PKIView


Mostani cikkemben bármely MS tanúsítványokkal foglalkozó szakember egyik segédjét fogom használni. Az eszköz létezett már W2k3 világban is, akkor a Resource Kit részeként a PKI Health Tool nevet viselte. Windows 2008-tól kezdve már az alaprendszer része, pontosabban az msc állomány alapból települ – még ha a Felügyeleti eszközök közé nem is kerül kivezetésre, ugyanakkor az átnevező kommandó révén most már Enterprise PKI néven tudjuk használni:

Az eszköz grafikusan mutatja meg a CA-k állapotát, ennek alapján néha hamarabb rájöhetünk egy-két hibára, ami a PKI rendszerünket zavarhatja. Aki nem foglalkozott még CA-val, vagy semmit nem állított el a tanúsítvány-kiszolgáló paraméterein, belefuthat abba, hogy kíváncsiságból futtatva a snap-in-t sárga háromszöggel ellátott szerverrel szembesül – vagyis figyelmeztető állapot miatt kezd el hevesebben verni a szíve. Még az sem biztos, hogy megnyugtatja, ha „beljebb” megy, s azt látja, hogy ez a jelzés a „CDP Location” lejáratát jelenti – mindaddig, amíg nem tudja értelmezni – s ezt próbálom most tisztázni.

Ebben a cikkben már említettem a CRL (Certification Revocation List) rövidítést – gyakorlatilag a használaton kívüli tanúsítványok sorozatszámának és visszavonási idejének (esetleg a visszavonás okát is tartalmazó) listája. Ennek a listának az alapján tudjuk eldönteni, hogy egy tanúsítvány érvényes-e még.

Igen ám, de ezt a listát valahogy el kell juttatni az ügyfélhez – ezért minden tanúsítvány tartalmaz egy CRL Distribution Points névvel jelzett sort, röviden CDP, ami pont azt jelzi, hogy hol lehet elérni a jelzett listát.

S itt jön a trükk: a PKIView jelzését nem úgy kell értelmezni, hogy a CDP jár le, hanem valójában a CRL lista jelzett időpontban történő elévülését jelenti.

Még ettől sem kell megrémülni. Tudnunk kell ugyanis, hogy teljesen jogos a CRL lejárata, hiszen az újabb CRL által tudunk értesülni az időközben történt változásokról. S hogy mennyi időközönként évül el a lista? Nos, erre írtam, hogy ezt tudjuk változtatni, de alapértelmezetten 1 hét, a Delta CRL elévülési ideje 1 nap. Hogy tekerjünk még egyet a dolgon, pontosítok: ezek nem az elévülési idők, hanem a publikálási idők. A kettő között az a különbség, hogy magának a listának az elévülési ideje 10%-al (de max. 12 órával) hosszabb, mint a publikálási idő (hogy legyen idő a címtárban replikálódni).

Ha mindezen tudás birtokában vagyunk, még egy dolgot ellenőrizzünk: a két CRL publikálási idejét. Ezt a CA-Manager-ben tudjuk megtenni (ezt akár a PKIView-ból el tudjuk érni, jobb klikkel a CA-n), azon belül pedig a Revoked Certificates ág tulajdonságait megnézve. Sőt, ugyanitt tudjuk ellenőrizni a lista következő publikálásának idejét is. Ha teljesen jól működik a kiszolgálónk, akkor a publikálás ideje meg kell előzze a lejárat idejét.

S hogy akkor mégis miért kap(hat)unk figyelmeztetést? Nos, azért a feltételes mód, mert csak akkor szembesülünk ezzel a sárga háromszöggel, ha nem sokkal a lejárati idő előtt használjuk az eszközt – de ha a különböző időpontok ellenőrzése pozitív eredményt hoz, akkor nem kell vele foglalkoznunk. Mivel a „nem sokkal” elég pongyola fogalmazás, ezért az eszköz gyökerén állva, jobb klikk, Opciók esetén tudjuk meghatározni, hogy számunkra mi számít soknak vagy kevésnek, mikortól jelenjen meg a figyelmeztetés.

Amennyiben mégis gond lehet az automatikus CRL-lista létrehozásával, létrehozhatjuk/frissíthetjük manuálisan is:

CertUtil [-config szervernév\CA_név] –CRL

A lista a „C:\WINDOWS\system32\certsrv\CertEnroll” könyvtárba kerül, ha szükséges, a címtárba innen tudjuk publikálni, felülírva az ott található (esetlegesen rossz) adatokat:

CertUtil -dspublish -f -dc “dcnev.domain.com” “C:\Utvonal\crlnev.crl”

Zárszó előtt még egy rövidítés: AIA (Authority Information Access): azt az információt tárolja, hogy a kiszolgálónkhoz hol találunk naprakész tanúsítványt. Ez, hasonlóan a CDP-hez, szintén egy elérési lista, ami prioritási sorrendben felsorolja az elérhetőségeket: helyileg (ez a CA-nak magának kell, de nem jelenik meg a kibocsátott tanúsítványokon), címtár, http, helyi vagy távoli útvonal.

S hogy miért említettem ezt a második listát? Azért, mert különbség van a címben jelzett eszköz 2003-as és 2008-as verziója között, az említett elérési pontok meghatározásában. A W2k3-as eszköz az AIA és CDP információkat egy 1 hétre érvényes CA Exchange tanúsítványból olvasta ki (s ezért csak szükség esetén kérte ezen tanúsítványok kiállítását). Ezzel szemben, bár az előbb említett tanúsítvány itt is kiállításra kerül, a jelenlegi eszköz a CA állapota alapján gyűjti be az adatokat: ha egy online CA-ról van szó, akkor közvetlen lekérdezéssel, offline CA esetén az általa kibocsátott tanúsítványokból olvassa ki. Ez azt jelenti, hogy ha bármi változás történik a két lista elérési pontjaiban, akkor az új eszközzel online látjuk, régebben viszont a tanúsítványok elévülését kellett erőltetni (Pl. CertUtil -cainfo xchg utasítással)

Advertisements
  1. JoeP
    július 4, 2012 - 2:16 du.

    Jó kis írás. Emlékszem, amikor először kezdtem foglalkozni a témával, mennyit dühöngtem a tömérdek rövidítés értelmezési nehézségei miatt.

    • július 4, 2012 - 2:19 du.

      Köszi 🙂 De azóta gondolom annyira megszoktad, hogy otthon is három-négy betűs rövidítéseket használsz 😀

  2. július 4, 2012 - 2:22 du.

    Kivaloan osszefoglaltad!
    (Egy kep esetleg nem artott volna, mivel egy csomoan atugorjak ezt pl. a Server Managerben, pedig tokjo feedback.)

    • július 4, 2012 - 2:43 du.

      Kérésedre tettem egy képet is 😉

  1. szeptember 18, 2013 - 2:14 du.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: