CA Emergency Revocation list

Notfallsignierung der Zertifikatssperrliste

Sperrliste nach Ausfall der CA signieren

Sobald die Zertifizierungsstelle ausgefallen ist, wird man feststellen, wie wichtig die Sperrlisten wirklich sind.

Damit die ausgestellten Zertifikate weiterhin uneingeschränkt eingesetzt werden können, sollte man im Besitz einer Notfall-Sperrliste sein.

Die Notfall-Sperrliste lässt sich wie folgt auf einem Drittsystem des Vertrauens erstellen.

Dazu benötigen wir eine aktuelle Sperrliste und das Backup des Zertifizierungsstellenzertifikat. Diese beiden Teile lege ich in den Ordner C:\CAEmergency ab.

Notfallsignierung Sperrliste

Das Zertifizierungsstellenzertifikat (Privater Schlüssel) importieren wir in den lokalen Speicher.

Zertifizierungsstellenzertifikat Notfallsignierung

Bevor wir beginnen kontrollieren wir noch einmal, ob die aktuelle vorliegende Sperrliste auch wirklich mit dem Zertifizierungsstellenzertifikat signiert worden ist. Dazu gleichen wir die Schlüsselkennung einmal ab.

Wenn die Schlüsselkennung der Sperrliste mit der Schlüsselkennung des CA Zertifikats übereinstimmt, dann passt alles.

Schlüsselkennung ZertifizierungsstellenzertifikatSchlüsselkennung Zertifikatssperrliste

Notfallsignierung der Zertifikatssperrliste

Erstellen wir nun die Notfallsperrliste. Dazu öffnen wir die CMD mit administrativen Rechten und setzen folgenden Befehl ab. Der Befehl erstellt auf Basis der aktuell vorliegenden Sperrliste eine neue und verändert das Ablaufdatum wie gewünscht. In diesem Beispiel exemplarisch um 365 Tage und 0 Stunden von heute an.

Der Parameter 2.5.29.46 entfernt den Verweis auf die Deltasperrliste die wir in einem Notfall nicht benötigen.

Es öffnet sich ein Fenster in dem das CA Zertifikat zum signieren ausgewählt werden muss.

Die neue Sperrliste ist vom heutigen Tag an 1 Jahr gültig. In dieser Zeit sollte es möglich gewesen sein, die ausgefallene Zertifizierungsstelle in Betrieb zu nehmen.

Zertifizierungsstellenzertifikat Notfall

Emergency Revocation list

Zum Abschluss muss die präparierte Sperrliste nur noch an die Verteilpunkte ausgegeben werden. Die Sperrlisten Notfallsignierung ist nur ein Workaround!

Zertifikatsstellen – Sperrlistenprüfung deaktivieren