6.5.3 Konfigurieren der Prüfung des Zertifikat-Gültigkeitsstatus

Reflection SSL-/TLS- und Secure Shell-Verbindungen können für die Hostauthentifizierung mit digitalen Zertifikaten Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel). Digitale Zertifikate (auch als X.509-Zertifikate bezeichnet) werden von einer Zertifizierungsstelle ausgestellt, die die Richtigkeit der im Zertifikat enthaltenen Informationen sicherstellt. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist. konfiguriert werden. Um auszuschließen, dass Zertifikate zurückgezogen wurden, können Sie in Reflection eine Überprüfung auf zurückgezogene Zertifikate mithilfe von CRLs Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig. oder unter Verwendung eines OCSP Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) und "unknown" (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen. -Responders konfigurieren.

Wenn die CRL-Prüfung aktiviert ist, sucht Reflection grundsätzlich an allen Speicherorten nach CRLs, die im Feld für den CRL-Verteilungspunkt (CDP, CRL Distribution Point) des Zertifikats angegeben sind. Außerdem kann Reflection so konfiguriert werden, dass unter Verwendung eines OCSP Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) und "unknown" (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen. -Responders oder in einem LDAP Standardprotokoll, mit dem Sie Informationen an einem zentralen Speicherort ablegen und an Benutzer verteilen können. -Verzeichnis gezielt nach CRLs gesucht wird.

Die Reflection-Standardeinstellung für die CRL-Prüfung hängt von Ihren aktuellen Systemeinstellungen ab. Wenn Ihr System für die Ausführung der CRL-Prüfung konfiguriert ist, wird sie für alle Reflection-Sitzungen standardmäßig ausgeführt.

HINWEIS:Wenn Reflection im DOD PKI-Modus ausgeführt wird, ist die Prüfung des Zertifikat-Gültigkeitsstatus permanent aktiviert und kann nicht deaktiviert werden.

So aktivieren Sie die CRL-Prüfung für alle SSH-Sitzungen

  1. Wählen Sie in Internet Explorer die Optionen Extras > Internetoptionen > Erweitert aus.

  2. Aktivieren Sie unter Sicherheit das Kontrollkästchen Auf gesperrte Serverzertifikate überprüfen.

Mit Reflection können Sie die Prüfung des Zertifikat-Gültigkeitsstatus mit einem CRL- oder OCSP-Responder aktivieren.

So aktivieren Sie die CRL-Prüfung für eine Secure Shell-Sitzung

  1. Öffnen Sie das Dialogfeld Reflection Secure Shell-Einstellungen.

  2. Klicken Sie auf die Registerkarte PKI.

  3. Aktivieren Sie das Kontrollkästchen OCSP benutzen oder CRL benutzen.

So aktivieren Sie die CRL-Prüfung für SSL/TLS-Sitzungen

  1. Öffnen Sie das Dialogfeld Sicherheitseigenschaften.

  2. Klicken Sie in der Registerkarte SSL/TLS auf PKI konfigurieren. ( Die Option SSL-/TLS-Sicherheit verwenden muss aktiviert sein.)

  3. Aktivieren Sie das Kontrollkästchen OCSP benutzen oder CRL benutzen.

HINWEIS:Die für ein Zertifikat erforderlichen CRLs und/oder OCSP-Responder sind in der AIA- und/oder der CDP-Erweiterung des Zertifikats angegeben. Wenn diese Informationen nicht im Zertifikat angegeben sind, können Sie sie in den Registerkarten OCSP und LDAP des Reflection-Zertifikatmanagers konfigurieren.