OCSP (Online Certificate Status Protocol) ist ein inzwischen auf breiter Basis im Markt akzeptierter Standard. Über dieses Protokoll können Systeme, die eine zertifikatsbasierende Authentifizierung unterstützen oder Zertifikate für andere Zwecke akzeptieren, aktuelle Informationen über den Status dieser Zertifikate anfordern. Dabei geht es in erster Linie darum zu erkennen, ob ein präsentiertes Zertifikat zurückgezogen wurde, also nicht mehr gültig ist. OCSP ist damit eine Erweiterung zu dem etablierten Ansatz der CRLs (Certificate Revocation Lists). Die CRLs sind aber sowohl in Bezug auf die Aktualität als auch die Effizienz ihrer Nutzung nicht überzeugend.
Mit der wachsenden Bedeutung von digitalen Client-Zertifikaten wächst auch die Notwendigkeit, einen effizienten Mechanismus für die Status-Prüfung von Zertifikaten zu haben. Besonders wichtig ist es auch, Zertifikate von Benutzern zu sperren, die nicht mehr im Unternehmen sind. Und genau diese Anforderung erfüllt OCSP.
Das Protokoll wird ab dem Windows Server 2008 unterstützt und setzt die Einrichtung und Konfiguration des entsprechenden Server-Dienstes voraus. Diese Komponente unterstützt übrigens auch ältere CAs auf Basis des Windows Server 2003 und darüber hinaus auch CAs, die nicht auf Microsoft-Technologie basieren.
Die Installation
Die Funktionalität des OCSP wird im Rahmen der Einrichtung von Rollendiensten aktiviert, also am einfachsten über den Server-Manager. Für den Dienst OCSP Responder werden die Internet Information Services (IIS) als Voraussetzung benötigt. Sie lassen sich auch während der Einrichtung des OCSP Responders konfigurieren. Dagegen ist es nicht notwendig, dass die Zertifikatsdienste lokal sind.
Die Installation des OCSP stoßen Sie über Rollendienste hinzufügen an. Hier sind keine speziellen Eingaben erforderlich. Die Konfiguration erfolgt erst danach.
Bei der Planung von OCSP spricht viel dafür, den Rollendienst auf einer anderen physischen Maschine einzurichten, um die Sicherheitsrisiken für eine CA zu minimieren. Falls man allerdings ohnehin für die Web-Dienste der Zertifizierungsstelle mit den IIS arbeitet, kann man auch OCSP zusätzlich einrichten.
Die Konfiguration der CA
Der nächste Schritt ist die Erstellung einer Zertifikatvorlage für OCSP und die Signaturen der Antworten, die von OCSP geliefert werden. Alle Antworten, die von OCSP auf Anforderungen gegeben werden, sind digital signiert. Damit wird sichergestellt, dass diese unverfälscht ankommen.
Dazu öffnen Sie die Anwendung Zertifiktatvorlagenkonsole. Am einfachsten geht das über das Verwaltungsprogramm Zertifizierungsstelle und dort den Befehl Verwalten im Kontextmenü des Knotens Zertifikatvorlagen.
In der Liste der Zertifikatvorlagen gibt es bereits die Vorlage OCSP-Antwortsignatur. Vor der Anpassung und Nutzung muss diese kopiert werden. Mittels Doppelte Vorlage legen Sie ein entsprechendes Duplikat an. Dieses muss einen anderen Namen erhalten - wie beispielsweise OCSP-Antwortsignatur_2.
Einstellungen in der Zertifikatvorlage
Die wichtigste Änderung am Duplikat besteht darin, dem Computer, der den OCSP Responder bereitstellt, Zugriffsberechtigungen auf die Zertifikatvorlage zu geben.
Dazu benutzen Sie das Register Sicherheit der Eigenschaften der Zertifikatvorlage. Mittels Hinzufügen greifen Sie auf die Liste der verfügbaren Objekte zu. Dabei ist allerdings zu beachten, dass der Objekttyp Computer standardmäßig nicht in der Suchliste auftaucht. Ändern Sie also zunächst den Objekttyp und lassen anschließend suchen.
Dieses System muss die Berechtigungen Lesen und Automatisch registrieren erhalten. Ohne diese Berechtigungen kann der OCSP Responder das erforderliche Zertifikat für die Erstellung seiner Antwortsignaturen nicht anfordern und damit auch keine Anforderungen bearbeiten.
Die Aktivierung der CA
Der nächste Schritt ist die Aktivierung der CA für die Nutzung des OCSP Responders. Diesen Konfigurationsschritt wird ebenfalls in der Anwendung Zertifizierungsstelle durchgeführt.
Wählen Sie zunächst im Kontextmenü der CA den Befehl Eigenschaften, um eine Konfigurationsanpassung für diese CA durchzuführen. Im Register Erweiterungen selektieren Sie anschließend bei Erweiterung auswählen die Option Zugriff auf Stelleninformationen. In der englischen Version heißt diese Funktion Authority Information Access, also Zugriff auf Autoritätsinformationen. Die Übersetzung ist, wie es ja gelegentlich vorkommt, etwas unglücklich gewählt.
Dazu muss zunächst ein Ort vorbereitet werden: Über Hinzufügen können Sie neue Orte für die Anforderung von Informationen konfigurieren. Für OCSP ist die folgende Form gültig:
http://<ServerDNSName>/ocsp
Dabei können Sie auch den FQDN (Fully Qualified Domain Name) angeben. Der Verweis erfolgt in diesem Fall auf die OCSP-Anwendung, die für die Internetinformationsdienste konfiguriert wurde. Für diesen Link sind die beiden Optionen
-
In AIA-Erweiterung des ausgestellten Zertifikats einbeziehen
-
In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen
auszuwählen. Damit legen Sie fest, dass OCSP genutzt werden soll.
Nach der Konfiguration dieser Änderungen starten Sie die Zertifikatsdienste neu, damit der neue Pfad berücksichtigt wird. Diese Anpassung ist also gegebenenfalls zeitlich genau zu planen, um die Unterbrechung wichtiger Dienste zu vermeiden.
Zusätzlich ist es erforderlich, dass Sie mit Neu – Auszustellende Zertifikatvorlage im Kontextmenü der Liste der Zertifikatvorlagen in der Anwendung Zertifizierungsstelle die für OCSP konfigurierte Zertifikatvorlage aktivieren.
Zertifikatsmanagement
Der nächste Schritt ist die Konfiguration von Zertifikatssperren. Damit legen Sie fest, wie mit den Sperren von Zertifikaten umgegangen wird. Dazu überprüfen Sie zunächst, ob das Zertifikat für die Signatur von OCSP-Anforderungen korrekt konfiguriert ist.
Diesen Schritt erledigen Sie über die Anwendung Zertifikate, die jedoch nicht standardmäßig in der Gruppe Verwaltung zu finden ist. Starten Sie also die Microsoft Management Console (mmc.exe) explizit über Start / Ausführen. Wählen Sie dann das Menü Snap-Ins hinzufügen/entfernen und dort das Snap-In Zertifikate.
Beim Hinzufügen wird gefragt, für welches Benutzerkonto das Snap-In eingerichtet werden soll. In diesem Fall muss die Option Computerkonto gewählt werden. Im nächsten Schritt ist es wichtig, dass Sie den Fokus korrekt setzen, also entweder auf den lokalen Computer, falls dort der OCSP-Responder installiert ist, oder bei Remote-Zugriffen auf den entsprechenden Server im Netzwerk.
Überprüfung und Anpassung des Zertifikats
In der Liste der Zertifikate suchen Sie nun das Zertifikat für die Signatur von OCSP-Anforderungen. Dieses findet sich in der Anwendung zum Management der lokalen Zertifikate bei Eigene Zertifikate – Zertifikate. Dort muss ein auf Basis der Vorlage für die OCSP-Signaturanforderungen erstelltes Zertifikat vorhanden sein.
Bei diesem Zertifikat rufen Sie im Kontextmenü den Befehl Private Schlüssel verwalten auf. Im angezeigten Dialogfeld wählen Sie den speziellen Benutzer NETZWERKDIENST aus und geben ihm die volle Kontrolle über den privaten Schlüssel, damit er die Signaturen durchführen kann.
Der Hintergrund für diesen Konfigurationsschritt ist, dass der OCSP-Responder im Kontext dieses speziellen Benutzers ausgeführt wird und damit eben diesem Benutzer die erforderlichen Berechtigungen für die Nutzung der privaten, für die Signatur erforderlichen Zertifikate gegeben werden muss.
Die Erstellung der Sperrkonfiguration
Nun geht es endlich an die eigentliche Konfiguration der Sperren. Dazu kommt die Anwendung Online Responder Management zum Einsatz. Diese ist unterhalb von Rollen - Active Directory-Zertifikatsdienste im Server-Manager eingebunden und kann direkt dort aufgerufen werden.
Mit dem Befehl Sperrkonfiguration hinzufügen im Kontextmenü des Knotens Sperrkonfiguration erstellen Sie nun eine solche Konfiguration. Dabei unterstützt Sie ein Assistent.
Im ersten Schritt geben Sie einen Namen für diese Sperrkonfiguration an. Bei der Auswahl sind Sie zwar flexibel, es bietet sich jedoch an, den Servernamen mit anzugeben.
Im folgenden Schritt wählen Sie das Zertifizierungsstellenzertifikat aus, dem die Sperrkonfiguration zugeordnet sein soll. Es ist also für jede Zertifizierungsstelle eine eigene Sperrkonfiguration zu erstellen. Das Zertifikat kann direkt aus dem Active Directory, aus dem lokalen Zertifikatsspeicher oder aus einer Datei stammen.
Das Sperrzertifikat
Nach der Auswahl des Zertifikats muss definieren Sie, in welcher Form die Signatur erfolgen soll. Dabei haben Sie drei Optionen:
-
Das Signaturzertifikat kann automatisch ausgewählt werden. Dabei müssen die Zertifizierungsstelle und die zu verwendende Zertifikatvorlage angegeben werden.
-
Das Zertifikat kann manuell angegeben werden. Dazu muss das Zertifikat bereits vorhanden sein. Dieser Ansatz macht vor allem im Zusammenhang mit der Nutzung von OCSP für CAs, die nicht mit dem Active Directory integriert sind, Sinn.
-
Optional kann auch das Zertifikat der Zertifizierungsstelle selbst für die Signatur verwendet werden. Das setzt voraus, dass auf dieses Zertifikat zugegriffen werden kann, was wegen der Sensitivität von Stammzertifikaten der vertrauenswürdigen Zertifizierungsstellen nicht empfehlenswert ist.
Bei den Einstellungen zu den Sperranbietern muss schließlich noch die URL angegeben werden, an der sich die CRLs befinden, die vom OCSP Responder abgerufen werden. Für eine lokale Zertifizierungsstelle sind diese Informationen bereits vorkonfiguriert.
Damit ist die Konfiguration von OCSP abgeschlossen. Es können nun Anforderungen an den OCSP-Responder gestellt und mit signierten Antworten beantwortet werden. (mha)