372 Kapitel 7: Active Directory-Zertifikatdienste
■ Stellenkompromiss (engl. CA Compromise, Stellenkompromittierung) Wählen
Sie diesen Grund, wenn Sie das Signaturzertifikat einer untergeordneten Zertifizie-
rungsstelle sperren wollen, weil Sie vermuten, dass ein Angreifer das Sicherheitssys-
tem der Zertifizierungsstelle überwunden hat. Dadurch werden alle von dieser Zertifi-
zierungsstelle ausgestellten Zertifikate ungültig, einschließlich aller Zertifikate von
Zertifizierungsstellen, die in der Hierarchie unter dieser Zertifizierungsstelle stehen.
■ Zuordnung geändert (engl. Change of Affiliation) Wählen Sie diesen Grund,
wenn die Person, der Sie das Zertifikat ausgestellt haben, die Organisation verlässt
oder in der Organisation zukünftig eine andere Aufgabe übernimmt.
■ Abgelöst (engl. Superseded) Wählen Sie diesen Grund, wenn ein aktuelleres Zerti-
fikat ausgestellt wurde, beispielsweise wegen Änderungen in der Zertifikatvorlage,
und wenn alle für diesen Zweck zuvor ausgestellten Zertifikate ungültig sein sollen.
■ Vorgangsende (engl. Cease of Operation) Wählen Sie diesen Grund, wenn Sie ein
Computerzertifikat sperren wollen, das für einen Computer ausgestellt wurde, der
außer Dienst gestellt werden soll. Vielleicht stellt Ihre Organisation zum Beispiel eine
E-Commerce-Website außer Dienst, weil sich ein Markenname geändert hat, und Sie
möchten das SSL-Zertifikat dieser Website deswegen sperren.
■ Zertifikat blockiert (engl. Certificate Hold) Wählen Sie diesen Grund, um Zertifi-
kate zu blockieren. Das bedeutet, dass das Zertifikat nicht als gültig eingestuft werden
kann, aber auch nicht gesperrt worden ist. Es ist möglich, diesen Zustand durch die
Zuweisung des Status Aus Zertifikatsperrliste entfernen wieder aufzuheben, der nur
blockierten Zertifikaten zugewiesen werden kann.
■ Nicht angegeben (engl. Unspecified) Dieser Grund wird angegeben, wenn keiner
der anderen Sperrungsgründe zutrifft. Sollte die Sperrung später angezweifelt werden,
weist diese Kategorie aber den Nachteil auf, dass ein Prüfer nicht erkennen kann,
warum ein bestimmtes Zertifikat gesperrt wurde.
Beachten Sie bitte, dass eine Sperrung erst dann wirksam wird, wenn Sie die Zertifikatsperr-
liste oder Deltasperrliste veröffentlichen. Das bedeutet nicht, dass Sie bei jeder Sperrrung
eines Zertifikats automatisch auch eine neue Zertifikatsperrliste veröffentlichen sollten. Aber
Sie sollten die Leute, die für Zertifikatsperrungen zuständig sind, darauf hinweisen, dass
Sperrungen nur mit einer gewissen Verzögerung ihren Weg in die Zertifikatsperrliste finden.
Verwalten und Warten von Online-Respondern
Wenn ein Zertifikat überprüft wird und sich die erforderliche Zertifikatsperrliste nicht im
Zwischenspeicher des Clients befindet, muss die gesamte Zertifikatsperrliste und die dazu-
gehörige neuste Deltasperrliste heruntergeladen werden. Je länger die Zertifizierungsstelle in
Betrieb ist, desto länger wird auch die Zertifikatsperrliste werden. Zu Spitzenzeiten, wenn
sich zum Beispiel viele Benutzer mit ihren Smartcards anmelden, kann es wegen der starken
Belastung des Netzwerks und der Server zu spürbaren Verzögerungen kommen. Dieses
Problem können Sie unter Verwendung von OCSP (Online Certificate Status Protocol)
abschwächen.
Für eine herkömmliche Sperrungsprüfung wird die gesamte Zertifikatsperrliste gebraucht.
Bei Prüfungen mit Online-Respondern erfolgen ganz gezielt Abfragen über den Status von
bestimmten Zertifikaten. Statt die gesamte Zertifikatsperrliste über das Netzwerk zu übertra-
Lektion 2: Verwalten und Warten von Zertifikaten und Zertifikatvorlagen 373
gen, werden nur die Angaben für ein bestimmtes Zertifikat übermittelt. Die Sperrungsdaten
von einer einzelnen Zertifizierungsstelle können an mehrere Online-Responder eines Res-
ponderarrays übermittelt werden. Umgekehrt kann ein einzelner Online-Responder Sperr-
statusdaten für Zertifikate liefern, die von mehreren Zertifizierungsstellen ausgestellt wur-
den. Durch die Implementierung von Online-Respondern verringern sich die Verzögerungen
deutlich, die sich sonst bei der Sperrungsprüfung ergeben würden.
Den Rollendienst Online-Responder können Sie nur auf Computern installieren, auf denen
Windows Server 2008 ausgeführt wird. Microsoft empfiehlt, den Rollendienst Online-Res-
ponder nicht auf dem Computer bereitzustellen, auf dem bereits die Zertifizierungsstelle
läuft. Allerdings ist auch dies möglich und dürfte in kleineren Bereitstellungen der Active
Directory-Zertifikatdienste eher die gewählte Konfiguration sein. Stellen Sie den Rollen-
dienst Online-Responder bereit, nachdem Sie Ihre Zertifizierungsstelleninfrastruktur aufge-
baut haben, aber noch bevor Sie irgendwelche Zertifikate ausstellen. Dadurch wird sicher-
gestellt, dass ein Online-Responder die Sperrungsprüfungen übernimmt und nicht die
herkömmlichen Zertifikatsperrlisten verwendet werden.
Sorgen Sie vor der Bereitstellung eines Online-Responders dafür, dass Sie auf den betref-
fenden Zertifizierungsstellen die Zertifikatvorlage OCSP-Antwortsignatur für die Online-
Responder konfiguriert und aktiviert haben. Die Ausstellung der OCSP-Antwortsignatur-
zertifikate für alle Computer, auf denen der Rollendienst Online-Responder ausgeführt wird,
erfolgt mit automatischer Registrierung. Ein Online-Responder, der für mehrere Zertifizie-
rungsstellen zuständig ist, braucht von jeder dieser Zertifizierungsstellen ein OCSP-Ant-
wortsignaturzertifikat. Außerdem müssen Sie die AIA-Erweiterung der Zertifizierungsstelle
aktualisieren, wobei Sie die URL des Online-Responders hinzufügen.
Abbildung 7.17 Die Konsole Online-Responderverwaltung
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
