SID-500

Home » Security » Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Nach Teil 4 Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen beschäftigt sich dieser Teil mit Sperrlisten und der Sperrung von Zertifikaten. Eine Zertifikatssperrung erfolgt durch den Administrator der Zertifizierungstelle. Dieser Artikel ist Teil 5 der Serie Active Directory Zertifikatsdienste.


Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


Grundlegendes zu Sperrlisten

Wird ein Zertifikat gesperrt dann hat dies Auswirkungen auf die Vertrauenswürdigkeit. Der Inhaber des Zertifikats kann nach der Sperrung das Zertifikat immer noch weiterverwenden, denn es ist lokal auf seinem Computer gespeichert. Hier kommt der Mechanismus der Sperrlisten ins Spiel. Eine Certificate revocation list (CRL) ist eine Liste, die es ermöglicht festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde. Bei Deltasperrlisten handelt es sich um kürzere Listen von Zertifikaten, welche seit der Veröffentlichung der letzten vollständigen Sperrliste gesperrt wurden.

Am Beispiel eines gesperrten Webseite-Zertifikats passiert folgendes:

  1. Das Zertifikat wird gesperrt
  2. Das gesperrte Zertifikat wird in die Sperrliste aufgenommen
  3. Der Browser überprüft beim Aufrufen der Website die Sperrliste und stellt fest, dass das Zertifikat gesperrt ist
  4. Der Browser vertraut der Seite nicht (mehr) und zeigt eine Warnung
  5. Umgeht der Benutzer die Sicherheitswarnung so kann die Website trotz Sperrung geöffnet werden

1.PNG

Aber woher weiß der Browser, dass das Zertifikat gesperrt wurde? Der Browser kontaktiert beim Besuch der Seite die dazugehörige Zertifizierungsstelle, um sich die Sperrliste herunterzuladen.

Der Speicherort der CRL ist i.R. im Zertifikat hinterlegt und wird als CDP (CRL Distribution Point) bezeichnet. Den CDP findet man im Zertifikat. Dazu öffnet man im Browser das Zertifikat (sofern dies der Browser unterstützt) und klickt auf Details und anschließend auf Sperrlisten-Verteilungspunkt.

2a.PNG

3a.PNG

Öffnet man nun die URL dann kann man die Sperrliste manuell herunterladen.

4a.PNG

Im Falle meiner CA kann ich die Standorte der Zertifikatssperrlisten in den Eigenschaften der CA ändern.

16.PNG

Wann Sperrlisten veröffentlicht werden findet man in den Eigenschaften des Ordners Gesperrte Zertifikate.

17.PNG

Beim Ausführen von pkiview.msc präsentiert sich die CA nur mit den wichtigsten Informationen über die Zertifizierungsstelle. Dort findet man ebenfalls die Sperrliste und Delta-Sperrliste.

Unbenannt.PNG

Sperren von Zertifikaten

Um ein Zertifikat einer Active Directory integrierten Enterprise Root CA wie sie im Artikel Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA erstellt wurde zu sperren öffnet man am CA-Server cersrv.msc und klickt auf Ausgestellte Zertifikate.

5a.PNG

Nun wählt man mit rechten Maustaste Alle Aufgaben – Zertifikat sperren.

6a.PNG

Es kann ein Grund und ein Zeitpunkt angegeben werden.

7a.PNG

Das gesperrte Zertifikat findet man unter der Liste der Gesperrten Zertifikate.

8a.PNG

Dann öffnet man PowerShell und führt certutil -crl aus. Dieser Befehl veröffentlicht eine neue Sperrliste.

certutil -crl

9.PNG

Überprüfen der Sperrung

Ob das Zertifikat wirklich gesperrt ist kann manuell überprüft werden. Dazu exportiert man das Zertifikat in eine Datei.

Doppelklick auf das Zertifikat – Details – In Datei kopieren.

10a.PNG

Weiter klicken und CER Format wählen.

11a.PNG

Speicherort wählen.

12.PNG

Fertigstellen.

13.PNG

Nun kann mit certutil die Sperrung überprüft werden.

certutil -verify C:\DateiName.cer

14.PNG

Im unteren Teil ist die Sperrung vermerkt.

14a.PNG

Zertifikat gesperrt und trotzdem vertrauenswürdig?

Der Administrator der CA sperrt ein Zertifikat eines Webservers. Der Benutzer öffnet die Website dieses Webservers und die Seite wird immer noch als vertrauenswürdig eingestuft. Das kann passieren. Der Client ladet die Sperrliste nicht bei jedem Besuch der Website herunter. Der Computer “cached” die Sperrliste.

Der Cache kann mit certutil geleert werden. Danach sollte die Sperrliste erneut heruntergeladen werden und das Zertifikat wird als gesperrt erkannt.

certutil -urlcache CRL delete

15.PNG

Weiter gehts mit Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents


10 Comments

  1. […] Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats […]

    Like

  2. […] Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats […]

    Like

  3. […] Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats […]

    Like

  4. […] Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats […]

    Like

  5. Smithd776 says:

    I really like your writing style, great info, thank you for putting up kffdecedbbeggdbf

    Liked by 1 person

  6. […] Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats […]

    Like

  7. […] Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats […]

    Like

  8. […] Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats […]

    Like

  9. […] Mehr zu Sperrlisten in meinem Beitrag Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats. […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com