A hitelesítési, aláírási vagy titkosítási műveletek végrehajtása előtt az X.509 szabványú tanúsítványokat használó legtöbb alkalmazásnak ellenőriznie kell a tanúsítványok állapotát. A tanúsítvány érvényességének és visszavonásának ellenőrzése érinti a tanúsítványláncban található összes tanúsítványt, beleértve a főtanúsítványt is. Ha a fő- vagy bármely másik tanúsítvány érvénytelen, a láncban alatta található tanúsítványok is érvénytelenek.

Az érvényesítés az alábbiakat tartalmazza:

  • Minden tanúsítvány-aláírás érvényes.

  • Az aktuális dátum és időpont minden tanúsítvány érvényességi időtartamán belül van.

  • Egyik tanúsítvány sem sérült vagy helytelenül formázott.

Emellett a rendszer ellenőrzi a tanúsítványlánc összes tanúsítványának a visszavonási állapotát. A visszavonás ellenőrzése a visszavont tanúsítványok listája (CRL) vagy OCSP-válasz segítségével hajtható végre.

Mi az OCSP?

A Microsoft Online válaszadó telepíti az OCSP protokollt, amely lehetővé teszi, hogy egy tanúsítvány címzettje HTTP használatával a tanúsítványok állapotára vonatkozó kérelmet küldjön egy OCSP-válaszadónak. Az OCSP-válaszadó a tanúsítvány állapotát jelző, meghatározó, digitálisan aláírt választ küld. A kérelmenként beolvasott adatmennyiség a hitelesítésszolgáltatónál visszavont tanúsítványok számától függetlenül állandó.

További információk az X.509 nyilvános kulcsú infrastruktúra OCSP protokolljáról a 2560-as számú RFC-dokumentumban olvashatók: https://go.microsoft.com/fwlink/?LinkID=71068 (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

Online válaszadó

A Microsoft OCSP-implementációja - az online válaszadó - ügyfél- és kiszolgálói összetevőkből áll. Az ügyfélösszetevő a CryptoAPI 2.0 könyvtárába van beépítve, míg a kiszolgálói összetevő az Active Directory tanúsítványszolgáltatások (AD CS) kiszolgálói szerepkör által biztosított új szolgáltatás. Az alábbi eljárás az ügyfél- és a kiszolgálói összetevők együttműködését ismerteti:

  1. Amikor egy alkalmazás megkísérli az OCSP-válaszadók helyét megadó tanúsítvány ellenőrzését, az ügyfélösszetevő először a helyi memóriában és a lemezgyorsítótárakban keresi az aktuális visszavonási adatokat tartalmazó gyorsítótárazott OCSP-választ.

  2. Ha nem talál elfogadható gyorsítótárazott választ, a rendszer a HTTP protokoll használatával kérelmet küld az online válaszadóhoz.

  3. Az online válaszadó webproxyja visszafejti és ellenőrzi a kérelmet. Ha a kérelem érvényes, a rendszer a webproxy gyorsítótárában ellenőrzi a kérelem kitöltéséhez szükséges visszavonási adatokat. Ha az aktuális információk nem találhatók a gyorsítótárban, a rendszer az Online válaszadó szolgáltatáshoz továbbítja a kérelmet.

  4. Az Online válaszadó szolgáltatás fogadja a kérelmet, és ellenőrzi a helyi visszavonási listát (ha van) és a hitelesítészolgáltató által kiállított legújabb lista gyorsítótárazott példányát.

  5. Ha a tanúsítvány nem jelenik meg a helyi vagy a gyorsítótárazott visszavonási listákban, a visszavonás-szolgáltató a tanúsítvány állapotának ellenőrzéséhez a visszavonási konfigurációban felsorolt helyekről beszerez egy frissített hitelesítésszolgáltatói visszavonási listát (ha elérhető). A szolgáltató a tanúsítvány állapotát elküldi az Online válaszadó szolgáltatáshoz.

  6. A webproxy ekkor viszafejti, és az ügyfélnek küldi a választ, amelyben értesíti arról, hogy a tanúsítvány érvényes. A válasz egy példányát korlátozott ideig a gyorsítótárban is elhelyezi arra az esetre, ha a tanúsítvány állapotára vonatkozó további kérelmek érkeznének.


Tartalom