Le connessioni Reflection SSL/TLS e Secure Shell possono essere configurate in modo da autenticare gli host mediante certificati digitali Parte integrante di una PKI (Public Key Infrastructure). I certificati digitali (chiamati anche certificati X.509) sono emessi da un'autorità di certificazione (CA), che garantisce la validità delle informazioni nel certificato. Ogni certificato contiene informazioni di identificazione sul proprietario del certificato, una copia della chiave pubblica del proprietario del certificato (utilizzata per crittografare e decrittografare messaggi e firme digitali) e una firma digitale (generata dalla CA in base al contenuto del certificato). La firma digitale viene utilizzata da un destinatario per verificare che il certificato non sia stato alterato e che sia attendibile. . A seconda del modo in cui è stato configurato il Gestore certificati Reflection, Reflection può utilizzare i certificati soltanto nell'archivio di Reflection o sia nell'archivio di Windows che in quello di Reflection. Nell'archivio di Windows sono contenuti certificati intermedi e certificati dell'Autorità di certificazione principale attendibile. Nell'archivio di Reflection sono contenuti soltanto certificati dell'Autorità di certificazione principale attendibile. Reflection può inoltre essere configurato in modo da individuare i certificati intermedi su un server LDAP.
Per configurare Reflection in modo da individuare i certificati intermedi contenuti in una directory LDAP, utilizzare la scheda LDAP del Gestore certificati Reflection per identificare il server (o i server) LDAP.
Configurazione del server LDAP
Reflection consente di individuare un certificato contenuto nella directory LDAP soltanto se il nome distinto (DN) LDAP corrisponde esattamente al contenuto del campo Oggetto del certificato. Ad esempio, se nel campo Oggetto del certificato sono indicati i seguenti elementi:
CN = Some CA
O = Acme
C = US
Il DN della voce nella directory LDAP deve essere esattamente: "CN = Some CA, O=Acme, C = US".
Gli attributi delle voce LDAP identificata da questo DN devono includere uno dei seguenti. (Reflection cerca questi attributi dall'alto verso il basso.)
|
Attributo |
Identificatore di oggetto (OID) |
|---|---|
|
userCertificate;binary |
2.5.4.36 |
|
cACertificate;binary |
2.5.4.37 |
|
userCertificate |
2.5.4.36 |
|
cACertificate |
2.5.4.37 |
|
mosaicKMandSigCertificate |
2.16.840.1.101.2.1.5.5 |
|
sdnsKMandSigCertificate |
2.16.840.1.101.2.1.5.3 |
|
fortezzaKMandSigCertificate |
2.16.840.1.101.2.1.5.5 |
|
crossCertificatePair;binary |
2.5.4.40 |
|
crossCertificatePair |
2.5.4.40 |