368 Kapitel 7: Active Directory-Zertifikatdienste
Lektion 2: Verwalten und Warten von Zertifikaten
und Zertifikatvorlagen
Diese Lektion behandelt die Sperrung von Zertifikaten, einschließlich der Veröffentlichung
von Zertifikatsperrlisten und die Konfiguration von Online-Respondern, sowie die verschie-
denen Registrierungsmethoden, wie Webregistrierung und automatische Registrierung. In
dieser Lektion werden auch Zertifikatvorlagen besprochen. Sie ermöglichen Ihnen die Er-
stellung von weiterentwickelten digitalen Zertifikaten, die für Ihre Organisation vielleicht
besser geeignet sind als die Standardzertifikatvorlagen, die mit Windows Server 2008 aus-
geliefert werden.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Verwalten von Zertifikatsperrungen und Konfigurieren von Online-Respondern
■ Verwalten von Zertifikatvorlagen
■ Verwalten und Automatisieren von Zertifikatregistrierungen
Veranschlagte Zeit für diese Lektion: 40 Minuten
Verwalten und Warten von Zertifikatsperrlisten
Bei Zertifikatsperrlisten handelt es sich, wie die Bezeichnung schon andeutet, um Listen,
in denen gesperrte Zertifikate verzeichnet sind. Sie vertrauen einem Zertifikat, das von einer
bestimmten Zertifizierungsstelle ausgestellt wurde, weil sie der Zertifizierungsstelle vertrau-
en, die das Zertifikat ausgestellt hat und ihre Arbeitsweise in ihrem Regelwerk beschreibt.
Würden Sie der Zertifizierungsstelle nicht vertrauen, dann würden Sie auch keinem von die-
ser Zertifizierungsstelle ausgestellten Zertifikat vertrauen. Aus einer Zertifikatsperrliste geht
nun hervor, welche von der Zertifizierungsstelle ausgestellten Zertifikate von ihr selbst nicht
mehr als vertrauenswürdig eingestuft werden. Es gibt viele Gründe, weswegen Zertifikate in
einer Zertifikatsperrliste geführt werden können. Vielleicht wurde zum Beispiel ein für eine
untergeordnete Zertifizierungsstelle ausgestelltes Zertifikat gesperrt, weil die Sicherheits-
maßnahmen der untergeordneten Zertifizierungsstelle überwunden wurden und die Zertifi-
zierungsstelle deshalb als nicht mehr vertrauenswürdig eingestuft wird. Die wichtigste Aus-
sage für ein Zertifikat, das in einer Zertifikatsperrliste geführt wird, lautet aber: „Dieses
Zertifikat ist nicht länger vertrauenswürdig.“
Jedes Mal, wenn ein neues Zertifikat geprüft oder ein vorhandenes verwendet wird, wird
überprüft, ob das Zertifikat in der Zertifikatsperrliste der ausstellenden Zertifizierungsstelle
geführt wird. Ist die Zertifizierungsstelle Teil einer Hierarchie, wird außerdem überprüft, ob
die übergeordnete Zertifizierungsstelle, die das Signaturzertifikat ausgestellt hat, immer
noch der Zertifizierungsstelle vertraut, von der das zu überprüfende Zertifikat stammt. Man
sollte einfach keinem Zertifikat trauen, das von einer nicht vertrauenswürdigen Zertifizie-
rungsstelle stammt! Wo die Zertifikatsperrliste zu finden ist, ist im Zertifikat verzeichnet.
Daher weiß die Software, die die Sperrungsprüfung durchführt, wo sie die erforderlichen
Informationen finden kann. Der Ort, an dem die Zertifikatsperrlisten verfügbar sind, hat
einen besonderen Namen: Es ist der Sperrlisten-Verteilungspunkt. Sie können für dieselbe
Zertifizierungsstelle mehrere Sperrlisten-Verteilungspunkte einrichten.
Lektion 2: Verwalten und Warten von Zertifikaten und Zertifikatvorlagen 369
Sperrlisten-Verteilungspunkte
Den Sperrlisten-Verteilungspunkt für einen bestimmten Zertifikatserver können Sie in den
Eigenschaften der ausstellenden Zertifizierungsstelle auf der Registerkarte Erweiterungen
konfigurieren. Damit ein Benutzer die Angabe des Sperrlisten-Verteilungspunkts bearbeiten
kann, müssen Sie ihm die Rolle des Zertifizierungsstellenadministrators zuweisen, wie in
Lektion 1 beschrieben. Wie aus Abbildung 7.14 hervorgeht, können Sie die Adresse des
Sperrlisten-Verteilungspunkts in HTTP, FTP oder LDAP (Lightweight Directory Access Pro-
tocol) angeben, oder als Kombination von Datei und Ordner. Beachten Sie bitte, dass sämt-
liche Änderungen am Sperrlisten-Verteilungspunkt eines Zertifikatservers nicht rückwirkend
gelten. Diese Angaben werden zum Zeitpunkt der Ausstellung ins Zertifikat aufgenommen.
Wenn Sie den Sperrlisten-Verteilungspunkt nachträglich ändern, können Clients, die zuvor
ausgestellte Zertifikate überprüfen, den neuen Verteilungspunkt nicht finden. Falls es also
erforderlich werden sollte, einen Verteilungspunkt zu ändern, sollten Sie eine Übergangsstra-
tegie entwickeln, bei der entweder der alte Verteilungspunkt während der Geltungsdauer der
bereits ausgestellten Zertifikate verfügbar bleibt oder alle Zertifikate mit den aktualisierten
Angaben über den Sperrlisten-Verteilungspunkt erneuert werden.
Abbildung 7.14 Bearbeiten des Sperrlisten-Verteilungspunkts
Eine Zertifikatsperrliste ist eine einzelne Datei, die im Lauf der Zeit recht groß werden kann.
Diese
Dateigröße ist ein wichtiger Aspekt, weil ein Client bei jeder Überprüfung die gesamte
Zertifikatsperrliste
herunterladen muss, sofern er nicht über eine zwischengespeicherte Kopie
verfügt. Wenn Sie Ihre Zertifikatsperrliste häufig aktualisieren, müssen Clients jedes Mal die
gesamte Zertifikatsperrliste herunterladen, weil sie die neue Version noch nicht zwischenge-
speichert haben. Dieses Problem lässt sich durch die Veröffentlichung einer kleineren Zerti-
fikatsperrliste beheben, die Deltasperrliste genannt wird. In einer Deltasperrliste werden nur
Zertifikate aufgeführt, die seit der Veröffentlichung der letzten Zertifikatsperrliste gesperrt
wurden. Clients laden die Deltasperrliste herunter und hängen sie an die Zertifikatsperrliste
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
