Windows Server Longhorn: OCSP bei den Zertifikatsdiensten, Teil 2

Geeignetes Zertifikat

Das Zertifikat, das für die Signatur verwendet wird, muss auch vom Client verwendet werden. Hier gibt es mehrere Optionen (Bild 3), wobei man aber in Active Directory-integrierten Umgebungen mit der Option Automatically select signing certificate arbeiten kann. Wichtig ist aber, dass ein für die Signatur von Nachrichten geeignetes Zertifikat vorhanden ist. Optional kann man mit Manually select signing certificate auch manuell ein solches Zertifikat auswählen, wobei das den Aufwand der Konfiguration deutlich erhöht. Man kann aber auch das gewählte Zertifikat der CA für diesen Zweck verwenden.

Bild 3: die Festlegung der Art der Signatur für die OCSP-Nachrichten.
Bild 3: die Festlegung der Art der Signatur für die OCSP-Nachrichten.

Nun muss noch der Revocation Provider angegeben werden. Dabei handelt es sich um die Quelle für die Informationen, die für die Revocation verwendet werden. Hier ist der Pfad zu den Base- und Delta-CRLs der CA anzugeben (Bild 4). Man mag sich im ersten Moment darüber wundern, warum man hier nun CRLs (Certificate Revocation Lists) angeben muss. Immerhin sind CRLs ja genau der Mechanismus, der durch OCSP ersetzt werden soll, weil die mangelnde Aktualität von CRLs ein Sicherheitsrisiko beim Betrieb von zertifikatsbasierenden Infrastrukturen darstellt.

Bild 4: Die Festlegung des Pfades zu den CRLs, die von OCSP verwendet werden.
Bild 4: Die Festlegung des Pfades zu den CRLs, die von OCSP verwendet werden.

Der entscheidende Punkt ist aber, dass man bei OCSP nun mit kürzeren Intervallen arbeiten kann und das auch machen sollte. Man kann natürlich das Gültigkeitsintervall für CRLS bei der Zertifizierungsstelle unverändert lassen und beim Online Responder die Option Refresh CRL based on its validity period beibehalten. Das ist aber eben nicht die optimale Lösung. Es bietet sich vielmehr an, die CRLs nun sehr häufig publizieren zu lassen oder bei der CA sogar manuell nach der Sperre von Zertifikaten zu erstellen und mit einem kurzen Intervall für die Aktualisierung zu arbeiten. Dieses Intervall wird in dem Dialogfeld auch in Minuten angegeben, was deutlich macht, dass die Idee eben nicht ist, eine Aktualisierung beispielsweise nur einmal pro Tag oder noch seltener durchzuführen. Hier ist es aber wichtig, sowohl bei der Zertifizierungsstelle als auch bei der Konfiguration von OCSP entsprechende Einstellungen vorzunehmen, um wirklich ein höheres Maß an Aktualität zu erreichen. Damit ist die Revocation-Konfiguration abgeschlossen und wird nun in der Liste beim Knoten Revocation Configuration angezeigt.