Las conexiones Reflection SSL/TLS y Secure Shell se pueden configurar para autenticar hosts utilizando certificados digitales Una parte integral de una PKI (Public Key Infrastructure). Los certificados digitales (también llamados certificados X.509) son emitidos por una autoridad de certificación (CA), lo cual garantiza la validez de la información contenida en el certificado. Cada certificado contiene datos de identificación sobre el propietario del certificado, una copia de la clave pública del propietario del certificado (que se utiliza para cifrar y descifrar los mensajes y firmas digitales), y una firma digital (generada por la CA en función del contenido del certificado). El receptor utiliza esta firma digital para verificar que el certificado no ha sido alterado y es de confianza. . En función de la configuración del Administrador de certificados de Reflection, Reflection podrá utilizar los certificados que se encuentran en el almacén de Reflection únicamente o en los almacenes de Windows y de Reflection a la vez. El almacén de Windows contiene certificados de entidades de confianza intermedias y raíz. El almacén de Reflection contiene certificados sólo de entidades de confianza raíz. También se puede configurar Reflection para que busque certificados intermedios en un servidor LDAP.
Para configurar Reflection a fin de que busque los certificados intermedios almacenados en un directorio LDAP, utilice la ficha LDAP del Administrador de certificados de Reflection para especificar el servidor (o servidores) LDAP.
Cómo configurar el servidor LDAP
Para que Reflection pueda encontrar un certificado en el directorio LDAP, el nombre DN (nombre completo) representativo del LDAP debe coincidir con el contenido del campo del asunto del certificado. Por ejemplo, si el campo del asunto del certificado muestra los objetos siguientes:
CN = Algunas CA
O = Acme
C = US
El DN de la entrada en el directorio LDAP debe ser exactamente: "CN = Some CA, O=Acme, C = US".
Los atributos de la entrada LDAP identificada por este DN debe incluir uno de los siguientes. (Reflection busca estos atributos por orden de arriba abajo.)
|
Atributo |
OID (Identificador de objeto) |
|---|---|
|
userCertificate;binary |
2.5.4.36 |
|
cACertificate;binary |
2.5.4.37 |
|
userCertificate |
2.5.4.36 |
|
cACertificate |
2.5.4.37 |
|
mosaicKMandSigCertificate |
2.16.840.1.101.2.1.5.5 |
|
sdnsKMandSigCertificate |
2.16.840.1.101.2.1.5.3 |
|
fortezzaKMandSigCertificate |
2.16.840.1.101.2.1.5.5 |
|
crossCertificatePair;binary |
2.5.4.40 |
|
crossCertificatePair |
2.5.4.40 |