Wenn Sie zur Authentifizierung von Hosts digitale Zertifikate verwenden, können Sie durch Konfigurieren der Überprüfung auf gesperrte Zertifikate sicherstellen, dass diese gültig sind. Mit dieser Funktion werden die durch das Feld „Sperrlisten-Verteilungspunkt“ des Zertifikats angegebenen Zertifikatsperrlisten (CRLs) überprüft, und es wird ermittelt, ob das Zertifikat gesperrt wurde.
In Extra! können Sie die CRL-Überprüfung für alle Sessions, die Secure Shell-Zertifikate verwenden, sowie für 3270-Sessions, die Micro Focus SSL/TLS-Sicherheitseinstellungen verwenden, aktivieren.
So aktivieren Sie die CRL-Prüfung für eine Secure Shell-Session
Klicken Sie bei geöffneter Session-Datei auf Optionen > Einstellungen.
Wählen Sie auf der linken Seite Verbindung aus.
Klicken Sie in der Registerkarte Allgemein auf die Schaltfläche Erweitert.
Klicken Sie im Dialogfeld Reflection Secure Shell-Einstellungen auf die Registerkarte PKI.
Aktivieren Sie das Kontrollkästchen OCSP benutzen oder CRL benutzen.
HINWEIS:Wenn in Internet Explorer (über die Option Auf gesperrte Serverzertifikate überprüfen*) die CRL-Überprüfung aktiviert ist, wird in allen Extra! SSH-Sessions standardmäßig die Option CRL verwenden ausgewählt.
Ihre Einstellungen werden in einer SSH-Konfigurationsdatei gespeichert. Die CRL-Überprüfung wird dann in allen Sessions angewendet, die diese SSH-Konfigurationsdatei verwenden.
So aktivieren Sie die CRL-Überprüfung für eine SSL/TLS-Session (nur 3270)
Klicken Sie bei geöffneter Session-Datei auf Optionen > Einstellungen.
Wählen Sie auf der linken Seite Verbindung aus.
Klicken Sie in der Registerkarte Allgemein auf die Schaltfläche Hinzufügen.
Achten Sie darauf, dass im Dialogfeld Verbindung konfigurieren SSL v3.0 oder TLS v1.x als Sicherheitstyp festgelegt ist.
Wählen Sie unter Serverauthentifizierung eine oder beide der folgenden Optionen aus:
Zertifikatsperrliste verwenden Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig.
Online-Zertifikatstatusprotokoll verwenden Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) und "unknown" (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen.
HINWEIS:Anders als bei SSH-Sessions ist diese CRL-Einstellung unabhängig von der CRL-Option in Internet Explorer Auf gesperrte Serverzertifikate überprüfen*.