~~NOTOC~~
====== 6. Preklic (Revocation) ======
**Scenariji:** 4 \\
**FFI funkcije:** ~35 \\
**Status:** Načrtovano
Ta kategorija zajema vse scenarije za preklic certifikatov. Ustvarjanje CRL, nastavitev OCSP strežnika in upravljanje Delta-CRL.
----
===== Scenariji =====
^ ID ^ Scenarij ^ Opis ^ Kompleksnost ^ Status ^
| [[.:crl_erstellen|6.1]] | Ustvarjanje CRL | Generiranje seznama preklicanih certifikatov | Srednja | Načrtovano |
| [[.:ocsp_responder|6.2]] | OCSP strežnik | Online Certificate Status Protocol | Visoka | Načrtovano |
| [[.:delta_crl|6.3]] | Delta-CRL | Inkrementalne posodobitve CRL | Visoka | Načrtovano |
| [[.:zertifikat_widerrufen|6.4]] | Preklic certifikata | Preklic posameznega certifikata | Nizka | Načrtovano |
----
===== Arhitektura preklica =====
flowchart TB
subgraph CA["Certifikatna agencija"]
REVOKE[Zahteva za preklic]
DB[(Baza preklicov)]
CRL_GEN[Generator CRL]
OCSP_SIGN[OCSP podpisnik]
end
subgraph DIST["Distribucija"]
CDP[CRL Distribution Point]
OCSP_SRV[OCSP strežnik]
end
subgraph CLIENT["Odjemalec"]
VAL[Validator]
end
REVOKE --> DB
DB --> CRL_GEN --> CDP
DB --> OCSP_SIGN --> OCSP_SRV
VAL --> |HTTP GET| CDP
VAL --> |OCSP zahteva| OCSP_SRV
style DB fill:#e3f2fd
style CDP fill:#e8f5e9
style OCSP_SRV fill:#fff3e0
----
===== Razlogi za preklic (RFC 5280) =====
^ Koda ^ Razlog ^ Opis ^
| 0 | unspecified | Razlog ni naveden |
| 1 | keyCompromise | Zasebni ključ ogrožen |
| 2 | cACompromise | CA ogrožena |
| 3 | affiliationChanged | Organizacija spremenjena |
| 4 | superseded | Zamenjano z novim certifikatom |
| 5 | cessationOfOperation | Storitev ukinjena |
| 6 | certificateHold | Začasno blokirano |
----
===== CRL proti OCSP =====
^ Vidik ^ CRL ^ OCSP ^
| **Posodabljanje** | Periodično (ure/dnevi) | V realnem času |
| **Velikost** | Raste s preklici | Konstantna (~4 KB) |
| **Brez povezave** | Da | Ne, potreben strežnik |
| **Zasebnost** | Da, brez vidnih zahtev | Strežnik vidi zahteve |
| **Standard** | RFC 5280 | RFC 6960 |
----
===== Panožne zahteve =====
^ Panoga ^ Metoda ^ Interval posodabljanja ^ Posebnosti ^
| **Energetika/SCADA** | CRL | 24-72h | Okolja brez povezave, ročna distribucija |
| **Zdravstvo** | OCSP | V realnem času | Zahteve gematik, QES |
| **Avtomobilska** | CRL + OCSP | 1-6h | V2X zahteva hitro odzivanje |
| **Standardni IT** | OCSP Stapling | V realnem času | Optimizirano za zmogljivost |
----
===== Hiter začetek kode =====
==== Ustvarjanje CRL ====
// Inicializacija CRL-Builder
var crlBuilder = ctx.CreateCrlBuilder(issuerCert, issuerKey);
// Dodajanje preklicanih certifikatov
crlBuilder.AddRevokedCertificate(
serialNumber: revokedCert.SerialNumber,
revocationDate: DateTimeOffset.UtcNow,
reason: RevocationReason.KeyCompromise
);
// Generiranje CRL
var crl = crlBuilder.Build(
thisUpdate: DateTimeOffset.UtcNow,
nextUpdate: DateTimeOffset.UtcNow.AddDays(7),
crlNumber: 42
);
File.WriteAllBytes("intermediate.crl", crl.ToDer());
==== Preklic certifikata ====
// Nalaganje certifikata za preklic
var certToRevoke = ctx.LoadCertificate("compromised.crt.pem");
// Vnos v bazo preklicov
ctx.RevokeCertificate(
certificate: certToRevoke,
reason: RevocationReason.KeyCompromise,
invalidityDate: DateTimeOffset.UtcNow.AddHours(-2) // Ogroženost pred 2 urama
);
// Generiranje in distribucija novega CRL
var newCrl = ctx.GenerateCrl(issuerCert, issuerKey);
await PublishCrl(newCrl, "http://crl.example.com/intermediate.crl");
----
===== Povezane kategorije =====
^ Kategorija ^ Povezava ^
| [[sl:int:pqcrypt:szenarien:pki:start|1. PKI infrastruktura]] | CRL Distribution Points v konfiguraciji CA |
| [[sl:int:pqcrypt:szenarien:validierung:start|5. Validacija]] | Preverjanje preklica pri validaciji |
| [[sl:int:pqcrypt:szenarien:verwaltung:start|4. Upravljanje certifikatov]] | Ponovna izdaja ključa po preklicu |
----
<< [[sl:int:pqcrypt:szenarien:validierung:start|← 5. Validacija]] | [[sl:int:pqcrypt:szenarien:start|↑ Scenariji]] | [[sl:int:pqcrypt:szenarien:verschluesselung:start|7. Šifriranje →]] >>
----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//
{{tag>kategorie widerruf revocation crl ocsp}}