Windows Server Longhorn: OCSP bei den Zertifikatsdiensten, Teil 2

Revocation-Konfiguration

Der nächste Schritt ist die Konfiguration der Revocation, also der Information über abgelehnte Zertifikate. Im Knoten Recovation Configuration lässt sich die Aktion Add Revocation Configuration auswählen. Dabei wird ein Assistent gestartet, mit dem die Konfiguration festgelegt werden kann. Es können auch mehrere Konfigurationen erstellt werden, um mit einer OCSP-Infrastruktur beispielsweise mehrere CAs zu unterstützen. Der erste Schritt ist die Festlegung eines Namens für die Konfiguration. Hier sollte wie immer in solchen Fällen ein eindeutiger, sprechender Name gewählt werden.

Bild 2: Die Auswahl der Art der Zertifizierungsstelle, die von OCSP unterstützt werden soll.
Bild 2: Die Auswahl der Art der Zertifizierungsstelle, die von OCSP unterstützt werden soll.

Anschließend muss das Zertifikat der Zertifizierungsstelle ausgewählt werden, für die diese Konfiguration gilt (Bild 2). Eine Konfiguration gilt also immer für genau eine Zertifizierungsstelle. Für jede Zertifizierungsstelle, deren ausgestellte Zertifikate durch OCSP geprüft werden sollen, muss eine Konfiguration erstellt werden. Das Zertifikat kann für eine Enterprise CA direkt von dieser angefordert werden. Das bietet sich beim Betrieb von eigenen CAs an. In diesem Fall findet sich das Zertifikat in der Regel im Active Directory oder sogar auf dem lokalen System. Eine Alternative dazu ist die Verwendung eines Zertifikats aus dem lokalen Zertifikatsspeicher. Damit können Zertifikate auch für CAs, die nicht im Active Directory verwaltet werden, importiert werden. Außerdem kann auch auf Dateien zugegriffen werden.

Im folgenden Schritt muss die CA ausgewählt werden. Welche Optionen hier angezeigt werden, hängt von der im vorangegangenen Schritt gewählten Konfiguration ab. Nachfolgend wird das für die Speicherung eines CA-Zertifikats – also eines Zertifikats einer vertrauenswürdigen Stammzertifizierungsstelle – im Active Directory beschrieben. In diesem Fall gibt es die Option Browse CA certificates published in Active Directory. Das ist auch die Standardoption. Wenn sie gewählt wurde, kann man mit Browse nach dem Zertifikat im Active Directory suchen und es auswählen. Durch Anklicken von View Selected CA certificate im unteren Bereich kann man sich noch die Details zu dem Zertifikat anzeigen lassen. Als Alternative kann man auch die Option Browse for CA Computer verwenden und über den Computernamen nach der CA suchen. Nachdem dieser Festlegung muss definiert werden, wie die Revocation-Information, die von OCSP gesendet wird, signiert wird.