Jedes Zertifikat wird mit einer bestimmten Gültigkeitsdauer ausgestellt. Durch die Sperrung eines Zertifikats werden die in ihm enthaltenen vertrauenswürdigen Sicherheitsanmeldeinformationen vor Ablauf der ursprünglichen Gültigkeitsdauer des Zertifikats ungültig. Es gibt zahlreiche Gründe, warum ein Zertifikat und die darin enthaltenen Sicherheitsanmeldeinformationen vor Ablauf der geplanten Gültigkeitsdauer ungültig werden können. Beispiele:
-
Der private Schlüssel des Zertifikatantragstellers ist gefährdet oder vermutlich gefährdet.
-
Der private Schlüssel einer Zertifizierungsstelle (Certification Authority, CA) ist gefährdet oder vermutlich gefährdet.
-
Es wurde entdeckt, dass ein Zertifikat ohne notwendige Autorisierung abgerufen wurde.
-
Der Status des Zertifikatantragstellers als vertrauenswürdige Entität hat sich geändert.
-
Der Name des Zertifikatantragstellers hat sich geändert.
Es ist nicht immer möglich, eine Zertifizierungsstelle oder andere vertrauenswürdige Server zu kontaktieren, um Informationen zur Gültigkeit eines Zertifikats abzurufen. Zur effektiven Unterstützung der Zertifikatstatusüberprüfung muss ein Client in der Lage sein, auf Sperrdaten zugreifen zu können, um zu bestimmen, ob ein Zertifikat gültig ist oder gesperrt wurde. Zur Unterstützung verschiedener Szenarien unterstützen die Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) Zertifikatsperrungsmethoden nach Industriestandard. Dazu gehört die Veröffentlichung von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und Deltasperrlisten, auf die Clients von verschiedenen Orten zugreifen können, einschließlich Active Directory-Domänendiensten (Active Directory Domain Services, AD DS), Webservern und Dateifreigaben in Netzwerken.
 | Hinweis |
|
Unter Windows Server 2008 R2 und Windows Server 2008 kann ein Online-Responder verwendet werden, damit in komplexen Netzwerkumgebungen auf Zertifikatsperrlistendaten leichter zugegriffen werden kann. Ein Online-Responder verwendet die Zertifikatsperrdaten von Zertifikatsperrlisten und verarbeitet Zertifikatstatusanforderungen von Clients nacheinander. |
Zertifikatsperrlisten sind vollständige digital signierte Listen gesperrter Zertifikate. Diese Listen werden regelmäßig veröffentlicht und können von Clients abgerufen und zwischengespeichert (basierend auf der konfigurierten Gültigkeitsdauer der Zertifikatsperrliste) und dazu verwendet werden, den Sperrstatus eines Zertifikats zu überprüfen.
Da Zertifikatsperrlisten je nach Anzahl der ausgestellten und von einer Zertifizierungsstelle gesperrten Zertifikate sehr groß werden können, haben Sie auch die Möglichkeit, kleinere zwischenzeitliche Zertifikatsperrlisten (so genannte Deltasperrlisten) zu veröffentlichen. Deltasperrlisten enthalten nur die Zertifikate, die seit der Veröffentlichung der letzten regulären Zertifikatsperrliste gesperrt wurden. Dadurch können Clients die kleinere Deltasperrliste abrufen und schneller eine vollständige Liste gesperrter Zertifikate zusammenstellen. Außerdem können Sperrdaten durch die Verwendung von Deltasperrlisten häufiger veröffentlicht werden, da eine Deltasperrliste aufgrund der geringeren Größe normalerweise schneller übertragen werden kann als eine vollständige Zertifikatsperrliste.