Also ich schnüffelte durch die Seiten von PKI's Übersicht von Joel Weise (http://highsecu.free.fr/db/outils_de_securite/cryptographie/pki/publickey.pdf) und eine Sache, die ich nicht ganz verstanden habe ist, wann einen OCSP-Responder über LDAP verwenden, um die Gültigkeit eines bestimmten Zertifikats zu überprüfen? Angenommen, eine CA stellt beide zur Verfügung - wann wird der OCSP-Dienst verwendet, wann werden die LDAP-Server für Zertifikatsdepots verwendet?Was für die Zertifikatsüberprüfung von öffentlichen Schlüsseln, die Zertifikatsablage über LDAP oder einen OCSP-Responder?
Antwort
Es könnte hilfreich sein, so zu denken.
Die Zertifizierungsstelle generiert Zertifikatsperrlisten (Certificate Revocation Lists, CRLs). (Sie könnten die CA direkt abfragen, aber dies ist eine schlechte Idee, da das Risiko besteht, private Schlüssel (Secrets) offenzulegen).
Die CRLs können dann über LDAP oder HTTP zur Verfügung gestellt werden. (Wenn Sie eine kleine Bereitstellung haben, können Sie hier wahrscheinlich anhalten.)
Ein OCSP-Server (oder eine von der Umgangssprache abhängige Validierungsautorität) kann ebenfalls CRLs verwenden. Sobald dies der Fall ist, kann es Validierungsanforderungen (Zertifikatsstatus) verarbeiten. (Wenn Sie eine größere Bereitstellung haben und die Handhabung von CRLs umständlich ist, können Sie diese Option in Erwägung ziehen)
Es gibt Optionen (Drittanbieter, z. B. nicht Microsoft) für die verteilten OCSP-Responder, die die Antworten vorunterschrieben haben und dann weiterleiten und speichern (im Gegensatz zu mehreren OCSP-Servern). (Überlegen Sie, ob Sie immer noch eine relativ größere Bereitstellung haben und wo Sie Netzwerkverfügbarkeit, Skalierung, Ladeprobleme als weitere Option haben).
Stellen Sie abschließend sicher, dass Sie nicht nur den Zertifikatsstatus, sondern auch die Zertifikatsvertrauensstellung überprüfen. In föderierten Umgebungen sollten Sie das Server Certificate Validation Protocol (SCVP) als Ergänzung zu dem oben genannten System in Betracht ziehen.
- 1. Zeichensatz von SSH-Schlüsseln (sicheres Trennzeichen für die Verwendung von sed mit öffentlichen Schlüsseln)
- 2. Verwendung von LDAP oder ADSI mit Delphi für die Benutzerkontenverwaltung
- 3. Verwendung von SSH-Schlüsseln für die Authentifizierung in anderen Anwendungen?
- 4. Wie wird die Kennwortauthentifizierung für einen LDAP-Benutzer durchgeführt?
- 5. Wie man Maven für die Verbindung mit CVS mithilfe der Authentifizierung mit öffentlichen Schlüsseln einrichten kann?
- 6. Generische LDAP-Basis für die Suche?
- 7. Verschlüsselung mit mehreren RSA öffentlichen Schlüsseln
- 8. Guzzle Anfrage mit öffentlichen/privaten Schlüsseln
- 9. JWT: jwtk/jjwt mit öffentlichen/privaten Schlüsseln
- 10. Was ist die Art von "Schlüsseln" in JavaScript?
- 11. Best Practices für die LDAP-Modellierung
- 12. Java-JWT mit öffentlichen/privaten Schlüsseln
- 13. Theory recommendation über LDAP
- 14. Speichern von öffentlichen und privaten Schlüsseln in einer Datenbank oder einem Schlüsselspeicher
- 15. Wie lautet die öffentliche URL für die öffentlichen Github-Schlüssel?
- 16. LDAP-Filter für die Suche nach Studenten
- 17. Mit anderen Schlüsseln für die Funktion waitKey() von opencv
- 18. Was nutzt die Verwendung öffentlicher Methoden, wenn die Klasse über einen Standardzugriffsmodifikator verfügt?
- 19. Pip ohne SSL-Zertifikatsüberprüfung?
- 20. Was ist die% * oder $ * Argumentliste für VBScript?
- 21. Taste für die Vorschau und Annahme von Schlüsseln
- 22. Ascii-Code-Generierung für die Kombination von Schlüsseln
- 23. Rubin: Datei-Verschlüsselung/Entschlüsselung mit privaten/öffentlichen Schlüsseln
- 24. Was löst LDAP?
- 25. Was ist die beste Map-Implementierung, die beim Speichern von Ganzzahlen mit char-Schlüsseln verwendet wird?
- 26. Was ist die Ursache für einen UnbefriedigtenLinkError?
- 27. Unterstützt .NET DirectoryServices LDAP-S (LDAP über SSL)?
- 28. Was sind die akzeptierten SECURITY_PRINCIPAL-Formate für LDAP-Authentifizierung gegen Active Directory?
- 29. Was entscheidet über die Ausgabedateien in MSBuild?
- 30. privaten oder öffentlichen MSMQ