In diesem Abschnitt finden Sie Anweisungen zum Installieren, Konfigurieren und Verwenden von Reflection innerhalb der US-Verteidigungsministeriums (US Department of Defense; DOD)- oder einer anderen PKI-Umgebung (Public Key Infrastructure). Die PKI-Konfiguration wirkt sich auf Secure Shell- und SSL/TLS-Verbindungen aus.
Ausführen von Reflection im DOD PKI-Modus
Standardmäßig lassen Reflection-Anwendungen einige Konfigurationen zu, die nicht die DOD PKI-Anforderungen erfüllen. Administratoren können anhand der Reflection-Gruppenrichtlinien alle Reflection-Sitzungen so konfigurieren, dass sie die DOD PKI-Anforderungen erfüllen.
So konfigurieren Sie den DOD PKI-Modus
Führen Sie den Gruppenrichtlinien-Editor mit einer der folgenden Methoden aus:
Geben Sie in der Befehlszeile Gpedit.msc ein.
-oder-
Öffnen Sie in der Konsole Active Directory-Benutzer und -Computer die Eigenschaften für eine Organisationseinheit, klicken Sie in die Registerkarte Gruppenrichtlinie, und bearbeiten oder erstellen Sie ein neues Richtlinienobjekt.
Installieren Sie die Reflection-Vorlage (ReflectionPolicy.adm), falls Sie das noch nicht getan haben.
HINWEIS:Informationen zum Herunterladen und Installieren der Reflection-Richtlinienvorlage finden Sie im Knowledgebase-Artikel 7021501.
Deaktivieren Sie unter Richtlinie für Lokaler Computer > Benutzerkonfiguration > Administrative Vorlagen > Reflection Settings die Einstellung Allow non-DoDPKI mode.
Das Konfigurieren des DOD PKI-Modus wirkt sich wie folgt aus.
Sie müssen für Reflection entweder die Verwendung der CRL Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig. -Prüfung oder eines OCSP Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) und "unknown" (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen. -Responders konfigurieren. Im DOD PKI-Modus ist die Option, keine der beiden Prüfmethoden zu verwenden, deaktiviert. (Für SSH-Verbindungen wird der Zertifikat-Gültigkeitsstatus im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte PKI konfiguriert. Für SSL-/TLS-Verbindungen wird sie im Dialogfeld PKI konfigurieren festgelegt.)
Reflection erzwingt von FIPS genehmigte Verschlüsselungsalgorithmen. Für SSH-Verbindungen bedeutet dies, dass im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte Verschlüsselung nur von FIPS genehmigte Optionen verfügbar sind. Für SSL-/TLS-Verbindungen bedeutet dies, dass Sie den Verschlüsselungsgrad nicht auf 40 oder 56 Bit setzen können.
Für eine erfolgreiche Verbindung muss der Name des Zertifizierungshosts exakt mit dem für Ihre Reflection-Verbindung festgelegten Hostnamen übereinstimmen. Dies bedeutet, dass die Einstellung Name des Zertifizierungshosts muss mit dem des angesprochenen Hosts übereinstimmen automatisch ausgewählt wird und nicht geändert werden kann. (Für SSH-Verbindungen wird diese Einstellung in der Registerkarte PKI des Dialogfelds Reflection Secure Shell-Einstellungen konfiguriert. Für SSL-/TLS-Verbindungen wird sie im Dialogfeld PKI konfigurieren festgelegt.)
Zwischenzertifikate von zuverlässigen Zertifizierungsstellen, die mit MD2- oder MD5-Hashes signiert sind, werden bei der Zertifikatvalidierung nicht unterstützt.
Trust Points installieren und entfernen
Ein Trust Point ist ein CA Hierbei handelt es sich um einen Server in einer vertrauenswürdigen Organisation, der digitale Zertifikate ausstellt. Die Zertifizierungsstelle verwaltet das Ausstellen neuer Zertifikate sowie das Widerrufen von Zertifikaten, die ihre Gültigkeit für die Authentifizierung verloren haben. Darüber hinaus kann eine Zertifizierungsstelle die Berechtigung zum Ausstellen von Zertifikaten auch an eine oder mehrere Zwischenzertifizierungsstellen delegieren und somit eine Vertrauenskette aufbauen. Die Zertifizierungsstelle der höchsten Ebene wird als vertrauenswürdiges Zertifikat bezeichnet. -Zertifikat in einer Vertrauenskette (Chain-of-Trust, Zertifizierungshierarchie).
So fügen Sie dem Reflection-Zertifikatspeicher einen Trust Point hinzu
Klicken Sie auf die Registerkarte Vertrauenswürdige Zertifizierungsstellen.
Klicken Sie auf Importieren, und navigieren Sie zu dem gewünschten Zertifikat (in der Regel *.cer oder *.crt).
So entfernen Sie einen Trust Point aus dem Reflection-Zertifikatspeicher
Klicken Sie auf die Registerkarte Vertrauenswürdige Zertifizierungsstellen.
Markieren Sie das betreffende Zertifikat, und klicken Sie auf Entfernen.
HINWEIS:
Trust Points in einer CA-Vertrauenskette können von einem LDAP Standardprotokoll, mit dem Sie Informationen an einem zentralen Speicherort ablegen und an Benutzer verteilen können. - oder HTTP-Server abgerufen werden, der durch explizite URIs, die in der AIA-Erweiterung (Authority Information Access) eines Zertifikats definiert wurden, oder durch die Verwendung von LDAP-Serverinformationen, die in der Registerkarte LDAP des Reflection-Zertifikatmanagers konfiguriert wurden, identifiziert werden kann. Diese Zertifikate werden in der Datei "cert_cache" unter <Eigene Dateien>\Micro Focus\Reflection\.pki oder \%programdata%\Micro Focus\Reflection\.pki gespeichert.
Wenn Reflection im DOD PKI-Modus ausgeführt wird, werden nur die Stammzertifikate verwendet, die Sie dem Reflection-Zertifikatmanager hinzugefügt haben. Nicht-DOD PKI-Zertifikate im Windows-Zertifikatspeicher müssen nicht entfernt werden.
Konfigurieren der Prüfung des Zertifikat-Gültigkeitsstatus
Die Reflection-Standardeinstellung für die CRL-Prüfung hängt von Ihren aktuellen Systemeinstellungen ab. Wenn Ihr System für die Ausführung der CRL-Prüfung konfiguriert ist, verwenden Reflection-Sitzungen für die Prüfung des Zertifikat-Gültigkeitsstatus standardmäßig CRLs. Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig. Sie können für Reflection auch die Verwendung eines OCSP Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) und "unknown" (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen. -Responders konfigurieren.
Reflection unterstützt zudem eine Einstellung zum Deaktivieren der CRL-Prüfung. Diese Einstellung können Sie für Testzwecke verwenden, sie ist jedoch nicht verfügbar, wenn Reflection im DOD PKI-Modus ausgeführt wird.
VORSICHT:Das Deaktivieren der CRL-Prüfung stellt ein Sicherheitsrisiko dar. Verwenden Sie diese Option nur zu Testzwecken.
Sie können einen oder mehrere LDAP Standardprotokoll, mit dem Sie Informationen an einem zentralen Speicherort ablegen und an Benutzer verteilen können. -Server definieren, von denen Zwischenzertifikate oder CRLs abgerufen werden können.
So definieren Sie einen LDAP-Server
Klicken Sie auf die Registerkarte LDAP.
Klicken Sie auf Hinzufügen, um den Server mit der folgenden URL-Syntax festzulegen:
ldap://hostname:portnumber
Beispiel:
ldap://ldapserver.myhost.com:389
So konfigurieren Sie OCSP
Sie können einen oder mehrere OCSP-Server definieren, von denen Informationen zum Zertifikat-Gültigkeitsstatus angefordert werden können.
Stellen Sie den Zertifikat-Gültigkeitsstatus auf OCSP benutzen ein. (Verwenden Sie für SSH-Verbindungen die Registerkarte PKI im Dialogfeld Reflection Secure Shell-Einstellungen. Für SSL-/TLS-Verbindungen verwenden Sie dagegen das Dialogfeld PKI konfigurieren.)
HINWEIS:Die für ein Zertifikat benötigten URLs des OCSP-Responders sind in der AIA-Erweiterung des Zertifikats angegeben. Sofern diese Informationen im Zertifikat nicht angegeben sind, können Sie sie wie folgt konfigurieren.
Klicken Sie auf die Registerkarte OCSP.
Klicken Sie auf Hinzufügen, um den Server mit der folgenden URL-Syntax festzulegen:
URL:portnumber
Beispiel:
https://ocspmachine.host.com:389
Verwenden von URIs für DOD PKI-Dienste
Reflection unterstützt die Verwendung von URIs Zeichenfolge, die die Position oder die Adresse einer Ressource angibt. URIs können zum Suchen von Ressourcen im Internet oder auf einem LDAP-Server verwendet werden. zum automatischen Aktualisieren und Abrufen von CRLs. Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig. Die Unterstützung erfolgt gemäß RFC3280, Abschnitt 4.2.1.14.
Wenn die CRL-Prüfung aktiviert ist, prüft Reflection den Zertifikat-Gültigkeitsstatus wie folgt:
Die Datei crl_cache wird auf Informationen zum Gültigkeitsstatus geprüft. Falls keine Informationen gefunden werden, wird Schritt 2 ausgeführt.
Die CDP-Erweiterung im Zertifikat wird auf HTTP- oder LDAP-URIs überprüft, und die URIs werden in der angegebenen Reihenfolge abgefragt (zuerst HTTP, dann LDAP). Falls das Zertifikat widerrufen wurde, wird die Verbindung beendet. Wird das Zertifikat nicht gefunden, wird Schritt 3 ausgeführt.
Wenn auf der Registerkarte LDAP des Reflection-Zertifikatmanagers ein oder mehrere LDAP-Server festgelegt sind, wird der definierte Name für die in der Ausstellererweiterung des Zertifikats aufgelistete Zertifizierungsstelle gebildet und die CRL-Datei abgerufen. Wurde das Zertifikat in keiner CRL als widerrufen gefunden, wird der nächste Schritt der Überprüfung ausgeführt.
Aktualisierungen für abgelaufene CRLs werden automatisch durchgeführt und erfordern keine Eingabe oder Konfiguration durch den Administrator.
Wenn die OCSP-Prüfung aktiviert ist, prüft Reflection immer nach verfügbaren OCSP-Respondern, um sicherzustellen, dass die Verbindung fehlschlägt, falls einer der Responder weiß, dass das Zertifikat widerrufen wurde. Damit die Verbindung erfolgreich hergestellt werden kann, muss mindestens ein OCSP-Responder verfügbar sein und für den Gültigkeitsstatus den Wert "Good" (gültig) zurückgeben. Reflection führt diese Prüfungen wie folgt aus:
Die AIA-Erweiterung des Zertifikats wird auf einen oder mehrere OCSP-Responder überprüft, und jeder dieser Responder wird abgefragt. Wenn einer der Responder als Status des Zertifikats "Revoked" (widerrufen) zurückgibt, wird die Verbindung beendet.
Die Registerkarte OCSP des Reflection-Zertifikatmanagers wird nach einem oder mehreren benutzerkonfigurierten OCSP-Respondern durchsucht, und jeder dieser Responder wird abgefragt. Wenn einer der Responder als Status des Zertifikats "Revoked" (widerrufen) zurückgibt, wird die Verbindung beendet.
Wenn alle Responder den Wert "Unknown" (Unbekannt) zurückgeben, wird die Verbindung beendet. Wird von mindestens einem der abgefragten OCSP-Responder der Wert "Good" (gültig) zurückgegeben, wird der nächste Schritt der Überprüfung ausgeführt.
Abrufen von Zwischenzertifikaten mit URIs
Gemäß der Definition in RFC3280, Abschnitt 4.2.2.1 kann Reflection URIs Zeichenfolge, die die Position oder die Adresse einer Ressource angibt. URIs können zum Suchen von Ressourcen im Internet oder auf einem LDAP-Server verwendet werden. zum Abrufen von Zwischenzertifikaten der Zertifizierungsstelle Hierbei handelt es sich um einen Server in einer vertrauenswürdigen Organisation, der digitale Zertifikate ausstellt. Die Zertifizierungsstelle verwaltet das Ausstellen neuer Zertifikate sowie das Widerrufen von Zertifikaten, die ihre Gültigkeit für die Authentifizierung verloren haben. Darüber hinaus kann eine Zertifizierungsstelle die Berechtigung zum Ausstellen von Zertifikaten auch an eine oder mehrere Zwischenzertifizierungsstellen delegieren und somit eine Vertrauenskette aufbauen. Die Zertifizierungsstelle der höchsten Ebene wird als vertrauenswürdiges Zertifikat bezeichnet. wie folgt verwenden:
Die Datei cert_cache wird auf das erforderliche Zwischenzertifikat überprüft. Falls es nicht gefunden wird, wird Schritt 2 ausgeführt.
Wenn in der AIA-Erweiterung (Authority Information Access) eines Zertifikats HTTP- oder LDAP-URIs definiert wurden, wird versucht, mit deren Hilfe (erst HTTP, dann LDAP) Zwischenzertifikate der Zertifizierungsstelle abzurufen.
Wenn die vorangegangenen Versuche fehlschlagen, wird ein definierter Name aus dem Betreff des ausstellenden Zertifikats gebildet, und der Inhalt des Attributs "CACertificate" wird vom definierten LDAP-Server abgefragt.
Da Reflection die Erweiterung der Sicherheitsrichtlinien eines Zertifikats nicht erzwingt, ist keine Konfiguration der Sicherheitsrichtlinien erforderlich.
Konfigurieren und Schützen von Zertifikaten und privaten Schlüsseln
So konfigurieren Sie die Clientauthentifizierung mit Zertifikaten:
Klicken Sie in der Registerkarte Eigene Zertifikate auf Importieren, und navigieren Sie zu dem gewünschten Zertifikat (in der Regel *.pfx oder *.p12). Sie werden aufgefordert, eine Passphrase zu erstellen, die bei jeder Verwendung dieses Schlüssels erforderlich ist. Zum Schutz dieses Schlüssels in Ihrem System ist die Eingabe einer Passphrase ratsam.
Öffnen Sie für Secure Shell-Verbindungen das Dialogfeld Reflection Secure Shell-Einstellungen, wechseln Sie in die Registerkarte Benutzerschlüssel, und wählen Sie die Zertifikate aus, die Sie für die Clientauthentifizierung beim aktuell festgelegten Host verwenden möchten. (Bei SSL-/TLS-Verbindungen ist dieser Schritt nicht erforderlich.)
Schutzmaßnahmen für private Schlüssel
Wird ein privater Schlüssel eines Clients gestohlen, kann ein böswilliger Benutzer auf Dateien auf allen für diesen Benutzer zugänglichen Servern zugreifen. Um dieses Risiko zu minimieren, sollte jeder Clientbenutzer seinen privaten Schlüssel stets mit einer Passphrase schützen. Dies stellt sicher, dass nur der Benutzer, der die Passphrase kennt, eine Authentifizierung mit diesem Schlüssel durchführen kann. Benutzer sollten Passphrasen entsprechend den Kennwortspezifikationen der Sicherheitsrichtlinien Ihres Unternehmens erstellen und schützen.
Maßnahmen im Falle der Sicherheitsverletzung eines Schlüssels
Betrachten Sie die Sicherheit eines privaten Schlüssels als verletzt, wenn er einem nicht autorisierten Dritten bekannt wurde oder wenn Sie den Aktionen einer Person, die Zugriff auf den Schlüssel hat, nicht vertrauen.
Falls die Sicherheit des Clientschlüssels verletzt wurde, widerrufen Sie das Client-Zertifikat.
So ersetzen Sie einen gefährdeten Schlüssel
Generieren Sie einen neuen privaten Schlüssel, zertifizieren Sie ihn, und importieren Sie ihn in den Reflection-Zertifikatmanager.
Wenn die Identifizierungsinformationen geändert wurden, aktualisieren Sie in der Zuordnungsdatei auf dem Server die Zeile für diesen Client.
So entfernen Sie den verletzten Schlüssel vom Client-Computer:
Entfernen Sie den Schlüssel aus der Registerkarte Eigene Zertifikate des Reflection-Zertifikatmanagers. Damit wird der Schlüssel aus der Datei identity_store.p12 entfernt.
Wenn sich die Originaldatei mit dem alten Schlüssel und Zertifikat (*.pfx oder *.p12) noch auf dem Clientcomputer befindet, löschen Sie diese Datei mit einem für das US-Verteidigungsministerium (Department of Defence; DOD) zulässigen Dienstprogramm zum Löschen von Dateien.