Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Widerruf des Zertifikats

Digitale Zertifikate haben ein Ablaufdatum, aber vor Ablauf kann ein Zertifikat aus vielen Gründen nicht mehr gültig sein. Sie können Zertifikatsperrungen und -überprüfungen lokal und durch Verweisen auf eine Zertifikatsperrliste (Certificate Revocation List, CRL) einer Zertifizierungsstelle (Certificate Authority, CA) verwalten.

Grundlegendes zum Online-Zertifikatstatusprotokoll und zu Zertifikatsperrlisten

OCSP wird verwendet, um den Sperrstatus von X509-Zertifikaten zu überprüfen. OCSP zeigt den Widerrufsstatus von Zertifikaten in Echtzeit an und ist nützlich in zeitkritischen Situationen wie Banktransaktionen und Aktiengeschäften.

Der Sperrstatus eines Zertifikats wird überprüft, indem eine Anfrage an einen OCSP-Server gesendet wird, der sich außerhalb einer Firewall der SRX-Serie befindet. Basierend auf der Antwort des Servers wird die VPN-Verbindung zugelassen oder verweigert. OCSP-Antworten werden auf Firewalls der SRX-Serie nicht zwischengespeichert.

Bei dem OCSP-Server kann es sich um die Zertifizierungsstelle (Certificate Authority, CA) handeln, die ein Zertifikat ausstellt, oder um einen designierten autorisierten Responder. Der Speicherort des OCSP-Servers kann manuell konfiguriert oder aus dem zu überprüfenden Zertifikat extrahiert werden. Anforderungen werden zuerst an OCSP-Serverspeicherorte gesendet, die in Zertifizierungsstellenprofilen manuell mit der Anweisung auf der Hierarchieebene [] konfiguriert werden. Für jedes Zertifizierungsstellenprofil können bis zu zwei Speicherorte konfiguriert werden.ocsp urledit security pki ca-profile profile-name revocation-check Wenn der erste konfigurierte OCSP-Server nicht erreichbar ist, wird die Anforderung an den zweiten OCSP-Server gesendet. Wenn der zweite OCSP-Server nicht erreichbar ist, wird die Anforderung an den Speicherort im Erweiterungsfeld "AuthorityInfoAccess" des Zertifikats gesendet. Die Option muss ebenfalls konfiguriert werden, da die Zertifikatsperrliste (Certificate Revocation List, CRL) die standardmäßige Prüfmethode ist.use-ocsp

Firewalls der SRX-Serie akzeptieren nur signierte OCSP-Antworten von der Zertifizierungsstelle oder einem autorisierten Responder. Die empfangene Antwort wird mithilfe vertrauenswürdiger Zertifikate validiert. Die Antwort wird wie folgt validiert:

  1. Das für das konfigurierte Zertifizierungsstellenprofil registrierte Zertifizierungsstellenzertifikat wird verwendet, um die Antwort zu validieren.

  2. Die OCSP-Antwort kann ein Zertifikat enthalten, um die OCSP-Antwort zu validieren. Das empfangene Zertifikat muss mit einem CA-Zertifikat signiert sein, das bei der Firewall der SRX-Serie registriert ist. Nachdem das empfangene Zertifikat durch das CA-Zertifikat validiert wurde, wird es verwendet, um die OCSP-Antwort zu validieren.

Die Antwort vom OCSP-Server kann von verschiedenen Zertifizierungsstellen signiert werden. Die folgenden Szenarien werden unterstützt:

  • Der Zertifizierungsstellenserver, der das Endentitätszertifikat für ein Gerät ausstellt, signiert auch die OCSP-Sperrstatusantwort. Die Firewall der SRX-Serie überprüft die OCSP-Antwortsignatur anhand des CA-Zertifikats, das bei der Firewall der SRX-Serie registriert ist. Nachdem die OCSP-Antwort validiert wurde, wird der Sperrstatus des Zertifikats überprüft.

  • Ein autorisierter Responder signiert die OCSP-Sperrstatusantwort. Das Zertifikat für den autorisierten Responder und das zu überprüfende Endentitätszertifikat müssen von derselben Zertifizierungsstelle ausgestellt werden. Der autorisierte Responder wird zunächst mithilfe des CA-Zertifikats verifiziert, das in der Firewall der SRX-Serie registriert ist. Die OCSP-Antwort wird mithilfe des CA-Zertifikats des Responders validiert. Die Firewall der SRX-Serie verwendet dann die OCSP-Antwort, um den Sperrstatus des End-Entity-Zertifikats zu überprüfen.

  • Es gibt verschiedene CA-Unterzeichner für das zu überprüfende Endentitätszertifikat und die OCSP-Antwort. Die OCSP-Antwort wird von einer Zertifizierungsstelle in der Zertifikatskette für das zu überprüfende Endentitätszertifikat signiert. (Alle Peers, die an einer IKE-Aushandlung teilnehmen, müssen mindestens eine gemeinsame vertrauenswürdige Zertifizierungsstelle in ihren jeweiligen Zertifikatsketten haben.) Die Zertifizierungsstelle des OCSP-Responders wird mithilfe einer Zertifizierungsstelle in der Zertifikatskette überprüft. Nach der Validierung des Zertifikats der Responder-Zertifizierungsstelle wird die OCSP-Antwort mithilfe des Zertifikats der Zertifizierungsstelle des Responders validiert.

Um Replay-Angriffe zu verhindern, kann eine Nonce-Nutzlast in einer OCSP-Anfrage gesendet werden. Nonce-Nutzlasten werden standardmäßig gesendet, es sei denn, sie sind explizit deaktiviert. Wenn diese Option aktiviert ist, erwartet die Firewall der SRX-Serie, dass die OCSP-Antwort eine Nonce-Nutzlast enthält, andernfalls schlägt die Sperrprüfung fehl. Wenn OCSP-Responder nicht in der Lage sind, mit einer Nonce-Nutzlast zu antworten, muss die Nonce-Nutzlast in der Firewall der SRX-Serie deaktiviert werden.

Im normalen Geschäftsgang werden Zertifikate aus verschiedenen Gründen widerrufen. Sie können ein Zertifikat widerrufen, wenn Sie z. B. den Verdacht haben, dass es kompromittiert wurde oder wenn ein Zertifikatsinhaber das Unternehmen verlässt.

Es gibt zwei Möglichkeiten, Zertifikatsperren und -überprüfungen zu verwalten:

  • Lokal: Dies ist eine begrenzte Lösung.

  • Durch Verweisen auf eine Zertifikatsperrliste (Certificate Revocation List, CRL) einer Zertifizierungsstelle (Certificate Authority, CA): Sie können automatisch online in von Ihnen festgelegten Intervallen oder in dem von der Zertifizierungsstelle festgelegten Standardintervall auf die CRL zugreifen.

In Phase 1-Aushandlungen überprüft die Firewall der SRX-Serie das EE-Zertifikat, das sie während eines IKE-Austauschs vom Peer erhalten hat, und verwendet die CRL, um sicherzustellen, dass das EE-Zertifikat nicht von der Zertifizierungsstelle widerrufen wird.

Wenn keine CRL auf das Gerät geladen ist und der Aussteller des Peerzertifikats eine vertrauenswürdige Zertifizierungsstelle ist:

  1. Junos OS ruft die CRL über die konfigurierten LDAP- oder HTTP-CRL-Speicherorte (d. h. die CRL-Verteilungspunkte (CDP)) ab, sofern diese im CA-Profil definiert sind.
  2. Wenn die CRL-Verteilungspunkte nicht im Zertifizierungsstellenprofil konfiguriert sind, verwendet das Gerät die CDP-Erweiterung in einem von der Zertifizierungsstelle ausgestellten Zertifikat (sofern vorhanden). Bei dem von der Zertifizierungsstelle ausgestellten Zertifikat kann es sich um ein vom Administrator registriertes oder während der Phase 1-Aushandlung erhaltenes Zertifikat handeln.

Wenn das EE-Zertifikat nicht von einer Stammzertifizierungsstelle ausgestellt wurde, durchlaufen die Zertifikate der einzelnen Zwischenzertifizierungsstellen dieselbe Verifizierungs- und Sperrprüfung. Die CRL der Stammzertifizierungsstelle wird verwendet, um zu überprüfen, ob das von der Stammzertifizierungsstelle ausgestellte Zertifikat gesperrt ist. Wenn die CDP nicht im Profil der Stammzertifizierungsstelle konfiguriert ist, verwendet das Gerät die CDP-Erweiterung in dem von der Zertifizierungsstelle ausgestellten Zertifikat (falls vorhanden).

Die CRL-Verteilungspunkterweiterung (.cdp) in einem X509-Zertifikat kann entweder einer HTTP-URL oder einer LDAP-URL hinzugefügt werden.

Wenn das Zertifikat keine Zertifikatverteilungspunkterweiterung enthält und Sie die Zertifikatsperrliste nicht automatisch über LDAP (Lightweight Directory Access Protocol) oder HTTP (Hypertext Transfer Protocol) abrufen können, können Sie eine Zertifikatsperrliste manuell abrufen und in das Gerät laden.

Lokale Zertifikate werden anhand der Zertifikatsperrliste (Certificate Revocation List, CRL) validiert, auch wenn die CRL-Prüfung deaktiviert ist. Dies kann gestoppt werden, indem die CRL-Prüfung über die PKI-Konfiguration (Public Key Infrastructure) deaktiviert wird. Wenn die CRL-Prüfung deaktiviert ist, validiert PKI das lokale Zertifikat nicht anhand der CRL.

Vergleich von Online-Zertifikatsstatusprotokoll und Zertifikatssperrliste

Sowohl das Online Certificate Status Protocol (OCSP) als auch die Zertifikatssperrliste (Certificate Revocation List, CRL) können verwendet werden, um den Sperrstatus eines Zertifikats zu überprüfen. Jede Methode hat Vor- und Nachteile.

  • OCSP stellt den Zertifikatsstatus in Echtzeit bereit, während CRL zwischengespeicherte Daten verwendet. Für zeitkritische Anwendungen ist OCSP der bevorzugte Ansatz.

  • Die CRL-Prüfung ist schneller, da die Suche nach dem Zertifikatstatus anhand von Informationen erfolgt, die auf dem VPN-Gerät zwischengespeichert sind. OCSP benötigt Zeit, um den Sperrstatus von einem externen Server abzurufen.

  • Für die Zertifikatsperrliste ist zusätzlicher Arbeitsspeicher erforderlich, um die von einem Zertifikatsperrlistenserver empfangene Sperrliste zu speichern. OCSP benötigt keinen zusätzlichen Arbeitsspeicher, um den Sperrstatus von Zertifikaten zu speichern.

  • OCSP setzt voraus, dass der OCSP-Server jederzeit verfügbar ist. CRL kann zwischengespeicherte Daten verwenden, um den Sperrstatus von Zertifikaten zu überprüfen, wenn der Server nicht erreichbar ist.

Bei Firewalls der MX- und SRX-Serie ist CRL die Standardmethode, um den Sperrstatus eines Zertifikats zu überprüfen.

Siehe auch

Beispiel: Manuelles Laden einer CRL auf das Gerät

In diesem Beispiel wird gezeigt, wie eine Zertifikatsperrliste manuell auf das Gerät geladen wird.

Anforderungen

Bevor Sie beginnen:

  1. Generieren Sie ein öffentliches und privates Schlüsselpaar. Weitere Informationen finden Sie unter Selbstsignierte digitale Zertifikate.

  2. Generieren Sie eine Zertifikatsanforderung. Siehe Beispiel: Manuelles Generieren einer CSR für das lokale Zertifikat und Senden an den CA-Server.

  3. Konfigurieren Sie ein Profil für eine Zertifizierungsstelle. Siehe Beispiel: Konfigurieren eines Zertifizierungsstellenprofils.

  4. Laden Sie Ihr Zertifikat auf das Gerät. Siehe Beispiel: Manuelles Laden von CA- und lokalen Zertifikaten.

Überblick

Sie können eine Zertifikatsperrliste manuell laden oder vom Gerät automatisch laden lassen, wenn Sie die Gültigkeit des Zertifikats überprüfen. Um eine Zertifikatsperrliste manuell zu laden, rufen Sie die Zertifikatsperrliste von einer Zertifizierungsstelle ab und übertragen sie auf das Gerät (z. B. über FTP).

In diesem Beispiel laden Sie ein CRL-Zertifikat, das aus dem Verzeichnis /var/tmp auf dem Gerät aufgerufen wird .revoke.crl Das CA-Profil heißt .ca-profile-ipsec (Die maximale Dateigröße beträgt 5 MB.)

Wenn bereits eine CRL in das CA-Profil geladen ist, muss der Befehl zuerst ausgeführt werden, um die alte CRL zu löschen.clear security pki crl ca-profile ca-profile-ipsec

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So laden Sie ein CRL-Zertifikat manuell:

  1. Laden Sie ein CRL-Zertifikat.

    Junos OS unterstützt das Laden von CA-Zertifikaten in den Formaten X509, PKCS #7, DER oder PEM.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl Betriebsmodus ein.show security pki crl

Grundlegendes zum dynamischen CRL-Download und zur Überprüfung

Digitale Zertifikate werden für einen bestimmten Zeitraum ausgestellt und sind nach dem angegebenen Ablaufdatum ungültig. Eine Zertifizierungsstelle kann ein ausgestelltes Zertifikat widerrufen, indem sie es in einer Zertifikatsperrliste (Certificate Revocation List, CRL) auflistet. Bei der Überprüfung des Peerzertifikats wird der Sperrstatus eines Peerzertifikats überprüft, indem die Zertifikatsperrliste von einem Zertifizierungsstellenserver auf das lokale Gerät heruntergeladen wird.

Um die CRL-Prüfung für die Zertifikate zu erleichtern, wenn kein Zertifizierungsstellenprofil konfiguriert ist, wird ein dynamisches Zertifizierungsstellenprofil erstellt. Auf dem lokalen Gerät wird automatisch ein dynamisches CA-Profil mit dem Format .dynamic-nnn

Ein dynamisches CA-Profil:

  • Ermöglicht dem lokalen Gerät, die dynamische Zertifizierungsstelle und die dynamische Zertifikatsperrliste (für die entsprechende Zertifizierungsstelle) gemäß dem localcert-Aussteller des Peers herunterzuladen
  • Überprüft den Sperrstatus des Peerzertifikats

Ein VPN-Gerät prüft das EE-Zertifikat eines Peers auf seinen Sperrstatus. Ein VPN-Gerät verwendet das von seinem Peer erhaltene Zertifikat für Folgendes:

  • Extrahieren Sie die URL, um die CRL der Zertifizierungsstelle dynamisch herunterzuladen
  • Überprüfen des Sperrstatus des EE-Zertifikats des Peers

In kann Host-A die von Host-B erhaltenen Sales-CA- und EE-Zertifikate verwenden, um die CRL für Sales-CA dynamisch herunterzuladen und den Sperrstatus des Zertifikats von Host-B zu überprüfen.Abbildung 1

Abbildung 1: Mehrstufige Hierarchie für zertifikatsbasierte AuthentifizierungMehrstufige Hierarchie für zertifikatsbasierte Authentifizierung

Bei CA-Servern mit einer einzigen Hierarchie oder CA-Zertifikatskette werden das lokale EE-Zertifikat und das empfangene Peer-EE-Zertifikat vom selben CA-Server ausgestellt.

Im Folgenden sind einige der Firewall-Verhaltensweisen der SRX-Serie aufgeführt, die auf verschiedenen Konfigurationen basieren:

  • Wenn Sie eine Firewall der SRX-Serie mit einer vertrauenswürdigen Zertifizierungsstelle oder vertrauenswürdigen Zertifizierungsstelle konfiguriert haben, validiert oder vertraut das Gerät keine anderen Zertifizierungsstellen.
  • Wenn Sie ein Zertifizierungsstellenprofil definiert haben, das über eine Kette von Zertifizierungsstellen verfügt, bei der die Firewall der SRX-Serie nur der Stammzertifizierungsstelle vertraut und der Peer über ein Zertifikat verfügt, das von einer Unterzertifizierungsstelle für diesen Stammzertifizierungsdienst signiert wurde, werden dem Gerät dynamische Zertifizierungsstelle und CRL hinzugefügt.

Tabelle 1 enthält einige Beispielszenarien, in denen keine dynamische Zertifizierungsstelle oder Zertifikatsperrliste erstellt wird:

Tabelle 1: Beispielszenarien

Szenario

Zustand

Beispielszenario 1

Im Zertifizierungsstellenprofil haben Sie eine vertrauenswürdige Zertifizierungsstelle für ca-profile-name definiert, und Sie erhalten eine Verbindung von einem Gerät, das über ein Zertifikat verfügt, das von einer anderen Zertifizierungsstelle signiert wurde, die in Ihrem Zertifizierungsstellenprofil nicht als vertrauenswürdige Zertifizierungsstelle definiert wurde.

Beispielszenario 2

Sie haben ein Zertifizierungsstellenprofil definiert, das über eine Kette von Zertifizierungsstellen verfügt, bei der die Firewall der SRX-Serie nur einer Unterzertifizierungsstelle vertraut und der Peer über ein Zertifikat verfügt, das von einer Ebene oberhalb dieser Unterzertifizierungsstelle signiert wurde.

Um dynamische Zertifizierungsstellenprofile zu aktivieren, müssen Sie die Option für ein Stammzertifizierungsstellenprofil auf der Hierarchieebene [] konfigurieren.revocation-check crledit security pki ca-profile profile-name

Die Eigenschaften der Sperrprüfung eines Root-CA-Profils werden an dynamische CA-Profile vererbt. In aktiviert die CA-Profilkonfiguration auf Host-A für Root-CA dynamische CA-Profile, wie in der folgenden Ausgabe gezeigt:Abbildung 1

Ein dynamisches Zertifizierungsstellenprofil wird auf Host-A für Sales-CA erstellt. Die Sperrprüfung wird für das dynamische Zertifizierungsstellenprofil "Sales-CA" von der Stammzertifizierungsstelle geerbt.

Wenn die Anweisung in einem Root-CA-Profil konfiguriert ist, werden keine dynamischen CA-Profile erstellt, und es wird kein dynamischer CRL-Download und keine Überprüfung durchgeführt.revocation-check disable

Die Daten für CRLs, die von dynamischen Zertifizierungsstellenprofilen heruntergeladen wurden, werden mit dem Befehl auf die gleiche Weise angezeigt wie CRLs, die von konfigurierten Zertifizierungsstellenprofilen heruntergeladen wurden.show security pki crl Die CRL eines dynamischen Zertifizierungsstellenprofils wird regelmäßig aktualisiert, ebenso wie die für Zertifizierungsstellenprofile, die auf dem Gerät konfiguriert sind. Das Zertifikat der Peerzertifizierungsstelle ist auch für die Signaturüberprüfung der vom Zertifizierungsstellenserver heruntergeladenen Zertifikatsperrliste erforderlich.

Das CA-Zertifikat ist erforderlich, um die von einem CA-Server empfangene CRL zu validieren. Daher wird das von einem Peer empfangene CA-Zertifikat auf dem lokalen Gerät gespeichert. Das vom Peer empfangene CA-Zertifikat wird verwendet, um die CRL und das von ihr ausgestellte Zertifikat zu überprüfen. Da das empfangene Zertifizierungsstellenzertifikat nicht von einem Administrator registriert wurde, ist das Ergebnis einer erfolgreichen Zertifikatsüberprüfung erst dann endgültig, wenn die gesamte Zertifikatskette bis zur Stammzertifizierungsstelle überprüft wurde. Das Zertifikat der Stammzertifizierungsstelle muss von einem Administrator registriert werden.

Siehe auch

Beispiel: Konfigurieren eines Zertifizierungsstellenprofils mit CRL-Speicherorten

In diesem Beispiel wird gezeigt, wie ein Zertifizierungsstellenprofil mit CRL-Speicherorten konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

  1. Generieren Sie ein Schlüsselpaar im Gerät. Weitere Informationen finden Sie unter Digitale Zertifikate.

  2. Erstellen Sie ein Zertifizierungsstellenprofil oder Profile, die spezifische Informationen für eine Zertifizierungsstelle enthalten. Siehe Beispiel: Konfigurieren eines Zertifizierungsstellenprofils.

  3. Besorgen Sie sich ein persönliches Zertifikat von der Zertifizierungsstelle. Siehe Beispiel: Manuelles Generieren einer CSR für das lokale Zertifikat und Senden an den CA-Server.

  4. Laden Sie das Zertifikat auf das Gerät. Siehe Beispiel: Manuelles Laden von CA- und lokalen Zertifikaten.

  5. Konfigurieren Sie die automatische Wiederregistrierung. Siehe Beispiel: Konfigurieren der SecurID-Benutzerauthentifizierung.

  6. Laden Sie ggf. die Zertifikatsperrliste des Zertifikats auf das Gerät. Siehe Beispiel: Manuelles Laden einer CRL auf das Gerät.

Überblick

In diesem Beispiel weisen Sie das Gerät an, die Gültigkeit des aufgerufenen Zertifizierungsstellenprofils zu überprüfen und, wenn einem Zertifizierungsstellenzertifikat keine Zertifikatsperrliste beigefügt ist und nicht auf das Gerät geladen ist, die Zertifikatsperrliste aus der URL abzurufen.my_profile http://abc/abc-crl.crl

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So konfigurieren Sie das Zertifikat mithilfe der Zertifikatsperrliste:

  1. Geben Sie das Profil und die URL der Zertifizierungsstelle an.

  2. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl Betriebsmodus ein.show security pki

Siehe auch

Beispiel: Überprüfen der Gültigkeit des Zertifikats

In diesem Beispiel wird gezeigt, wie die Gültigkeit eines Zertifikats überprüft wird.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel überprüfen Sie Zertifikate manuell, um festzustellen, ob ein Zertifikat gesperrt wurde oder ob das CA-Zertifikat, das zum Erstellen eines lokalen Zertifikats verwendet wurde, nicht mehr auf dem Gerät vorhanden ist.

Wenn Sie Zertifikate manuell überprüfen, verwendet das Gerät das CA-Zertifikat (), um das lokale Zertifikat zu überprüfen ( ).ca-certlocal.cert Wenn das lokale Zertifikat gültig und im Zertifizierungsstellenprofil aktiviert ist, überprüft das Gerät, ob die Zertifikatsperrliste geladen und gültig ist.revocation-check Wenn die Zertifikatsperrliste nicht geladen und ungültig ist, lädt das Gerät die neue Zertifikatsperrliste herunter.

Für von einer Zertifizierungsstelle ausgestellte Zertifikate oder CA-Zertifikate muss ein DNS in der Gerätekonfiguration konfiguriert werden. Das DNS muss in der Lage sein, den Host in der Zertifikatsperrliste der Verteilung und in der URL des Zertifizierungszertifikats/der Sperrliste der Zertifizierungsstelle in der Konfiguration "ca-profile" aufzulösen. Darüber hinaus müssen Sie über das Netzwerk erreichbar sein, damit die Schecks empfangen werden können.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So überprüfen Sie die Gültigkeit eines Zertifikats manuell:

  1. Überprüfen Sie die Gültigkeit eines lokalen Zertifikats.

  2. Überprüfen Sie die Gültigkeit eines CA-Zertifikats.

    Der zugehörige private Schlüssel und die Signatur werden ebenfalls überprüft.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl ein.show security pki ca-profile

Wenn anstelle einer positiven Überprüfung ein Fehler zurückgegeben wird, wird der Fehler in pkid protokolliert.

Siehe auch

Löschen einer geladenen CRL (CLI-Prozedur)

Sie können eine geladene Zertifikatsperrliste löschen, wenn Sie sie nicht mehr zum Verwalten von Zertifikatsperrungen und -überprüfungen verwenden müssen.

Verwenden Sie den folgenden Befehl, um eine geladene Zertifikatsperrliste zu löschen:

Geben Sie ein Zertifizierungsstellenprofil an, um eine Zertifikatsperrliste zu löschen, die der durch das Profil identifizierten Zertifizierungsstelle zugeordnet ist, oder verwenden Sie diese Option, um alle Zertifikatsperrlisten zu löschen.all

Siehe auch

Verwandte Themen