesperrt dann hat dies Auswirkungen auf die Vertrauenswürdigkeit. Der Inhaber des Zertifikats kann nach der Sperrung das Zertifikat immer noch weiterverwenden, denn es ist lokal auf seinem Computer gespeichert. Hier kommt der Mechanismus der Sperrlisten ins Spiel. Eine Certificate revocation list (CRL) ist eine Liste, die es ermöglicht festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde. Bei Deltasperrlisten handelt es sich um kürzere Listen von Zertifikaten, welche seit der Veröffentlichung der letzten vollständigen Sperrliste gesperrt wurden.
Am Beispiel eines gesperrten Webseite-Zertifikats passiert folgendes:
- Das Zertifikat wird gesperrt
- Das gesperrte Zertifikat wird in die Sperrliste aufgenommen
- Der Browser überprüft beim Aufrufen der Website die Sperrliste und stellt fest, dass das Zertifikat gesperrt ist
- Der Browser vertraut der Seite nicht (mehr) und zeigt eine Warnung
- Umgeht der Benutzer die Sicherheitswarnung so kann die Website trotz Sperrung geöffnet werden
Aber woher weiß der Browser, dass das Zertifikat gesperrt wurde? Der Browser kontaktiert beim Besuch der Seite die dazugehörige Zertifizierungsstelle, um sich die Sperrliste herunterzuladen.
Der Speicherort der CRL ist i.R. im Zertifikat hinterlegt und wird als CDP (CRL Distribution Point) bezeichnet. Den CDP findet man im Zertifikat. Dazu öffnet man im Browser das Zertifikat (sofern dies der Browser unterstützt) und klickt auf Details und anschließend auf Sperrlisten-Verteilungspunkt.
Öffnet man nun die URL dann kann man die Sperrliste manuell herunterladen.
Im Falle meiner CA kann ich die Standorte der Zertifikatssperrlisten in den Eigenschaften der CA ändern.
Wann Sperrlisten veröffentlicht werden findet man in den Eigenschaften des Ordners Gesperrte Zertifikate.
Beim Ausführen von pkiview.msc präsentiert sich die CA nur mit den wichtigsten Informationen über die Zertifizierungsstelle. Dort findet man ebenfalls die Sperrliste und Delta-Sperrliste.
Sperren von Zertifikaten
Um ein Zertifikat einer Active Directory integrierten Enterprise Root CA wie sie im Artikel Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA erstellt wurde zu sperren öffnet man am CA-Server cersrv.msc und klickt auf Ausgestellte Zertifikate.
Nun wählt man mit rechten Maustaste Alle Aufgaben – Zertifikat sperren.
Es kann ein Grund und ein Zeitpunkt angegeben werden.
Das gesperrte Zertifikat findet man unter der Liste der Gesperrten Zertifikate.
Dann öffnet man PowerShell und führt certutil -crl aus. Dieser Befehl veröffentlicht eine neue Sperrliste.
certutil -crl
Überprüfen der Sperrung
Ob das Zertifikat wirklich gesperrt ist kann manuell überprüft werden. Dazu exportiert man das Zertifikat in eine Datei.
Doppelklick auf das Zertifikat – Details – In Datei kopieren.
Weiter klicken und CER Format wählen.
Speicherort wählen.
Fertigstellen.
Nun kann mit certutil die Sperrung überprüft werden.
certutil -verify C:\DateiName.cer
Im unteren Teil ist die Sperrung vermerkt.
Zertifikat gesperrt und trotzdem vertrauenswürdig?
Der Administrator der CA sperrt ein Zertifikat eines Webservers. Der Benutzer öffnet die Website dieses Webservers und die Seite wird immer noch als vertrauenswürdig eingestuft. Das kann passieren. Der Client ladet die Sperrliste nicht bei jedem Besuch der Website herunter. Der Computer “cached” die Sperrliste.
Der Cache kann mit certutil geleert werden. Danach sollte die Sperrliste erneut heruntergeladen werden und das Zertifikat wird als gesperrt erkannt.
certutil -urlcache CRL delete
Weiter gehts mit Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents
Categories: Cyber Security, Windows Server
My name is Patrick Gruenauer. From Austria.
SID-500.COM 
Hi Patrick!
1. Wunderbar aufgebautes und strukturiertes How To mit guten erklärungen.
Vielleicht kannst du mir weiterhelfen?
Ich bin dabei SSO zu “konfigurieren”, was mich dabei zur Zeit stuzig macht ist die Meldung (Eine Verbindung mit diesem PC ist möglicherweise nicht sicher: unbekannte Zertifikatsperre)
Das Zertifikat ist gültig bis 2020 und ich habe manuelle nichts revoked. Muss ich irgendwo explizit anhaken dass das Zertifikat nicht gesperr ist? Ich denke nicht, oder?
LikeLike
Hallo!
Eine Zertifikatssperre müsste eigentlich an einer Sperre liegen !?!. Also die Fehlermeldung könnte natürlich auf ein anderes Problem hindeuten wie z.B. veralteter Hash, Verschlüsselung, falscher Name etc… Sorry, aber da gibt’s viele Möglichkeiten. Viel Glück!
Lg
P
LikeLike
I really like your writing style, great info, thank you for putting up kffdecedbbeggdbf
LikeLiked by 1 person
Thank you for the Kind words.
LikeLike