آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory certificate Services / معرفی و مفهوم Certificate Revocation List

معرفی و مفهوم Certificate Revocation List

یک از مهم ترین پیکربندی ها پس از نصب CA ایجاد CRL است. CRL همان لیست لغو certificate هاست (Certificate Revocation List). همانطور که می دانید، هنگامی که یک certificate صادر می شود، دوره اعتباری دارد که توسط CA تعیین می گردد که معمولا یک یا دو سال است. هر زمان یک certificate به عنوان قسمتی از authentication به کار رود (یعنی از certificate ها برای احراز هویت استفاده شود)، زمان اعتبارش می بایست بررسی شود. اگر certificate منقضی شده باشد، احراز هویت صورت نمیگیرد.

گاهی اوقات، certificate ها حتی در زمان اعتبارشان نیز معتبر نیستند. برای مثال، اگر private key یک certificate گمشده یا درمعرض حمله قرار گرفته باشد، احراز هویت توسط این certificate نبایستی تایید شود. این اتفاق همانند زمانیست که افرادی شغل و شرکتشان را تغییر می دهند؛ هنگامی که آنها مدارکشان را جایگزین می کنند، مدارک قبلی می بایست با عنوان "دیگر قابل قبول نیست" برچسب بخورند. هدف CRL اینست که certificate هایی را لیست کند که معتبرند، اما لغو شده اند!

نقطه آغازین برای CRL با نام CRL Distribution Point معرفی شده که در بخشی از certificate قرار گرفته است. CDP ضروری نیست اما، اکثر PKI هایی که به خوبی در حال کارند، برای هر certificate یک CDP دارند. شما می توانید CDP را برای هر certificate مشاهده کنید (شکل زیر – برای مشاهده CDP از قسمت show گزینه <All> را انتخاب کنید.

certificate services 42

به هرحال، داشتن اشاره گر (pointer) به CDP برای فعال سازی CRL کافی نیست. علاوه بر این برنامه های کلاینتی مانند، مرورگر، ایمیل و یا دیگر ابزارها، می بایست CDP را بررسی کرده، CRL را بازیابی کنند و در CRL به دنبال certificate ای بگردند که مطمعن شوند لغو (revoke) نشده باشد.

برنامه های کمی مانند مرورگرها و کلاینت ایمیل ها، در واقع CRL را بررسی می کنند. این برنامه ها زمانی CRL را چک می کنند که به  certificate هایی مواجه می شوند که هیچ CDP ندارند. برای مثال، اگر شما در حال استفاده از مرورگری روی بستر اینترنت هستید، بصورت پیشفرض، مرورگر شما CDP را چک نمی کند. البته اگر این تنظیمات را تغییر دهید، مشکلی ایجاد نمی شود، زیرا بزرگترین ومهم ترین شرکتهایی که برای وب سرور ها certificate صادر می کنند CDP ندارند.

یکی از معدود برنامه هایی که CRL را بررسی می کند، Internet Explorer شرکت مایکروسافت است. البته بصورت پیشفرض فعال نبوده و می بایست آن را فعال کنید.

یک CRL همانند certificate، مدت اعتباری دارد. محدوده زمانی به شما این اطمینان را می دهد که CRL پس از زمان مشخصی استفاده نخواهد شد (منقضی می شود)؛ اما به برنامه اجازه داده می شود که CRL را چک کرده و روی سیستم آن را cache کنند تا مجبور نباشند مدام آن را دانلود کنند. عکس زیر مربوط به CRL یک CA است.

certificate services 43

دقت کنید که CRL بالا مربوط به چهار certificate است. این certificate ها با شماره سریال مربوط به CA و تاریخ لغو خود ذخیره شده اند. دقت کنید، اگر برای شما certificate های لغو شده مهم هستند، مثلا در محیط هایی که از آن برای احراز هویت کاربران استفاده می کنید، بررسی CRL بسیار مهم خواهد بود.