Server 2008 R2 Domäne und PKI 2008

01/04/2010 - 09:31 von Marek | Report spam
Hallo, habe folgende Frage:

Habe eine Testumgebung: Active Directory Domàne mit Server 2008 R2
Forestebene 2008 R2 und eine Unternehmenszertifizierungsstelle auf einem
Memberserver 2008 R2. In der Domàne werden "Basis-EFS" (Version1) Zertifikate
verteilt über Gruppenrichtlinien. Ein User an einem Windows 7 Client der
ebenfalls Mitglied der Domàne ist, verschlüsselt eine Datei mit EFS. An der
CA ist zu sehen, das das Zertifikat ausgestellt wurde. Jetzt habe ich das
Zertifikat gesperrt und das gesperrte Zertifikat veröffentlicht in der Basis
und Deltasperrliste. Jetzt habe ich gedacht, das der User die Datei nicht
mehr öffnen kann und eine Fehlermeldung bekommt, bezg. des gesperrten
Zertifikates aber die Datei kann problemlos geöffnet werden obwohl das
Zertifikat gesperrt wurde. Selbst nach dem löschen des "Sperrlistencaches"
auf dem Client mit certutil, konnte die Datei noch geöffnet werden.
Eigentlich darf das doch nicht sein oder?? Wird bei EFS die Sperrliste
überhaupt abgefragt?? (Haben zusàtzlich auch noch SSL Webseiten
bereitgestellt, das klappt es problemlos, also wenn das Zertifikat gesperrt
ist, gibt es im Browser eine Fehlermeldung), nur bei EFS nicht.
 

Lesen sie die antworten

#1 Wolfgang Ewert
09/04/2010 - 17:31 | Warnen spam
Hallo Marek, Du fragtest:

Habe eine Testumgebung: Active Directory Domàne mit Server 2008 R2
Forestebene 2008 R2 und eine Unternehmenszertifizierungsstelle auf einem
Memberserver 2008 R2. In der Domàne werden "Basis-EFS" (Version1) Zertifikate
verteilt über Gruppenrichtlinien. Ein User an einem Windows 7 Client der
ebenfalls Mitglied der Domàne ist, verschlüsselt eine Datei mit EFS. An der
CA ist zu sehen, das das Zertifikat ausgestellt wurde. Jetzt habe ich das
Zertifikat gesperrt und das gesperrte Zertifikat veröffentlicht in der Basis
und Deltasperrliste. Jetzt habe ich gedacht, das der User die Datei nicht
mehr öffnen kann und eine Fehlermeldung bekommt, bezg. des gesperrten
Zertifikates aber die Datei kann problemlos geöffnet werden obwohl das
Zertifikat gesperrt wurde. Selbst nach dem löschen des "Sperrlistencaches"
auf dem Client mit certutil, konnte die Datei noch geöffnet werden.
Eigentlich darf das doch nicht sein oder?? Wird bei EFS die Sperrliste
überhaupt abgefragt?? (Haben zusàtzlich auch noch SSL Webseiten
bereitgestellt, das klappt es problemlos, also wenn das Zertifikat gesperrt
ist, gibt es im Browser eine Fehlermeldung), nur bei EFS nicht.



Es sind 2...3 unterschiedliche Aufgaben mit dem Publik-Key-Paar möglich:

1) Verschlüsselung, z.B. für EFS
2) Signatur
3) Zertifizierung (d.h. Signatur von Schlüsseln --> PKI)

Die Aufgaben 1 u. 2-3 sind unabhàngig voneinander, d.h. die
Entschlüsselung wird mit dem Privat Key vollzogen und die "Gültigkeit"
der Schlüssel über (3), d.h. innerhalb einer PKI.

Sofern nicht "übergeordnete Prozesse" bsp. Richtlinien über die
Zusammenhànge Einfluss nehmen (und das tun sie nach Deinem Bsp. nicht),
sind die unabh. Aufgaben auch unabhàngig möglich. Bei manchen
"abgelaufenen" Schlüsseln gab/gibt es ne diesbezügliche Fehlerwarnung,
aber per Algorithmus genügt die Existenz des Privat Key, dass eine
Entschlüsselung noch funktioniert.


HTH
Wolfgang

Postings von werden
ungesehen geloescht. Bitte eine funktionierende Mailadresse
einsetzen, um von mir gelesen zu werden.

Ähnliche fragen