Ungültige Zertifikate

Oft genug kommt es vor, dass Zertifikate ihre Gültigkeit verlieren, beispielsweise dann, wenn der private Schlüssel zu dem Zertifikat verloren ging. Damit alle betroffenen Anwendungen von solch ungültigen Zertifikaten erfahren, lassen sich sogenannte Zertifkats-Sperrlisten (Certificate Revocation Lists, CRL) erzeugen. Hierbei handelt es sich um öffentlich zugängliche Listen, die beispielsweise ein Webbrowser, periodisch abfragen oder importieren kann, um ungültige Zertfikate zu erkennen.

Welche Zertifikate auf dieser Sperrliste landen, kann der Administrator einer CA, wie auch der Eigentümer des betreffenden Zertifikats selbst, entscheiden. Der Administrator kann sich über die »Agent Services« unter dem Menüpunkt »Search for Certificates« alle ausgestellen Zertifikate auflisten lassen und dann über »Revoke« festlegen, welches davon auf der Sperrliste landet. Natürlich kann er auch gezielt nach einem bestimmtem Zertifikat suchen. Über »Update Revokation List« und »Display Revokation List« ist die CRL erst zu aktualisieren, bevor die geänderte Version auf dem Bildschirm erscheint (Abbildung 5).

Abbildung 5: Ein Benutzer-Zertifikat wurde der CRL hinzugefügt.

Ein Endanwender kann nun über die »SSL End Users Services« eine aktuelle Version der CRL in seine Anwendung importieren. Der Menüpunkt »Retrieval | Import Certificate Revocation List | Import the latest CRL to your browser« startet den Import-Vorgang (Abbildung 6). In den Eigenschaften des Browsers legt der Anwender fest, wie oft er die CRL aktualisieren möchte, um sich nicht immer wieder manuell um eine neue Version der Sperrliste bemühen zu müssen. Der Inhalt der CRL lässt zeigt der Webbrowser über die »Eigenschaften« (Abbildung 6). Direkt aus der Dogtag-Datenbank liest ihn der Aufruf in Listing 3.

<kbd>ldapsearch -LLL -x -b dc=tuxgeek,dc=de -h tiffy.tuxgeek.de -D</kbd>
cn="Directory Manager" -w password objectClass=certificationAuthority
certificateRevocationList
dn: UID=Certificate Authority,OU=people,DC=tuxgeek,DC=de
certificateRevocationList;binary:: MIIBtjCBnwIBATANBgkqhkiG9w0BAQUFADA5MRcwFQY
 DVQQKEw5UdXhnZWVrIERvbWFpbjEeMBwGA1UEAxMVQ2VydGlmaWNhdGUgQXV0aG9yaXR5Fw0wODEx
 MTMxMjQ2MjZaFw0wODExMTMxNjQ2MjZaMCIwIAIBCRcNMDgxMTEyMTUwNjU0WjAMMAoGA1UdFQQDC
 gEBoA4wDDAKBgNVHRQEAwIBDDANBgkqhkiG9w0BAQUFAAOCAQEAHpdSIx/tm3u0ALqhbKJwdDVUsx
 V/TaARtJ9Xthw5/EblPTrngNLmN1iVpdBRO2Nr0vFfLdqGwDTpli35jUmK4mOyD5viVv1dv9TmEwG
 aCU2q3SQceRcHAliAJv/2ol28Rr1/Dk+5LtgpppWxia2Smbt8II/ZZPsq1kwy2EmOWR9V8z40Wode
 Eb3HUQzpZefKje8otH1xSX3eG7roblcVhFP/CnlHGfUDEB1sCGvv9VQkLQQqjQoGKvz2HMs6LiOv1
 VmRfjXzlblrHBzHSmesliuGaCmZCaHg91WeEic1q7xJfOnw1v+VgpfidEV4gm+Ty5IYICcvEBlN7k
 wjLbX06A==

Schickt man lediglich den Inhalt des certificateRevocationList Attributs an das Tool »PrettyPrintCrl« , findet man den Inhalt der CRL etwas schöner formatiert vor.

Abbildung 6: In einer Client-Anwendung lässt sich die CRL dann importieren.

CRLs haben den entscheidenen Nachteil, das sie manuell zu pflegen sind. Unter Umständen sind jede Menge unterschiedliche Server, von denen man in regelmäßigen Abständen eine CRL beziehen möchte, in der lokalen Client-Applikation einzutragen. Das ist sehr umständlich und verbraucht natürlich auch Plattenplatz, da die CRLs ja im lokalen Dateisystem gespeichert werden. Einfacher ist es dann, wenn man einen Client besitzt, der zum Online Certificate Status Protocol (OCSP) kompatibel ist. Hiermit lassen sich Zertifikate von ganz unterschiedlichen Zertifikatsstellen in Echtzeit abfragen. Einzige Voraussetzung hierfür: Die ausgebende Zertifikatstelle betreibt einen eigenen OCSP-Responder, der Client-Anfragen nach der Gültigkeit eines Zertifikats beantwortet. Ist dieser OCSP-Responder vorhanden, so besitzen alle Zertifikate dieser CA die Erweiterung »Authority Information Access« . Hier wird die URL des Responders hinterlegt. Ein manuelles Konfigurieren der Client-Anwendung entfällt somit.

Fazit

Mit Dogtag steht endlich auch im Open-Source-Umfeld eine leistungsstarke PKI-Infrastruktur zur Verfügung. Dank der Webinterfaces und der grafischen Konsole hat man sich auch sehr schnell in die Bedienung und Administration eingearbeitet. Mit Hilfe diverser Templates unter »/var/lib/pki-ca/webapps« lässt sich sogar das Look and Feel der Anwendung an die eigenen Wünsche anpassen.