6.5.2 Aktivieren bzw. Deaktivieren der Windows-Zertifikatspeicherverwendung

Reflection Secure Shell- und SSL/TLS-Sitzungen unterstützen die Verwendung digitaler Zertifikate Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel). Digitale Zertifikate (auch als X.509-Zertifikate bezeichnet) werden von einer Zertifizierungsstelle ausgestellt, die die Richtigkeit der im Zertifikat enthaltenen Informationen sicherstellt. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist. sowohl für die Host- als auch für die Benutzerauthentifizierung. Reflection-Anwendungen können so konfiguriert werden, dass für die Authentifizierung entweder nur die Zertifikate im Reflection-Speicher oder die Zertifikate im Windows- und im Reflection-Speicher verwendet werden.

Hostauthentifizierung

Wenn Sie die Verwendung des Windows-Zertifikatspeichers aktivieren, müssen Sie die Zertifikate für die Hostauthentifizierung möglicherweise nicht importieren. Wenn Ihre Zertifikate von einer bekannten Zertifizierungsstelle Hierbei handelt es sich um einen Server in einer vertrauenswürdigen Organisation, der digitale Zertifikate ausstellt. Die Zertifizierungsstelle verwaltet das Ausstellen neuer Zertifikate sowie das Widerrufen von Zertifikaten, die ihre Gültigkeit für die Authentifizierung verloren haben. Darüber hinaus kann eine Zertifizierungsstelle die Berechtigung zum Ausstellen von Zertifikaten auch an eine oder mehrere Zwischenzertifizierungsstellen delegieren und somit eine Vertrauenskette aufbauen. Die Zertifizierungsstelle der höchsten Ebene wird als vertrauenswürdiges Zertifikat bezeichnet. wie VeriSign oder Thawte stammen, ist in der Liste Vertrauenswürdige Stammzertifizierungsstellen auf Ihrem System normalerweise bereits ein Zertifikat enthalten, das den Aussteller als vertrauenswürdige Zertifizierungsstelle identifiziert. Wenn die Verwendung des Systemspeichers aktiviert ist, suchen Reflection-Clients im Reflection- und im Systemspeicher nach Zertifikaten.

Indem Sie die Authentifizierung über den Windows-Zertifikatspeicher deaktivieren, haben Sie eine bessere Kontrolle darüber, welche Zertifikate für die Authentifizierung verwendet werden. Es gibt mehrere Möglichkeiten, dem Windows-Speicher Zertifikate hinzuzufügen. Unter Umständen empfiehlt es sich, nicht alle diese Zertifikate für die Authentifizierung von Reflection-Sitzungen zuzulassen. Wenn die Verwendung des Windows-Speichers deaktiviert ist, werden für die Hostauthentifizierung nur die Zertifikate verwendet, die Sie in den Reflection-Speicher importiert haben.

So können Sie die Hostauthentifizierung mithilfe von Zertifikaten im Windows-Speicher aktivieren bzw. deaktivieren:

  1. Öffnen Sie den Reflection-Zertifikatmanager.

  2. Klicken Sie auf die Registerkarte Vertrauenswürdige Zertifizierungsstellen.

  3. Aktivieren (bzw. deaktivieren) Sie das Kontrollkästchen Systemzertifikatspeicher bei SSH-Verbindungen benutzen und/oder Systemzertifikatspeicher bei SSL/TLS-Verbindungen benutzen.

Benutzerauthentifizierung

Reflection verwendet persönliche Zertifikate im Windows- und im Reflection-Speicher auf die gleiche Weise. Zu den verfügbaren persönlichen Zertifikaten zählen auch die Zertifikate im privaten Windows-Speicher und im privaten Reflection-Speicher sowie Zertifikate auf konfigurierten Hardware-Tokens (z. B. Smart Cards).

  • Wenn Sie eine Reflection Secure Shell-Sitzung konfiguriert haben, müssen Sie im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte Benutzerschlüssel festlegen, welche Zertifikate für die Benutzerauthentifizierung verwendet werden sollen.

  • Wenn Sie eine Reflection SSL/TLS-Sitzung konfiguriert haben, stehen alle Zertifikate in beiden Speichern automatisch für die Benutzerauthentifizierung zur Verfügung.