Windows Server Longhorn: OCSP bei den Zertifikatsdiensten, Teil 1

01.01.2007 von Martin Kuppinger
Bei den Zertifikatsdiensten des Windows Server Longhorn hat sich einiges getan. Eine der wichtigsten Neuerungen ist die Unterstützung von OCSP (Online Certificate Status Protocol), einem Protokoll für PKIs, mit dem Zertifizierungsstellen Informationen über den Status von Zertifikaten geben können.

OCSP ist faktisch ein Nachfolger der CRLs (Certificate Revocation Lists), die bisher auch beim Windows Server der einzige unterstützte Standard waren. CRLs haben aber den großen Nachteil, dass sie typischerweise höchstens einmal pro Tag aktualisiert werden, sodass zwischen der Sperrung eines Zertifikats und der Umsetzung durch die Anwendungen relativ viel Zeit vergeht.

Das ist unter dem Aspekt der Sicherheit nicht tragbar. Wenn sowohl die PKI als auch die Anwendungen OCSP unterstützen, werden Sperrungen von Zertifikaten dagegen sofort wirksam, weil bei der nächsten Anfrage eben gemeldet wird, dass ein Zertifikat nicht mehr gültig ist.

Serie

Teil 1

Grundlagen zu OSCP und Einrichtung der Zertifikatsdienste mit OCSP

Teil 2

Die Konfiguration und Nutzung von OCSP

Die Einrichtung von OCSP

OCSP ist ein Teil der Zertifikatsdienste des Windows Server Longhorn. Um den Dienst einzurichten, muss man also im Server-Manager die Rolle Certificate Services hinzufügen. Wenn man die Rolle konfiguriert, wird gleich im ersten Schritt nach den Role Services gefragt (Bild 1). Zu diesen Diensten gehört auch das Online Certificate Status Protocol.

Bild 1: Die Auswahl von OCSP bei der Einrichtung der Zertifikatsdienste.

Wenn dieses Protokoll ausgewählt wird, wird gleich eine Meldung angezeigt, in der darauf hingewiesen wird, dass man zusätzlich einige weitere Komponenten einrichten muss. Das betrifft einerseits die IIS und andererseits die WAS (Windows Activation Services) (Bild 2).

IIS einrichten

Alle weiteren Einstellungen bei der Installation können aber beibehalten werden. Hier sind – zumindest für die Einrichtung der Zertifikatsdienste und von OCSP – keine Anpassungen erforderlich, soweit man eine einfache CA erstellt, die nicht anderen, bereits bestehenden CAs untergeordnet sind oder andere Besonderheiten aufweist.

Bild 2: Für OCSP müssen unter anderem die IIS eingerichtet werden.

Die IIS sind für OCSP erforderlich, weil die Anforderungen an die Server über das Web laufen. Die Kommunikation erfolgt standardmäßig über HTTP, auch wenn grundsätzlich auch andere Implementierungen denkbar sind.

Wie geht es weiter?

Das Verwaltungswerkzeug für das Management von OCSP heißt Online Responder Management. Damit befasst sich der zweite Teil der Artikelserie.