Wenn OCSP nicht funktioniert, dann ist das eine häufige Ursache dafür, dass eine Authentifizierung mit einem Zertifikat nicht funktioniert. Mit dem folgenden Skript kann OCSP getestet werden:

#!/usr/bin/env bash

openssl ocsp \
  -CAfile ca.root.pem \
  -issuer ca.intermediate.pem \
  -cert cert.pem \
  -url http://ocsp.example.com/ejbca/publicweb/status/ocsp \
  -resp_text \
  -respout resp.der

Zunächst müssen die beteiligten Zertifikate beschafft werden:

Damit ein Zertifikat als vertrauenswürdig angesehen wird, muss dessen Aussteller- oder Root Zertifikat installiert sein. Bei den bekannten PKIs ist dieses i.d.R. schon direkt nach der Installation des Betriebssystems der Fall, betreibet man eine eigene PKI, was für interne Anwendungen durchaus zu empfehlen ist, dann muss das Root CA Zertifikate der eigenen PKI installiert werden. Das CA Zertifikate muss im PEM Format vorliegen, z.B:

Bei z.B. Apache httpd kann man als Liste der vertrauenswürdigen CA Zertifikaten statt eines Files auch ein Verzeichnis angeben, in dem die CA Zertifikate als einzelene Dateien vorliegen. Damit das funktioniert, müssen dazu Hashes der Dateien erstellt werden. Damit die ganzen Tools wie z.B. Apache httpd, OpenLDAP etc. dieses Verzeichnis benutzen können, müssen Links erstellt werden, die einen Hash enthalten. Früher gab es einmal ein Makefile dazu, aber das geht seit einiger Zeit mit OpenSSL selbst:

Eine Skript-Sammlung zum Aufbau einer sehr einfachen CA Infrastruktur. Damit steht das das nötige Handwerkszeug zur Verfügung, um z.B. eine einfache PKI aufzubauen. Sie hat jedoch zahlreiche Einschränkungen, so werden CRLs nicht automatisiert erstellt (kann man aber mit einem Skript machen) und es gibt keinen OCSP Server. In vielen Fällen reicht jedoch so eine einfache Lösung. Für den Unternehmenseinsatz ist diese Lösung allerdings nicht geeignet.

Praktisch alle Anwendungen, die eine Authentifizierung über X.509 Zertifikate unterstützen, sind damit realisierbar.

Apache httpd

Einfach SSL Client Authentifizierung aktivieren:

SSLVerifyClient require
SSLRequireSSL

Nginx

Selbstverständlich geht das auch mit Nginx.

Windows Login mit Smartcard

Damit Windows Smartcards akzeptiert, sind in der von Microsoft unterstützten Lösung Active Directory und eine PKI notwendig. Das muss jetzt aber nicht notwendigerweise Windows Server bedeuten, sondern ist auch mit Samba4 und EJBCA möglich. Der Einsatz dieser Lösung erfordert jedoch einige Überlegungen, damit das zuverlässig und stabil funktioniert.

Die Lösung wurde mit Windows 10 und 11 getestet (Patchstand: September 2022)

Fast Jedermann benutzt Smartcards, z.B. im Handy, als Zutrittskarte zur Firma und auch beim Pay-TV. Gleich an diesen Beispielen kann man schon sehen, wie unterschiedlich die Sicherheit trotz gleicher Technik sein kann. Während beim Pay-TV die Sicherheit eines Verschlüsselungssystem durch eine meist schlampige Implementierung oder Umgang mit den Schlüsseln meist nach kurzer Zeit kompromittiert ist, ist z.B. im Mobilfunkbereich die Integrität des Systems immer noch gewährleistet. Die Administration von Smartcards ist für viele Admins noch ein Mysterium.

Von CardContact gibt es eine Smartcard mit dem Namen Smardcard-HSM, die einige bemerkenswerte Eigenschaften hat. Da wären: