管理证书吊销
在管理证书生命周期的过程中,你不仅需要控制证书颁发,还需要跟踪证书使用情况,并在必要时强制吊销证书。 这对于缓解和修正可能危害基于证书的安全性的行为至关重要。
什么是证书吊销?
吊销是指禁用一个或多个证书的有效性的过程。 通过启动吊销过程,可以在相应的 CRL 中发布证书指纹。 这表示特定证书不再有效。
重要
每个证书都有其自己的有效期,超过该有效期后,证书被视为不再有效。 通过吊销,可在有效期到期前使证书失效(例如,为了修正证书泄露)。
吊销过程通常包含下面的一系列步骤:
- 吊销证书,并提供原因以及目标日期和时间。 可以从 CA 控制台执行此任务。
- 发布 CRL。 可以选择从 CA 控制台触发发布,或计划定期自动发布。 可以在 AD DS、共享文件夹或网站上发布 CRL。
- 如果操作系统、应用程序或服务启动了涉及使用证书的安全操作,则其将触发通过查询发证 CA 和相应 CDP 位置来自动检查该证书吊销状态的操作。 此过程可确定是否已吊销证书。
重要
是否支持自动检查证书吊销状态取决于操作系统、应用程序或服务的实现方式。 大多数现代商业软件都支持此功能。
Windows 操作系统包括 CryptoAPI,后者负责证书吊销和状态检查过程。 CryptoAPI 在证书检查过程中使用以下阶段:
- 证书发现。 证书发现阶段会收集 CA 证书、所颁发证书中的 AIA 信息以及证书注册过程的详细信息。
- 路径验证。 路径验证是沿 CA 链或路径验证证书,直至到达根 CA 证书的过程。
- 吊销检查。 证书链中的每个证书都经过了验证,以确保未吊销任何证书。
- 网络检索和缓存。 网络检索通过使用 OCSP 执行。 CryptoAPI 负责先在本地缓存中检查吊销信息,如果没有匹配的信息,则基于所颁发证书提供的 URL使用 OCSP 进行调用。
什么是在线响应者服务?
在线响应者服务提供了一种更有效的方法来检查证书吊销状态。 在线响应者服务依赖于 OCSP 来确定证书的吊销状态。 OCSP 使用 HTTP 提交证书状态请求。
客户端通过访问 CRL 来确定证书的吊销状态。 CRL 可能很大,并且客户端可能需要很长时间才可搜索完这些 CRL。 在线响应者服务可在这些 CRL 中动态搜索客户端,并使用所请求证书的状态响应客户端。 可以使用单个在线响应者来确定由单个 CA 或多个 CA 颁发的证书的吊销状态信息。 还可实现多个在线响应者来分发 CA 吊销请求。
必须将 CA 配置为在所颁发证书的 AIA 扩展中包括在线响应者的 URL。 OCSP 客户端使用此 URL 来验证证书状态。 还必须颁发 OCSP 响应签名证书模板,以便在线响应者注册该证书。
演示
下面的视频演示如何执行以下操作:
- 配置 CRL 发布。
- 配置 CDP 位置。
此过程的主要步骤如下:
- 创建 AD DS 环境。 创建一个单域 AD DS 林。
- 部署企业根 CA。
- 配置 CRL 发布。 使用证书颁发机构控制台配置 CRL 发布。
- 配置 CDP 位置。 使用证书颁发机构控制台配置 CDP 位置。