372 Kapitel 7: Active Directory-Zertifikatdienste
■ Stellenkompromiss (engl. CA Compromise, Stellenkompromittierung) Wählen
Sie diesen Grund, wenn Sie das Signaturzertifikat einer untergeordneten Zertifizie-
rungsstelle sperren wollen, weil Sie vermuten, dass ein Angreifer das Sicherheitssys-
tem der Zertifizierungsstelle überwunden hat. Dadurch werden alle von dieser Zertifi-
zierungsstelle ausgestellten Zertifikate ungültig, einschließlich aller Zertifikate von
Zertifizierungsstellen, die in der Hierarchie unter dieser Zertifizierungsstelle stehen.
■ Zuordnung geändert (engl. Change of Affiliation) Wählen Sie diesen Grund,
wenn die Person, der Sie das Zertifikat ausgestellt haben, die Organisation verlässt
oder in der Organisation zukünftig eine andere Aufgabe übernimmt.
■ Abgelöst (engl. Superseded) Wählen Sie diesen Grund, wenn ein aktuelleres Zerti-
fikat ausgestellt wurde, beispielsweise wegen Änderungen in der Zertifikatvorlage,
und wenn alle für diesen Zweck zuvor ausgestellten Zertifikate ungültig sein sollen.
■ Vorgangsende (engl. Cease of Operation) Wählen Sie diesen Grund, wenn Sie ein
Computerzertifikat sperren wollen, das für einen Computer ausgestellt wurde, der
außer Dienst gestellt werden soll. Vielleicht stellt Ihre Organisation zum Beispiel eine
E-Commerce-Website außer Dienst, weil sich ein Markenname geändert hat, und Sie
möchten das SSL-Zertifikat dieser Website deswegen sperren.
■ Zertifikat blockiert (engl. Certificate Hold) Wählen Sie diesen Grund, um Zertifi-
kate zu blockieren. Das bedeutet, dass das Zertifikat nicht als gültig eingestuft werden
kann, aber auch nicht gesperrt worden ist. Es ist möglich, diesen Zustand durch die
Zuweisung des Status Aus Zertifikatsperrliste entfernen wieder aufzuheben, der nur
blockierten Zertifikaten zugewiesen werden kann.
■ Nicht angegeben (engl. Unspecified) Dieser Grund wird angegeben, wenn keiner
der anderen Sperrungsgründe zutrifft. Sollte die Sperrung später angezweifelt werden,
weist diese Kategorie aber den Nachteil auf, dass ein Prüfer nicht erkennen kann,
warum ein bestimmtes Zertifikat gesperrt wurde.
Beachten Sie bitte, dass eine Sperrung erst dann wirksam wird, wenn Sie die Zertifikatsperr-
liste oder Deltasperrliste veröffentlichen. Das bedeutet nicht, dass Sie bei jeder Sperrrung
eines Zertifikats automatisch auch eine neue Zertifikatsperrliste veröffentlichen sollten. Aber
Sie sollten die Leute, die für Zertifikatsperrungen zuständig sind, darauf hinweisen, dass
Sperrungen nur mit einer gewissen Verzögerung ihren Weg in die Zertifikatsperrliste finden.
Verwalten und Warten von Online-Respondern
Wenn ein Zertifikat überprüft wird und sich die erforderliche Zertifikatsperrliste nicht im
Zwischenspeicher des Clients befindet, muss die gesamte Zertifikatsperrliste und die dazu-
gehörige neuste Deltasperrliste heruntergeladen werden. Je länger die Zertifizierungsstelle in
Betrieb ist, desto länger wird auch die Zertifikatsperrliste werden. Zu Spitzenzeiten, wenn
sich zum Beispiel viele Benutzer mit ihren Smartcards anmelden, kann es wegen der starken
Belastung des Netzwerks und der Server zu spürbaren Verzögerungen kommen. Dieses
Problem können Sie unter Verwendung von OCSP (Online Certificate Status Protocol)
abschwächen.
Für eine herkömmliche Sperrungsprüfung wird die gesamte Zertifikatsperrliste gebraucht.
Bei Prüfungen mit Online-Respondern erfolgen ganz gezielt Abfragen über den Status von
bestimmten Zertifikaten. Statt die gesamte Zertifikatsperrliste über das Netzwerk zu übertra-