Was für die Zertifikatsüberprüfung von öffentlichen Schlüsseln, die Zertifikatsablage über LDAP oder einen OCSP-Responder?

Question

Also ich schnüffelte durch die Seiten von PKI's Übersicht von Joel Weise (http://highsecu.free.fr/db/outils_de_securite/cryptographie/pki/publickey.pdf) und eine Sache, die ich nicht ganz verstanden habe ist, wann einen OCSP-Responder über LDAP verwenden, um die Gültigkeit eines bestimmten Zertifikats zu überprüfen? Angenommen, eine CA stellt beide zur Verfügung - wann wird der OCSP-Dienst verwendet, wann werden die LDAP-Server für Zertifikatsdepots verwendet?

Answer 1

Es könnte hilfreich sein, so zu denken.

Die Zertifizierungsstelle generiert Zertifikatsperrlisten (Certificate Revocation Lists, CRLs). (Sie könnten die CA direkt abfragen, aber dies ist eine schlechte Idee, da das Risiko besteht, private Schlüssel (Secrets) offenzulegen).

Die CRLs können dann über LDAP oder HTTP zur Verfügung gestellt werden. (Wenn Sie eine kleine Bereitstellung haben, können Sie hier wahrscheinlich anhalten.)

Ein OCSP-Server (oder eine von der Umgangssprache abhängige Validierungsautorität) kann ebenfalls CRLs verwenden. Sobald dies der Fall ist, kann es Validierungsanforderungen (Zertifikatsstatus) verarbeiten. (Wenn Sie eine größere Bereitstellung haben und die Handhabung von CRLs umständlich ist, können Sie diese Option in Erwägung ziehen)

Es gibt Optionen (Drittanbieter, z. B. nicht Microsoft) für die verteilten OCSP-Responder, die die Antworten vorunterschrieben haben und dann weiterleiten und speichern (im Gegensatz zu mehreren OCSP-Servern). (Überlegen Sie, ob Sie immer noch eine relativ größere Bereitstellung haben und wo Sie Netzwerkverfügbarkeit, Skalierung, Ladeprobleme als weitere Option haben).

Stellen Sie abschließend sicher, dass Sie nicht nur den Zertifikatsstatus, sondern auch die Zertifikatsvertrauensstellung überprüfen. In föderierten Umgebungen sollten Sie das Server Certificate Validation Protocol (SCVP) als Ergänzung zu dem oben genannten System in Betracht ziehen.