Um die Clienthostauthentifizierung mit Zertifikaten konfigurieren zu können, müssen Sie den Reflection PKI Services Manager installieren und konfigurieren. Führen Sie folgende erste Schritte aus. Sie haben viele Variationsmöglichkeiten. Weitere Informationen zu den einzelnen unten beschriebenen Schritten finden Sie im Reflection PKI Services Manager-Benutzerhandbuch (einzusehen in der PKI Services Manager-Konsole und erhältlich unter http://support.attachmate.com/manuals/pki.html).
Vor dem Beginn
Beschaffen Sie das Zertifikat der vertrauenswürdigen Zertifizierungsstelle und jegliche Zwischenzertifikate, die zur Validierung des Zertifikats benötigt werden, welches der Host vorlegt, zu dem Sie eine Verbindung herstellen.
Legen Sie fest, wie die Überprüfung auf gesperrte Serverzertifikate für das Hostzertifikat gehandhabt werden soll. Sie können den PKI Services Manager für die Verwendung von CRL-Listen, des OCSP-Responders oder zur Kontaktaufnahme zu einem im Zertifikat angegebenen CRL-Verteilungspunkt konfigurieren.
So konfigurieren Sie den PKI Services Manager
Melden Sie sich auf dem Reflection PKI Services Manager-Server als Root an.
Installieren Sie den Reflection PKI Services Manager.
Legen Sie eine Kopie der Zertifikate, die Sie als Vertrauensanker festlegen möchten, in Ihrem lokalen Zertifikatspeicher ab. Der Standardspeicher von PKI Services Manager befindet sich im folgenden Verzeichnis:
/opt/attachmate/pkid/ local-store
Öffnen Sie die PKI Services Manager-Konfigurationsdatei in einem Texteditor. Standarddateiname und Speicherort:
/opt/attachmate/pkid/ config/pki_config
Identifizieren Sie den Vertrauensanker mithilfe des Schlüsselworts TrustAnchor. Beispiel:
TrustAnchor = trustedca.crt
-oder-
TrustAnchor = CN=SecureCA,O=Acme,C=US
HINWEIS:Wenn Sie mehrere Vertrauensanker konfigurieren möchten, fügen Sie weitere TrustAnchor-Zeilen hinzu.
Konfigurieren Sie die Überprüfung auf gesperrte Serverzertifikate. Beispiel:
|
in |
Beispielkonfiguration |
|---|---|
|
Verwenden Sie auf einem LDAP-Server gespeicherte CRLs. |
RevocationCheckOrder = crlserver CRLServers=ldap://crlserver |
|
Verwenden Sie einen OCSP-Responder. |
RevocationCheckOrder = ocsp OCSPResponders = http://ocspresponder |
HINWEIS:PKI Services Manager sucht standardmäßig im lokalen Zertifikatspeicher nach CRLs. Wenn Sie diese Konfiguration verwenden, müssen Sie die CRLs in den lokalen Zertifikatspeicher kopieren.
Wenn für die Vertrauenskette Zwischenzertifikate erforderlich sind, müssen Sie den Zugriff auf diese Zertifikate konfigurieren. Beispiel:
|
in |
Beispielkonfiguration |
|---|---|
|
Verwenden Sie Zwischenzertifikate, die Sie Ihrem lokalen Speicher hinzugefügt haben. |
CertSearchOrder=local |
|
Verwenden Sie auf einem LDAP-Server gespeicherte Zertifikate. |
CertSearchOrder=certserver CertServers=ldap://ldapserver |
Speichern Sie Ihre Änderungen an der Konfigurationsdatei.
Öffnen Sie die PKI Services Manager-Belegungsdatei in einem Texteditor. Standarddateiname und Speicherort:
/opt/attachmate/pkid/ config/pki_mapfile
Fügen Sie eine oder mehrere Regeln hinzu, die festlegen, welche Clienthosts sich mit einem gültigen Zertifikat authentifizieren können. Wenn beispielsweise Clienthosts eine Verbindung herstellen können sollen, wenn im Zertifikat der Hostname als Wert für den allgemeinen Namen des Betrefffelds angegeben ist:
RuleType = host
{acme.com}Prüfen Sie, ob PKI Services Manager richtig konfiguriert ist:
/usr/local/sbin/pkid -k
No errors. Configuration is valid:
Starten Sie Reflection PKI Services Manager erneut:
/usr/local/sbin/pkid restart