Ich habe einen Windows-Zertifikatdienst auf einer Windows Server 2008 R2-VM installiert und muss die Zertifikate so ändern, dass sie NICHT AIA und CRL verwenden, sondern NUR OCSP Responder. Der OCSP ist auf einer anderen VM installiert, auf der ebenfalls Windows Server 2008 R2 läuft, und verweist auf die Zertifizierungsstelle und eine OCSP-Responder-Zertifikatvorlage.
Was ich nicht geschafft habe, ist, AIA und CRL aus den Zertifikaten zu entfernen. Kann mir bitte jemand dabei helfen, da ich versucht habe, einen Weg zu finden? Mir wurde gesagt, dass das möglich ist!
Danke
Andy
Antwort1
Dies ist zwar keine Antwort, aber ich würde dringend empfehlen, die CDP-Erweiterung in ausgestellte Zertifikate aufzunehmen:
- Ihr OCSP-Server wird eine einzelne Ausfallstelle sein.
- Der Windows-OCSP-Server ist CRL-basiert, daher müssen Sie Ihrem OCSP-Server weiterhin CRL-Referenzen bereitstellen.
- Sie sollten sich eines Verhaltensaspekts von CryptoAPI bewusst sein: Wenn der Client viele Zertifikate vom gleichen Aussteller erhält (Standardwert ist 50), stoppt CryptoAPI die OCSP-Abfrage und lädt die CRL des Ausstellers herunter. Diese CRL wird verwendet, bis sie abläuft. Nach Ablauf der CRL beginnt der CryptoAPI-Client mit der Verwendung von OCSP, bis eine „magische“ Anzahl von Zertifikaten vom gleichen Aussteller erreicht ist. Der Client beendet die Arbeit mit OCSP und versucht, die CRL zu verwenden. Wenn der CryptoAPI-Client diese „magische“ Zahl erreicht und die CRL nicht verfügbar ist, meldet die Zertifikatsverkettungs-Engine für diesen Aussteller den Fehler „RevocationOffline“.
Sie sollten die Zuverlässigkeit Ihrer Anwendung nicht unnötig verringern, da die CDP-Erweiterung für Sie nichts kostet.
Antwort2
Gelöst. Ich musste lediglich die URL aus den AIAs und den CRLs entfernen. Dadurch wird verhindert, dass die Attribute zum Zertifikat hinzugefügt werden. Alle Widerrufsprüfungen werden von OCSP über Oracle Access Manager durchgeführt.