CRL particionadas
La partición de CRL permite dividir las CRL en varias CRL más pequeñas, en lugar de una sola CRL grande. Esto permite verificar partes de CRL muy extensas sin invertir tiempo en acceder y validar una CRL grande.
La partición de CRL funciona asignando a cada certificado un número de partición de CRL generado aleatoriamente al momento de su emisión. El usuario de confianza puede asignar el certificado a la partición correcta mediante la extensión del Punto de Distribución de CRL, y se puede verificar que la CRL sea la correcta de la partición correcta consultando su extensión del Punto de Distribución de Emisión. Esta funcionalidad cumple con la RFC 5280 .
Verifique que el software de sus usuarios de confianza admita la partición de CRL antes de usarlo. Tanto el punto de distribución de CRL como la extensión del punto de distribución emisor deben ser compatibles, tanto en el certificado como en la CRL, respectivamente. Para la mayoría de los casos, OCSP es una mejor opción.
Tenga en cuenta que el uso de CRL particionadas es mutuamente excluyente con el modo de compatibilidad de Microsoft .
Configuración
Las siguientes tablas enumeran las configuraciones necesarias para la CA y el perfil del certificado respectivamente.
Configuración de CA
Para usar CRL particionadas, la CA debe configurarse según lo siguiente. Para obtener información sobre todos los campos de CA disponibles, consulte Campos de CA.
Configuración de CA | Requisitos |
Datos específicos de CRL | |
Punto de distribución de emisión en CRL | Debe estar habilitado . Se recomienda configurarlo como crítico por razones de seguridad. Esta extensión es necesaria para que el cliente pueda comprobar que una CRL pertenece a la partición correcta. Sin esta extensión (o si no es crítica y el cliente no la entiende), se podría enviar una CRL incorrecta a un cliente, que consideraría que todos los certificados no están revocados. |
Utilizar particiones CRL | Debe estar habilitado para que las CRL particionadas funcionen. |
Número de particiones CRL | Número total de particiones y número de CRL a generar. Este es el número máximo de partición que se usará en los nuevos certificados. Debe ser al menos 1 . Este valor se puede aumentar para escalar con más particiones. No lo reduzca a menos que esté seguro de que no existen certificados con una partición con CRL superior. |
Número de particiones suspendidas | Normalmente, este valor debería ser 0 , lo que significa que no habrá particiones suspendidas. Una partición suspendida no recibirá nuevos certificados. Este valor se puede aumentar temporalmente para equilibrar las particiones si las particiones con números bajos son más grandes que las de números altos. Dado que los certificados se asignan aleatoriamente a una partición CRL, no debería ser necesario equilibrar las particiones a menos que se haya aumentado el número de particiones. A los nuevos certificados se les asignará una partición entre (número de particiones suspendidas + 1) y (número de particiones CRL), ambos inclusive. Las CRL se generan siempre para todas las particiones, independientemente de esta configuración. |
Datos de validación definidos por CA predeterminados | |
Punto de distribución de CRL predeterminado | Los certificados deben tener una URL de punto de distribución (PD) de CRL que apunte a la partición correcta. La URL de PD de CRL afecta el alcance de la CRL (véase RFC 5280, sección 5 ) y debe coincidir exactamente con el certificado y la CRL. Los asteriscos "*" se reemplazan por el número de partición (excepto en la partición 0, donde se eliminan sin reemplazar). La URL debe contener al menos un asterisco. Si usa la URL "certdist" integrada, solo necesita agregar ¶m=* a la URL. Esto se realiza automáticamente si hace clic en el botón "Generar" después de habilitar la opción "Usar particiones CRL" . |
Punto de distribución de CRL más reciente predeterminado | Si utiliza CRL Delta (también conocidas como la extensión "CRL más reciente"), debe especificar una URL con un asterisco para el número de partición, de la misma manera que en el campo "Punto de distribución de CRL predeterminado". |
Configuración del perfil del certificado
El perfil de certificado para los certificados emitidos debe configurarse de la siguiente manera. Para obtener información sobre todos los campos disponibles del perfil de certificado, consulte Campos del perfil de certificado .
Configuración del perfil del certificado | Requisitos |
Puntos de distribución de CRL | Debe estar habilitado |
Utilice el punto de distribución CRL definido por CA | Debe estar habilitado |
Los certificados que se emiten con perfiles de certificado no configurados como se indica anteriormente, y cualquier certificado preexistente antes de activar las CRL particionadas, tendrán el número de partición 0.
Ejemplo
Supongamos que tiene la siguiente configuración para su CA:
Si emite un certificado con un perfil configurado como se indica en la sección Configuración , se le asignará un número de partición entre el 21 y el 30, ambos inclusive. El certificado apuntará a la partición CRL correcta mediante la extensión del punto de distribución de CRL. Por ejemplo, si se le asignó la partición 25, la URL http://crl25.example.com/CA_partition25.crl se incluirá en el certificado al emitirse. Los usuarios de confianza utilizarán esta URL para comprobar la revocación.
Al revocar el certificado, este se transferirá a esa partición de CRL y se incluirá en la CRL la próxima vez que se genere. Si el certificado de este ejemplo se revocó, la próxima vez que se generen CRL para la CA, la CRL de la partición 25 contendrá el número de serie del certificado revocado.
Generación de CRL
Una vez que se ha configurado una CA con CRL particionadas, al solicitar la creación de una nueva CRL se generarán CRL para todas las particiones.
Esto se aplica al CRL Update Worker, CLI, WebService, AdminWeb, así como a todas las operaciones que activan indirectamente la generación de CRL, como la importación o renovación de CA.
Particionamiento y publicación de CRL
Los editores de certificados y de CRL pueden o no admitir CRL particionadas. La compatibilidad de los editores se muestra en la siguiente tabla:
Editor | Tipo | Compatibilidad con particiones CRL |
Editor de Active Directory | Certificado/CRL | Sí, para los certificados. |
CertificadoMuestraPersonalizadoEditor | Certificado | Sí |
Editor de CertSafe | Certificado | Sí |
CTCustomPublisher | Certificado | Sí |
Editor LDAP V3 | Certificado/CRL | Sí, para los certificados. |
Editor de búsqueda LDAP V3 | Certificado/CRL | Sí, para los certificados. |
Editorial Multigrupo | Certificado/CRL | Sí (si los publicadores de grupos admiten CRL particionadas). |
ScpPublisher | Certificado/CRL | Sí. |
Autoridad de validación del editor par | Certificado/CRL | Sí. |
Editor de autoridad de validación | Certificado/CRL | Sí. |
Obteniendo particiones CRL
EJBCA permite obtener particiones CRL especificando un parámetro en la URL. De forma predeterminada, si no se especifica ningún parámetro, devolverá la partición CRL 0 (que contendrá los certificados existentes; consulte Configuración ).
Los siguientes servlets permiten recuperar particiones CRL. En las URL de ejemplo, el número de partición es 123.
Nombre del servlet | Nombre del parámetro | URL de ejemplo |
certdist | dividir | http://ejbca.example.com:8080/ejbca/publicweb/webdist/certdist?cmd=crl&issuer=CN%3DExample&partition=123 |
búsqueda.cgi | dividir | http://ejbca.example.com:8080/crls/search.cgi?iHash=A0LJKitIFOPr%2BpXooZ7b3EWNyu0&partition=123 |
Administración Web | dividir | https://ejbca.example.com:8443/ejbca/adminweb/ca/getcrl/getcrl?cmd=crl&issuer=CN=Example&partition=123 Requiere certificado de cliente. |
Las particiones inexistentes se gestionan de la misma manera que una CA inexistente. Por ejemplo, search.cgi generará la respuesta HTTP "204 Sin contenido".
Importación de certificados
EJBCA admite la importación de certificados a una CA con CRL particionadas, siempre que la extensión del punto de distribución de CRL esté presente y coincida exactamente con el valor configurado en la configuración de la CA " Punto de distribución de CRL predeterminado" . El número de partición de la CRL se extraerá de la URL del punto de distribución de CRL.
Los certificados que no cumplan con el requisito anterior se importarán a la partición 0.