Zertifikatswiderruf

Erfahren Sie, wie Sie ein Zertifikat oder eine Certificate Authority (CA) widerrufen, um die Sicherheit der Ressourcen zu gewährleisten, falls ein Zertifikat nicht mehr vertrauenswürdig ist.

Sie können ein Zertifikat oder eine Certificate Authority (CA) widerrufen, wenn Sie diese Ressourcen aus verschiedenen Gründen als vertrauenswürdige Ressourcen invalidieren möchten. Mit dem Widerruf können Sie festlegen, dass eine bestimmte Version eines Zertifikats oder einer CA nicht mehr vertrauenswürdig ist, und diese bereits vor Ablauf des Gültigkeitszeitraums als ungültig markieren. Sie können zwar bestimmte Versionen widerrufen, müssen aber immer mindestens eine Version eines Zertifikats oder einer CA beibehalten, es sei denn, Sie löschen die Ressource vollständig. Wenn Sie eine CA löschen möchten, wird empfohlen, die CA vorher zu widerrufen.

Um eine Zertifikatsversion oder CA-Version zu widerrufen, müssen Sie eine Zertifikatswiderrufliste (CRL) ausstellen und veröffentlichen. CRLs werden veröffentlicht, wenn eine CA-Version oder Zertifikatsversion widerrufen wird und wenn eine CA erstellt wird. Eine CRL listet die X.509-Zertifikate auf, die eine CA vor ihrem Ablaufdatum widerrufen hat. Bei der erstmaligen Erstellung einer CA ist die CRL eine leere Liste, die keine widerrufenen Zertifikate enthält.

Wenn Sie eine CA beim Erstellen nicht für den Widerruf konfigurieren, können Sie den Widerruf später konfigurieren. Jede Zertifikatsversion oder CA-Version, die Sie vor dem Konfigurieren des Widerrufs einschließlich Veröffentlichung einer CRL widerrufen, wird in der CRL veröffentlicht, sobald diese verfügbar ist.

In einer CRL enthält der Widerrufsstatus auch einen Grund für den Widerruf. Der Widerrufsstatus einer CA und deren Zertifikate müssen nicht übereinstimmen. Folgende Widerrufsstatus sind möglich:

• NICHT FESTGELEGT. Kein bestimmter Grund. (Sie können ein Zertifikat zwar ohne Angabe eines Grundes widerrufen, dies wird jedoch nicht empfohlen.)
• KEY_COMPROMISE. Mutmaßliche oder tatsächliche Kompromittierung des Private Key, der dem Public Key im Zertifikat entspricht. Beispiel: Das Gerät, auf dem der Private Key gespeichert ist, ist verloren gegangen oder wurde gestohlen. (Dieser Grund wird für End-Entity-Zertifikate verwendet.)
• CA_COMPROMISE. Mutmaßliche oder tatsächliche Kompromittierung einer CA oder des Private Key, der dem Public Key im CA-Zertifikat entspricht. Beispiel: Das Gerät, auf dem der Private Key gespeichert ist, ist verloren gegangen oder wurde gestohlen.
• AFFILIATION_CHANGED. Die Subject-Informationen oder andere Details des Zertifikats wurden geändert, weil eine Person die im Attribut "Distinguished Name" des Zertifikats angegebene Organisation verlassen hat.
• ERSETZT. Es wurde ein Ersatzzertifikat ausgestellt, das das widerrufene Zertifikat ersetzt, und der Grund entspricht keinem der anderen Widerrufsgründe.
• CESSATION_OF_OPERATION. Die CA ist nicht mehr aktiv und veröffentlicht keine CRLs mehr für aktuell ausgestellte Zertifikate.
• PRIVILEGE_WITHDRAWN. Der Zertifikatsinhaber verfügt nicht mehr über die erforderlichen Berechtigungen zur Verwendung des Zertifikats.
• AA_COMPROMISE. Mutmaßliche oder tatsächliche Kompromittierung der im Zertifikat validierten Authentication Authority (AA).

Um ein Zertifikat zu validieren, erhalten Clients eines Zertifikats die an dem Endpunkt gehostete CRL-Datei, der im Zertifikat als CRL Distribution Point (CDP) benannt ist. Anschließend prüfen sie, ob die Seriennummer des Zertifikats in der Datei aufgeführt ist. Alle in der CRL enthaltenen Zertifikate werden als ungültig abgelehnt.

Sie benötigen einen eindeutigen, dedizierten Oracle Cloud Infrastructure Object Storage-Bucket, in dem Sie die CRL speichern können, bevor Sie eine CA erstellen oder für den Widerruf konfigurieren können. Wenn der Service nach mehreren Versuchen keine CRL in Object Storage veröffentlichen kann, erfolgt der nächste Veröffentlichungsversuch für die CRL, wenn das nächste Zertifikat widerrufen wird.

CRLs werden mit einem Gültigkeitszeitraum von sieben Tagen veröffentlicht und alle drei Tage, bevor sie ablaufen oder beim Widerruf eines Zertifikats aktualisiert. Eine CA kann eine CRL aktualisieren, solange der CA-Lebenszyklusstatus "Aktiv" lautet.

Sie sind für das Hosting des CDP an einem Endpunkt verantwortlich, den Clients erreichen können. Der Service validiert CDP-Endpunkte nicht. Der CDP eines Zertifikats ist im Zertifikat und im Zertifikat der ausstellenden CA enthalten. Sie können nur dann eine HTTPS-Adresse als CDP verwenden, wenn Sie garantieren können, dass bei der Prüfung der HTTPS-Kette keine zirkulären Abhängigkeiten bestehen.

Durch das Aktualisieren der CRL-Details, einschließlich des gespeicherten Object Storage-Buckets, oder der URL des CDP wird das Zertifikat der aktuellen CA-Version nicht automatisch aktualisiert. Wenn Sie ein neues Zertifikat für einen neuen CDP ausstellen möchten, müssen Sie eine neue CA-Version erstellen.

Wenn Sie ein Zertifikat widerrufen, wird der Lebenszyklusstatus der Ressource in "Aktualisiert" geändert, bis die CRL erfolgreich im Object Storage-Bucket veröffentlicht wurde, wenn die ausstellende CA für die Veröffentlichung einer CRL konfiguriert ist. Eine widerrufene CA verbleibt im Status "Aktiv", weil sie nach wie vor erneuert werden kann. Nur die CA-Version wird widerrufen. Darüber hinaus wirkt sich der Widerruf einer CA nicht auf den Widerrufsstatus einer untergeordneten CA oder der von der CA ausgestellten Zertifikate aus. Oracle empfiehlt, alle Nachkommen in der Hierarchie zu widerrufen, wenn eine ausstellende CA kompromittiert wird.