Removendo o LDAP do CDP & AIA em um Microsoft PKI

3

Uma instalação padrão de um Microsoft PKI que executa o Windows 2012 R2 inclui URLs LDAP dentro de pontos de distribuição da CRL (CDP) e Acesso a Informações da Autoridade (AIA).

Eu quero emitir certificados fora da minha organização, mas não quero incluir um endereço LDAP interno nos meus certificados. Existe algum motivo para pensar que a remoção de endereços LDAP de minhas extensões causaria danos agora ou no futuro?

    
por medos 30.10.2015 / 00:38

1 resposta

3

Recomenda-se NÃO ter URLs LDAP nas extensões CDP / AIA. Em vez disso, recomenda-se ter um local HTTP acessível internamente e externamente e de alta disponibilidade.

Editar 31.10.2015:

A recomendação oficial da Microsoft está escrita em Verificação de revogação de certificado no Windows Vista e no Windows Server 2008 white paper (p. 27):

Use HTTP

Although AD DS enables publication of CRLs to all domain controllers in the forest, we recommend implementing HTTP instead of LDAP for revocation information publication. Only HTTP enables the use of the ETag and Cache-Control: Max-age headers providing better support for proxies and more timely revocation information. In addition, HTTP provides better heterogeneous support as HTTP is supported by most Linux, UNIX, and network device clients.

e abaixo:

Limit the Number of URLs

Instead of creating long listings of URLs for OCSP and CRL retrieval, consider limiting the lists to a single OCSP and a single CRL URL. Instead of providing multiple sites, work on ensuring that the sites referenced in the URLs are highly available and can handle the expected bandwidth requirements.

Além do citado acima, gostaria de acrescentar uma breve explicação. Quando o mecanismo de encadeamento de certificado (CCE) usa a extensão CDP / AIA para fazer o download do objeto solicitado (não importa, certificado ou CRL ou qualquer outra coisa), o CCE tenta URLs no pedido conforme listado na extensão. Se o primeiro URL falhar, um segundo URL (se apresentado) será tentado e assim por diante. O Microsoft CryptoAPI usa um tempo limite de 15 segundos para o primeiro URL e duas vezes menor que o anterior para URLs subsequentes (ou seja, 7,5 segundos para o segundo URL e assim por diante).

Quando o certificado é usado no ambiente de domínio do Active Directory, não há problemas com links LDAP. No entanto, se algum cliente que não for membro da floresta do Active Directory tentar validar esse certificado, ele aguardará 15 segundos ao entrar em contato com os controladores de domínio. O URL do LDAP não é (muito provavelmente) resolvível da Internet e, mesmo que seja resolvido, os firewalls ou os DCs recusarão a conexão. Em seguida, o CCE tentará a segunda URL (que é HTTP na instalação padrão) e poderá ser bem-sucedida. No entanto, dependendo do comprimento da cadeia de certificados, o procedimento de validação pode demorar um pouco.

Além disso, o procedimento de validação de certificado não pode continuar indefinidamente e há um tempo limite global para o procedimento de validação de certificado. Ou seja, a validação do certificado pode falhar devido a esse tempo limite global. Como resultado, você precisa considerar uma URL HTTP altamente disponível (no balanceador de carga) que possa ser resolvida de dentro e de fora da rede. Se for o caso, não há necessidade de URLs LDAP secundários que não funcionem para usuários da Internet.

    
por 30.10.2015 / 04:22