Puncte:0

Cum gestionează OCSP certificatele șterse?

drapel sr

Avem o Autoritate de Certificare Microsoft care rulează pe Windows Server 2019. Emitem certificate pentru dispozitivele Android printr-un MDM. Utilizatorii de dispozitive Android navighează către o aplicație web (găzduită de Apache, implementată în PHP 8) folosind browserul web Chrome (pe Android) care necesită un certificat de client.

Instalăm o instanță Windows Server 2019 separată cu rolul Microsoft OCSP Responder pentru a valida/verifica dacă certificatele client prezentate serverului web Apache sunt valide. Apache are mai multe directive pentru a gestiona validarea OCSP. De asemenea, am dori să validăm certificatele în PHP pentru mai multă securitate.

Din cercetările mele citind mai multe RFC-uri și documente tehnice Microsoft, se pare că Microsoft OCSP Responder validează certificatele prin referire la un CRL pentru starea de revocare.

Cum validează Microsoft OCSP Responder certificatele dacă acestea au fost șterse din CA în loc să fie revocate? Dacă sunt șterse și nu sunt revocate, acestea nu vor apărea în CRL.

Oare imi scapa ceva aici? Microsoft OCSP Responder va valida numărul de serie în baza bazei de date CA, precum și starea de revocare a acestuia?

Puncte:1
drapel cn

Microsoft OCSP Responder va valida numărul de serie în baza bazei de date CA, precum și starea de revocare a acestuia?

în mod implicit, Microsoft OCSP va raporta un astfel de număr de serie ca „Bine”. Începând cu Windows Server 2008 R2, la Microsoft OCSP este adăugată o funcționalitate de răspuns OCSP deterministă. Pe scurt, CA publică toate numerele de serie ale certificatelor emise vreodată, iar OCSP este configurat să caute și în acest director. Comportamentul nou face următoarele:

  • dacă numărul de serie nu există în folder, OCSP răspunde cu NECUNOSCUT stare. Aceasta înseamnă că numărul de serie solicitat nu a fost niciodată emis de CA
  • dacă în dosar există un număr de serie, se verifică un CRL
  • dacă serialul este listat în CRL, răspundeți cu REVOCAT stare și răspunde cu BUN in caz contrar.

Mai multe detalii despre Microsoft KB: Serviciul Online Responder nu returnează un BUN determinist pentru toate certificatele care nu sunt incluse în CRL

KB conține un script care aruncă toate numerele de serie ale certificatelor emise în folderul configurat. Cu toate acestea, scenariul este puțin greșit. Exportă numai seriale care există în baza de date CA la momentul execuției scriptului. Baza de date CA este menținută și intrările vechi sunt șterse pentru a preveni creșterea excesivă a bazei de date CA. Acest lucru va duce la fals pozitiv NECUNOSCUT starea certificatelor șterse, deși certificatul a fost emis și există undeva în sălbăticie. Prefer să păstrez totul emis indiferent de întreținerea CA și să răspund cu BUN chiar dacă cert a fost șters din CA. Pentru a rezolva acest defect, aș recomanda să eliminați aceste rânduri din script:

dir | pentru fiecare {
    eliminare-element $_ -force
}

aceasta va păstra numerele de serie care nu mai există pe CA între rulările de script.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.