|
|
 |
 |
|
 Microsoft Zertifikatserweiterungen
| X.509 Attributszertifikate
|
X.509 CRL-Erweiterungen |
| |
|
|
|
CRL - Erweiterungen haben zumeist die gleichen Eigenschaften wie Zertifikatserweiterungen (Kritikalitätsindikator, Standarderweiterungen, Private Erweiterungen) und sind zum Teil sogar ident, aber CRL Erweiterungen umfassen noch den zusätzlichen Themenbereich der CRL-Verteilungspunkte bzw. delta CRLs. Es gibt auch noch eine besondere Art von CRL Erweiterungen:
CRL Entry Extensions beinhalten weitere Informationen über den Eintrag eines Zertifikates in die Widerrufsliste.
|
CRL Entry Extensions |
 |
Reason Code
|
|
Hold Instruction Code:
spezifiziert mittels OID was bei gesperrten Zertifikaten zu tun ist. |
|
Invalidity Date: gibt den (vermutlichen) Zeitpunkt an dem die Kompromittierung des privaten Schlüssel tatsächlich stattfand |
|
Certificate Issuer: gibt in indirekten CRLs an, wer die ausstellende CA des widerrufenen Zertifikats ist. |
|
CRL Erweiterungen |
|
Authority Key Identifier
|
|
Issuer Alternative Name
|
|
CRL - Number: monoton ansteigende Nummer für eine CRL eines Bereiches |
|
CRL - Scope (non PKIX): definiert den Bereich, den unterschiedliche CRL-Typen
abdecken: simple CRL, indirect CRL, delta CRL, indirect delta CRL. |
|
Status Referral (non PKIX): Diese Erweiterung liefert keine Widerrufsinformation sondern eine Liste von CRLs und deren jeweilige Eigenschaften, wie deren Verteilungspunkt oder Bereich. Anwendungen können dadurch die geeignete CRL auswählen. Diese Erweiterung kann auch als Redirect-Mechanismus bei Konfigurationsänderungen bei der PKI verwendet werden. |
|
CRL Stream Identifier (non PKIX): diese Erweiterung erlaubt einer CA mehrere CRL auszustellen. Dieser Identifier sollte für jeden CRL-Stream eindeutig sein, und so zusammen mit der CRL-Nummer eine CRL eindeutig spezifizieren. |
|
Ordered List (non PKIX) gibt die Art der Ordnung der CRL-Einträge, aufsteigend nach Seriennummer oder nach Widerrufsdatum, an. |
|
Delta Information (non PKIX) spezifiziert in normalen CRLs, wo es Delta CRLs zu dieser CRL gibt. |
|
Freshest CRL: bzw. Delta CRL Distribution Point, spezifiziert in normalen CRLs, wo es Delta CRLs zu dieser CRL gibt. Es sollte laut X.509 nur in Zertifikaten verwendet werden, PKIX definiert diese Erweiterung als CRL-Erweiterung. |
|
Issuing Distribution Point:
diese kritische Erweiterung spezifiziert den Verteilungspunkt und den Bereich einer CRL |
|
Delta CRL Indicator: diese kritische Erweiterung definiert die CRL als delta CRL und beinhaltet die Nummer der Base CRL |
|
Base Update (non PKIX) in Delta CRLs gibt diese Erweiterung an, ab welchem Zeitpunkt diese Delta CRL Widerrufsinformation beinhaltet. |
|
Hold Instruction Code |
PKIX definiert 3 unterschiedliche Reaktionsarten und entsprechende OIDs für diese CRL Entry Extension
None: semantisch gleichbedeutend mit dem Fehlen dieser Erweiterung
Call Issuer: Nachfrage beim Aussteller oder sofortige Ablehnung
Reject: Ablehnung des Zertifikats
|
Issuing Distribution Point |
Die Issuing Distribution Point Erweiterung gibt neben dem Verteilungspunkt auch den Bereich an, den die CRL abdeckt, oder ob alle Widerrufsgründe abgedeckt werden. Mögliche Werte sind
Only contain User Certs: Die CRL deckt nur Endzertifikate ab.
Only contain Authority Certs: Die CRL deckt nur CA-Zertifikate ab.
Only some Reasons: Die CRL beinhaltet nur Zertifikate die aus bestimmten Gründen (Reason Codes)
widerrufen wurden
Indirect CRL: Wenn gesetzt, kann die CRL auch Widerrufsinformation anderer CAs beinhalten
Only contain Attribute Certs : Die CRL deckt nur Attributszertifikate ab.
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
