Статус неизвестен ошибка обновления crl. Планирование инфраструктуры PKI. Периодичность публикации и обновления файлов CRL и CRT

Эта статья является частью в тестовом окружении.

После выбора схемы иерархии, необходимо выбрать:

• срок действия сертификата CA ;
• сроки действия издаваемых сертификатов;
• сроки действия Base CRL и Delta CRL ;
• срок действия перекрытия (overlap) Base CRL и Delta CRL ;
• использование OCSP Online Responder;
• CRL Distribution Points (CDP) и Authority Information Access (AIA).

Необходимо заранее спланировать изменения, которые будут вносится в настройки CA , как минимум, это параметры CDP и AIA расширений. Их необходимо внести сразу после установки, и до выдачи первых сертификатов. По умолчанию, некоторые шаблоны помечены для автоматического издания. Доменный контроллер запросит себе два сертификата сразу же, как только обнаружит появление CA . Это произойдет при автоматическом обновлении групповых политик. По этой причине, после полной настройки CA нужно будет убедится, что ни один сертификат еще не был выдан.

Выбор срока действия сертификата CA

Срок действия сертификата CA рекомендуется выбирать в пределах 5-20 лет. Чем больше, тем реже придется заниматься его распространением, но и тем больше будет проблем при компрометации этого сертификата. Для одноуровневой иерархии срок действия сертификата CA по умолчанию 5 лет. Срок действия сертификата CA выбирается при его установке или вышестоящим CA .

Выбор сроков действия издаваемых сертификатов

Значение по-умолчанию 2 года. Шаблоны переопределяют это значение.

Со временем CRL может очень сильно вырасти в размерах. Чтобы уменьшить нагрузку по получению CRL , используется Delta CRL .

Ссылки в расширениях CDP и AIA можно изменить и добавить двумя способами. При помощи certutil.exe и при помощи оснастки certsrv.msc . Однако при помощи оснастки certsrv.msc нельзя поменять порядок следования ссылок в сертификатах. И если планируется изменить порядок по умолчанию, то certutil.exe остается единственным выбором. Единственным, потому, что через оснастку доступны не все свойства ссылок. Взгляните сами на дефолтные ссылки AIA из свежеустановленного CA . Для LDAP ссылки установлено свойство CSURL_SERVERPUBLISH, однако в оснастке просто нет возможности установить это свойство. Интересно, не правда-ли.

Планирование CDP

Таблица ссылок для расширения CDP

№	Код
0	65	C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl 65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl
1	79	ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10 - Publish CRL s to this location - Include in all CRL s. Specifies where to publish in the Active Directory when publishing manually. - Publish Delta CRL s to this location
2	6	http://%1/CertEnroll/%3%8%9.crl 6:http://%1/CertEnroll/%3%8%9.crl - Include in CRL s. Clients use this to find Delta CRL locations. - Include in the CDP extension of issued certificates
3	0	file://%1/CertEnroll/%3%8%9.crl 0:file://%1/CertEnroll/%3%8%9.crl

• для ссылки 2 добавлены две опции, т.е. включается добавление в издаваемые сертификаты HTTP ссылки;
• ссылка 3 не меняется, поскольку IIS сервер находится на сервере CA , и публикация для HTTP сервера выполняется по ссылке 0.

certutil.exe :

certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://%1/CertEnroll/%3%8%9.crl\n0:file://%1/CertEnroll/%3%8%9.crl"

certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://%%1/CertEnroll/%%3%%8%%9.crl\n0:file://%%1/CertEnroll/%3%8%9.crl"

Планирование AIA

Таблица ссылок для расширения AIA

№	Код	Ссылка и используемые параметры
0	1	C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt 1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt - CSURL_SERVERPUBLISH
1	3	ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11 3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11 - CSURL_SERVERPUBLISH
2	2	http://%1/CertEnroll/%1_%3%4.crt 2:http://%1/CertEnroll/%1_%3%4.crt - Include in the AIA extension of issued certificates
3	0	file://%1/CertEnroll/%1_%3%4.crt 0:file://%1/CertEnroll/%1_%3%4.crt
4	32	http://%1/ocsp 32:http://%1/ocsp - Include in the online certificate status protocol (OCSP) extension

Примечания и отличия от конфигурации по-умолчанию:

• параметры для ссылки 0 невозможно задать из оснастки certsrv.msc ;
• параметры для ссылки 1 невозможно задать из оснастки certsrv.msc ;
• для ссылки 2 включена публикация в издаваемых сертификатах;
• ссылка 3 не меняется, поскольку HTTP сервер находится на сервере CA , и публикация для HTTP сервера выполняется по ссылке 0;
• добавлена ссылка 4 с публикацией ссылки на OCSP Responder; если не добавить эту ссылку то нет никакого смысла ставить сервис Online Responder.

Итоговая команда для изменений при помощи certutil.exe :

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://%1/CertEnroll/%1_%3%4.crt\n0:file://%1/CertEnroll/%1_%3%4.crt\n32:http://%1/ocsp"

Она же, но в случае выполнения из командного файла:

Чеклист

Название	Название параметра в certutil	Значение по-умолчанию	Выбранное значение
Имя CA			YourName Root Certification Authority
Тип CA
Срок действия сертификата CA		5 Years	10 Years
Срок действия издаваемых сертификатов
Время действия издаваемых сертификатов	CA\ValidityPeriodUnits	2
Единица измерения срока действия издаваемых сертификатов	CA\ValidityPeriod	Years
Срок действия Base CRL
Период достоверности Base CRL	CA\CRLPeriodUnits	1
Единица измерения периода достоверности Base CRL	CA\CRLPeriod	Weeks
Срок действия Delta CRL
Период достоверности Delta CRL	CA\CRLDeltaPeriodUnits	1
Единица измерения периода достоверности Delta CRL	CA\CRLDeltaPeriod	Days
Перекрытие периода действия Base CRL
Время до истечения срока действия текущего основного CRL , за которое будет публиковаться новый основной CRL .	CA\CRLOverlapUnits	0	24
Единица измерения этого времени для основного CRL (Hours|Minutes)	CA\CRLOverlapPeriod	Hours	Hours
Перекрытие периода действия Delta CRL
Время до истечения срока действия текущего инкрементального (если используется) CRL , за которое будет публиковаться новый инкрементальный CRL (максимум 12 часов)	CA\CRLDeltaOverlapUnits	0	12
Единица измерения этого времени для инкрементального CRL (Hours|Minutes)	CA\CRLDeltaPeriodPeriod	Minutes	Hours
Использовать OCSP			Yes
CDP extension	CA\CRLPublicationURLs	File, LDAP	File, LDAP , HTTP
AIA extension	CA\CACertPublicationURLs	File, LDAP	File, LDAP , HTTP, OCSP

Конфигурационный скрипт для Certification Authority

До установки роли AD CS необходимо создать конфигурационный скрипт, который выполнит послеустановочную настройку CA на основании выбранных параметров. Ниже следует пример такого скрипта:

CAScript.cmd

:: CDP
certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://%%1/CertEnroll/%%3%%8%%9.crl\n0:file://%%1/CertEnroll/%%3%%8%%9.crl"
:: AIA
certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://%%1/CertEnroll/%%1_%%3%%4.crt\n0:file://%%1/CertEnroll/%%1_%%3%%4.crt\n32:http://%%1/ocsp"
:: В случае использования роли OCSP , при обновлении сертификата CA могут быть
:: проблемы с проверкой подлинности сертификатов. Чтобы устранить эту проблему
:: используется:
certutil –setreg CA\UseDefinedCACertInRequest 1
:: Включаем наследование Issuer Statement в издаваемых сертификатах
certutil -setreg Policy\EnableRequestExtensionList +"2.5.29.32"
:: Задаём срок действия издаваемых сертификатов
::certutil -setreg CA\ValidityPeriodUnits 2
::certutil -setreg CA\ValidityPeriod "Years"
:: Задаём параметры публикации CRL
::certutil -setreg CA\CRLPeriodUnits 1
::certutil -setreg CA\CRLPeriod "Weeks"
::certutil -setreg CA\CRLDeltaPeriodUnits 1
::certutil -setreg CA\CRLDeltaPeriod "Days"
:: Меняем параметры CRL Overlap
certutil -setreg CA\CRLOverlapUnits 24
certutil -setreg CA\CRLOverlapPeriod "Hours"
certutil –setreg CA\CRLDeltaOverlapUnits 12
certutil –setreg CA\CRLDeltaOverlapPeriod "Hours"
:: включаем полный аудит для сервера CA
certutil -setreg CA\AuditFilter 127
:: Перезапускаем сервис CA
net stop certsvc && net start certsvc
:: Публикуем новый CRL в новую локацию.
certutil -CRL

Одним из важных аспектов безопасности сайта является процедура аннулирования SSL сертификатов и их внесения в списки CRL. Как известно, центры сертификации выписывают SSL сертификаты безопасности только после валидации доменного имени и в некоторых случаях после тщательной проверки компании, которой принадлежит этот домен. Благодаря данной процедуре сертификационный центр может обеспечить достоверность информации в SSL сертификате и соответственно гарантирует безопасность защищенного веб-сайта. Все же иногда случается, что безопасность сайта может оказаться под угрозой даже с действующим SSL сертификатом, например, если специальный ключ доступа был утерян или украден. В таких случаях он должен быть аннулирован (отозван). Аннулированные SSL сертификаты заносятся в специальные списки CRL. Причины аннулирования SSL Существует множество причин для внесения SSL сертификатов в списки CRL до истечения срока их действия. Вот некоторые из них:

• SSL сертификат содержит неверное название компании или другую неверную информацию
• специальный ключ был утерян или скомпрометирован
• сотрудник, имеющий к нему доступ, уволился с места работы
• нарушение политики безопасности
• защищенный сайт больше не работает и т.д.

К этому перечню можно отнести любые факторы, которые могут способствовать утечке информации во время ее передачи по защищенному каналу. Дабы этого избежать, необходимо запросить отзыв SSL сертификата.

Статус SSL сертификата

Статус SSL сертификата на предмет его аннулирования проверяется браузером перед каждым установлением безопасного соединения по протоколу https. Существует два типа статусов:

1. Аннулирован или же отозван . Процедура аннулирования безвозвратна. Если статус гласит «аннулирован», то чтобы снова защитить Ваш сайт необходимо заново купить SSL сертификат .
2. Временно недоступен . Если же владелец домена, например, не уверен, потерял ли он ключ, он может использовать второй статус - «временно недоступен» - до установления места нахождения секретного ключа. В таком случае, если он нашелся и не был доступен для третьих лиц, этот статус можно отозвать и SSL снова станет действительным.

CRL или списки САС

Как же пользователи веб-ресурса узнают, что SSL аннулирован и защита сайта нарушена? Как раз для этого существуют списки аннулированных сертификатов (в международном варианте - Certificate Revocation Lists, сокращенно CRL), которые содержат следующие данные:

• уникальные серийные номера всех отозванных SSL сертификатов
• название ответственного центра сертификации,
• дату аннулирования,
• актуальную дату,
• дату публикации нового списка CRL.

Каждый список CRL защищен цифровой подписью, которая обеспечивает целостность информации в них и не позволяет третьим лицам внести изменения. Списки CRL регулярно обновляются и публикуются, обеспечивая актуальную информацию о статусе каждого SSL сертификата. Таким образом, браузер пользователя всегда будет знать, можно ли доверять указанному сайту с https соединением и соответственно, разрешать или блокировать доступ к нему.

Публикация списков CRL

Списки CRL создаются и публикуются с определенной периодичностью. Тем не менее в некоторых случаях, CRL могут опубликовать сразу после проведения операции по отзыву. Аннулирование SSL сертификатов и их внесение в списки CRL производит выдавший их центр сертификации. Срок действия списка CRL может колебаться от 1 до 24 часов.

В каких случаях используются списки CRL?

Когда мы имеем дело с сертификатами, мы используем CRL. Например, когда браузер пытается установить https соединение с сайтом, он верифицирует сертификат сервера. В процессе верификации, браузер выбирает способ проверить, не отозван ли SSL сертификат. Если выбран способ проверки по списку отозванных сертификатов CRL, браузер загружает соответствующий файл CRL по адресу, указанному в SSL сертификате и производит его проверку. Если Центр сертификации указал, что данный SSL сертификат отозван, доступ пользователя к сайту будет закрыт. Альтернативным методом спискам CRL является протокол валидации сертификатов, известный под аббревиатурой

CRL или CAC - списки SSL-сертификатов, отозванных центром выдачи (CA). На 2017 год происходит отказ от использования CRL (САС) в пользу OCSP (Онлайн Протокол Состояния Сертификата).

SSL обеспечивает защищённое HTTPS-соединение с сайтом, но существуют угрозы безопасности даже при действующем сертификате. Самая распространённая – секретный ключ скомпрометирован. Передача данных становится небезопасна. Чтобы номера кредитных карт и пароли пользователей не попали к мошенникам, сертификат нужно отозвать.

Основные причины аннулирования SSL:

• ключ утерян/украден или скомпрометирован
• неверно указано название компании или другие данные
• сайт прекратил работу
• сменился владелец ресурса
• выдавший сертификат Certification Authority скомпрометирован

Как работают списки CRL?

Список аннулированных сертификатов публикует Certificate Authority (CA), выдавший сертификат:

1) Владелец домена или посетитель сайта, заметивший проблему, обращается в CA и просит аннулировать действующий SSL.

2) CA заносит уникальный серийный номер сертификата в список CAC, который:

• защищён цифровой подписью центра - нельзя изменить
• обновляется минимум раз в сутки - всегда актуален

3) Каждый раз при соединении с ресурсом браузер посетителя проверяет, аннулирован ли SSL-сертификат. Смотрит в загруженных списках CRL или по протоколу OCSP - через запрос к CA. Если находит сертификат в списке CRL или получает от CA ответ, что сертификат отозван - показывает предупреждение об ошибке.

Не все браузеры загружают списки CAC и пользуются OCSP

Firefox проверяет статус только для сертификатов с расширенной проверкой EV. Пользователи этого браузера не узнают об отзыве SSL DV и OV. Так же как и мобильные пользователи Safari в iOS. Chrome определяет статус сертификата для Windows, но не для Linux и Android.

Internet Explorer и Opera - самые безопасные в этом отношении браузеры. Они используют OCSP и CRL в зависимости от того, что предлагает CA.

Аннулированный сертификат нельзя восстановить , только купить новый. Берегите секретный ключ - его утеря или компрометация чаще всего приводит к отзыву SSL-сертификата.