Das Online Certificate Status Protocol (OCSP) ist eine gute Ergänzung zu den klassischen CRLs für Online Zertifizierungsstellen. Vorteile sind z.B. schnellere Reaktionszeiten auf den Sperrstatus, und bei grossen CRLs ein geringerer Overhead, da nicht die CRL selbst übertragen werden muss, sondern nur der Sperrstatus des angefragten Zertifikats.
Setup OCSP, z.B. auf einem Webserver
|
1
2
3
|
Install-WindowsFeature ADCS-Online-Cert -IncludeManagementTools
|
Danach über den Server-Manager die Konfiguration abschliessen
Setup Certification Authority
Die Konfiguration erfolgt in den Eigenschaften der Zertifizierungsstelle, aber nicht bei den Sperrlisten, sondern bei den Stelleninformationen (AIA). Änderungen werden nur für neu ausgestellte Zertifikate übernommen. Für bereits bestehende gäbe es die Möglichkeit, Clients via Group Policy zum Prüfen des OCSP anzuweisen.
Als Adresse wird http verwendet, danach der FQDN oder ein Alias zum Server, gefolgt von /ocsp
Nach der Übernahme der Konfiguration started der Assistent den Service neu. Alle ab jetzt ausgestellten Zertifikate erhalten den Eintrag in der Stelleninformation
Setup OCSP Template
Berechtigt auf das Template wird der Computer, der den OCSP Dienst ausführt
Lesen und Registrieren reicht aus, „Automatisch registrieren“ wie z.B. beim Einsatz über GPOs wird nicht benötigt. Der Dienst holt sich im 2 Wochen Takt ein neues OCSP Zertifikat und tauscht es automatisch aus. Wartungsarbeiten sind nicht notwendig.
Danach muss das Template noch an der Zertifizierungsstelle veröffentlicht werden
Setup OCSP Service
Überprüfung
mit Certutil lässt sich die Konfiguration ein neu ausgestellten Zertifikats überprüfen
certutil -f -verify -urlfetch <certificate.crt>
oder mit der GUI
certutil -URL <certificate.crt>
