none
CRL配布ポイントがCA証明書の詳細に表示されない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    現在 WindowsServer2012で エンタープライズCAの証明書機関を運用しています。

    この環境は テストと本番があり 差異はありますが 両方共WindowsServer2012で構築しています

    (差異は本番環境はNTぐらいからADを使っているため 細かい設定は昔のものが引き継がれている可能性があります)

    証明書の更新のテストをしていた所 テスト環境のCA証明書だけ 「詳細」画面で「CRL配布ポイント」が表示されておらず

    certutil -verify -urlfetch

    で状況を確認した所 証明書CDP の項目が なし になっており失効が確認できない状況となっていました。

    (本番環境のCA証明書では表示されている)



    拡張機能の「CRL配布ポイント」の設定は本番と同様なのを確認し、その後「CA証明書の書き換え」も実施したのですが

    やはり「CRL配布ポイント」は表示されない

    拡張機能のCRL配布ポイントの設定の LDAP の項目では 「発行されたCRLのIDP拡張機能に含める」のみチェックが外れている状態です。


    証明書機関から取得できるクライアント証明書(「個人」に表示されている証明書)の「詳細」画面では「CRL配布ポイント」が表示されているため

    CA証明書のみがCRL配布ポイントがない状態になっています。 

    テストサーバーでCA証明書の失効のテストを行う予定なのですが、この状況だと意味が無いので解消したいと考えています

    どうしたら CRL配布ポイントを表示できるか(設定できるか) ご存知の方 いらっしゃいませんでしょうか?

    (かなりごちゃごちゃテストを行っているServerなので 壊れてしまっている可能性もあります、その場合は潔くADを再構築します・・・)


    • 編集済み hideri 2016年1月21日 3:26
    2016年1月20日 8:42
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    本番環境のCA証明書が下位証明機関のためかどうか、については、実際にその証明書の中身を見るしかありません。証明書のチェーンに関して、上位CA証明書が含まれていれば、経緯はどうあれその証明書は下位になります。

    上位のルート証明書がローカル環境のものであれば、上位CAがない場合CRLの発行ができませんので、下位CA証明書の整合性(権威)を証明する方法がなくなります。セキュリティ的には大きな問題ですが、実作業ができなくなる(いままで通常に使用してこられたようですので)といった問題点はないと思います。下位CA証明書の期限切れが発生した場合の再発行ができない、という点を除いてはですが。

    第三者機関から入手したCA証明書の場合ですが、入手元で必要な措置(httpによるCRLの常時公開等)を行っているため、こういった心配は皆無です。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年1月25日 4:38
    • 回答としてマーク 佐伯玲 2016年1月26日 6:12
    2016年1月23日 7:55
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この証明書ですが、第三者機関(DigiCert)によって用意された、第三者用のルートCA証明書なのだという認識です。したがって証明書や利用状況には問題はありません。

    もし、この状況と同じ内容を構成しCRL期限切れの検証が必要ということであれば、別途ルート証明機関を作成したうえ、そこで「ルート証明機関」テンプレートを構成して第三者用ルートCA証明書を発行したものを、実際の利用中(検証環境)のCA証明書にする必要があります。もちろんCRLの常時公開のためのしくみも同時に作らないといけないでしょう。これらを手取り足取りお教えするには難しいので、ご自身で学んでいただく必要があります。

    ルートCA証明書の期限切れ以外の無効化、状態は重大なセキュリティインシデントなので、ふつうは発生しませんし、発生した場合の対応方法は証明書の提供元から指示があるはずです。したがってムリにテストする必要性は薄いように思います。「それでもやらなければならない」ということでしたら、PKIのしくみについて、ご自身で理解いただかないと難しいと思います。

    ちなみに、証明機関で不要に書き換えてしまったCA証明書を「証明機関のプロパティから見えなくする」という方法は残念ながらないようです。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 佐伯玲 2016年1月26日 6:12
    2016年1月26日 3:30
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、単純に本番環境のCA証明書が「下位証明機関のCA証明書」だからではないでしょうか?

    質問者さんの環境である、ルートCA証明書はCRLポイントの設定はできません(自分が基準であり元なので意味がない)。ですが、下位の証明機関用CA証明書であれば、当然CRLポイントは存在します。

    正しい証明機関の運用方法として「オフラインルートCA」を作成して、運用そのものは下位CAで行うことが推奨されています。本番環境は多分そのようになっているのでしょう。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年1月21日 6:47
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    本番環境ですが、この証明書機関がルートCAという認識で、

    オフラインのルートCA証明書機関は、現在存在しません

    この本番環境はWindowsServer2003だったものからWindowsServer2012移行したのですが、

    その時点でルートCA証明書機関を内包したサーバーはなかったと記憶していまして、

    もしルートCA証明書機関がなくなってしまった場合 なにか不都合はありますでしょうか?


    あと一つ別の質問なのですが、

    証明書機関でCA名を右クリックで出てくる「プロパティ」で「全般」タブで出てくる「CA証明」ですが

    「CA証明書の書き換え」を行うと増えていくと思います。

    もし現在#0 から#2 まで作られていて #1を間違えて作成してしまったので

    失効させたいということができるのでしょうか?

    以前教えて頂いた際にcertutil -revoke コマンドでできるとお聞きしたのですが、

    今回の話で考えると、ルートCA証明書だと無理なのではないかな?と思いまして・・

    (以前ご相談した時はルートCAとは記述していなかったのに気づきました)




    • 編集済み hideri 2016年1月21日 8:01
    2016年1月21日 7:59
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    本番環境のCA証明書が下位証明機関のためかどうか、については、実際にその証明書の中身を見るしかありません。証明書のチェーンに関して、上位CA証明書が含まれていれば、経緯はどうあれその証明書は下位になります。

    上位のルート証明書がローカル環境のものであれば、上位CAがない場合CRLの発行ができませんので、下位CA証明書の整合性(権威)を証明する方法がなくなります。セキュリティ的には大きな問題ですが、実作業ができなくなる(いままで通常に使用してこられたようですので)といった問題点はないと思います。下位CA証明書の期限切れが発生した場合の再発行ができない、という点を除いてはですが。

    第三者機関から入手したCA証明書の場合ですが、入手元で必要な措置(httpによるCRLの常時公開等)を行っているため、こういった心配は皆無です。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年1月25日 4:38
    • 回答としてマーク 佐伯玲 2016年1月26日 6:12
    2016年1月23日 7:55
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    証明書のチェーンでの確認ですね・・・ ありがとうございます。

    証明書のチェーンとは 証明書のパスに書かれている階層状の表示のことですよね

    それが・・この証明書だけしか表示されていない状態なのです(下記の表示のような感じです)

    あと、証明書の期限更新もできている状態でして、

    となるととりあえずこの証明局はルートCA証明局として作業しても問題はなさそうなのかな?と考えております。

    2016年1月25日 5:01
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この証明書ですが、第三者機関(DigiCert)によって用意された、第三者用のルートCA証明書なのだという認識です。したがって証明書や利用状況には問題はありません。

    もし、この状況と同じ内容を構成しCRL期限切れの検証が必要ということであれば、別途ルート証明機関を作成したうえ、そこで「ルート証明機関」テンプレートを構成して第三者用ルートCA証明書を発行したものを、実際の利用中(検証環境)のCA証明書にする必要があります。もちろんCRLの常時公開のためのしくみも同時に作らないといけないでしょう。これらを手取り足取りお教えするには難しいので、ご自身で学んでいただく必要があります。

    ルートCA証明書の期限切れ以外の無効化、状態は重大なセキュリティインシデントなので、ふつうは発生しませんし、発生した場合の対応方法は証明書の提供元から指示があるはずです。したがってムリにテストする必要性は薄いように思います。「それでもやらなければならない」ということでしたら、PKIのしくみについて、ご自身で理解いただかないと難しいと思います。

    ちなみに、証明機関で不要に書き換えてしまったCA証明書を「証明機関のプロパティから見えなくする」という方法は残念ながらないようです。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 佐伯玲 2016年1月26日 6:12
    2016年1月26日 3:30
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    いろいろとご教授ありがとうございます。

    問題の証明書がルートCA証明書であることが理解できました。

    期限切れや、無効化については、頂いたキーワードで学習し理解を深めたいと思います。

    いろいろと教えて頂き本当に有難うございました。

    2016年1月26日 5:14
    |