6. Preklic (Revocation)
Scenariji: 4
FFI funkcije: ~35
Status: Načrtovano
Ta kategorija zajema vse scenarije za preklic certifikatov. Ustvarjanje CRL, nastavitev OCSP strežnika in upravljanje Delta-CRL.
Scenariji
| ID | Scenarij | Opis | Kompleksnost | Status |
|---|---|---|---|---|
| 6.1 | Ustvarjanje CRL | Generiranje seznama preklicanih certifikatov | Srednja | Načrtovano |
| 6.2 | OCSP strežnik | Online Certificate Status Protocol | Visoka | Načrtovano |
| 6.3 | Delta-CRL | Inkrementalne posodobitve CRL | Visoka | Načrtovano |
| 6.4 | Preklic certifikata | Preklic posameznega certifikata | Nizka | Načrtovano |
Arhitektura preklica
flowchart TB
subgraph CA["Certifikatna agencija"]
REVOKE[Zahteva za preklic]
DB[(Baza preklicov)]
CRL_GEN[Generator CRL]
OCSP_SIGN[OCSP podpisnik]
end
subgraph DIST["Distribucija"]
CDP[CRL Distribution Point]
OCSP_SRV[OCSP strežnik]
end
subgraph CLIENT["Odjemalec"]
VAL[Validator]
end
REVOKE --> DB
DB --> CRL_GEN --> CDP
DB --> OCSP_SIGN --> OCSP_SRV
VAL --> |HTTP GET| CDP
VAL --> |OCSP zahteva| OCSP_SRV
style DB fill:#e3f2fd
style CDP fill:#e8f5e9
style OCSP_SRV fill:#fff3e0
Razlogi za preklic (RFC 5280)
| Koda | Razlog | Opis |
|---|---|---|
| 0 | unspecified | Razlog ni naveden |
| 1 | keyCompromise | Zasebni ključ ogrožen |
| 2 | cACompromise | CA ogrožena |
| 3 | affiliationChanged | Organizacija spremenjena |
| 4 | superseded | Zamenjano z novim certifikatom |
| 5 | cessationOfOperation | Storitev ukinjena |
| 6 | certificateHold | Začasno blokirano |
CRL proti OCSP
| Vidik | CRL | OCSP |
|---|---|---|
| Posodabljanje | Periodično (ure/dnevi) | V realnem času |
| Velikost | Raste s preklici | Konstantna (~4 KB) |
| Brez povezave | Da | Ne, potreben strežnik |
| Zasebnost | Da, brez vidnih zahtev | Strežnik vidi zahteve |
| Standard | RFC 5280 | RFC 6960 |
Panožne zahteve
| Panoga | Metoda | Interval posodabljanja | Posebnosti |
|---|---|---|---|
| Energetika/SCADA | CRL | 24-72h | Okolja brez povezave, ročna distribucija |
| Zdravstvo | OCSP | V realnem času | Zahteve gematik, QES |
| Avtomobilska | CRL + OCSP | 1-6h | V2X zahteva hitro odzivanje |
| Standardni IT | OCSP Stapling | V realnem času | Optimizirano za zmogljivost |
Hiter začetek kode
Ustvarjanje CRL
// Inicializacija CRL-Builder var crlBuilder = ctx.CreateCrlBuilder(issuerCert, issuerKey); // Dodajanje preklicanih certifikatov crlBuilder.AddRevokedCertificate( serialNumber: revokedCert.SerialNumber, revocationDate: DateTimeOffset.UtcNow, reason: RevocationReason.KeyCompromise ); // Generiranje CRL var crl = crlBuilder.Build( thisUpdate: DateTimeOffset.UtcNow, nextUpdate: DateTimeOffset.UtcNow.AddDays(7), crlNumber: 42 ); File.WriteAllBytes("intermediate.crl", crl.ToDer());
Preklic certifikata
// Nalaganje certifikata za preklic var certToRevoke = ctx.LoadCertificate("compromised.crt.pem"); // Vnos v bazo preklicov ctx.RevokeCertificate( certificate: certToRevoke, reason: RevocationReason.KeyCompromise, invalidityDate: DateTimeOffset.UtcNow.AddHours(-2) // Ogroženost pred 2 urama ); // Generiranje in distribucija novega CRL var newCrl = ctx.GenerateCrl(issuerCert, issuerKey); await PublishCrl(newCrl, "http://crl.example.com/intermediate.crl");
Povezane kategorije
| Kategorija | Povezava |
|---|---|
| 1. PKI infrastruktura | CRL Distribution Points v konfiguraciji CA |
| 5. Validacija | Preverjanje preklica pri validaciji |
| 4. Upravljanje certifikatov | Ponovna izdaja ključa po preklicu |
« ← 5. Validacija | ↑ Scenariji | 7. Šifriranje → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: dne 30.01.2026 ob 07:47
