Discussion:
allgemeine Zertifikatsfrage
(zu alt für eine Antwort)
Marek
2010-03-31 11:24:01 UTC
Permalink
hatte die Frage auch in Forum:
microsoft.public.de.security.netzwerk.sicherheit gestellt, bin mir aber
nicht sicher ob das richtig war, deshalb ein neuer Versuch.

Bei einem ausgestellten Zertifikat gibt es die Registerkarte
"Zertifizierungspfad".

lt. Technet:
"Bevor ein Zertifikat als vertrauenswürdig eingestuft wird, muss von Windows
überprüft werden, ob das Zertifikat von einer vertrauenswürdigen Quelle
stammt. Dieser Überprüfungsvorgang wird als Pfadüberprüfung bezeichnet.
Die Pfadüberprüfung schließt das Verarbeiten von Zertifikaten mit
öffentlichen Schlüsseln und ihrer Ausstellerzertifikate in einer
hierarchischen Form ein, bis der Zertifizierungspfad mit einem
vertrauenswürdigen, selbstsignierten Zertifikat beendet wird."

jetzt meine Frage:

der öffentliche Key der CA muss ja auch im lokalen Speicher beim User oder
Computer liegen in dem Ordner "Vertrauenswürdige
Stammzertifizierungsstellen". Wenn das Zertifikat in dem Speicher vorhanden
ist, gilt es doch als vertrauenswürdig oder ? Warum dann nochmal die
Überprüfung des Pfades ?
Wird bei der Pfadüberprüfung in den "Zugriff auf Stelleninformationen"
reingeguckt< ?
Danke
Hans Moser
2010-04-18 21:16:27 UTC
Permalink
Hy

Ein Zertifikat kommt ja meist von einer Sub-CA, nicht direkt von der
Root-CA.

Aus diesem Grunde hast du einen "Pfad" bis dorthin, also mehrere Sub-CA's
bis man schlussendlich bei der Root-CA landet.

Eine möglichkeit ist es nun, alle Sub-CA's inklusive der Root-CA als
"Trusted Publishers" bereits import zu haben.

Alternativ dazu kann ein Zertifikat das AIA (Authority Information Access"
Attribut befüllt haben. In diesem ist die Information enthalten, wie ein
Client zum Zertifikat der ausstellenden CA "kommt". Somit kann ein Pfad bis
zur Root-CA automatisch überprüft werden.

Ausserdem muss ein Client ja auch überprüfen ob das Zertifikat nicht bereits
zurückgezogen (revoked) wurde. Dafür gibt es die CRL (Certificate Revocation
Lists) => Siehe CRL Distribtion Points auf einem Zertifikat.

Ist deine Frage somit beantwortet oder habe ich für nur noch mehr Verwirrung
gesorgt? ;)

lG
_Hans
Post by Marek
microsoft.public.de.security.netzwerk.sicherheit gestellt, bin mir aber
nicht sicher ob das richtig war, deshalb ein neuer Versuch.
Bei einem ausgestellten Zertifikat gibt es die Registerkarte
"Zertifizierungspfad".
"Bevor ein Zertifikat als vertrauenswürdig eingestuft wird, muss von Windows
überprüft werden, ob das Zertifikat von einer vertrauenswürdigen Quelle
stammt. Dieser Überprüfungsvorgang wird als Pfadüberprüfung bezeichnet.
Die Pfadüberprüfung schließt das Verarbeiten von Zertifikaten mit
öffentlichen Schlüsseln und ihrer Ausstellerzertifikate in einer
hierarchischen Form ein, bis der Zertifizierungspfad mit einem
vertrauenswürdigen, selbstsignierten Zertifikat beendet wird."
der öffentliche Key der CA muss ja auch im lokalen Speicher beim User oder
Computer liegen in dem Ordner "Vertrauenswürdige
Stammzertifizierungsstellen". Wenn das Zertifikat in dem Speicher vorhanden
ist, gilt es doch als vertrauenswürdig oder ? Warum dann nochmal die
Überprüfung des Pfades ?
Wird bei der Pfadüberprüfung in den "Zugriff auf Stelleninformationen"
reingeguckt< ?
Danke
Marek Augsten
2010-04-19 11:59:01 UTC
Permalink
Zitat: "Eine möglichkeit ist es nun, alle Sub-CA's inklusive der Root-CA als
"Trusted Publishers" bereits import zu haben."

Es ist also eine Art "Oder - verknüfung", wenn alles in den
vertrauenswürdigen Stammzertifizierungsstellen liegt, überprüft er diesen
Pfad nicht mehr bis ganz "nach oben" ??
Post by Hans Moser
Hy
Ein Zertifikat kommt ja meist von einer Sub-CA, nicht direkt von der
Root-CA.
Aus diesem Grunde hast du einen "Pfad" bis dorthin, also mehrere Sub-CA's
bis man schlussendlich bei der Root-CA landet.
Eine möglichkeit ist es nun, alle Sub-CA's inklusive der Root-CA als
"Trusted Publishers" bereits import zu haben.
Alternativ dazu kann ein Zertifikat das AIA (Authority Information Access"
Attribut befüllt haben. In diesem ist die Information enthalten, wie ein
Client zum Zertifikat der ausstellenden CA "kommt". Somit kann ein Pfad bis
zur Root-CA automatisch überprüft werden.
Ausserdem muss ein Client ja auch überprüfen ob das Zertifikat nicht bereits
zurückgezogen (revoked) wurde. Dafür gibt es die CRL (Certificate Revocation
Lists) => Siehe CRL Distribtion Points auf einem Zertifikat.
Ist deine Frage somit beantwortet oder habe ich für nur noch mehr Verwirrung
gesorgt? ;)
lG
_Hans
Post by Marek
microsoft.public.de.security.netzwerk.sicherheit gestellt, bin mir aber
nicht sicher ob das richtig war, deshalb ein neuer Versuch.
Bei einem ausgestellten Zertifikat gibt es die Registerkarte
"Zertifizierungspfad".
"Bevor ein Zertifikat als vertrauenswürdig eingestuft wird, muss von Windows
überprüft werden, ob das Zertifikat von einer vertrauenswürdigen Quelle
stammt. Dieser Überprüfungsvorgang wird als Pfadüberprüfung bezeichnet.
Die Pfadüberprüfung schließt das Verarbeiten von Zertifikaten mit
öffentlichen Schlüsseln und ihrer Ausstellerzertifikate in einer
hierarchischen Form ein, bis der Zertifizierungspfad mit einem
vertrauenswürdigen, selbstsignierten Zertifikat beendet wird."
der öffentliche Key der CA muss ja auch im lokalen Speicher beim User oder
Computer liegen in dem Ordner "Vertrauenswürdige
Stammzertifizierungsstellen". Wenn das Zertifikat in dem Speicher vorhanden
ist, gilt es doch als vertrauenswürdig oder ? Warum dann nochmal die
Überprüfung des Pfades ?
Wird bei der Pfadüberprüfung in den "Zugriff auf Stelleninformationen"
reingeguckt< ?
Danke
.
Hans Moser
2010-04-20 04:09:01 UTC
Permalink
Hy

Nein. Wernn die Sub-CA bereits importiert sind geht es schneller weil er die
Zertifikate bereits im SecureStore hat. (bzw. ist dies auch nötig wenn das
AIA-Attribut auf dem Zertifikat nicht gesetzt ist).

Wenn das AIA gesetzt ist, und die Zertifikate noch nicht im SecureStore
sind, holt sich der Client diese selbstständig, und du musst dich nicht um
den manuellen import kümmern.

Also überprüft wird der Pfad immer, um sicher zu gehen das alle Stufen der
Hierarchie vertrauenswürdig & gültig sind. Es hängt lediglich vom AIA ab, ob
der import der Sub-CA's manuell oder automatisch passiert.

lG
_Hans
Post by Marek Augsten
Zitat: "Eine möglichkeit ist es nun, alle Sub-CA's inklusive der Root-CA als
"Trusted Publishers" bereits import zu haben."
Es ist also eine Art "Oder - verknüfung", wenn alles in den
vertrauenswürdigen Stammzertifizierungsstellen liegt, überprüft er diesen
Pfad nicht mehr bis ganz "nach oben" ??
Post by Hans Moser
Hy
Ein Zertifikat kommt ja meist von einer Sub-CA, nicht direkt von der
Root-CA.
Aus diesem Grunde hast du einen "Pfad" bis dorthin, also mehrere Sub-CA's
bis man schlussendlich bei der Root-CA landet.
Eine möglichkeit ist es nun, alle Sub-CA's inklusive der Root-CA als
"Trusted Publishers" bereits import zu haben.
Alternativ dazu kann ein Zertifikat das AIA (Authority Information Access"
Attribut befüllt haben. In diesem ist die Information enthalten, wie ein
Client zum Zertifikat der ausstellenden CA "kommt". Somit kann ein Pfad bis
zur Root-CA automatisch überprüft werden.
Ausserdem muss ein Client ja auch überprüfen ob das Zertifikat nicht bereits
zurückgezogen (revoked) wurde. Dafür gibt es die CRL (Certificate Revocation
Lists) => Siehe CRL Distribtion Points auf einem Zertifikat.
Ist deine Frage somit beantwortet oder habe ich für nur noch mehr Verwirrung
gesorgt? ;)
lG
_Hans
Post by Marek
microsoft.public.de.security.netzwerk.sicherheit gestellt, bin mir aber
nicht sicher ob das richtig war, deshalb ein neuer Versuch.
Bei einem ausgestellten Zertifikat gibt es die Registerkarte
"Zertifizierungspfad".
"Bevor ein Zertifikat als vertrauenswürdig eingestuft wird, muss von Windows
überprüft werden, ob das Zertifikat von einer vertrauenswürdigen Quelle
stammt. Dieser Überprüfungsvorgang wird als Pfadüberprüfung bezeichnet.
Die Pfadüberprüfung schließt das Verarbeiten von Zertifikaten mit
öffentlichen Schlüsseln und ihrer Ausstellerzertifikate in einer
hierarchischen Form ein, bis der Zertifizierungspfad mit einem
vertrauenswürdigen, selbstsignierten Zertifikat beendet wird."
der öffentliche Key der CA muss ja auch im lokalen Speicher beim User oder
Computer liegen in dem Ordner "Vertrauenswürdige
Stammzertifizierungsstellen". Wenn das Zertifikat in dem Speicher vorhanden
ist, gilt es doch als vertrauenswürdig oder ? Warum dann nochmal die
Überprüfung des Pfades ?
Wird bei der Pfadüberprüfung in den "Zugriff auf Stelleninformationen"
reingeguckt< ?
Danke
.
Marek Augsten
2010-04-20 07:12:01 UTC
Permalink
Super, vielen Dank das wollte ich wissen :-))
Post by Hans Moser
Hy
Nein. Wernn die Sub-CA bereits importiert sind geht es schneller weil er die
Zertifikate bereits im SecureStore hat. (bzw. ist dies auch nötig wenn das
AIA-Attribut auf dem Zertifikat nicht gesetzt ist).
Wenn das AIA gesetzt ist, und die Zertifikate noch nicht im SecureStore
sind, holt sich der Client diese selbstständig, und du musst dich nicht um
den manuellen import kümmern.
Also überprüft wird der Pfad immer, um sicher zu gehen das alle Stufen der
Hierarchie vertrauenswürdig & gültig sind. Es hängt lediglich vom AIA ab, ob
der import der Sub-CA's manuell oder automatisch passiert.
lG
_Hans
Post by Marek Augsten
Zitat: "Eine möglichkeit ist es nun, alle Sub-CA's inklusive der Root-CA als
"Trusted Publishers" bereits import zu haben."
Es ist also eine Art "Oder - verknüfung", wenn alles in den
vertrauenswürdigen Stammzertifizierungsstellen liegt, überprüft er diesen
Pfad nicht mehr bis ganz "nach oben" ??
Post by Hans Moser
Hy
Ein Zertifikat kommt ja meist von einer Sub-CA, nicht direkt von der
Root-CA.
Aus diesem Grunde hast du einen "Pfad" bis dorthin, also mehrere Sub-CA's
bis man schlussendlich bei der Root-CA landet.
Eine möglichkeit ist es nun, alle Sub-CA's inklusive der Root-CA als
"Trusted Publishers" bereits import zu haben.
Alternativ dazu kann ein Zertifikat das AIA (Authority Information Access"
Attribut befüllt haben. In diesem ist die Information enthalten, wie ein
Client zum Zertifikat der ausstellenden CA "kommt". Somit kann ein Pfad bis
zur Root-CA automatisch überprüft werden.
Ausserdem muss ein Client ja auch überprüfen ob das Zertifikat nicht bereits
zurückgezogen (revoked) wurde. Dafür gibt es die CRL (Certificate Revocation
Lists) => Siehe CRL Distribtion Points auf einem Zertifikat.
Ist deine Frage somit beantwortet oder habe ich für nur noch mehr Verwirrung
gesorgt? ;)
lG
_Hans
Post by Marek
microsoft.public.de.security.netzwerk.sicherheit gestellt, bin mir aber
nicht sicher ob das richtig war, deshalb ein neuer Versuch.
Bei einem ausgestellten Zertifikat gibt es die Registerkarte
"Zertifizierungspfad".
"Bevor ein Zertifikat als vertrauenswürdig eingestuft wird, muss von Windows
überprüft werden, ob das Zertifikat von einer vertrauenswürdigen Quelle
stammt. Dieser Überprüfungsvorgang wird als Pfadüberprüfung bezeichnet.
Die Pfadüberprüfung schließt das Verarbeiten von Zertifikaten mit
öffentlichen Schlüsseln und ihrer Ausstellerzertifikate in einer
hierarchischen Form ein, bis der Zertifizierungspfad mit einem
vertrauenswürdigen, selbstsignierten Zertifikat beendet wird."
der öffentliche Key der CA muss ja auch im lokalen Speicher beim User oder
Computer liegen in dem Ordner "Vertrauenswürdige
Stammzertifizierungsstellen". Wenn das Zertifikat in dem Speicher vorhanden
ist, gilt es doch als vertrauenswürdig oder ? Warum dann nochmal die
Überprüfung des Pfades ?
Wird bei der Pfadüberprüfung in den "Zugriff auf Stelleninformationen"
reingeguckt< ?
Danke
.
.
Loading...