Las conexiones Reflection SSL/TLS y Secure Shell se pueden configurar para autenticar hosts utilizando certificados digitales Una parte integral de una PKI (Public Key Infrastructure). Los certificados digitales (también llamados certificados X.509) son emitidos por una autoridad de certificación (CA), lo cual garantiza la validez de la información contenida en el certificado. Cada certificado contiene datos de identificación sobre el propietario del certificado, una copia de la clave pública del propietario del certificado (que se utiliza para cifrar y descifrar los mensajes y firmas digitales), y una firma digital (generada por la CA en función del contenido del certificado). El receptor utiliza esta firma digital para verificar que el certificado no ha sido alterado y es de confianza. . Para asegurarse de que estos certificados no se revoquen, se puede configurar Reflection para que compruebe la revocación de los certificados utilizando la lista CRL Una lista de certificados firmada digitalmente que ha sido revocada por la Autoridad de Certificación. Los certificados identificados en una CRL ya no son válidos. o el respondedor OCSP Es un protocolo (que utiliza el transporte HTTP) que puede utilizarse como alternativa a la comprobación CRL para confirmar la validez de un certificado. El respondedor OCSP responde a las consultas sobre el estado del certificado con uno de estos tres valores con firma digital: "good" (válido), "revoked" (revocado) y "unknown" (desconocido). Gracias al uso de OCSP, los servidores o clientes ya no necesitan recuperar y clasificar largas listas de revocación de certificados. .
Si se habilita CRL (Certificate Revocation List), Reflection siempre comprueba las listas CRL en las ubicaciones especificadas en el campo "CRL Distribution Point" (punto de consulta de la revocación de certificados) del certificado. Además, Reflection también puede configurarse para comprobar las CRL que se encuentran en un directorio LDAP Un protocolo estándar que se puede utilizar para almacenar información en una ubicación central y distribuirla a los usuarios. o utilizando un respondedor OCSP Es un protocolo (que utiliza el transporte HTTP) que puede utilizarse como alternativa a la comprobación CRL para confirmar la validez de un certificado. El respondedor OCSP responde a las consultas sobre el estado del certificado con uno de estos tres valores con firma digital: "good" (válido), "revoked" (revocado) y "unknown" (desconocido). Gracias al uso de OCSP, los servidores o clientes ya no necesitan recuperar y clasificar largas listas de revocación de certificados. .
El valor predeterminado en Reflection para la comprobación de la revocación de certificados depende de la configuración actual del sistema. Si el sistema está configurado para realizar la comprobación de CRL, todas las sesiones de Reflection comprobarán la revocación de certificados utilizando las listas CRL, de manera predeterminada.
NOTA:Si se ejecuta Reflection en modo DOD PKI, (Infraestructura de claves públicas del Departamento de Defensa estadounidense), la revocación de certificados está siempre activada y no se podrá desactivar.
Para activar la comprobación de CRL en todas las sesiones SSH
En Internet Explorer, seleccione Herramientas > Opciones de Internet > Opciones avanzadas.
En el apartado Seguridad, seleccione Comprobar si se revocó el certificado de servidor.
En Reflection, se puede habilitar la comprobación de la revocación de certificados utilizando una CRL o un respondedor OCSP.
Para activar la comprobación de CRL en una sesión Secure Shell
Abra el cuadro de diálogo Configuración de Reflection Secure Shell.
Haga clic en la ficha PKI.
Seleccione la casilla Utilizar OCSP o Utilizar CRL.
Para activar la comprobación de CRL en las sesiones SSL/TLS
Abra el cuadro de diálogo Propiedades de seguridad.
En la ficha SSL/TLS haga clic en el botón Configurar PKI. (La opción Utilizar seguridad SSL/TLS debe estar seleccionada.)
Seleccione la casilla Utilizar OCSP o Utilizar CRL.
NOTA:las CRL y/o los respondedores OCSP requeridos mediante un certificado son identificados en la extensión AIA y/o CDP del certificado. Si esta información no se encuentra en el certificado, se pueden utilizar las fichas OCSP y LDAP del Administrador de certificados de Reflection para configurarla.