Debian - Eigene Zertifizierungsstelle mit OpenSSL

[joe2017]

Hallo zusammen,

mit OpenSSL kann man sich relativ easy eine eigene CA bauen.
Wie löst Ihr das Problem mit Zertifikaten welche Ihr zurückrufen möchtet?
Wie prüft Ihr ob ein Zertifikat gültig ist oder nicht, und wie blockiert Ihr abgelaufene oder zurückgezogene Zertifikate?

[HZB]

Hallo,

ich hab mal ( zugegeben vor längerer Zeit ) mal eine eigene CA aufgebaut.
Sehr hilfreich ware dieser Link
https://jamielinux.com/docs/openssl-cer ... ction.html

Ich glaube Du suchst nach OCSP

hth

[joe2017]

Hallo HZB,

vielen Dank. Ja, das Problem mit dem OCSP hatte ich zuvor auch schon mal.
Eine Microsoft CA stellt diesen Service (OCSP) standardmäßig bereit. Bei OpenSSL habe ich damals nichts gefunden.
Hier bin ich nie weitergekommen. CRL alleine reichen meines Wissens nicht aus oder?

[HZB]

CRL und OCSP sind ähnlich. Beide sind abfragbar ob ein Cert noch gültig ist.
OCSP hat halt den Vorteil, dass es online ist und Änderungen sofort abfragbar sind.
Wenn man also ein Cert revoked dann wäre das sofort. Bei CRL muss man erst mal eine neue CRL generieren und die veröffentlichen.
Für eine interne CA kann das mmn auch reichen.Aber es kommt halt auf den Use Case an.

[joe2017]

Mir geht es rein um eine interne CA.
Nachdem ich mit OpenSSL Zertifikate nicht via autoenrollment ausrollen kann, muss ich diese sowieso manuell erstellen/zurückrufen/löschen. Somit kann ich auch meine CRL Updaten.
Dafür hab ich mir bereits ein Script geschrieben, was somit kein rießiges Problem darstellt.

Die CRL ist doch auch immer online? Diese sind doch über den eingerichteten Webserver Link erreichbar?
Oder habe ich jetzt etwas falsch verstanden?

Ich würde jedoch einen OCSP bevorzugen, da mit diesem nur die Anfrage zu dem Zertifikat geprüft wird.
In der CRL sind alle gesperrten Zertifikate gelistet und wird somit immer größer und größer.

[HZB]

Nein da hast Du schon recht. Auch die CRL ist via Webserver online.

Das Problem bei CRL ist, dass es neuere Browser nicht mehr unterstützen, was speziell bei Web Certs leider besch... ist.
Und wenn Du schon beim Einrichten bist, würde ich lieber gleich OCSP nehmen. Ist auch nicht viel komplzierter.

[joe2017]

Hast du zu dem OCSP zufällig eine verständliche Anleitung.
Irgendwie werde ich hier nicht ganz schlau draus.

Muss ich mir hierzu einen Service schreiben, welcher diesen immer startet?
Oder wie ist das zu verstehen?

Würdest du CRL trotzdem noch bereitstellen?

[HZB]

Ist mehr oder minder das Gleiche wie bei CRL.
Anstatt eines crlDistributionPoints definiert man einen authorityInfoAccess unter [ server_cert ].

Im Link wird das ganz gut beschrieben:

https://jamielinux.com/docs/openssl-cer ... tocol.html

[joe2017]

Vielen Dank schon mal.

Aber den OCSP startest du nicht immer manuell oder? Hast du hierfür ein Service geschrieben?

[HZB]

Nein war ganz sicher automatisch. Hab da ein minimales start script geschrieben.
Wenn ich es in den Untiefen meines Filearchives finde, dann post ich es.

[joe2017]

Ich meine das ich hier immer Probleme hatte.
Wahrscheinlich musste ein einfaches Start Script oder Service geschrieben werden.

Das wäre ja dann auch kein rießiges Problem mehr.

Wäre toll wenn du hierzu etwas findest. Falls nicht, werde ich meine Lösung hier posten sobald ich meinen Server installiere.
Ich hänge leider aktuell noch an einem anderen Problem. Bevor dieses nicht gelöst ist, kann ich meine CA nicht bereitstellen.