Um die Clienthostauthentifizierung mit Zertifikaten konfigurieren zu können, müssen Sie den Reflection PKI Services Manager installieren und konfigurieren. Führen Sie folgende erste Schritte aus. Sie haben viele Variationsmöglichkeiten. Weitere Informationen zu den einzelnen unten beschriebenen Schritten finden Sie im Reflection PKI Services Manager-Benutzerhandbuch (einzusehen in der PKI Services Manager-Konsole und erhältlich unter http://support.attachmate.com/manuals/pki.html).
Vor dem Beginn
Stellen Sie fest, welche vertrauenswürdigen Zertifikate und welche Zwischenzertifikate erforderlich sind zur Validierung des Zertifikats, das der Host vorlegt, zu dem Sie eine Verbindung herstellen möchten. Der PKI Services Manager kann Zertifikatdateien verwenden, die Sie auf Ihr System kopiert haben, oder auch vertrauenswürdige Rootzertifikate, die im Windows-Zertifikatspeicher zur Verwendung durch den lokalen Computer installiert sind.
Legen Sie fest, wie die Überprüfung auf gesperrte Serverzertifikate für das Hostzertifikat gehandhabt werden soll. Sie können den PKI Services Manager für die Verwendung von CRL-Listen, des OCSP-Responders oder zur Kontaktaufnahme zu einem im Zertifikat angegebenen CRL-Verteilungspunkt konfigurieren.
So konfigurieren Sie den PKI Services Manager
Melden Sie sich als Administrator an dem Computer an, auf dem der PKI Services Manager läuft.
Starten Sie die PKI Services Manager-Konsole:
Programme > Attachmate Reflection > Dienstprogramme > PKI Services Manager
Legen Sie eine Kopie der Zertifikate, die Sie als Vertrauensanker festlegen möchten, in Ihrem lokalen Zertifikatspeicher ab. Beispiel:
C:\ProgramData\Attachmate\ReflectionPKI\local-store
(Dieser Schritt ist nicht erforderlich, wenn Sie Zertifikate im Windows-Zertifikatspeicher verwenden oder eine Kopie des Vertrauensankers haben, der in Ihrem System verfügbar ist.)
Fügen Sie im Bereich Trusted Chain (Vertrauenskette) Ihren (bzw. Ihre) Vertrauensanker zur Liste der Vertrauensanker hinzu.
|
Verwendung eines Zertifikatspeichers |
Vorgehensweise |
|---|---|
|
Ihr lokaler Zertifikatspeicher oder eine Zertifikatdatei in Ihrem System |
Klicken Sie auf Hinzufügen. Wählen Sie Local store certificate (Lokaler Zertifikatspeicher) oder Certificate file (Zertifikatdatei) aus, klicken Sie auf Browse (Durchsuchen), und wählen Sie das Zertifikat für Ihren Vertrauensanker aus. |
|
Der Windows-Zertifikatspeicher |
Wählen Sie unter Search order to use when building path to trust anchor (Suchreihenfolge beim Erstellen des Pfads zum Vertrauensanker) die Option "Windows certificate store" (Windows-Zertifikatspeicher) aus. Klicken Sie auf Hinzufügen. Wählen Sie im Dialogfeld Add Trust Anchor (Vertrauensanker hinzufügen) die Option Windows certificate (Windows-Zertifikat) aus, und klicken Sie dann auf Browse (Durchsuchen), um ein verfügbares Zertifikat auszuwählen. HINWEIS:PKI Services Manager verwendet nur Zertifikate, die zur Verwendung auf dem lokalen Computer installiert sind (nicht Zertifikate, die für den aktuellen Benutzer installiert sind) und sich entweder in der Liste der vertrauenswürdigen Stammzertifizierungsstellen oder der vertrauenswürdigen Zwischenzertifizierungsstellen befinden. In der Microsoft-Verwaltungskonsole können Sie die Zertifikate für den lokalen Computer anzeigen und verwalten. Fügen Sie das Zertifikat-Snap-In hinzu, und konfigurieren Sie es für die Verwaltung von Zertifikaten für das Computerkonto. |
Konfigurieren Sie im Bereich Revocation (Sperrung) die Zertifikatsperrüberprüfung.
HINWEIS:PKI Services Manager sucht standardmäßig im lokalen Zertifikatspeicher nach CRLs. Wenn Sie diese Konfiguration verwenden, müssen Sie die CRLs in den lokalen Zertifikatspeicher kopieren.
Klicken Sie im Bereich Identity Mapper (Identität zuordnen) auf Add (Hinzufügen) um zu ermitteln, welche Clienthosts zur Authentifizierung ein gültiges Zertifikat vorlegen können.
Wenn beispielsweise Clienthosts eine Verbindung herstellen können sollen, wenn im Zertifikat der Hostname als Wert für den allgemeinen Namen des Betrefffelds angegeben ist:
Setzen Sie Select type of certificate that is to be mapped (Zertifikattyp für Zuordnung auswählen) auf Host Certificate (Hostzertifikat).
Klicken Sie auf den Dropdownpfeil für Choose certificate identity to insert (Zertifikatidentität zum Einfügen auswählen), und wählen Sie Subject Common Name (Allgemeiner Name des Betreffs) aus.
Weitere Informationen zu Zuordnungsregeln finden Sie in der Dokumentation zum PKI Services Manager.
Klicken Sie auf Datei > Speichern.
Starten Sie den Dienst PKI Services Manager, sofern dieser nicht bereits ausgeführt wird. Wenn der Dienst ausgeführt wird, laden Sie Ihre Einstellungen neu (Server > Reload [Server > Erneut laden]).