6.5.4 Zwischenzertifikate über ein LDAP-Verzeichnis verteilen

Reflection SSL-/TLS- und Secure Shell-Verbindungen können für die Hostauthentifizierung mit digitalen Zertifikaten Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel). Digitale Zertifikate (auch als X.509-Zertifikate bezeichnet) werden von einer Zertifizierungsstelle ausgestellt, die die Richtigkeit der im Zertifikat enthaltenen Informationen sicherstellt. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist. konfiguriert werden. Je nach Konfiguration des Reflection-Zertifikatmanagers verwendet Reflection möglicherweise nur Zertifikate im Reflection-Speicher oder Zertifikate im Reflection- und im Windows-Speicher. Im Windows-Speicher befinden sich sowohl Zwischenzertifikate als auch vertrauenswürdige Stammzertifikate. Im Reflection-Speicher befinden sich nur vertrauenswürdige Stammzertifikate. Reflection kann auch so konfiguriert werden, dass es nach Zwischenzertifikaten von einem LDAP-Server sucht.

Um Reflection für die Suche nach Zwischenzertifikaten in einem LDAP-Verzeichnis zu konfigurieren, legen Sie im Reflection-Zertifikatmanager in der Registerkarte LDAP den bzw. die LDAP-Server fest.

LDAP-Server konfigurieren

Reflection kann ein bestimmtes Zertifikat im LDAP-Verzeichnis nur dann finden, wenn der definierte LDAP-Name (DN) genau mit der Eingabe im Zertifikatsfeld für den Betreff übereinstimmt. Beispiel: Wert im Zertifikatsfeld für den Betreff:

  • CN = Beliebige Zertifizierungsstelle

  • O = Acme

  • C = US

Der definierte Name des Eintrags im LDAP-Verzeichnis muss wie folgt lauten: "CN = Beliebige Zertifizierungsstelle, O=Acme, C = US".

Auf den LDAP-Eintrag, der durch diesen DN festgelegt wurde, muss eines der folgenden Attribute zutreffen: (Reflection durchsucht diese Attributliste von oben nach unten.)

Attribut

OID (Object Identifier)

userCertificate;binary

2.5.4.36

cACertificate;binary

2.5.4.37

userCertificate

2.5.4.36

cACertificate

2.5.4.37

mosaicKMandSigCertificate

2.16.840.1.101.2.1.5.5

sdnsKMandSigCertificate

2.16.840.1.101.2.1.5.3

fortezzaKMandSigCertificate

2.16.840.1.101.2.1.5.5

crossCertificatePair;binary

2.5.4.40

crossCertificatePair

2.5.4.40