Certification Revocation List (CRL) explained

Hallo zusammen,

Ich habe mich ja schon oft mit Zertifikaten und der CA beschäftigt. Dieses mal wollte ich ein bisschen mehr über die Certification Revocation List (CRL) erfahren.

Auf meiner Windows 2003 CA im Labor habe ich deshalb ein bisschen herumgespielt.

Schauen wir uns doch ein ausgestelltes Zertifikat ein bisschen näher an.

Im Feld "CRL Distribution Point" (CDP) wird der Pfad zur CRL angegeben. Standardmässig sind dies der LDAP und der HTTP Pfad.

Auf den Eigenschaften der CA kann man das konfigurieren.

Und zwar in der Registerkarte "Extensions"

Spasseshalber entferne ich den LDAP Pfad mal aus dem CDP

Danach muss der CA Service neu gestartet werden.

Nun muss ein neues Zertifikat ausgestellt werden, oder ein bestehendes Zertifikat erneuert werden.

Voila, nur noch der HTTP Pfad ist im CDP enthalten.

CRL Generierung

Es gibt zwei CRL's. Die normale CRL und die "Delta CRL".

Standardmässig wird die normale CRL einmal pro Woche und die Delta CRL einmal täglich generiert.

Certificate Revocation

Zertifikate können zurückgezogen (revocation) werden.

Beim zurückziehen wird ein Zertifikat für ungültig erklärt. Dazu muss man für jedoch einen Grund angeben.

CRL manuell generieren

Man kann die CRL auch manuell generieren, Entweder über die GUI in der MMC

Oder über das Kommandozeilentool certutil

Man sieht, dass nur bestimmte "Revocation Reasons" dazu führen, dass Zertifikate in der CRL landen.

Lessons learned:

• Die CRL wird standardmässig nur einmal pro Woche generiert
• Die Delta CRL wird standardmässig nur einmal pro Tag generiert
• Manuelle Generierung der CRL ist möglich (MMC oder certutil)
• Nur Zertifikate mit der Revocation Reason "KeyCompromise", "Unspecified", "Certificate Hold" sind in der CRL enthalten.