Crl elosztási pontok és hatósági információk hozzáférése - pki kiterjesztések
A könyvtár tartalma archiválva van, és nem frissül.
Megjegyzés: ezt az anyagot kötelezően közzéteszik olyan IT-szakemberek számára, akik a PKI-témával (Public Key Infrastructure) foglalkoznak vagy fognak foglalkozni.
Mint tudják, minden CA-ban kiadott tanúsítvány (az önaláírt tanúsítvány kivételével, a gyökértanúsítvány pedig önaláírt tanúsítvány) 2 kiterjesztést tartalmaz:
Ezek a linkek nem a levegőből származnak, hanem a CA beállításaiból. A következőképpen keresik a tanúsítványszolgáltatások alapértelmezett telepítését:
A CDP és az AIA kiterjesztések a következő tanúsítványokban jelennek meg ezekkel a beállításokkal:
Amint láthatja, a bővítmények linkjei ugyanabban a sorrendben vannak, mint a CA beállításokban.
Fontos tudni, mivel a tanúsítvány láncolási motorja (rövidesen CCE-ként) ellenőrzi a hivatkozásokat abban a sorrendben, amelyben megjelenik a tanúsítvány-kiterjesztésekben. Ie először töltsön le egy fájlt az Active Directoryból 10 másodpercen belül. Ha a fájl 10 másodpercen belül nem töltődik le, a CCE megpróbálja letölteni a megadott fájlt a következő hivatkozással (HTTP). Ugyanakkor ez kétszer kevesebb (azaz 5 másodpercet igényel), mint az előző próbálkozásnál. És ez minden további hivatkozással megtörténik, amíg a fájlt kivonják, a hivatkozások véget érnek vagy leesik az időtúllépés miatt. A CCE minden egyes kiterjesztésének feldolgozása pontosan 20 másodperc.
Alapértelmezés szerint a Windows Server mag CRL (Base CRL) közzéteszik hetente egyszer, és inkrementális CRL (Delta CRL) közzétett, naponta egyszer. A CA-tanúsítványfájlok jellemzően a CA-tanúsítvány élettartamának megfelelő időközönként frissülnek (vagy gyakrabban, ha a CA-tanúsítvány nem frissül). Ha a CA tanúsítványokat kell frissíteni ritkán (néhány évente), és ezt kell külön állítjuk elő, a CRL frissítése automatikusan történik, hogy rendszergazda beavatkozása és speciális módosítására van szükség itt, amit most beszélni.
Ha megnézi a CRL-t, akkor a következőket látjuk:
Most csak 3 területen érdekelünk:
Megjegyzés: az idő ezen mezőkben UTC formátumban jelenik meg időzónák nélkül.
Ehhez a HKLM \ System \ CurrentControlSet \ Services \ CertSvc \ Configuration \ CA nevű elérési utat a HARMADIK szerveren található 4 kulcs tartalmazza:
- CRLOverlapUnits - meghatározza az aktuális fő CRL lejáratának idejét, amelyre az új elsődleges CRL közzétehető.
- CRLOverlapPeriod - meghatározza az adott mértékegységet a fő CRL számára
- CRLDeltaOverlapUnits - meghatározza az aktuális növekményes (ha használatos) CRL lejárat előtt eltelt időt, amelyre új, növekményes CRL jelenik meg
- CRLDeltaPeriodPeriod - az adott mértékegység mértékegységét adja meg a növekményes CRL-nek.
Ha használja az LDAP hivatkozások kiterjesztések CDP / AIA tanúsítványok és / vagy van egy lappangási replikációs fájlok között webszerverek, meg kell állítani az időt, amely nem lehet kevesebb, mint a maximális időt AD könyvtárreplikációs az erdőben vagy DFS a mind az alap-, mind a növekményes CRL-ek esetében (ha azokat Ön használta). A műveletet automatizálhatja a certutil segédprogrammal:
certutil -setreg ca \ CRLOverlapUnits 1
certutil -setreg ca \ CRLOverlapPeriod "nap"
certutil -setreg ca \ CRLDeltaOverlapUnits 8
certutil -setreg ca \ CRLDeltaOverlapPeriod "órák"
net stop certsvc net start certsvc
[AuthorityInformationAccess]
Üres = igaz
[CRLDistributionPoint]
Üres = igaz
A meglévő infrastruktúrák megváltoztatása komoly kérdés, bár könnyen megvalósítható. Ha úgy dönt, hogy ilyen lépést tesz, akkor kövesse ezeket a szabályokat:
Köszönöm, nagyon szórakoztató. Az LDAP esetében a kérdés nem annyira egyértelmű. Egyrészt, a hazai vásárlók, feltéve nem annyira rosszul elosztott AD erdő, késések, általában figyelmen kívül lehet hagyni -, mert a hozzáférhetőség általában sokkal fontosabb. És elérhetőség, amint azt Mikhail kolléga helyesen megjegyezte, amikor az LDAP-ot könnyebbé és olcsóbbá teszi. Másrészről nincs semmi jó, ha a CRL külső ügyfeleit az erdőm megnevezése összefüggésében képviseli. És baszd meg vele, tíz másodperces késéssel - a seriff feketék problémái nem annyira. Ettől kezdve elkerülhetetlenül van egy felhasználó: Külső szolgáltatások esetén a CRL csak URL-címen, de belső szolgáltatások esetén - az LDAP és az URL alapján. Azt hiszem, nem tévedek, ha azt mondom, hogy a vállalatok túlnyomó többsége meglehetősen statikus külső forrásokat tartalmaz. És így a statikus, hogy közben a teljes életciklusa infrastruktúra PKI műveletek számát a kibocsátó / frissítése bizonyítvány iránti kérelmeket lehet majd számítani. Talán a lábaddal. A belső változások sokkal gyakoribbak. És most már tudom megfogalmazni a kérdést: mennyi az élet egy folyamat a CA Service: - Normál üzemmódban, már kibocsátott CDP LDAP, és az URL-t - Ha kell igazolást állít ki egy külső szolgáltató, azt újra kell konfigurálni a CA közzétételére csak az URL-t, igazolást bocsát ki, és Visszatérek az LDAP / URL-t, mivel különálló CA-t tartanak, amely tanúsítványokat bocsát ki a külső szolgáltatásokhoz ötévente, nagyon drága. Vagy talán van még valami más, még ismeretlen számomra, a közvetlen megoldás a feladat megoldására? Köszönöm előre.
A legközvetlenebb módja az, hogy 2 CA-t kapjunk: az egyik a belső ügyfelek számára és az egyik a külső ügyfelek számára.