¿Cómo debe ser el nombre de un archivo de CRL cuando se generan las CRL "nuevas" y "delta"?

3

Sospecho que mi configuración de revocación de CRL del servidor de certificados de Windows 20012 es incorrecta cada vez que genero una nueva CRL o una nueva Delta, solo se generan un máximo de 3 archivos.

  1. Cuando creé la raíz sin conexión (en la imagen de abajo), generó el archivo ''

  2. Cuando la raíz sin conexión creó su primer certificado, firmó con el nombre Root01+.crt

Volcado parcial de certificado de lo que la raíz agregó a mi archivo de solicitud de certificado de la sub (política) CA:

 2 Authority Info Access
     Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
     Alternative Name:
          URL=http://classic.freesmime.com/Root01/Root01_.crt

Luego miré el sistema de archivos y noté que el intermedio hacía referencia a un certificado que nunca se creó. Así que fui a la CA raíz, hice clic en el nodo que decía "certificados revocados" y presioné publicar.

Luego tuve la opción de crear un nuevo archivo CRL o crear un delta. No estaba seguro de cuál hacer, así que hice ambas (este es un laboratorio de pruebas). Noté que se generaron los siguientes archivos:

 ROOT01+.crl  (updated for Delta and new CRL)
 ROOT01.crl   (Updated only for new CRL)
 ROOT01_.crl  (Never updated ... only created when CA installed)

Pregunta

  • Entonces, mi pregunta es ... ¿es correcto que una CA dada tenga un máximo de 3 CRL con un sufijo variable como se indica arriba?

  • ¿Es correcto que un nombre de subrayado nunca se actualice?

Para aquellos que han leído hasta aquí, aquí hay una imagen de mi configuración de CRL dentro de una CA sin conexión de MSFT:

Lo siento por el gran tamaño, estoy usando una Mac y creo que algo está haciendo que las imágenes parezcan demasiado grandes

    
pregunta random65537 08.01.2013 - 02:30
fuente

1 respuesta

1

Una configuración "normal" con los Servicios de Certificate Server de Microsoft incluye dos archivos CRL : un CRL base y un delta CRL . La CRL base está destinada a ser referenciada desde una extensión CRL Distribution Points en el certificado emitido. La CRL base contendrá una extensión Freshest CRL que a su vez apunta a la CRL delta. Cada vez que se emite una nueva CRL base, se emite una nueva CRL delta inmediatamente después; pero la CRL delta también se puede actualizar más a menudo que la CRL base (y ese es el punto de usar una CRL delta, por cierto). De manera predeterminada, los Servicios de Certificate Server forzarán una nueva CRL delta cuando caduque la anterior, y también cuando se revoque un certificado.

No necesitas más que estos dos archivos. Recuerde que una CRL tiene algún valor solo en la medida en que los clientes (que validan los certificados) pueden encontrarlos y los encuentran siguiendo la URL que se encuentra en otros objetos. Los certificados de entidad final contienen una URL para la descarga de CRL, por lo tanto, la CRL actual siempre debe almacenarse con el nombre de ese .

Además, los Servicios de Certificate Server le permiten configurar los nombres de CRL (base y delta) solo a través de una configuración común, los dos nombres se diferencian solo por la palabra clave " <DeltaCRLAllowed> ", que se reemplaza por una cadena vacía para un CRL base, y un signo "+" para un CRL delta. Se impone ese esquema de denominación; no puedes cambiarlo (Por cierto, si opta por la distribución de CRL basada en la Web y su servidor Web es IIS, el signo "+" le causará problemas; para permitir que IIS sirva el archivo, debe activar doble escape .)

Para el tercer archivo con un guión bajo, verifique si es un archivo ".crl" (es decir, un CRL) o un archivo ".crt" (es decir, un certificado). Es normal y se espera que tenga una copia del certificado de CA en esa ubicación. El nombre de ese certificado se derivará (aún de manera predeterminada) del nombre de host de la CA y su nombre de dominio; si no obtiene nada después del guión bajo, supongo que su CA no es parte de un dominio de Active Directory. Se hace referencia al certificado de CA desde la extensión Authority Information Access de los certificados emitidos, mientras que a la CRL se hace referencia desde la extensión CRL Distribution Points de los mismos certificados.

    
respondido por el Thomas Pornin 08.01.2013 - 03:59
fuente