Mengelola pencabutan sertifikat

  • 14 menit

Sebagai bagian dari pengelolaan siklus hidup sertifikat, Anda tidak hanya perlu mengontrol penerbitan sertifikat tetapi juga melacak penggunaan sertifikat, dan, jika perlu, menerapkan pencabutan sertifikat. Ini penting untuk mengurangi dan memulihkan potensi penyusupan keamanan berbasis sertifikat.

Apa itu pencabutan sertifikat?

Pencabutan adalah proses di mana Anda menonaktifkan validitas satu atau lebih sertifikat. Dengan memulai proses pencabutan, Anda menerbitkan thumbprint sertifikat di CRL yang sesuai. Ini menunjukkan bahwa sertifikat tertentu tidak lagi valid.

Penting

Setiap sertifikat memiliki masa validitasnya sendiri, setelah itu tidak lagi dianggap valid. Dengan pencabutan, Anda dapat membatalkan validasi sebelum periode tersebut berlalu, misalnya, untuk memulihkan sertifikat yang disusupi.

Beberapa tahap siklus hidup CA, berfokus pada pencabutan sertifikat.

Proses pencabutan biasanya terdiri dari urutan langkah-langkah berikut:

  1. Cabut sertifikat dan berikan alasan serta tanggal dan waktu target. Anda dapat melakukan tugas ini dari konsol OS.
  2. Terbitkan CRL. Anda memiliki opsi untuk memicu penerbitan dari konsol OS atau menjadwalkan penerbitan otomatis secara berkala. Anda dapat menerbitkan CRL di Active Directory Domain Services, di folder bersama, atau di situs web.
  3. Jika sistem operasi, aplikasi, atau layanan memulai tindakan aman yang melibatkan penggunaan sertifikat, yang memicu pemeriksaan otomatis status pencabutan sertifikat tersebut dengan mengkueri CA penerbit dan lokasi CDP yang sesuai. Proses ini menentukan apakah sertifikat dicabut.

Penting

Dukungan untuk pemeriksaan otomatis status pencabutan sertifikat bergantung pada cara sistem operasi, aplikasi, atau layanan diterapkan. Sebagian besar perangkat lunak komersial modern mendukung fungsionalitas ini.

Sistem operasi Windows menyertakan CryptoAPI, yang bertanggung jawab atas pencabutan sertifikat dan proses pemeriksaan status. CryptoAPI menggunakan fase berikut dalam proses pemeriksaan sertifikat:

  • Penemuan sertifikat. Penemuan sertifikat mengumpulkan sertifikat OS, informasi AIA dalam sertifikat yang diterbitkan, dan detail proses pendaftaran sertifikat.
  • Validasi jalur. Validasi jalur adalah proses verifikasi sertifikat melalui rantai CA, atau jalur, hingga sertifikat CA akar tercapai.
  • Pemeriksaan pencabutan. Setiap sertifikat dalam rantai sertifikat diverifikasi untuk memastikan bahwa tidak ada sertifikat yang dicabut.
  • Pengambilan dan penembolokan jaringan. Pengambilan jaringan dilakukan dengan menggunakan OCSP. CryptoAPI bertanggung jawab untuk memeriksa cache lokal terlebih dahulu untuk informasi pencabutan, dan jika tidak ada kecocokan, CryptoAPI melakukan panggilan menggunakan OCSP, yang didasarkan pada URL yang disediakan oleh sertifikat yang diterbitkan.

Apa itu layanan Penanggap Online?

Layanan Penanggap Online menawarkan cara yang lebih efisien untuk memeriksa status pencabutan sertifikat. Layanan Penanggap Online bergantung pada OCSP untuk menentukan status pencabutan sertifikat. OCSP mengirimkan permintaan status sertifikat dengan menggunakan HTTP.

Klien mengakses CRL untuk menentukan status pencabutan sertifikat. CRL mungkin besar, dan klien mungkin menggunakan banyak waktu untuk mencari CRL ini. Layanan Penanggap Online dapat mencari CRL ini secara dinamis untuk klien dan merespons klien dengan status sertifikat yang diminta. Anda dapat menggunakan satu Penanggap Online untuk menentukan informasi status pencabutan untuk sertifikat yang diterbitkan oleh OS tunggal atau beberapa OS. Anda juga dapat menerapkan beberapa Penanggap Online untuk mendistribusikan permintaan pencabutan OS.

Anda harus mengonfigurasi OS untuk menyertakan URL Penanggap Online dalam ekstensi AIA dari sertifikat yang diterbitkan. Klien OCSP menggunakan URL ini untuk memvalidasi status sertifikat. Anda juga harus menerbitkan templat sertifikat Penandatanganan Respons OCSP, sehingga Penanggap Online dapat mendaftarkan sertifikat tersebut.

Demonstrasi

Video berikut menunjukkan cara:

  • Mengonfigurasi penerbitan CRL.
  • Mengonfigurasi lokasi CDP.

Langkah-langkah utama dalam proses adalah:

  1. Membuat lingkungan AD DS. Membuat hutan Active Directory Domain Services domain tunggal.
  2. Sebarkan CA Akar Perusahaan.
  3. Mengonfigurasi penerbitan CRL. Menggunakan konsol Otoritas Sertifikasi untuk mengonfigurasi penerbitan CRL.
  4. Mengonfigurasi lokasi CDP. Menggunakan konsol Otoritas Sertifikasi untuk mengonfigurasi lokasi CDP.

Uji pengetahuan Anda

1.

Apa yang diperlukan untuk menerbitkan CRL ke berbagi dengan menggunakan konsol Otoritas Sertifikasi?